Valstybinė duomenų apsaugos inspekcija (VDAI) išplatino pranešimą, kuriame nurodė, kad nubaudė Vilniaus miesto savivaldybės administraciją už Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimus 15 000 eurų bauda.
Bauda skirta už BDAR 5 straipsnio 1 dalies d ir f punktų pažeidimus – tinkamų techninių ir organizacinių priemonių neįgyvendinimo, tuo neužtikrinant tvarkomų asmens duomenų tikslumo, tvarkant įvaikinto vaiko tėvų asmens duomenis.
Pažeidimo esmė pasireiškė tuo, kad pareiškėjui (įtėviui), pildant prašymą dėl įvaikinto vaiko ugdymo savivaldybės administracijos Centralizuotoje prašymų pateikimo ir gyventojų informacinėje sistemoje ir jam nurodant savo duomenis, sistema tuos duomenis automatiškai atnaujindavo pagal VĮ Registrų centro Gyventojų registre esančius vaiko vieno iš biologinių tėvų kontaktinius duomenis (el. pašto adresą), kas iš esmės reiškė, kad vietoje pareiškėjo (įtėvių) asmens kontaktinių duomenų, buvo nurodomi vieno iš biologinio tėvų asmens duomenis. Taigi, susidarė situacija, kad vietoje įtėvio nurodyto el. pašto buvo nurodomas vieno iš biologinio tėvų el. paštas.
VDAI akcentavo šiuos pagrindinius netinkamo asmens duomenų tvarkymo veiksmus:
- Asmens duomenų atnaujinimas gali būti vykdomas tik duomenų subjekto iniciatyva – tokie asmens kontaktiniai duomenys kaip elektroninio pašto adresas, nepriklausomai nuo to, ar jie yra, ir jei yra nurodyti Gyventojų registre, asmens bet kada gali būti keičiami ir tik pats duomenų subjektas turėtų juos keisti, o ne duomenų valdytojas savavališkai duomenis atnaujinti, remiantis VĮ Registrų centre esančia informacija;
- Asmens duomenų atnaujinimas turi būti vykdomas laikantis tikslumo ir konfidencialumo principo – Vilniaus miesto savivaldybė neužtikrino, kad iš Gyventojų registro atnaujinami asmens duomenis buvo būtent pareiškėjo kontaktiniai duomenys, o taip pat neužtkrino, kad būtų įgyvendintas tinkamas asmens duomenų saugumas, nes tokiu neveikimu leido, kad būtų atskleisti duomenys apie vaiko įvaikinimą;
- Asmens duomenų atnaujinimas turi būti vykdomas pagal duomenų subjekto nurodymus – Vilniaus miesto savivaldybė pareiškėjo kontaktinius duomenis atnaujino ne pagal pareiškėjo duomenis, nurodytus VĮ Registrų centre, o pagal vaiko duomenis, nors sutarties dėl ugdymo šalis yra ne vaikas, o pareiškėjas, kas iš esmės reiškia, kad duomenų tikslinimas buvo atliekamas netgi ne pagal duomenų subjektą.
VDAI, konstatavusi šiuos pažeidimus, nustatė, kad Vilniaus savivaldybės administracija, tvarkydama trečiojo asmens (vieno iš vaiko biologinių tėvų) elektroninio pašto adresą, kaip kontaktinį pareiškėjo duomenį, neįgyvendino tinkamų organizacinių ir techninių priemonių, tuo neužtikrino tvarkomų asmens duomenų tikslumo principo ir pažeidė BDAR 5 straipsnio 1 dalies d ir f punktus.
Šis VDAI sprendimas yra ženklas visoms valstybės ir savivaldybės institucijoms, o taip pat ir kitoms bendrovėms ar organizacijoms, kurios naudojasi VĮ Registrų centras ar kitomis valstybės ar savivaldybės duomenų bazėmis, peržiūrėti savo vidinius procesus, ypač susijusius su duomenų iš tokių duomenų bazių rinkimu, atnaujinimu, tikslinimu.
Parengė ECOVIS ProventusLaw advokato padėjėja Brigida Bacienė
Naujienlaiškio prenumerata
Susisiekti