Kaip skelbia teismas, kovo 19 d. išnagrinėjus administracinę bylą pagal NVSC skundą atsakovei Valstybinei duomenų apsaugos inspekcijai (VDI), skundas atmestas kaip nepagrįstas.

Byloje nustatyta, kad, atsižvelgdamas į COVID-19 viruso sukeltą pandemiją, sveikatos apsaugos ministras 2020 m. kovo 24 d. sprendimu pavedė NVSC direktoriui nedelsiant įsigyti informacinę sistemą, skirtą su šio viruso nešiotojais sąlytį turėjusių asmenų duomenims registruoti ir stebėti epidemiologinės priežiūros tikslais. 2020 m. kovo 27 d. NVSC atstovas informavo vieną įmonę, kad NVSC ją atrinko kaip mobiliosios programėlės kūrėją.

Kuriant šią programėlę buvo parengta privatumo politika, kurioje įmonė ir NVSC buvo nurodyti kaip duomenų valdytojai. Šią programėlę nuo 2020 m. balandžio 4 d. buvo galima atsisiųsti iš internetinės parduotuvės „Google Play Store“, o nuo 2020 m. balandžio 6 d. – ir iš „Apple App Store“. Programėlė veikė iki 2020 m. gegužės 26 d. ir ja pasinaudojo 3 802 asmenys. Registruodamiesi prie šios programėlės asmenys turėjo pateikti ID numerį, koordinates, šalį, miestą, asmens kodą, telefono numerį ir kitus jautrius asmens duomenis.

2020 m. gegužės 18 d. VDAI pradėjo tyrimą dėl asmens duomenų tvarkymo ir 2021 m. vasario 24 d. sprendimu skyrė NVSC 12 tūkst. eurų administracinę baudą dėl BDAR nuostatų pažeidimo. Šiuo sprendimu įmonei, kaip bendrai duomenų valdytojai, taip pat buvo skirta 3 tūkst. eurų administracinė bauda.

NVSC šį sprendimą apskundė teismui, nes mano, kad įmonė turi būti pripažinta vienintele duomenų valdytoja. Savo ruožtu įmonė teigia, kad ji veikė kaip duomenų tvarkytoja ir vykdė NVSC, kuris, kaip ji mano, yra vienintelis duomenų valdytojas, nurodymus.

Teismas, gavęs Europos Sąjungos Teisingumo Teismo prejudicinį sprendimą, kuriame nurodyta, kaip turi būti aiškinamos tam tikrų BDAR straipsnių nuostatos, atnaujino bylos nagrinėjimą ir apsibrėžė, kad šios administracinės bylos nagrinėjimo ribas sudaro NVSC skundas dėl jo atžvilgiu priimtos skundžiamos VDAI administracinio sprendimo dalies, kurioje konstatuota, kad pareiškėjas yra aptariamų byloje asmens duomenų valdytojas bei už nustatytus pažeidimus jam skirta nustatyto dydžio finansinė sankcija (bauda).

Kaip teigiama Regionų administracinio teismo pranešime spaudai, teisėjų kolegija, įvertinusi bylos aplinkybes, nusprendė, kad NVSC laikytinas programėlės duomenų valdytoju. Teisėjų kolegija pažymėjo, kad NVSC užsakė (organizavo neskelbtinų derybų būdu) programėlės įsigijimą, siekdamas įgyvendinti jam nustatytą užduotį, t. y. suvaldyti COVID-19 pandemiją naudojant IT įrankį asmenų, turėjusių kontaktą su COVID-19 viruso nešiotojais, duomenims registruoti ir stebėti.

Šiuo tikslu, anot teismo, NVSC numatė, kad programėlėje bus tvarkomi programėlės naudotojų asmens duomenys. Nors viešasis pirkimas nesibaigė viešojo pirkimo sutarties pasirašymu, teisėjų kolegija nustatė, kad programėlės parametrai, pavyzdžiui, užduodami klausimai ir jų formuluotės, buvo pritaikyti prie NVSC poreikių. Taigi, teismo nuomone, VDAI pagrįstai nustatė, kad NVSC laikytinas programėlės duomenų valdytoju.

„Teismas, pripažinęs, kad VDAI teisingai nustatė, kad NVSC yra duomenų valdytojas, šiam duomenų valdytojui gali būti skirta administracinė bauda pagal BDAR, jei asmens duomenys tvarkomi neteisėtai. Taigi, teismas šią pareiškėjo skundo dalį atmetė kaip nepagrįstą“, – teigiama teismo pranešime.

Šis teismo sprendimas per 30 kalendorinių dienų gali būti skundžiamas Lietuvos vyriausiajam administraciniam teismui.