Dėl nutekintų Registrų centro duomenų rengiamas grupės ieškinys valstybei

Preliminariai vienas nukentėjęs žmogus galėtų prašyti apie 3 tūkst. eurų neturtinei žalai atlyginti

Dėl Registrų centro duomenų nutekėjimo rengiamas grupės ieškinys valstybei, o prie jo ketina jungtis apie 1 tūkst. žmonių. LRT/ELTA cituojamas advokatas Paulius Galubickas teigia, kad tiek asmenų jau užsiregistravo dalyvauti procese, nors dalis jų dar gali atsisakyti arba neatitikti galutinių dalyvavimo sąlygų.

Pasak P. Galubicko, preliminariai vienas nukentėjęs žmogus galėtų prašyti apie 3 tūkst. eurų neturtinei žalai atlyginti. Tokiu atveju bendra reikalavimų suma teoriškai galėtų siekti apie 3 mln. eurų, jeigu procese liktų visi maždaug 1 tūkst. užsiregistravusių asmenų ir jeigu teismas pripažintų tokio dydžio reikalavimus pagrįstais.

Advokatas nurodo, kad ieškinyje atsakovais turėtų būti Teisingumo ministerija ir Registrų centras. Jo aiškinimu, Teisingumo ministerija yra registrų valdytoja, o Registrų centras tvarko duomenis. Tai reiškia, kad bylos centre būtų ne vien techninis incidentas, bet ir valstybės atsakomybė už tai, kaip buvo saugomi ir administruojami jautrūs registrų duomenys.

Nukentėjusieji žalą grindžia prarasta asmens duomenų kontrole

P. Galubickas LRT/ELTA teigė, kad neturtinė žala būtų grindžiama tuo, jog žmonės prarado savo duomenų kontrolę. Tokiose bylose asmuo nebūtinai turi įrodyti, kad jo vardu jau paimta paskola ar atliktas konkretus sukčiavimo veiksmas. Pats jautrių duomenų praradimas gali kelti nerimą, neapibrėžtumą ir riziką, kad informacija ateityje bus panaudota neteisėtai.

Bendrojo duomenų apsaugos reglamento 82 straipsnis numato, kad asmuo, patyręs materialinę arba nematerialinę žalą dėl reglamento pažeidimo, turi teisę gauti kompensaciją iš duomenų valdytojo arba tvarkytojo. Tai nereiškia automatinės išmokos kiekvienam nukentėjusiajam, nes teisme paprastai reikia įrodyti pažeidimą, žalą ir priežastinį ryšį.

LRT/ELTA tekste nurodoma, kad teismų praktika panašiose duomenų atskleidimo bylose leidžia žmonėms prisiteisti nuo kelių šimtų iki kelių tūkstančių eurų. Vis dėlto kiekviena byla priklauso nuo aplinkybių: kokie duomenys nutekėjo, kiek laiko asmuo apie tai nežinojo, kokios rizikos kilo ir kaip institucijos reagavo po incidento.

Prokuratūra tiria neteisėtus prisijungimus, o kalbama apie daugiau nei 600 tūkst. įrašų

Generalinė prokuratūra gegužės 22 d. paskelbė, kad pradėtas ikiteisminis tyrimas dėl neteisėto prisijungimo prie informacinių sistemų ir kitų susijusių kibernetinių nusikalstamų veikų. Tyrimą organizuoja ir kontroliuoja Generalinės prokuratūros Baudžiamojo persekiojimo departamentas, o jį atlieka Lietuvos kriminalinės policijos biuras.

Prokuratūros duomenimis, yra pagrindo įtarti, kad keli neteisėti prisijungimai ir bandymai prisijungti prie Registrų centro valdomų duomenų registrų buvo vykdyti iš užsienio valstybės ir per kitų institucijų administruojamas sistemas. Įtariama, kad galėjo būti neteisėtai nukopijuota daugiau nei 600 tūkst. registrų įrašų.

Prokuratūra nurodė, kad pagrindinis taikinys buvo Nekilnojamojo turto ir Juridinių asmenų registrų duomenys. Pradiniais duomenimis, duomenų valdytojo patirta žala yra ne mažesnė kaip 111 tūkst. eurų. Šis skaičius apibūdina galimą žalą duomenų valdytojui, bet nėra tas pats, kas galimos kompensacijos gyventojams.

VDAI pradėjo tyrimus ir perspėjo gyventojus dėl sukčiavimo rizikos

Valstybinė duomenų apsaugos inspekcija gegužės 22 d. pranešė pradėjusi tyrimus dėl asmens duomenų saugumo pažeidimų Registrų centre ir Migracijos departamente. VDAI nurodė gavusi pranešimus apie nutekėjusius Nekilnojamojo turto ir Juridinių asmenų registruose tvarkomus duomenis.

Inspekcija tyrimus pradėjo savo iniciatyva ir paskelbė, kad dėl tų pačių atvejų atskiri asmenų skundai nebus nagrinėjami. VDAI pažadėjo visuomenę apie tyrimų rezultatus informuoti tada, kai bus priimti sprendimai. Tai reiškia, kad administracinis duomenų apsaugos tyrimas vyksta atskirai nuo galimo civilinio ginčo dėl kompensacijų.

VDAI taip pat perspėjo gyventojus, kad po tokio pobūdžio incidentų gali padaugėti sukčiavimo skambučių, SMS žinučių ir elektroninių laiškų. Inspekcija rekomenduoja informaciją tikrinti tik oficialiuose šaltiniuose, nespausti nuorodų iš nežinomų siuntėjų, neatskleisti banko prisijungimų, „Smart-ID“ ar „Mobile-ID“ kodų ir išsaugoti įrodymus apie įtartinus kontaktus.

Registrų centras sudarė galimybę pasitikrinti, ar duomenys galėjo būti paveikti

Registrų centras paskelbė pranešimą apie asmens duomenų saugumo pažeidimą ir sudarė galimybę gyventojams pasitikrinti, ar jų duomenys galėjo būti paveikti. Įmonė nurodo, kad tretieji asmenys galėjo neteisėtai gauti Nekilnojamojo turto registro išrašus prisijungus per kitos institucijos administruojamus sprendimus.

Registrų centro pranešime pabrėžiama, kad informacija apie galimą duomenų nutekėjimą telefonu ar elektroniniu paštu neteikiama, nes taip negalima patikimai nustatyti asmens tapatybės. Tai svarbus saugumo elementas, nes sukčiai dažnai naudojasi viešais incidentais ir apsimeta institucijų darbuotojais.

Gyventojams tokia savitikros galimybė svarbi ne tik dėl teisinio proceso, bet ir dėl praktinės rizikos valdymo. Jeigu asmuo mato, kad jo duomenys galėjo būti paveikti, jis gali aktyviau stebėti finansines operacijas, įtartinus skambučius, naujus įsipareigojimus savo vardu ar neįprastus bandymus prisijungti prie elektroninių paslaugų.

Byla gali tapti precedentu valstybės atsakomybei už registrų saugumą

Jeigu grupės ieškinys bus pateiktas ir priimtas nagrinėti, byla gali tapti vienu svarbiausių testų dėl valstybės atsakomybės už registruose saugomus duomenis. Registrų centro sistemos nėra eilinė komercinė duomenų bazė – jose kaupiama informacija apie nekilnojamąjį turtą, juridinius asmenis ir kitus duomenis, kurių gyventojai patys dažnai negali pasirinkti neteikti.

Todėl ginčas gali peržengti vien kompensacijos dydžio klausimą. Teismui gali tekti vertinti, ar duomenų valdytojas ir tvarkytojas taikė pakankamas technines bei organizacines apsaugos priemones, kaip greitai buvo reaguota į incidentą ir ar žmonės buvo tinkamai informuoti apie rizikas.

Praktinė šios istorijos pasekmė jau dabar aiški: Registrų centro duomenų nutekėjimas iš techninio kibernetinio incidento virto politiniu, teisiniu ir pasitikėjimo valstybe klausimu. Jeigu apie 1 tūkst. žmonių iš tiesų stos į grupės ieškinį, teismas turės atsakyti, kiek kainuoja ne tik pavogtas įrašas registre, bet ir žmogaus prarastas saugumo jausmas.

Šaltiniai

LRT / ELTA. (2026). Bylinėtis dėl nutekintų RC duomenų žada apie tūkstantis žmonių
https://www.lrt.lt/naujienos/lietuvoje/2/2966026/bylinetis-del-nutekintu-rc-duomenu-zada-apie-tukstantis-zmoniu

Registrų centras. (2026). Pranešimas apie asmens duomenų saugumo pažeidimą
https://www.registrucentras.lt/p/pranesimas-apie-asmens-duomenu-saugumo-pazeidima

Valstybinė duomenų apsaugos inspekcija. (2026). Valstybinė duomenų apsaugos inspekcija vykdo tyrimus dėl asmens duomenų saugumo pažeidimų Registrų centre ir Migracijos departamente
https://vdai.lrv.lt/lt/naujienos/valstybine-duomenu-apsaugos-inspekcija-vykdo-tyrima-del-asmens-duomenu-saugumo-pazeidimo-registru-centre-1Qe/

Lietuvos Respublikos prokuratūra. (2026). Atliekamas tyrimas dėl neteisėto prisijungimo prie informacinių sistemų
https://prokuraturos.lt/lt/atliekamas-tyrimas-del-neteiseto-prisijungimo-prie-informaciniu-sistemu/12452