Registrų centro duomenų skandalas: ministerija žinojo, auditas vėlavo, kas tylėjo – „nežinoma“

Ekonomikos ir inovacijų ministerija pateikė atsakymus  dėl Registrų centro duomenų nutekinimo istorijos.

Ministerija nurodo, kad nedalyvavo priimant sprendimus dėl visuomenės ir galimai nukentėjusių asmenų informavimo, neturi rašytinio teisėsaugos ar prokuratūros nurodymo neinformuoti visuomenės, o kas priėmė sprendimą žmonių neinformuoti anksčiau – ministerijai nežinoma.

Toliau pateikiame klausimus ir Ekonomikos ir inovacijų ministerijos atsakymus.

– Kada Ekonomikos ir inovacijų ministerija pirmą kartą sužinojo apie galimą Registrų centro duomenų saugumo pažeidimą?

– 2026 m. balandžio 3 d. Ekonomikos ir inovacijų ministerija gavo Registrų centro informaciją apie Migracijos departamento Imuniteto skyriuje atliekamą tyrimą dėl galimai nusavintų ir neteisėtu būdu iš registrų paimtų dviejų fizinių asmenų duomenų.

Ši informacija buvo perduota ministerijos vadovybei, įskaitant ekonomikos ir inovacijų ministrą.

Tuo metu ministerijai nebuvo pateikta informacija apie galimą incidento mastą ar didesnės apimties duomenų pažeidimą.

– Kada apie šią situaciją pirmą kartą buvo informuotas ekonomikos ir inovacijų ministras?

– Balandžio 3 d.

– Kokiu dokumentu, pranešimu, pasitarimu ar kitu būdu ministras arba ministerijos vadovybė buvo informuota?

– Ministerijos vadovybė buvo informuota skambučiu iš Registrų centro. Registrų centro vadovas informavo apie galimą incidentą.

– Kada ministerija pirmą kartą sužinojo, kad incidentas gali būti susijęs su dideliu duomenų subjektų ar registro įrašų skaičiumi?

– Apie incidento mastą, t. y. apie kelis šimtus tūkstančių galimai nukopijuotų duomenų, ministerija sužinojo balandžio 21 d. tarpinstitucinio susitikimo metu.

– Kokius pavedimus ministerija davė Registrų centrui po pirmos informacijos apie incidentą gavimo?

– Ministerija, atsakingai vertindama kiekvieną galimą duomenų apsaugos pažeidimo atvejį, pareikalavo Registrų centro nedelsiant pritaikyti visas prevencines priemones ir informuoti apie naujai paaiškėsiančias aplinkybes.

– Kokios buvo pavedimų datos, adresatai, dokumentų numeriai ir pavedimų esmė?

– Informacija buvo perduodama telefonu.

– Ar ministerija reikalavo, kad Registrų centras įvertintų pareigą informuoti Valstybinę duomenų apsaugos inspekciją ir duomenų subjektus pagal Bendrojo duomenų apsaugos reglamento 33 ir 34 straipsnius?

– Registrų centras, kaip duomenų tvarkytojas, veikia vadovaudamasis teisės aktuose nustatyta tvarka.

Informavimo apie galimą asmens duomenų pažeidimą tvarką ir terminus nustato Bendrasis duomenų apsaugos reglamentas.

– Jeigu taip, kada ir kokiu dokumentu tai padaryta?

– Ministerija atskiro pavedimo šiuo klausimu neteikė.

– Ar ministerija reikalavo Registrų centro pateikti rizikos vertinimą dėl galimo pavojaus gyventojų teisėms ir laisvėms?

– Ministerija nuolat reikalavo teikti informaciją apie situacijos vertinimą, nustatytas rizikas ir taikomas priemones, bendradarbiaujant su atsakingomis institucijomis.

– Kada šis rizikos vertinimas buvo gautas ir kokia buvo jo išvada?

– Apie galimą kelių šimtų tūkstančių asmenų duomenų paveikimą ministerija sužinojo 2026 m. balandžio 21 d. tarpinstitucinio susitikimo metu.

– Ar ministerija dalyvavo sprendžiant, kada informuoti visuomenę ir galimai nukentėjusius asmenis?

– Ministerija nedalyvavo priimant sprendimus dėl informavimo. Informavimo apie galimą asmens duomenų pažeidimą tvarką nustato teisės aktai.

– Jeigu dalyvavo, kada, kokiame formate ir kokią poziciją ministerija pateikė?

– Nedalyvavo.

– Ar ministerijai žinoma, kas priėmė sprendimą visuomenės ir galimai nukentėjusių asmenų neinformuoti anksčiau?

– Nežinoma.

– Jeigu žinoma, kokia institucija priėmė sprendimą, kokia sprendimo data ir kokiame dokumente toks sprendimas užfiksuotas?

– Nežinoma.

– Ar ministerija turi rašytinį teisėsaugos, prokuratūros ar kitos institucijos nurodymą arba rekomendaciją neinformuoti visuomenės ar duomenų subjektų dėl vykstančio ikiteisminio tyrimo?

– Neturi.

– Jeigu toks nurodymas arba rekomendacija yra, kokia dokumento data, kokia institucija jį pateikė ir koks teisinis pagrindas?

– Nėra.

– Jeigu tokio rašytinio nurodymo arba rekomendacijos nėra, kokiu pagrindu visuomenės informavimo atidėjimas buvo siejamas su ikiteisminiu tyrimu?

– Nebuvo sprendimo Ekonomikos ir inovacijų ministerijoje atidėti visuomenės informavimą.

– Ar ministerija vertino Registrų centro vadovybės atsakomybę dėl šio incidento?

– Vadovas prisiėmė atsakomybę ir pasitraukė iš užimamų pareigų.

– Jeigu vertino, kokia buvo vertinimo pradžios data, pagrindas ir išvada arba vertinimo apimtis?

– Nebuvo vertinimo.

– Ar ministerija inicijavo nepriklausomą Registrų centro duomenų saugumo, prieigų valdymo ir incidento valdymo auditą?

– Ekonomikos ir inovacijų ministerijos pavedimu Nacionalinis kibernetinio saugumo centras atlieka Registrų centro auditą. Audito metu vertinamos taikomos saugumo priemonės, prieigų kontrolės procesai ir reagavimo į incidentus tvarka. Nacionalinis kibernetinio saugumo centras taip pat pateiks rekomendacijas saugumo stiprinimui ir stebės jų įgyvendinimą.

– Jeigu taip, kokia audito pradžios data, apimtis ir atsakingas subjektas?

– Audito pradžios data – 2026 m. gegužės 26 d. Užsakyta incidento tyrimo Registrų centre ataskaita su rekomendacijomis. Atsakingas subjektas – Nacionalinis kibernetinio saugumo centras.

– Jeigu ne, kodėl toks auditas neinicijuotas?

– Ministerija nurodė žiūrėti Registrų centro pranešimą apie asmens duomenų saugumo pažeidimą.

Iš šių atsakymų matyti labai aiški chronologija: balandžio 3 d. ministerija sužinojo apie galimą incidentą, balandžio 21 d. – apie galimą kelių šimtų tūkstančių asmenų duomenų mastą, o Nacionalinio kibernetinio saugumo centro auditas pradėtas tik gegužės 26 d.

Dar svarbiau tai, kad ministerija pripažįsta: ji neteikė atskiro pavedimo dėl pareigos informuoti Valstybinę duomenų apsaugos inspekciją ir duomenų subjektus, nedalyvavo priimant sprendimus dėl visuomenės informavimo, neturi rašytinio teisėsaugos ar prokuratūros nurodymo neinformuoti visuomenės ir nežino, kas priėmė sprendimą žmonių neinformuoti anksčiau.

Tai reiškia, kad galimai šimtų tūkstančių žmonių duomenų nutekinimo istorijoje atsakomybė skęsta tarp telefoninių pokalbių, tarpinstitucinių susitikimų ir atsakymo „nežinoma“.

Kai kalbama apie šimtų tūkstančių žmonių duomenis, valstybė neturi teisės slėptis už telefoninių pokalbių, pasitarimų ir atsakymo „nežinoma“. Tylėjimas tokiu atveju nėra atsargumas – iš šalies susidaro vaizddas, kad tai atsakomybės vengimas.