Kaip pranešė Valstybinė duomenų apsaugos inspekcija (VDAI), NVSC skirta 12 tūkst. eurų bauda, o bendrovei „IT sprendimai sėkmei“ – 3 tūkst. bauda.
Inspekcija 2020 metų pavasarį, reaguodama į žiniasklaidoje pasirodžiusią informaciją dėl programėle „Karantinas“ vykdomo galimai netinkamo asmens duomenų tvarkymo, pradėjo stebėsenos veiksmus. Įvertinus pirminę informaciją, buvo nuspręsta pradėti tyrimą, o programėle vykdomą asmens duomenų tvarkymą laikinai sustabdyti.
Tyrimo metu buvo nustatyta, kad programėlei pradėjus veikti nuo 2020 metų balandžio buvo surinkti 677 asmenų duomenys. Ne visų asmenų duomenys buvo surinkti vienodos apimties, tačiau programėle numatyta tvarkyti tokius asmenų duomenis kaip identifikacijos numeris, platumos ir ilgumos koordinatės, šalis, miestas, savivaldybė, pašto kodas, gatvės pavadinimas, namo numeris, vardas, pavardė, asmens kodas, telefono numeris, adresas, 2-asis adresas, ar gyvenamoji vieta deklaruota Lietuvoje ir kita informacija.
Pagal pateiktus duomenis nustatyta, kad programėlės duomenų tvarkymas buvo atliekamas ne tik Lietuvos teritorijoje, bet ir Europoje (Estija, Šveicarija ir t.t. ) ir už jos ribų (Indija, JAV ir t. t.).
VDAI, atlikusi tyrimą, nustatė, kad NVSC ir programėlės kūrėjai yra bendri duomenų valdytojai, nors abi organizacijos neigė tokį jų statusą.
VDAI, spręsdama dėl administracinės baudos skyrimo ir dydžio, atsižvelgė į tai, kad NVSC ir bendrovė asmens duomenis tvarkė tyčia, dideliu mastu, neteisėtai, tai atliko sistemingai, neužtikrindamos techninių ir organizacinių priemonių tam, kad galėtų įrodyti, kad tvarkydamos asmens duomenis laikosi BDAR reikalavimų, buvo tvarkomi specialiųjų kategorijų asmens duomenys.
Be to, bendrovė neįvykdė VDAI jai pateikto nurodymo sustabdyti programėlės pagalba surinktų asmens duomenų tvarkymą ir ištrynė dalį asmens duomenų.
VDAI sprendimas teisės aktų nustatyta tvarka per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas teismui.