Bendrasis duomenų apsaugos reglamentas (BDAR, angl. GDPR) galioja daugiau kaip metus. Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) Lietuvoje jau paskyrė ir pirmąsias baudas (pvz., viena didžiausių – 61.500 eurų). BDAR įtvirtintas atskaitomybės principas įpareigoja duomenų valdytojus vykdyti BDAR reikalavimus ir sugebėti įrodyti, kad tinkamai juos vykdo. Už BDAR nesilaikymą numatytos didelės baudos (iki 20 mln. eurų arba 4 proc. metinės apyvartos) ir (arba) pareiga atlyginti pagrįstą nukentėjusio asmens turtinę ir (arba) neturtinę žalą. Svarstytina, ar tokios neigiamos pasekmės įmonei galėtų būti pripažintos vadovo neteisėtais veiksmais (neteisėtu neveikimu) padaryta žala.
Akcinių bendrovių įstatymas (ABĮ) numato, jog bendrovės vadovas atsako už bendrovės veiklos organizavimą bei jos tikslų įgyvendinimą, kitų ABĮ ir kituose įstatymuose bei teisės aktuose, taip pat bendrovės įstatuose ir bendrovės vadovo pareiginiuose nuostatuose nustatytų pareigų vykdymą.
Lietuvos Aukščiausiasis Teismas yra išaiškinęs, kad vadovas privalo dirbti rūpestingai ir kvalifikuotai bei daryti viską, kas nuo jo priklauso, kad jo vadovaujama įmonė veiktų pagal įstatymus ir kitus teisės aktus. Įmonės vadovas taip pat privalo rūpintis, kad įmonė laikytųsi įstatymų, nustatytų savo veiklos apribojimų. Nustatant, ar bendrovės vadovas pažeidė rūpestingumo pareigą, Lietuvos teismų praktikoje taikomas objektyvaus elgesio standartas, kuris reiškia, kad vadovas savo veikloje turi atitikti objektyvius rūpestingo ir kvalifikuoto verslininko kriterijus. Tai, ar įmonės vadovas konkrečiu atveju šią rūpestingumo pareigą įvykdė, nustatoma pagal tam tikrus objektyvius elgesio standartus – rūpestingo, apdairaus, protingo vadovo elgesio matą. Ieškinys atlyginti žalą taikant civilinę atsakomybę bendrovės vadovui gali būti pareikštas šiais skirtingais pagrindais: dėl vadovo veikloje įstatymu nustatytų pareigų pažeidimo, fiduciarinių pareigų pažeidimo ir (arba) netinkamo verslo sprendimo priėmimo, dėl kurių atsirado žala [1].
Jei dėl BDAR reikalavimų nevykdymo įmonei būtų paskirta bauda, tai gali būti pripažinta vadovui keliamų aptartų pareigų pažeidimu. Dėl to jam gali būti taikoma civilinė atsakomybė, kas taptų teisiniu pagrindu priteisti iš vadovo žalos atlyginimą (pvz., baudos sumą).
Pavyzdžiui, teismų praktikoje yra išaiškinta, jog bendrovės patirta žala laikytina Valstybinės mokesčių inspekcijos paskirtos baudos ir delspinigiai už mokesčių sumokėjimą ne laiku [2]. Teismų praktikoje yra nemažai bylų, kai bendrovės bankroto atveju, įmonės vardu bankroto administratorius pareiškia ieškinį buvusiam vadovui dėl to, kad jam vadovaujant buvo pažeista pareiga teisingai ir laiku apskaičiuoti bei sumokėti mokesčius, kas lėmė, jog mokesčių administratorius paskyrė baudas ir kt., o tai buvo žala įmonei [3]. Neretai tokie ieškiniai yra tenkinami, nes nustatoma, kad vadovas dirbo nerūpestingai ir nekvalifikuotai, pažeidė fiduciarines pareigas bendrovei.
Užsienio valstybių autoriai laikosi nuomonės, kad įmonių vadovai yra atsakingi už BDAR reikalavimų vykdymą ir gali būti asmeniškai atsakingi už BDAR pažeidimus ir paskirtas baudas [4].
Taigi, įvertinus bendrovės vadovui taikomų pareigų ir elgesio standartų reikalavimus, manytina, jog už įmonei paskirtas BDAR baudas ir/ar sumokėtus žalos atlyginimus gali tekti asmeniškai atsakyti vadovui.
Rekomenduojama nedelsti ir užtikrinti įmonės atitiktį BDAR reikalavimams.
* Šis straipsnis yra autoriaus nuomonė. Tai nėra teisinė konsultacija.
1 Lietuvos Aukščiausiojo Teismo 2017-10-16 nutartis civilinėje byloje Nr. 3K-7-177-701/2017.
2 Lietuvos Aukščiausiojo Teismo 2017-02-22 nutartis civilinėje byloje Nr. 3K-3-54-701/2017.
3 Pavyzdžiui, Lietuvos apeliacinio teismo 2018-11-29 nutartis civilinėje byloje Nr. e2A-528-381/2018.
4 https://www.nedonboard.com/gdpr-enforcement-action-a-board-directors-responsibility/ https://dpo-consulting.com/what-personal-liability-for-ceos-in-case-of-noncompliance-with-the-gdpr/ [žiūrėta 2019-10-20].