Teisme buvo nustatyta, kad gydymo įstaiga saugojo pacientų asmens duomenis, tačiau neužtikrino tinkamų saugumo priemonių: reguliaraus slaptažodžių keitimo, jų sudėtingumo lygio nustatymo, neužtikrino ribotos prieigos prie informacijos ir kt. Be to, nutartyje nurodoma, kad gydymo įstaiga pradėjo naudoti naują turinio valdymo sistemą, tačiau senosios valdymo sistemos nepanaikino.
Nors duomenys internete buvo paskelbti ne pačios atsakovės, o trečiojo asmens, kuris neteisėtai juos pasisavino, LAT išaiškino, kad gydymo įstaigos veiksmai buvo būtina žalos atsiradimo priežastis, t. y., jei ji būtų tinkamai įvykdžiusi pareigą užtikrinti asmens duomenų apsaugą, tretiesiems asmenims nebūtų buvę galimybės atlikti neteisėtus veiksmus šiuos duomenis pasisavinant, o žala ieškovei nebūtų buvusi padaryta.
Taigi, nors asmens duomenis pasisavino ir paviešino tretieji asmenys, gydymo įstaiga kaip duomenų valdytoja neužtikrino asmens duomenų saugumo, todėl jai kyla atsakomybė kompensuoti sukeltą žalą.
Ši byla yra geras rodiklis organizacijoms, kad asmens duomenų saugumo pažeidimų rizika yra susijusi ne tik su baudomis, kurias gali skirti Valstybinės duomenų apsaugos inspekcija, bet ir duomenų subjektų teisėmis reikalauti turtinės ir neturtinės žalos. Ir nors iki šiol Lietuvos teismai laikėsi konservatyvios pozicijos nepriteisti ar priteisti mažas neturtinės žalos sumas, ši praktika keičiasi ir priteisiamos gerokai didesnės sumos.
Tokia pozicija aiškiai parodo, kad asmens duomenys yra laikomi svarbiu gėriu, o duomenų valdytojų pareiga užtikrinti asmenų duomenų apsaugą yra esminė ir negali būti paneigta argumentuojant, kad pažeidimą atliko kitas asmuo.
Teismas dar kartą pabrėžė, kad vien lokalių aktų, reglamentuojančių asmens duomenų apsaugą, priėmimas nepaneigia netinkamo asmens duomenų tvarkymo fakto ir pareigos faktiškai įdiegti technines saugumo priemones. Remiantis Bendrojo duomenų apsaugos reglamento nuostatomis, bet kuris asmuo, patyręs materialinę ar nematerialinę žalą dėl šio reglamento pažeidimo, turi teisę iš duomenų valdytojo arba duomenų tvarkytojo gauti kompensaciją už patirtą žalą.
Lyginant šioje byloje priteistą sumą su ankstesnėmis bylomis, akivaizdu, kad priteista suma gerokai viršija įprastą priteisiamą neturtinės žalos atlyginimo dydį, kuris teisės į privatumą pažeidimo atveju LAT praktikoje svyruoja nuo 1014 iki 4344 eurų. Pavyzdžiui, civilinėje byloje, kurioje be sutikimo spaudoje buvo išplatinta apsinuoginusios besilaukiančios ieškovės nuotrauka, ieškovei buvo priteistas 1585 eurų neturtinės žalos atlyginimas (Lietuvos Aukščiausiojo Teismo 2009 m. birželio 29 d. nutartis civilinėje byloje Nr. 3K-3-290/2009).
Tačiau būtina pažymėti, kad teisinė aplinka, susijusi su neturtinės žalos atlyginimu už asmens saugumo pažeidimus, keičiasi. LAT praktikoje pripažįstama, kad nustatant neturtinės žalos dydį būtina atsižvelgti į Europos Žmogaus Teisių Teismo (EŽTT) praktikoje dėl panašių pažeidimų priteisiamus neturtinės žalos dydžius.
