BDAR iššūkiai sveikatos priežiūros sektoriui

01.10.2019 BDAR iššūkiai sveikatos priežiūros sektoriui

Bendrojo duomenų apsaugos reglamento paskirtis – saugoti žmogaus pagrindines teises ir laisves, visų pirma – žmogaus teisę į asmens duomenų apsaugą, ir užtikrinti aukštą asmens duomenų apsaugos lygį. Plačiau apie tai kalbamės su advokatų kontoros TGS Baltic vyresniąja teisininke, asmens duomenų apsaugos eksperte Greta Bujute.

Kas yra Bendrasis duomenų apsaugos reglamentas, kada ir kam jis taikomas?

Bendrasis duomenų apsaugos reglamentas (BDAR) yra tiesioginio taikymo Europos Sąjungos (ES) teisės aktas, pradėtas taikyti nuo 2018 m. gegužės 25 d. BDAR siekiama pagerinti ES gyventojų teisių ir laisvių apsaugą, užtikrinti laisvą bei saugų duomenų judėjimą visoje Europoje, taip pat didinti įmonių atsakomybę už netinkamą asmens duomenų tvarkymą, nustatyti vienodus duomenų apsaugos reikalavimus ES ir suteikti asmenims daugiau galimybių kontroliuoti, kur bei kaip naudojami jų duomenys.

BDAR yra aktualus visoms organizacijoms, kurios tvarko asmens duomenų bazes (pvz., pacientų), siunčia naujienlaiškius, vykdo vaizdo stebėjimą, įrašo telefoninius pokalbius, siūlo lojalumo programas, tvarko savo darbuotojų asmens duomenis ir t.t. BDAR taikomas tik tokiam asmens duomenų tvarkymui, kuris visiškai arba iš dalies atliekamas automatizuotomis priemonėmis (pvz., naudojant vaizdo kameras, įrašant telefoninius pokalbius, kaupiant duomenis duomenų bazėse), ir asmens duomenų, kurie sudaro susisteminto rinkinio dalį ar yra skirti ją sudaryti, tvarkymui ne automatizuotomis priemonėmis (pvz., medicininiuose įrašuose, kartotekose).

BDAR netaikomas asmens duomenų tvarkymui, kai duomenis tvarko fizinis asmuo, užsiimdamas išimtinai asmenine ar namų ūkio veikla, kai tvarkomi mirusių asmenų duomenys, juridinių asmenų duomenys (išskyrus juridinių asmenų darbuotojų), taip pat kitais BDAR numatytais atvejais.

Kokie nauji reikalavimai nustatyti BDAR ir kiek jie aktualūs sveikatos priežiūros įstaigoms?

BDAR įtvirtinta nemažai naujovių duomenų apsaugos srityje. Viena svarbesnių BDAR naujovių – poveikio duomenų apsaugai vertinimas (PDAV). Tai procesas, skirtas nustatyti galimą poveikį asmenims, kurių duomenys yra tvarkomi, identifikuoti galimas grėsmes ir rizikas, bei jų suvaldymo priemones. PDAV yra svarbi atskaitomybės priemonė – Valstybinė duomenų apsaugos inspekcija, tikrindama asmens duomenų tvarkymo operacijas, pareikalaus pateikti atlikto PDAV ataskaitą. Už PDAV neatlikimą gresia BDAR numatytos baudos.

BDAR numatyta, kad PDAV būtinas prieš pradedant asmens duomenų tvarkymą, dėl kurio gali kilti didelis pavojus žmogaus teisėms bei laisvėms, ir pateiktas nebaigtinis sąrašas tokių operacijų, pvz., specialių kategorijų duomenų (sveikatos, biometrinių, genetinių duomenų ir pan.) tvarkymas dideliu mastu, sistemingas viešos vietos stebėjimas dideliu mastu. Papildomai Valstybinė duomenų apsaugos inspekcija 2019 m. kovo 14 d. įsakymu patvirtino sąrašą atvejų, kai būtinas PDAV: (i) asmens vaizdo duomenų tvarkymas, kai vaizdo stebėjimas vykdomas sveikatos priežiūros įstaigose; (ii) įrašomi pokalbiai telefonu (pvz., registruojant pacientus); (iii) darbuotojų asmens duomenys tvarkomi stebėsenos ar kontrolės tikslais, stebint jų komunikaciją, elgesį, vietą ar judėjimą (pvz., automobilių GPS stebėjimas; darbuotojų veiklos naudojant bendrovės Informacines sistemas stebėsena); (iv) kitais Valstybinės duomenų apsaugos inspekcijos sąraše nurodytais atvejais (pvz., genetinių duomenų tvarkymas vykdant asmens savybių vertinimą arba balų skyrimą, įskaitant profiliavimą ir prognozavimą). Visoms sveikatos priežiūros įstaigoms, planuojančioms aukščiau aprašytas asmens duomenų tvarkymo veiklas, būtina prieš tai atlikti PDAV. Net jei šios duomenų tvarkymo operacijos pradėtos vykdyti iki BDAR taikymo pradžios, atsižvelgiant į tvarkomų asmens duomenų jautrumą, rekomenduotina atlikti PDAV pagal BDAR reikalavimus, siekiant įsivertinti galimas rizikas ir reikalingas priemones šių rizikų suvaldymui. 

Kita BDAR naujovė – duomenų apsaugos pareigūno pareigybė. Šis asmuo – tai lyg vidinis organizacijos auditorius, kurio užduotis yra padėti užtikrinti organizacijos atitikimą BDAR reikalavimams, konsultuoti vadovybę ir kitus darbuotojus duomenų apsaugos klausimais, būti kontaktiniu asmeniu Valstybinei duomenų apsaugos inspekcijai bei duomenų subjektams. Duomenų apsaugos pareigūnu gali būti paskirtas įstaigos darbuotojas, tik tokiu atveju svarbu išvengti interesų konflikto. Interesų konfliktas galėtų kilti, jei įstaigos darbuotojas eitų įstaigos vadovo, administracijos vadovo, vyriausiojo finansininko, personalo vadovo, IT vadovo ar pan. vadovaujamas pareigas. Duomenų apsaugos pareigūno funkcijas gali atlikti ir išorinis paslaugų teikėjas. Šiuo atveju taip pat privalo būti užtikrinama, kad jam vykdant duomenų apsaugos pareigūno užduotis ir pareigas dėl jų vykdymo nekiltų interesų konfliktas (pvz., šis asmuo negali atstovauti įstaigai teismuose, kai nagrinėjamos bylos, susijusios su duomenų apsauga). Jei duomenų apsaugos pareigūno funkcijas atlieka išorinis paslaugų teikėjas – kitas juridinis asmuo, rekomenduotina paslaugų sutartimi aiškiai paskirstyti užduotis ir vieną konkretų asmenį paskirti už įstaigą atsakingu vadovaujančiu kontaktiniu asmeniu. Skiriant asmenį duomenų apsaugos pareigūnu, rekomenduotina atsižvelgti į jo profesines savybes, gebėjimą atlikti savo užduotis, duomenų apsaugos teisės ir praktikos ekspertinių žinių turėjimą (pvz., atliekamų duomenų tvarkymo operacijų supratimą, informacinių technologijų bei duomenų saugumo išmanymą ir t. t.). Apie duomenų apsaugos pareigūno paskyrimą būtina informuoti Valstybinę duomenų apsaugos inspekciją.

Dar viena naujovė, kurią nustatė BDAR ir kuri aktuali sveikatos priežiūros įstaigoms – tai duomenų tvarkymo veiklos įrašai, kuriuose turi būti detaliai aprašytas atliekamas asmens duomenų tvarkymas (pvz., pacientų, sveikatos priežiūros įstaigos darbuotojų, kontrahentų darbuotojų ir pan.). Šie veiklos įrašai atlieka tarsi vidinio įmonės ar organizacijos duomenų tvarkymo registro funkciją – juose yra aprašytos visos tvarkomų duomenų kategorijos ir tvarkymo operacijos. 

Ar sveikatos priežiūros įstaigoms būtina paskirti duomenų apsaugos pareigūną?

Taip, BDAR numato, kad duomenų apsaugos pareigūną būtina turėti organizacijoms, kurių pagrindinė veikla yra specialių kategorijų asmens duomenų tvarkymas dideliu mastu.

Kas yra organizacinės ir techninės saugumo priemonės ir kodėl svarbu jas įgyvendinti įstaigos veikloje?

Organizacinės ir techninės saugumo priemonės (vidinės tvarkos duomenų apsaugos srityje, darbuotojų mokymai, duomenų šifravimas, atsarginių kopijų darymas ir kt.) padeda užtikrinti tvarkomų asmens duomenų apsaugą bei įrodyti, kad laikomasi BDAR reikalavimų.

Jau sulaukėme pirmųjų BDAR baudų už tokių priemonių neįgyvendinimą. 2018 m. liepos 17 d. Portugalijos ligoninei Centro Hospitalar Barreiro Montijo buvo skirta 400 tūkst. EUR dydžio bauda už tai, kad visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų pacientų duomenų, ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai buvo darbuotojų, o gydytojų, kurie nebedirbo ligoninėje, profiliai ir toliau buvo naudojami, jų prieigos teisės nebuvo panaikintos, ligoninė taip pat neturėjo patvirtintų vidinių teisės aktų, kuriuose būtų nustatyta informacinės sistemos kūrimo bei naudojimosi ja tvarka. Visai neseniai 460 tūkst. EUR dydžio bauda buvo paskirta ir Hagos ligoninei Olandijoje už tinkamos pacientų asmens duomenų apsaugos neužtikrinimą. Papildomai Olandijos priežiūros institucija ligoninei pateikė nurodymą iki 2019 m. spalio 2 d. užtikrinti pacientų asmens duomenų saugumą. Iki šio termino neįvykdžius nurodymo ligoninei buvo numatyta papildoma 100 tūkst. EUR bauda, mokėtina kas dvi savaites, nustatant maksimalią 300 tūkst. EUR baudą už nurodymo nevykdymą laiku. Taigi, bendrai Hagos ligoninei už BDAR nesilaikymą gresia 760 tūkst. EUR bauda. 

Kaip žinoti, ar įstaiga įgyvendina reikiamas organizacines ir technines saugumo priemones savo veikloje?

BDAR vienareikšmiško ir aiškaus atsakymo, kokias konkrečiai saugumo priemones reikalinga įgyvendinti, nepateikia. Ši atsakomybė perkeliama ant organizacijos pečių, kuri kiekvienu konkrečiu atveju turi pati įsivertinti duomenų tvarkymo pobūdį, tikslus bei galimus pavojus fizinių asmenų teisėms ir laisvėms bei pasirinkti tinkamiausias saugumo priemones.

Valstybinė duomenų apsaugos inspekcija yra patvirtinusi keletą šios srities gairių: 2017 m. Asmens duomenų, tvarkomų sveikatos priežiūros įstaigose, saugumo užtikrinimo gaires bei 2018 m. Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires. Šie dokumentai gali būti puikus atspirties taškas, siekiant įsivertinti, kas tinkamiausia kiekvienai konkrečiai sveikatos priežiūros įstaigai.

Kas yra duomenų saugumo pažeidimas ir ką daryti jam įvykus?

Turbūt daugelis iki šiol atsimena 2017 m. plastinės grožio chirurgijos paslaugas teikiančioje įmonėje įvykusį incidentą, kurio metu buvo pavogti ir vėliau paviešinti pacientų ypatingi asmens duomenys, susiję su jiems teiktomis sveikatos priežiūros paslaugomis, diagnozėmis, atliktomis procedūromis. Tai tipinis duomenų saugumo pažeidimas. Duomenų saugumo pažeidimais būtų laikomi ir tokie atvejai, kai netyčia arba neteisėtai būtų sunaikinti, pakeisti, be leidimo atskleisti asmens duomenys ar prie jų suteikta neautorizuota prieiga. Pavyzdžiui, vieno paciento kraujo tyrimų duomenys būtų persiųsti asmeniui, neturinčiam teisės jų gauti, netyčia negrįžtamai be galimybės atstatyti sunaikinta pacientų duomenų bazė, pametamas nešiojamas kompiuteris su pacientų asmens duomenimis.

Tokiais atvejais BDAR nustato pareigą per 72 val. nuo sužinojimo apie įvykusį duomenų saugumo pažeidimą informuoti Valstybinę duomenų apsaugos inspekciją, nebent asmens duomenų saugumo pažeidimas neturėtų kelti pavojaus fizinių asmenų teisėms ir laisvėms. Jeigu pavojus didelis – privalu kaip įmanoma greičiau informuoti ir asmenis, kurių teisėms bei laisvėms kyla pavojus.

Tam, kad sveikatos priežiūros įstaiga gebėtų identifikuoti, ištirti, suvaldyti duomenų saugumo pažeidimus bei apie juos tinkamai ir laiku informuoti, svarbu turėti pasirengtas aiškias procedūras bei apmokyti darbuotojus. Visi, nuo administracijos darbuotojų iki gydytojų, turėtų žinoti, kas yra duomenų saugumo pažeidimas, kad apie jį būtina nedelsiant informuoti duomenų apsaugos pareigūną ar kitą įstaigos atsakingą asmenį. Sveikatos priežiūros įstaigai nevykdant šių reikalavimų gresia BDAR numatytos baudos. BDAR numatyti baudų dydžiai gąsdinantys – už BDAR nuostatų nevykdymą, priklausomai nuo pažeidimo pobūdžio, gali būti paskirta iki 4 proc. ankstesnių finansinių metų bendros metinės pasaulinės apyvartos dydžio bauda arba 20 milijonų EUR, paskiriant didesniąją.

Kas vyksta Lietuvoje?

Kaip ir anksčiau, Valstybinė duomenų apsaugos inspekcija aktyviai įgyvendina savo, kaip priežiūros institucijos, funkcijas ir pareigas: savo iniciatyva pradeda tyrimus, nagrinėja asmenų skundus dėl netinkamo asmens duomenų tvarkymo ar jų teisių įgyvendinimo bei skiria baudas ir (ar) duoda nurodymus. Vis dėlto, pradėjus taikyti BDAR, susidomėjimas šia sritimi ypač išaugo. Atitinkamai ir Valstybinė duomenų apsaugos inspekcija savo veikloje yra atidesnė, ypač kai yra pagrįstų įtarimų, kad asmens duomenys tvarkomi nesilaikant teisės aktų reikalavimų.

Tad šiandien jau nebepakanka turėti tik formalias taisykles dėl įstaigoje vykdomo asmens duomenų tvarkymo. Svarbu atsakingai peržiūrėti savo įstaigoje vykdomus asmens duomenų tvarkymo procesus, įsivertinti rizikas, organizacines ir technines saugumo priemones, mokyti savo darbuotojus atsakingai tvarkyti asmens duomenis bei apskritai formuoti organizacinę kultūrą asmens duomenų tvarkymo srityje.

 

Kalbėjosi Ramutė Pečeliūnienė, „Lietuvos gydytojo žurnalas". Straipsnis - „Lietuvos gydytojo žurnalo" nuosavybė.