Duomenų apsaugos reglamento iššukiai medicinos sektoriui

Gagužės pabaigoje įsigaliojęs Bendrasis duomenų apsaugos reglamentas (toliau – Reglamentas) nustato aukštesnius standartus organizacijoms tvarkančioms asmens duomenis bei griežtina jų atsakomybę. Be abejo, tai turės didelį poveikį medicinos sektoriui, kadangi sveikatos priežiūros įstaigos (toliau – SPĮ) disponuoja dideliais kiekiais asmens duomenų.

Reglamentas skiria duomenų tvarkymo operacijas, kurias atlieka duomenų valdytojai ir duomenų tvarkytojai. Kuomet SPĮ tvarko duomenis teikiant sveikatos priežiūros paslaugas savo pacientams / klientams, SPĮ veikia kaip duomenų valdytojas. SPĮ turi žinoti, kokie duomenys įstaigoje tvarkomi t. y. inventorizuoti turimus duomenis. Tam, kad SPĮ galėtų tvarkyti fizinių asmenų duomenis, ji turi turėti teisinį pagrindą tiems duomenims tvarkyti. Reglamente skiriami šie šeši pagrindai:

1. sutikimo pagrindas

2. sutarties pagrindas

3. teisinės prievolės pagrindas

4. gyvybinių asmenų interesų pagrindas

5. viešojo intereso pagrindas

6. teisėto duomenų valdytojo intereso pagrindas

Toliau bus paminėtini reikšmingesni pagrindai medicinos sektoriui. Įstatymo pagrindas, kuris reiškia, kad duomenys tvarkomi siekiant įvykdyti teisinę prievolę numatytą įstatyme. Dalis teisės aktų, susijusių su duomenų tvarkymu, svarbūs visam medicinos sektoriui, tačiau nemaža dalis teisės normų liečia tik tam tikrus medicinos sektorius, pavyzdžiui, tik kraujo donorystei skirti teisės aktai. Dalis duomenų tvarkomi sutarčių pagrindu, pavyzdžiui, siekiant suteikti sveikatos priežiūros paslaugas privačiuose odontologijos kabinetuose. Reglamente įtvirtintas gyvybinių duomenų subjekto ar kito fizinio asmens interesų pagrindas reiškia, kad duomenų valdytojas gali remtis šiuo pagrindu , jeigu duomenys tvarkomi siekiant išgelbėti asmens gyvybę. Šis pagrindas gali būti taikomas esant kritinėje padėtyje.

Be teisinio pagrindo, svarbu žinoti, kokie yra duomenų tvarkymo terminai. Nemaža dalis terminų yra nurodyti poįstatyminiais teisės aktais, tačiau, jeigu teisės aktuose to nenurodoma, nereiškia, kad duomenis galima tvarkyti neribotą laiką. Tokiu atveju, duomenys tvarkomi tiek, kiek reikia tikslams, kuriems tie duomenys buvo surinkti, pasiekti. Vadinasi, įvykdžius sutartį ir nesant teisinės prievolės ar kito pagrindo tvarkyti duomenis, jie turi būti sunaikinti.

Visiems duomenų valdytojams tenka pareiga užtikrinti duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą. Tam reikalinga pasitvirtinti ir įgyvendinti tinkamas technines ir organizacines priemones duomenims apsaugoti. SPĮ turi pasirūpinti saugia programine įranga – legalia operacine sistema, duomenų saugojimo talpykla, antivirusine programa ir pan.  Taip pat,  įgyvendinti tinkamas priemones skirtas programinės įrangos priežiūrai. Duomenys turi būti saugūs ne tik nuo išorės grėsmių, tačiau taip pat or SPĮ viduje. Su duomenimis turi būti galima susipažinti tik tiems darbuotojams, kurie turi tokius įgaliojimus. Todėl svarbu nusistatyti ir tam tikras organizacines priemones. Darbuotojai turi būti apmokyti kaip saugiai tvarkyti duomenis, pavyzdžiui, kur juos saugoti, ar kaip perduoti kitiems asmenims taip, kad pacientai kiti SPĮ darbuotojai, kurie neturi teisės susipažinti su duomenų turiniu, negalėtų to padaryti. Informacija ir dokumentai apie duomenų subjektus neturėtų būti palikta nesaugoma ant stalų, kuomet su jais duotuoju momentu nedirbama, ligos istorijos neturėtų būti paliktos niekieno nesaugomose įstaigos patalpose, į kurias gali patekti pacientai, kompiuterio ekranai turi būti pastatyti taip ir tokiu kampu, kad pacientai nematytų jiems neskirtų duomenų, SPĮ darbuotojai neturėtų aptarinėti konkrečių pacientų duomenų laukiamajame kambaryje ir kita.

Nemaža dalis sveikatos sektoriaus įmonių bus įpareigota paskirti duomenų apsaugos pareigūną. Reglamentas numato, kad jeigu duomenų tvarkymas yra susijęs su įmonės pagrindine veikla, duomenys tvarkomi dideliu mastu ir  tvarkomi jautresni duomenys, įmonė privalo paskirti duomenų apsaugos pareigūną. Jautrių duomenų baigtinis sąrašas įtvirtintas Reglamente. Išskirtinos šios SPĮ aktualesnės jautrių duomenų kategorijos – sveikatos duomenys, duomenys apie lytinį gyvenimą ir lytinę orientaciją. Pareigūnas galėtų būti SPĮ darbuotojas, tačiau tik toks, kurio darbinės funkcijos nebus interesų konflikte su pareigūno funkcijomis, arba paslaugos teikėjas tiek fizinis, tiek juridinis asmuo. Toks pareigūnas būtų atsakingas už visus su asmens duomenų apsauga susijusius klausimus – darbuotojų konsultavimas, poveikio duomenų apsaugai vertinimas, kasdienių SPĮ operacijų stebėjimas ir rizikų, susijusių su duomenų apsauga identifikavimas, komunikacijos su institucijomis ir pacientais ar kitais žmonėmis.

David Gurvič | Teisininkas

Pylimo g. 41A, LT-01136, Vilnius, Lietuva

El. paštas: david.gurvic@linden.lt

Tel.: +37052121506 | www.linden.lt