Pagal BDAR ypatingos kategorijos duomenimis yra ne tik duomenys apie žmogaus sveikatą, seksualinę orientaciją, bet ir asmens politinės pažiūros, teistumas, religija, etinė kilmė ir kiti, o šie duomenys, nors ir iki šiol turėjo būti saugomi, dabar turės būti saugomi skiriant dar daugiau dėmesio.

Rinkti, saugoti ir administruoti duomenis, susijusius tiek su žmonių sveikata, tiek bendresnius, apie asmenų gyvenimo būdą, įpročius ir t. t. sveikatos sektoriuje specializuojantiems verslo atstovams yra būtina tam, kad jie galėtų gerinti paslaugų rezultatus, siūlyti personalizuotos skaitmeninės medicinos paslaugas, kurti naujus vaistus, juos tobulinti remiantis jau turimais įrodymais apie poveikį. Gegužę įsigaliojantis BDAR kelia dar didesnius reikalavimus tokio duomenų valdymo ir tvarkymo skaidrumui bei duomenų apsaugai, ir tai neišvengiamai lemia naujus pokyčius.

Kita vertus, farmacijos industrijai ir iki šio reglamento įsigaliojimo buvo taikomi labai aukšti reikalavimai, nes įmonės, pavyzdžiui, dirbančios su klinikiniais tyrimais, turėjo atskirų, gerokai aukštesnių standartų asmens duomenų apsaugos reikalavimų. Bet ir ne klinikinių tyrimų srityje veikiančios sveikatos sektoriaus įmonės, besirūpinančios savo reputacija, rūpinosi duomenų saugumu ir duomenų subjektų teisių tinkamu įgyvendinimu.

Tačiau, akivaizdu, kiekvienoje valstybėje visa tai daryta atsižvelgiant į nacionalinę teisę, nes iki šiol vieningo, vienodai taikomo reguliavimo nebuvo.

Ką būtina žinoti verslui?

Pirma, BDAR šią tvarką Europos Sąjungos valstybėse suvienodina ir suteikia daugiau aiškumo tiek verslui, kokius veiksmus reikia atlikti, tiek vartotojams, kurie žinos, kokios apsaugos gali tikėtis. Reglamentas, priešingai nei direktyvos, šalims narėms neleis palikti vietos interpretacijai, o pacientai žinos apie vienodas teises tiek būdami Lietuvoje, tiek ir, pavyzdžiui, Italijoje.

Antra, BDAR nustato labai aukštus apsaugos nuo duomenų nutekinimo standartus, būtinybę išsamiai informuoti žmones apie jų teises duomenų apsaugos srityje, privalomus gauti sutikimus, kartu yra įpareigojama nerinkti nebūtinos informacijos, nesaugoti tikrovės nebeatitinkančių duomenų. Pavyzdžiui, jei pacientui anksčiau yra parduota įranga, reikia pasitikrinti, ar įmonei to paciento duomenys vis dar yra reikalingi, jei nebe – būtina naikinti ir kliento duomenis. Kiekviena įmonė, norėdama užtikrinti šių reikalavimų įgyvendinimą, turėtų būti numačiusi, kaip tai atliks.

Kita vertus, įmonėms yra ir gera žinia – joms nebereikia registruotis kaip duomenis valdantiems ar tvarkantiems subjektams Valstybinėje duomenų apsaugos inspekcijoje. Šią pareigą keičia įpareigojimas laikytis BDAR.

Trečia, akivaizdu, kad nesilaikantiems BDAR baudos išauga iš esmės: jei dabar, priklausomai nuo valstybės, baudos už netinkamą duomenų saugojimą galėjo siekti kelis šimtus eurų, dabar jos jau gali siekti 4 proc. įmonės apyvartos pasauliniu mastu arba 20 mln. eurų, priklausomai nuo to, kuri suma yra didesnė. Visgi, farmacijos verslui reputacijos klausimas buvo ypatingai svarbus ir iki šiol, nes nuo to priklausydavo, ar žmonės, pavyzdžiui, sutinka dalyvauti konkrečios įmonės klinikiniuose tyrimuose ir t. t.

Ketvirta, jeigu anksčiau verslui jau buvo žinoma, kad žmogus turi teisę kreiptis į įmonę ir pasakyti, kad nebenori leisti naudoti jo duomenų, iš tiesų nebuvo skiriama dėmesio tokios teisės įgyvendinimo procesui (pvz., per kiek laiko reikia atsakyti į tokį prašymą, kada įgyvendinti šią teisę), taip pat mažai žinoma apie kitas teises. Naujasis reglamentas duomenų subjektų teisėms ir ypač jų tinkamam įgyvendinimui skiria labai daug dėmesio, taip pat privalomai turi būti įgyvendinta teisė, leidžianti būti pamirštam (angl. the right to be forgotten).

Pasauliniu mastu dirbančios įmonės apie tai jau yra pagalvojusios ir įsteigusios specialių departamentų, skyrių ar komandų, dirbančių BDAR tema. Verta ir kitoms įmonėms, dirbančioms su sveikatos duomenimis, pasirūpinti specialiai su šia sritimi dirbančiu personalu.

Penkta, įsigaliojus BDAR, įmonės turi būti padariusios „namų darbus”: patalpinti būtiną žinoti informaciją įmonės tinklalapyje, išsiųsti užklausas duomenų subjektams, parengti veiksmų planus, kaip elgsis gavus arba negavus žmonių sutikimų duomenims saugoti ir administruoti.

Kaip elgėsi didžiosios įmonės

Pasauliniu mastu dirbančios bendrovės jau ir anksčiau buvo sukūrusios metodikas, kaip informuodavo žmones apie jų duomenų panaudojimą, prašydavo sutikimų, o gautus duomenis ypatingai saugodavo (pavyzdžiui, nuasmenindavo klinikinių tyrimų metu).

Nors turėta nemažai patirties, pirmieji didžiųjų farmacijos įmonių žingsniai ruošiantis BDAR įsigaliojimui buvo auditai: kiek ir kokių duomenų įmonė yra surinkusi, ar gauti sutikimai atitinka naujausius keliamus reikalavimus.

Kitas žingsnis atlikus auditą: parengti veiksmų planą, kaip bus elgiamasi su duomenimis, kuriems gauti reikalingi sutikimai, ir su duomenimis, kuriems gauti sutikimai – nepakankami.

Šis veiksmų planas apėmė dvi veiksmų kryptis. Pirma, kaip įmonė saugos su tinkamais sutikimais gautus duomenis, kokiais tikslais, kaip juos atnaujins ir naikins. Antra, kaip bus elgiamasi su duomenimis, kuriems turi būti gauti labiau detalizuoti sutikimai, o jei jų nėra – per kiek laiko jie jus pašalinti.

Būtinas dėmesys saugumui

Svarbu atminti, kad sveikatos duomenys yra labai jautri informacija, kuri domina ne tik verslą, bet ir piktavalius, nes šie duomenys gali būti naudojami ir nusikalstamais tikslais, pavyzdžiui, kaip šantažo priemonė. Tikėtina, kad ir duomenų vagystės iš sveikatos sektoriuje dirbančių įmonių įsigaliojus BDAR bus vertinamos gerokai griežčiau.

Kaip rodo vieną griežčiausių duomenų apsaugos sistemų turinčios valstybės – Danijos – pavyzdys, kuris šiek tiek primena ir Lietuvoje įvykusį pacientų duomenų vagystės atvejį, sveikatos paslaugų teikėjai gali sulaukti baudų net jei duomenys nuteka dėl kitų žmonių tyčinių veiksmų. Danijoje veikianti įmonė buvo nubausta didžiule bauda už tai, kad iš darbo išėjęs darbuotojas, norėdamas pakenkti, atskleidė asmeninius įmonės turėtų klientų duomenis neviešoje, kodu apsaugotoje duomenų bazėje. Bauda skirta dėl to, kad įmonė neįdėjo visų įmanomų apsaugos priemonių, įskaitant ir tokios, kad iš darbo išeinantys darbuotojai neturėtų galimybių nutekinti informaciją.

Apibendrinant, kiekvienai įmonei svarbu atminti, kad įsigaliojus BDAR žmonių duomenų apsauga bus svarbiausiu tikslu, tad visos kylančios abejonės, ar tinkamai pasiruošta duomenų saugumui, bus vertinamos žmogaus, kurio duomenys patikėti bendrovei, naudai.