Todėl neretai duomenų apsaugos pareigūno bei kitų BDAR atitikties užtikrinimo paslaugų pirkimai vykdomi chaotiškai, nurodant per daug abstrakčius reikalavimus paslaugų teikėjams ar tiesiog prisitaikius kitų įstaigų pirkimo sąlygas ar technines jų specifikacijas, kurios nebūtinai tinka patį pirkimą vykdančiai įstaigai.
Tai gali lemti, kad įstaigoje tam tikri asmens duomenų tvarkymo aspektai lieka nesutvarkyti, dėl to kyla asmens duomenų tvarkymo bei saugumo pažeidimai, įstaigai skiriamos baudos ir kyla kitos teisinės neatitikties pasekmės.
Dažniausi pažeidimai ir baudos sveikatos priežiūros įstaigose užsienyje – dėl netinkamo prieigos valdymo
Atsižvelgiant į Europos priežiūros institucijų baudų skyrimo praktiką, dažniausias pažeidimas sveikatos priežiūros sektoriuje – nepakankamos asmens duomenų saugumo priemonės, ypač prieigos prie asmens duomenų valdymo srityje.
Pavyzdžiui, šių metų vasarą Norvegijos priežiūros institucija skyrė 112 000 Eur baudą vienai ligoninei už tai, kad ši saugojo pacientų duomenis, įskaitant jautrius asmens duomenis, tokius kaip hospitalizavimo priežastis, nekontroliuodama prieigos prie aplankų, kuriuose buvo saugomi šie duomenys. Todėl Norvegijos priežiūros institucija nusprendė, kad ligoninė nesiėmė pakankamų techninių ir organizacinių priemonių asmens duomenims apsaugoti, ir taip pažeidė BDAR 24, 25, 32 str. reikalavimus.
Kaip rodo Nyderlandų pavyzdys, sveikatos priežiūros įstaigos darbuotojų smalsumas gali atskleisti spragas įstaigos duomenų apsaugos sistemoje. Nyderlandų priežiūros institucija skyrė įstaigai 460 000 Eur baudą už tai, kad tyrimo metu nustatė, jog sveikatos priežiūros įstaiga neturi tinkamo pacientų įrašų apsaugos mechanizmo, kas pažeidžia BDAR 24, 25, 32 str. nuostatas. Tyrimo poreikis išryškėjo tada, kai buvo pastebėta, jog dešimtys ligoninės darbuotojų be reikalo patikrino Nyderlanduose žinomo asmens medicininius dokumentus.
Tuo tarpu Portugalijos duomenų apsaugos priežiūros institucija skyrė 400 000 Eur baudą vienai Portugalijos ligoninių už tai, kad ši nenustatė tinkamos prieigos prie asmens duomenų valdymo kontrolės ir taip neužtikrino tvarkomų asmens duomenų saugumo. Minėtoje ligoninėje kiekvienas ligoninės gydytojas, nepriklausomai nuo jo specializacijos, turėjo prieigą prie visų ligoninės pacientų duomenų. Buvo nustatyta, kad minėta ligoninė buvo sukūrusi 985 paskyras, nors iš tikrųjų turėjo tik 296 gydytojus.
Be kita ko, ligoninė neturėjo jokio vidaus dokumento, kuriame būtų dokumentuotos prieigos suteikimo, valdymo ir atšaukimo taisyklės (kas sudarė sąlygas naudoti net ir nebedirbančių gydytojų paskyras). Taip ligoninė pažeidė net keletą BDAR reikalavimų, t. y., neužtikrino duomenų kiekio mažinimo principo (BDAR 5 str. 1 d. c) punktas), nepritaikė tinkamų duomenų saugumo priemonių (BDAR 24, 25, 32 str.). Pritaikytoji duomenų apsauga šiandien yra įtvirtintas teisės aktais (BDAR 25 str.) reikalavimas.
Dar vienas netinkamos prieigos kontrolės pavyzdys – Jungtinės Karalystės duomenų apsaugos priežiūros institucijos nustatytas atvejis, kad viena farmacijos bendrovė Jungtinėje Karalystėje apie 500 000 dokumentų saugojo savo teritorijoje, nerakinamuose konteineriuose, ko pasėkoje kilusi liūtis padarė žalą šiems dokumentams.
Dokumentuose buvo nurodyti pacientų vardai, pavardės, adresai, gimimo datos, įskaitant ir sveikatos duomenis, asmenims išrašytus receptus. Jungtinės Karalystės priežiūros institucija farmacijos bendrovei skyrė 320 000 Eur dydžio bauda už tinkamų asmens duomenų apsaugos priemonių nepritaikymą (BDAR 24, 25, 32 str. pažeidimas).
Lietuvoje baudų sveikatos priežiūros įstaigoms už BDAR neatitiktį dar nepaskirta, tačiau tai dar nieko nereiškia. Covid-19 kontekste šių įstaigų darbas itin aktualus, taip pat ir jų tvarkomų asmens duomenų apsaugos klausimai. Valstybinė duomenų apsaugos inspekcija (VDAI) skiria dėmesį šių įstaigų veiklai, leisdama rekomendacijas. Gali būti, kad tik laiko klausimas kada VDAI įtrauks sveikatos priežiūros įstaigas į ateinančių metų prevencinių patikrinimų planą.
Dėmesys prieigos valdymui VDAI gairėse
Kaip matyti iš Europos priežiūros institucijų baudų skyrimo praktikos, dažniausiai priemonių prieigai valdyti minėtos įstaigos išvis nesiima arba imasi nepakankamų (nesivadovauja nacionalinių priežiūros institucijų rekomendacijomis). VDAI savo gairėse nekartą akcentavo, kad kiekvienam vaidmeniui, susijusiam su asmens duomenų tvarkymu, turi būti priskirtos konkrečios prieigos kontrolės teisės, vadovaujantis „būtina žinoti“ principu. Prieigos prie asmens duomenų valdymo politika turi būti išsami ir dokumentuota. Įstaiga šiame dokumente turi nustatyti:
– atitinkamas prieigos kontrolės taisykles,
– prieigos teises,
– prieigos apribojimus pagal konkrečias naudotojų pareigas, susijusias su duomenų tvarkymo procesai ir procedūromis,
– prieigos kontrolę užtikrinančių funkcijų atskyrimo (pvz., prieigos užklausų, prieigos leidimų, pačios prieigos administravimo) taisykles,
– pareigybes (funkcijas), turinčias dideles prieigos teises.
Kaip rodo Europos sveikatos priežiūros įstaigų patirtis, minėtos įstaigos skiria nepakankamą dėmesį prieigos valdymo taisyklių nustatymui ir dokumentavimui, kas atitinkamai lemia pažeidimus ir sankcijas įstaigai. Remiantis šia patirtimi, Lietuvos sveikatos priežiūros institucijoms verta atkreipti dėmesį į prieigos kontrolės valdymui taikomas priemones ir jų dokumentacijos aktualumą.
Duomenų valdytojo prevencinės priemonės – vienas svarbiausių kriterijų apskaičiuojant baudas
Netinkamas prieigos valdymas gali lemti asmens duomenų saugumo pažeidimo riziką. Vienas iš asmens duomenų saugumo pažeidimo tipų yra susijęs būtent su prieigos praradimu (konfidencialumo pažeidimas – kai yra be leidimo ar neteisėtai atskleidžiami asmens duomenys arba gaunama prieiga prie jų), todėl yra itin svarbu įstaigoje tinkamai sureguliuoti, kad būtų galima nustatyti, kada buvo „prarasti“ duomenys.
Asmens duomenų „praradimas“ turėtų būti suprantamas kaip situacija, kai duomenys galbūt tebėra, tačiau duomenų valdytojas jų nebevaldo, netenka prieigos prie jų arba nebegali jais disponuoti. Ir galiausiai dėl duomenų tvarkymo be leidimo arba neteisėto duomenų tvarkymo pažymėtina, kad tai reiškia asmens duomenų atskleidimą (arba prieigos prie duomenų suteikimą) duomenų gavėjams, kurie neturi leidimo gauti (arba prieiti prie) duomenų arba duomenų tvarkymą bet kokia kita forma, kuria pažeidžiamas BDAR 5 str. 1 d. f) punkte įtvirtintas vientisumo ir konfidencialumo principas.
Vadovaujantis BDAR 83 str. 2 d. baudos už pažeidimus yra skiriamos atsižvelgiant ir į duomenų valdytojo pagal BDAR 25 ir 32 straipsnius įgyvendintas technines ir organizacines duomenų saugumo priemones, kitaip tariant, atsižvelgiama, kokių prevencijos priemonių ėmėsi duomenų valdytojas, kad išvengtų duomenų saugumo bei kitų BDAR nuostatų pažeidimo.
Nepakankamo dėmesio BDAR paslaugų pirkimo planavimui nulemta problematika
Praktika rodo, kad Lietuvoje sveikatos priežiūros įstaigos konkursus dėl duomenų apsaugos pareigūno funkcijų vykdymo ar kitų BDAR atitikties paslaugų teikimo skelbia pakankamai nesusiplanavusios ir nepasirengusios jų vykdyti.
Neretai įstaigos organizuoja BDAR paslaugų pirkimus pačios neįvertinusios, kokius asmens duomenis ir kokia apimti tvarko, todėl vėliau susiduria su sunkumais tikrindamos, ar paslaugų teikėjas tinkamai suteikė paslaugas. Į vykdomų konkursų sąlygas, kaip pastebėta praktikoje, neįtraukiami prieigos valdymo klausimai. Todėl BDAR paslaugos, kurias siūlo paslaugų teikėjai, gali neapimti prieigos valdymo aspektų.
Konkurso sąlygose nenurodžius konkrečių reikalavimų, kuriuos turi atitikti perkamos paslaugos ir, išrinkus ekonomiškai naudingiausią pasiūlymą pagal kainą, rengiamuose BDAR dokumentuose gali likti nesureglamentuoti prieigos valdymo klausimai arba jiems skiriamas nepakankamas dėmesys. Nes tiekėjas, pasiūlęs mažiausią kainą, gali būti, minimaliai adaptuos savo turimus dokumentų šablonus ir nesigilins į sveikatos priežiūros įstaigos veiklos specifiką bei specifines šios veiklos rizikas.
Rekomendacijos efektyviam BDAR paslaugų pirkimų planavimui
Sveikatos priežiūros įstaigoms, kaip ir kitiems viešųjų pirkimų vykdytojams, rekomenduojama:
– Aktyviau naudotis rinkos konsultacijoms ir gauti rinkos dalyvių, teikiančių BDAR įgyvendinimo paslaugas, patarimus bei kitą informaciją, kuri padės geriau įvertinti potencialių tiekėjų galimybes dalyvauti pirkime, sužinoti realius paslaugų suteikimo aspektus, terminus ir panašiai.
– Verta pildyti ir įvairius atotrūkio BDAR reikalavimams nustatymo klausimynus, kad įstaiga labiau pažintų save, įsivertintų įstaigoje esantį atotrūkį ir efektyviau pasiruoštų jį valdyti. Vienas tokių klausimynų yra čia.
– Tam tikrais atvejais verta skaidyti BDAR reikalavimų realizavimo paslaugų pirkimą į dalis, kad tiekėjai galėtų pateikti pasiūlymą vienai, kelioms arba visoms pirkimo dalims. Skaidymas į dalis naudingas tuo, kad galima įsigyti siauroje BDAR atitikties ar IT saugos srityje besispecializuojančių tiekėjų paslaugas, gauti patikimesnį rezultatą.
– Svarbu, kad į BDAR atitikties užtikrinimo paslaugų paketą įeitų ir BDAR mokymai. Covid-19 kontekste suorganizuoti „gyvus“ mokymus gali būti tam tikras iššūkis, be to, reikalinga atitraukti darbuotojus nuo jų pagrindinio darbo. Tačiau tokiu atveju gali pasitarnauti nuotoliniai BDAR atitikties mokymai, kurių metu darbuotojai gali lanksčiai pasirinkti jiems tinkamą laiką ir vietą žinioms atnaujinti.
– Duomenų apsaugos pareigūno paslauga šiandien gali apimti ne tik funkcijas, kurias numato BDAR, bet ir padėti organizacijoms įgyvendinti pritaikytąją duomenų apsaugą. Pavyzdžiui, paslauga duomenų apsaugos pareigūnas Allaw, teikiamas kartu su elektronine erdve – BDAR atitikties portalu, leidžiančiu akimirksniu apžvelgti ir valdyti įstaigos asmens duomenų tvarkymo „sveikatos“ būklę.
