• All Blogs
  • ALLaw atitikties naujienos
  • Valstybinė duomenų apsaugos inspekcija paskelbė rekomendacijas dėl asmens duomenų apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu

Versions Compared

Old Version 7

changes.mady.by.user CPO

Saved on

compared with

New Version 8

changes.mady.by.user Unknown User (m.zvinyte@juridicon.lt)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

  • 6 straipsnio 1 dalies a (gavus sutikimą)
  • 6 straipsnio 1 dalies b (siekiant įvykdyti sutartį)
  • 6 straipsnio 1 dalies c punktais (siekiant įvykdyti teisinę prievolę)
  • ir 9 straipsnio 2 dalies a (gavus sutikimą)
  • 9 straipsnio 2 dalies h (profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą)
  • 9 straipsnio 2 dalies punktas (dėl viešojo intereso priežasčių visuomenės sveikatos srityje)

Kokius aspektus duomenų apsaugos srityje reikia įvertinti teikiant sveikatos priežiūros paslaugas nuotoliniu būdu?

Nors duomenų tvarkymo teisėtumo sąlygos nesikeičia, remiantis VDAI rekomendacijomis sveikatos priežiūros paslaugas teikiančios įstaigos turėtų įvertinti kitus susijusius aspektus:

  • duomenų tvarkymo apimtį, t.y., kokie papildomi asmens duomenys būtų tvarkomi teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, pavyzdžiui, unikalūs kodai, prisijungimo vardai, vaizdo duomenys, kiti duomenys,
    ir įvertinti šių asmens duomenų tvarkymo būtinumą (proporcingumą);
  • duomenų tvarkymo priemonių saugumą, t.y., kokiomis priemonėmis būtų teikiamos sveikatos priežiūros paslaugos ir įvertinti šių priemonių saugumą (atsižvelgiant tiek į BDAR 25 straipsnio, tiek į BDAR 32 straipsnio
    reikalavimus), taip pat įvertinti, kaip turėtų būti identifikuojamas besikreipiantis asmuo, siekiant užtikrinti sveikatos priežiūros įstaigos tvarkomų asmens duomenų saugumą;
  • informacijos pateikimo būdą, t.y, kokiu būdu ir kokią pateikti informaciją pacientams ir sveikatos priežiūros specialistams apie naudojimąsi pasirinktomis priemonėmis (pavyzdžiui, ar būtina perduoti vaizdą, kaip vaizdo duomenų perdavimą išjungti (deaktyvuoti), apie pasikeitusį asmens duomenų tvarkymą (pavyzdžiui, papildomai tvarkomus asmens duomenis, jų tvarkymo būtinumą, terminą, galimus gavėjus) ir t. t.

Tapatybės nustatymo būdai teikiant sveikatos priežiūros paslaugas - kuris tinkamiausias?

Vadovaujantis VDAI rekomendacijomis geriausia pasirinkti kelis tapatybės identifikavimo būdus, priklausomai nuo konkretaus paciento ar sveikatos paslaugų pobūdžio. Kuo didesnės pasekmės pacientui gali kilti dėl jo netinkamo identifikavimo, tuo griežtesni tapatybės nustatymo būdai turi būti pasirenkami. Prieš pradedant naudoti vieną ar kitą tapatybės nustatymo būdą reikalinga atlikti poveikio duomenų apsaugai vertinimą (BDAR 35 straipsnį), nuo kurio rezultato priklauso, ar nuotolinių sveikatos priežiūros paslaugų teikimas tokiu būdu būtų suderinamas su BDAR.

Populiariausi tapatybės identifikavimo būdai ir VDAI įžvalgos:

UI Text Box
  • pagal asmens kodą - VDAI skeptiškai vertina tokį dentifavimo identifavimo būdą, remdasi Lietuvos vyriausiojo administracinio teismo praktika, kuri konstatuoja, kad kai iš asmens duomenų visumos galima vienareikšmiškai
    identifikuoti asmenį, tam naudoti asmens kodą nėra būtinybės. Kadangi asmens kodas, VDAI nuomone, nėra pakankamai patikimas būdas tapatybei nustatyti siūlytina tokio būdo nesirinkti.
  • pagal sveikatos priežiūros įstaigos suteiktą unikalų kodą -  kiekvienam asmeniui individualiai suteiktas kodas turėtų būti konfidencialus ir skirtas tik pačiam asmeniui. Sveikatos priežiūros įstaiga turėtų įvertinti, kokiomis organizacinėmis ir techninėmis saugumo priemonėmis užtikrinti šių kodų apsaugą, pavyzdžiui, kaip kodas bus sudaromas, kokiais būdais suteikiamas (tinkamai identifikavus asmenį), kaip dažnai bus atnaujinami.
  • pagal asmenį identifikuojančius klausimus -  VDAI ragina įstaigas naudotis būtent šiuo būdu. Rekomenduojama klausimus pasirinkti atsižvelgiant į sveikatos priežiūros įstaigos teikiamas paslaugas, pacientų savybes (amžių, poreikius, kt.), nuotolinio sveikatos paslaugų teikimo metu tvarkomų asmens duomenų apimtį, jautrumą ir kt. VDAI atkreipia dėmesį, kad tais atvejais jei naudojant šį tapatybės nustatymo būdą, asmuo turėtų nurodyti tik savo vardą, pavardę ir asmens kodą, tai nebūtų laikoma pakankamu asmens identifikavimu.
  • pagal telefono ryšio numerį - tai neturėtų būti vienintelis būdas (o naudojama, pvz., su asmenį identifikuojančiais klausimais) ir turėtų būti įsitikinama jo patikimumu.
  • pagal vienkartinį prisijungimo kodą (nuorodą) - tais atvejais, kai sveikatos priežiūros paslaugą siekiama teikti naudojantis mobiliosiomis programomis, programine įranga ar kitokiais įrankiais, įskaitant ir turinčiais vaizdo
    duomenų, dokumentų perdavimo, susirašinėjimo funkcionalumus.
  • mobiliuoju parašu - gana ribotas panaudojimas, nes ne visi asmenys tokį turi.

Ar teikiant sveikatos priežiūros paslaugas telefonu, pokalbis gali būti įrašomas?

VDAI pabrėžia, kad vien ta aplinkybė, kad paslaugos teikiamos telefonu, savaime nereiškia, kad toks pokalbis turėtų būti įrašomas. Pastebėtina, kad sveikatos priežiūros paslaugų teikimo metu vertinami jautrūs paciento
asmens duomenys, susiję su jo sveikata, todėl jų įrašymas ir tolimesnis tvarkymas (pavyzdžiui, saugojimas) gali kelti nepagrįstą riziką paciento, kaip duomenų subjekto, teisėms ir laisvėms. Aptariamu atveju pokalbių įrašymas, net ir asmeniui sutikus, paprastai būtų laikomas nesuderinamu su BDAR įtvirtintu duomenų kiekio mažinimo principu.

...