• All Blogs
  • ALLaw atitikties naujienos
  • Valstybinė duomenų apsaugos inspekcija paskelbė rekomendacijas dėl asmens duomenų apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu

Versions Compared

Old Version 7

changes.mady.by.user CPO

Saved on

compared with

New Version Current

changes.mady.by.user CPO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

UI Text Box
sizemedium

Valstybinė duomenų apsaugos inspekcija (VDAI), reaguodama į dėl Covid-19 susiklosčiusią situaciją ir pasikeitusį sveikatos priežiūros įstaigų paslaugų teikimo būdą paskelbė rekomendacijas dėl asmens duomenų tvarkymo ir apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu (toliau - rekomendacija, (-os)). Manytina, kad šios VDAI rekomendacijos gali būti aktualios net ne tik sveikatos priežiūros įstaigoms, bet ir kitoms paslaugų sektoriaus įmonėms, susiduriančioms su būtinybe nustatyti asmenų tapatybę nuotoliniu būdu bei teikiančioms paslaugas telefonu.


Duomenų tvarkymo pagrindas teikiant sveikatos priežiūros paslaugas nuotoliniu būdu

-

nesikeičia

Kaip savo rekomendacijoje pažymi VDAI, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, asmens duomenų teisėto tvarkymo sąlygos yra tokios pačios, kaip teikiant šias paslaugas įprastu būdu, t. y. pacientui į
sveikatos į sveikatos priežiūros specialisto konsultaciją (apžiūrą) atvykus fiziškai.

...

  • 6 straipsnio 1 dalies a (gavus sutikimą)
  • 6 straipsnio 1 dalies b (siekiant įvykdyti sutartį)
  • 6 straipsnio 1 dalies c punktais (siekiant įvykdyti teisinę prievolę)
  • ir 9 straipsnio 2 dalies a (gavus sutikimą)
  • 9 straipsnio 2 dalies h (profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą)
  • 9 straipsnio 2 dalies punktas (dėl viešojo intereso priežasčių visuomenės sveikatos srityje)

Kokius aspektus duomenų apsaugos srityje reikia įvertinti teikiant sveikatos priežiūros paslaugas nuotoliniu būdu?

Nors duomenų tvarkymo teisėtumo sąlygos nesikeičia, remiantis VDAI rekomendacijomis sveikatos priežiūros paslaugas teikiančios įstaigos turėtų įvertinti kitus susijusius aspektus:

  • duomenų tvarkymo apimtį, t.y., kokie papildomi asmens duomenys būtų tvarkomi teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, pavyzdžiui, unikalūs kodai, prisijungimo vardai, vaizdo duomenys, kiti duomenys,
    ir įvertinti šių asmens duomenų tvarkymo būtinumą (proporcingumą);
  • duomenų tvarkymo priemonių saugumą, t.y., kokiomis priemonėmis būtų teikiamos sveikatos priežiūros paslaugos ir įvertinti šių priemonių saugumą (atsižvelgiant tiek į BDAR 25 straipsnio, tiek į BDAR 32 straipsnio
    reikalavimus), taip pat įvertinti, kaip turėtų būti identifikuojamas besikreipiantis asmuo, siekiant užtikrinti sveikatos priežiūros įstaigos tvarkomų asmens duomenų saugumą;
  • informacijos pateikimo būdą, t.y, kokiu būdu ir kokią pateikti informaciją pacientams ir sveikatos priežiūros specialistams apie naudojimąsi pasirinktomis priemonėmis (pavyzdžiui, ar būtina perduoti vaizdą, kaip vaizdo duomenų perdavimą išjungti (deaktyvuoti), apie pasikeitusį asmens duomenų tvarkymą (pavyzdžiui, papildomai tvarkomus asmens duomenis, jų tvarkymo būtinumą, terminą, galimus gavėjus) ir t. t.

Tapatybės nustatymo būdai teikiant sveikatos priežiūros paslaugas - kuris tinkamiausias?

Vadovaujantis VDAI rekomendacijomis geriausia pasirinkti kelis tapatybės identifikavimo būdus, priklausomai nuo konkretaus paciento ar sveikatos paslaugų pobūdžio. Kuo didesnės pasekmės pacientui gali kilti dėl jo netinkamo identifikavimo, tuo griežtesni tapatybės nustatymo būdai turi būti pasirenkami. Prieš pradedant naudoti vieną ar kitą tapatybės nustatymo būdą reikalinga atlikti poveikio duomenų apsaugai vertinimą (BDAR 35 straipsnį), nuo kurio rezultato priklauso, ar nuotolinių sveikatos priežiūros paslaugų teikimas tokiu būdu būtų suderinamas su BDAR.

Populiariausi tapatybės identifikavimo būdai ir VDAI įžvalgos:

UI Text Box
  • pagal asmens kodą - VDAI skeptiškai vertina tokį dentifavimo identifavimo būdą, remdasi Lietuvos vyriausiojo administracinio teismo praktika, kuri konstatuoja, kad kai iš asmens duomenų visumos galima vienareikšmiškai
    identifikuoti asmenį, tam naudoti asmens kodą nėra būtinybės. Kadangi asmens kodas, VDAI nuomone, nėra pakankamai patikimas būdas tapatybei nustatyti siūlytina tokio būdo nesirinkti.
  • pagal sveikatos priežiūros įstaigos suteiktą unikalų kodą -  kiekvienam asmeniui individualiai suteiktas kodas turėtų būti konfidencialus ir skirtas tik pačiam asmeniui. Sveikatos priežiūros įstaiga turėtų įvertinti, kokiomis organizacinėmis ir techninėmis saugumo priemonėmis užtikrinti šių kodų apsaugą, pavyzdžiui, kaip kodas bus sudaromas, kokiais būdais suteikiamas (tinkamai identifikavus asmenį), kaip dažnai bus atnaujinami.
  • pagal asmenį identifikuojančius klausimus -  VDAI ragina įstaigas naudotis būtent šiuo būdu. Rekomenduojama klausimus pasirinkti atsižvelgiant į sveikatos priežiūros įstaigos teikiamas paslaugas, pacientų savybes (amžių, poreikius, kt.), nuotolinio sveikatos paslaugų teikimo metu tvarkomų asmens duomenų apimtį, jautrumą ir kt. VDAI atkreipia dėmesį, kad tais atvejais jei naudojant šį tapatybės nustatymo būdą, asmuo turėtų nurodyti tik savo vardą, pavardę ir asmens kodą, tai nebūtų laikoma pakankamu asmens identifikavimu.
  • pagal telefono ryšio numerį - tai neturėtų būti vienintelis būdas (o naudojama, pvz., su asmenį identifikuojančiais klausimais) ir turėtų būti įsitikinama jo patikimumu.
  • pagal vienkartinį prisijungimo kodą (nuorodą) - tais atvejais, kai sveikatos priežiūros paslaugą siekiama teikti naudojantis mobiliosiomis programomis, programine įranga ar kitokiais įrankiais, įskaitant ir turinčiais vaizdo
    duomenų, dokumentų perdavimo, susirašinėjimo funkcionalumus.
  • mobiliuoju parašu - gana ribotas panaudojimas, nes ne visi asmenys tokį turi.

Ar teikiant sveikatos priežiūros paslaugas telefonu, pokalbis gali būti įrašomas?

VDAI pabrėžia, kad vien ta aplinkybė, kad paslaugos teikiamos telefonu, savaime nereiškia, kad toks pokalbis turėtų būti įrašomas. Pastebėtina, kad sveikatos priežiūros paslaugų teikimo metu vertinami jautrūs paciento
asmens duomenys, susiję su jo sveikata, todėl jų įrašymas ir tolimesnis tvarkymas (pavyzdžiui, saugojimas) gali kelti nepagrįstą riziką paciento, kaip duomenų subjekto, teisėms ir laisvėms. Aptariamu atveju pokalbių įrašymas, net ir asmeniui sutikus, paprastai būtų laikomas nesuderinamu su BDAR įtvirtintu duomenų kiekio mažinimo principu.

...

Document Properties Marker
overridefalse


Short DescriptionKlientų teisinis konsultavimashide
Doctypeit-processhide
NameKonsultavimashide
Short Namehide
Parent
Parent Property
property-nameName
hide
Audience
Name List
doctyperole
render-no-hits-as-blanktrue
property-restrict-value-rangetrue
propertyAudience
empty-as-nonetrue
hide
Sritis
Name List
doctypesubject
propertySubject
hide
Categories
Name List
doctypecategory
property-restrict-value-rangetrue
propertyCategories
hide
Tags
Tag List
propertyTags
hide
Flagshide
Iteration
Iteration
valuefacade
hide
Susijusios paslaugosAllaw® duomenų apsaugos pareigūnashide
Type
Name List
doctypeit-process-type
render-no-hits-as-blanktrue
property-restrict-value-rangetrue
propertyType
hide
Lifecycle Phase
Name List
doctypelifecycle-phase
render-no-hits-as-blanktrue
property-restrict-value-rangetrue
propertyprojectdoc.doctype.it-process.lifecycle-phase
hide
Participants
Name List
doctyperole
render-no-hits-as-blanktrue
property-restrict-value-rangetrue
propertyParticipants
hide
Triggered by
Name List
doctypetrigger
render-no-hits-as-blanktrue
propertyTriggered by
hide
Susijusi informacija

hide
Pateikti užklausą

Duomenų apsaugos teisinio reguliavimo stebėjimo įrankis

Atotrūkio vertinimo BDAR reikalavimams priemonėDuomenų apsaugos inspektorius

hide
Outcome List
Name List
doctypeoutcome
render-no-hits-as-blanktrue
propertyOutcome List
hide
Impact List
Name List
doctypeimpact
render-no-hits-as-blanktrue
propertyImpact List
hide
Sort Keyhide


...