Page History
UI Text Box | ||
---|---|---|
| ||
Valstybinė duomenų apsaugos inspekcija (VDAI), reaguodama į dėl Covid-19 susiklosčiusią situaciją ir pasikeitusį sveikatos priežiūros įstaigų paslaugų teikimo būdą paskelbė rekomendacijas dėl asmens duomenų tvarkymo ir apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu (toliau - rekomendacija, (-os)). Manytina, kad šios VDAI rekomendacijos gali būti aktualios net tik sveikatos priežiūros įstaigoms, bet ir kitoms paslaugų sektoriaus įmonėms, susiduriančioms su būtinybe nustatyti asmenų tapatybę nuotoliniu būdu bei teikiančioms paslaugas telefonu. |
Duomenų tvarkymo pagrindas teikiant sveikatos priežiūros paslaugas nuotoliniu būdu - nesikeičia
sveikatos priežiūros specialisto konsultaciją (apžiūrą) atvykus fiziškai.
- 6 straipsnio 1 dalies a (gavus sutikimą)
- 6 straipsnio 1 dalies b (siekiant įvykdyti sutartį)
- 6 straipsnio 1 dalies c punktais (siekiant įvykdyti teisinę prievolę)
- ir 9 straipsnio 2 dalies a (gavus sutikimą)
- 9 straipsnio 2 dalies h (profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą)
- 9 straipsnio 2 dalies punktas (dėl viešojo intereso priežasčių visuomenės sveikatos srityje)
Kokius aspektus duomenų apsaugos srityje reikia įvertinti teikiant sveikatos priežiūros paslaugas nuotoliniu būdu?
Nors duomenų tvarkymo teisėtumo sąlygos nesikeičia, remiantis VDAI rekomendacijomis sveikatos priežiūros paslaugas teikiančios įstaigos turėtų įvertinti kitus susijusius aspektus:
- duomenų tvarkymo apimtį, t.y., kokie papildomi asmens duomenys būtų tvarkomi teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, pavyzdžiui, unikalūs kodai, prisijungimo vardai, vaizdo duomenys, kiti duomenys,
ir įvertinti šių asmens duomenų tvarkymo būtinumą (proporcingumą); - duomenų tvarkymo priemonių saugumą, t.y., kokiomis priemonėmis būtų teikiamos sveikatos priežiūros paslaugos ir įvertinti šių priemonių saugumą (atsižvelgiant tiek į BDAR 25 straipsnio, tiek į BDAR 32 straipsnio
reikalavimus), taip pat įvertinti, kaip turėtų būti identifikuojamas besikreipiantis asmuo, siekiant užtikrinti sveikatos priežiūros įstaigos tvarkomų asmens duomenų saugumą; - informacijos pateikimo būdą, t.y, kokiu būdu ir kokią pateikti informaciją pacientams ir sveikatos priežiūros specialistams apie naudojimąsi pasirinktomis priemonėmis (pavyzdžiui, ar būtina perduoti vaizdą, kaip vaizdo duomenų perdavimą išjungti (deaktyvuoti), apie pasikeitusį asmens duomenų tvarkymą (pavyzdžiui, papildomai tvarkomus asmens duomenis, jų tvarkymo būtinumą, terminą, galimus gavėjus) ir t. t.
Tapatybės nustatymo būdai teikiant sveikatos priežiūros paslaugas - kuris tinkamiausias?
Vadovaujantis VDAI rekomendacijomis geriausia pasirinkti kelis tapatybės identifikavimo būdus, priklausomai nuo konkretaus paciento ar sveikatos paslaugų pobūdžio. Kuo didesnės pasekmės pacientui gali kilti dėl jo netinkamo identifikavimo, tuo griežtesni tapatybės nustatymo būdai turi būti pasirenkami. Prieš pradedant naudoti vieną ar kitą tapatybės nustatymo būdą reikalinga atlikti poveikio duomenų apsaugai vertinimą (BDAR 35 straipsnį), nuo kurio rezultato priklauso, ar nuotolinių sveikatos priežiūros paslaugų teikimas tokiu būdu būtų suderinamas su BDAR.
Populiariausi tapatybės identifikavimo būdai ir VDAI įžvalgos:
UI Text Box |
---|
|
Ar teikiant sveikatos priežiūros paslaugas telefonu, pokalbis gali būti įrašomas?
VDAI pabrėžia, kad vien ta aplinkybė, kad paslaugos teikiamos telefonu, savaime nereiškia, kad toks pokalbis turėtų būti įrašomas. Pastebėtina, kad sveikatos priežiūros paslaugų teikimo metu vertinami jautrūs paciento
asmens duomenys, susiję su jo sveikata, todėl jų įrašymas ir tolimesnis tvarkymas (pavyzdžiui, saugojimas) gali kelti nepagrįstą riziką paciento, kaip duomenų subjekto, teisėms ir laisvėms. Aptariamu atveju pokalbių įrašymas, net ir asmeniui sutikus, paprastai būtų laikomas nesuderinamu su BDAR įtvirtintu duomenų kiekio mažinimo principu.
Sveikatos priežiūros paslaugų teikimo nuotoliniu būdu tvarkos nustatymas ir dokumentavimas
Reikalinga įvertinti poreikį atikti poveikio duomenų apsaugai vertinimą dėl sveikatos priežiūros paslaugų teikimo nuotoliniu būdu. Jeigu atlikus poveikio duomenų apsaugai vertinimą būtų nustatyta, kad tvarkant asmens duomenis kiltų didelis pavojus, jei sveikatos priežiūros įstaiga nesiimtų priemonių pavojui sumažinti, ji turi kreiptis į VDAI išankstinių konsultacijų (BDAR 36 str.).
Sveikatos priežiūros įstaiga turėtų dokumentuoti nuotolinio sveikatos priežiūros paslaugų teikimo tvarką, aptariant:
- Sveikatos priežiūros darbuotojų pareigas;
- Nuotolinio sveikatos priežiūros paslaugų teikimo priemones ir naudojimosi jomis tvarką;
- Pacientų registravimo sveikatos priežiūros paslaugų teikimui nuotoliniu būdu tvarką ir
atsakingus asmenis; - Pacientų ar jų teisėtų atstovų tapatybės nustatymo būdus ir tvarką
- Nuotolinio sveikatos priežiūros paslaugų teikimo metu surinktos informacijos fiksavimo apimtį ir tvarką;
- Sveikatos priežiūros specialisto papildomų veiksmų (registravimo pas kitą specialistą, vaistinių preparatų ar kitų medicinos priemonių skyrimo, tolimesnės paciento stebėsenos vykdymo)
tvarką; - Pacientų ir duomenų subjektų teises;
- Ir kitus aktualius aspektus.
Asmens duomenų tvarkymo dokumentacijos atnaujinimas dėl sveikatos priežiūros įstaigų darbo organizavimo pokyčių
VDAI atkreipia dėmesį, kad jeigu dėl sveikatos priežiūros paslaugų teikimo nuotoliniu būdu pasikeičia tvarkomų asmens duomenų apimtis, naudojamos priemonės (įskaitant saugumo priemones), atsakingi asmenys ir pan., todėl taip pat būtų reikalinga atnaujinti sveikatos priežiūros įstaigos susijusius vidinius dokumentus, tokius kaip asmens duomenų tvarkymo taisyklės, privatumo pranešimai, duomenų tvarkymo veiklos įrašai ir pan.
Į ką atkreipti dėmesį jeigu sveikatos priežiūros paslaugoms teikti naudojami susirašinėjimo, vaizdo perdavimo įrankiai ar kita programinė įranga?
Organizuojant sveikatos priežiūros įstaigų darbą nuotoliniu būdu ir renkantis tam priemones VDAI rekomenduoja atkreipti dėmesį į:
- įrankio ar programinės įrangos naudojimo taisykles (angl. terms & conditions), privatumo politiką (angl. privacy policy) ir kitus dokumentus (nurodančius naudojamas saugumo priemones, pavyzdžiui, duomenų šifravimą, įdiegtus saugumo sertifikatus ir jų atnaujinimo datą),
- galimybę įgyvendinti duomenų subjektų teises,
- duomenų tvarkytojų pasitelkimo galimybę,
- ar pasirinkta priemonė renka slapukus ir jei taip kokius,
- ar pasirinktos priemonės sudaro sąlygas dalintis dokumentais su sveikatos duomenimis.
VDAI pabrėžia, kad sveikatos priežiūros specialistai neturėtų naudoti asmeninių mobiliųjų įrenginių (telefonų, kompiuterių, planšetinių kompiuterių) jungiantis prie programinės įrangos, įrankių ar bendravimo platformų, taip pat naudoti šiose platformose sukurtų asmeninių paskyrų.
Document Properties Marker | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Nuorodos
Outgoing Links |
---|