Kokių priemonių buvo imtasi pacientų duomenų saugumo incidentui nustatyti ir suvaldyti?

Pacientų duomenų dingimus iš duomenų bazės Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių, kuriose turi būti nurodyti net tik paciento kontaktiniai duomenys: adresas, telefonas, bet ir ligos istorija. Buvo įtarta, kad prie šių duomenų prieigą galimai turi tretieji asmenys. Atlikus auditą buvo gautos išvados, kad asmens duomenys iš Greitosios medicinos pagalbos stoties serverio perkelti į kitą serverį ir prie jų galimai prieigą gavo ir tretieji asmenys. Gavęs audito išvadas Vilniaus greitosios medicinos pagalbos stoties vadovas kreipėsi į VDAI patarimo ir gavo konsultaciją, kad pagal VDAI gautą informaciją galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas. Tačiau, kiek galima spręsti iš viešai skelbiamos informacijos, pranešimo dėl galimo pažeidimo Vilniaus greitosios medicinos pagalbos stotis, kaip duomenų valdytojas, VDAI neteikė. Vienas motyvų - paskelbtas karantinas, tačiau karantinas neatleidžia duomenų valdytojų nuo jų pareigų pagal BDAR vykdymo, juolab, kad pranešimas gali būti pateiktas elektroninių ryšių priemo

Pareiga pranešti apie duomenų saugumo pažeidimus - VDAI ir duomenų subjektams

Dabar VDAI domėsis ar po gautos VDAI konsultacijos buvo imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Vadovaujantis BDAR 4 str. 12 p. asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Įvertinus, kad įvyko asmens duomenų saugumo pažeidimas duomenų valdytojas privalo ne vėliau kaip per 72 val. nuo pažeidimo paaiškėjimo momento pranešti VDAI, pranešimui naudojant VDAI patvirtintą formą. Savo rekomendacijose VDAI akcentuoja, kad jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie duomenų saugumo pažeidimą VDAI, rekomenduotina pranešti.

Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas (rekomenduojama ne vėliau kaip per 72 val.) nuo pažeidimo paaiškėjimo momento, pranešti apie duomenų saugumo pažeidimą duomenų subjektams. Tais atvejais, kai toks pranešimas pareikalautų neproporcingai daug pastangų susiekti su asmenimis (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba pirma nežinomi). Tokiu atveju vietoj to apie asmnes duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.

Pareiga dokumentuoti asmens duomenų saugumo pažeidimus - ką ir kaip reikia aprašyti?

Kaip teigiama, minėtoje situacijoje VDAI sieks išsiaškinti ar Vilniaus greitosios pagalbos medicinos stotis dokumentavo šį atvejį kaip asmens duomenų saugumo pažeidimą. Vadovaujantis BDAR 33 str. 5 d. duomenų valdytojas turi dokumentuoti visus duomenų saugumo pažeidimus, nurodant su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi šiais dokumentais VDAI turi galėti patikrinti, ar laikomasi šio reikalavimo. Pati VDAI savo rekomendacijose yra akcentavusi, kad visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų žurnale, kuris turi būti tvarkomas raštu, įskaitant elektronine forma, jame nurodant:

...

Nuorodos

...