• All Blogs
  • ALLaw atitikties naujienos
  • Valstybinė duomenų apsaugos inspekcija paskelbė rekomendacijas dėl asmens duomenų apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu

Valstybinė duomenų apsaugos inspekcija (VDAI), reaguodama į dėl Covid-19 susiklosčiusią situaciją ir pasikeitusį sveikatos priežiūros įstaigų paslaugų teikimo būdą paskelbė rekomendacijas dėl asmens duomenų tvarkymo ir apsaugos aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu (toliau - rekomendacija, (-os)). Manytina, kad šios VDAI rekomendacijos gali būti aktualios ne tik sveikatos priežiūros įstaigoms, bet ir kitoms paslaugų sektoriaus įmonėms, susiduriančioms su būtinybe nustatyti asmenų tapatybę nuotoliniu būdu bei teikiančioms paslaugas telefonu.


Duomenų tvarkymo pagrindas teikiant sveikatos priežiūros paslaugas nuotoliniu būdu nesikeičia


Kaip savo rekomendacijoje pažymi VDAI, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, asmens duomenų teisėto tvarkymo sąlygos yra tokios pačios, kaip teikiant šias paslaugas įprastu būdu, t. y. pacientui į sveikatos priežiūros specialisto konsultaciją (apžiūrą) atvykus fiziškai.

Paprastai sveikatos priežiūros įstaigų atliekamas duomenų tvarkymas remiantis Bendrojo duomenų apsaugos reglamento (toliau – BDAR):

  • 6 straipsnio 1 dalies a (gavus sutikimą)
  • 6 straipsnio 1 dalies b (siekiant įvykdyti sutartį)
  • 6 straipsnio 1 dalies c punktais (siekiant įvykdyti teisinę prievolę)
  • ir 9 straipsnio 2 dalies a (gavus sutikimą)
  • 9 straipsnio 2 dalies h (profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą)
  • 9 straipsnio 2 dalies punktas (dėl viešojo intereso priežasčių visuomenės sveikatos srityje)

Kokius aspektus duomenų apsaugos srityje reikia įvertinti teikiant sveikatos priežiūros paslaugas nuotoliniu būdu?

Nors duomenų tvarkymo teisėtumo sąlygos nesikeičia, remiantis VDAI rekomendacijomis sveikatos priežiūros paslaugas teikiančios įstaigos turėtų įvertinti kitus susijusius aspektus:

  • duomenų tvarkymo apimtį, t.y., kokie papildomi asmens duomenys būtų tvarkomi teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, pavyzdžiui, unikalūs kodai, prisijungimo vardai, vaizdo duomenys, kiti duomenys,
    ir įvertinti šių asmens duomenų tvarkymo būtinumą (proporcingumą);
  • duomenų tvarkymo priemonių saugumą, t.y., kokiomis priemonėmis būtų teikiamos sveikatos priežiūros paslaugos ir įvertinti šių priemonių saugumą (atsižvelgiant tiek į BDAR 25 straipsnio, tiek į BDAR 32 straipsnio
    reikalavimus), taip pat įvertinti, kaip turėtų būti identifikuojamas besikreipiantis asmuo, siekiant užtikrinti sveikatos priežiūros įstaigos tvarkomų asmens duomenų saugumą;
  • informacijos pateikimo būdą, t.y, kokiu būdu ir kokią pateikti informaciją pacientams ir sveikatos priežiūros specialistams apie naudojimąsi pasirinktomis priemonėmis (pavyzdžiui, ar būtina perduoti vaizdą, kaip vaizdo duomenų perdavimą išjungti (deaktyvuoti), apie pasikeitusį asmens duomenų tvarkymą (pavyzdžiui, papildomai tvarkomus asmens duomenis, jų tvarkymo būtinumą, terminą, galimus gavėjus) ir t. t.

Tapatybės nustatymo būdai teikiant sveikatos priežiūros paslaugas - kuris tinkamiausias?

Vadovaujantis VDAI rekomendacijomis geriausia pasirinkti kelis tapatybės identifikavimo būdus, priklausomai nuo konkretaus paciento ar sveikatos paslaugų pobūdžio. Kuo didesnės pasekmės pacientui gali kilti dėl jo netinkamo identifikavimo, tuo griežtesni tapatybės nustatymo būdai turi būti pasirenkami. Prieš pradedant naudoti vieną ar kitą tapatybės nustatymo būdą reikalinga atlikti poveikio duomenų apsaugai vertinimą (BDAR 35 straipsnį), nuo kurio rezultato priklauso, ar nuotolinių sveikatos priežiūros paslaugų teikimas tokiu būdu būtų suderinamas su BDAR.

Populiariausi tapatybės identifikavimo būdai ir VDAI įžvalgos:

  • pagal asmens kodą - VDAI skeptiškai vertina tokį identifavimo būdą, remdasi Lietuvos vyriausiojo administracinio teismo praktika, kuri konstatuoja, kad kai iš asmens duomenų visumos galima vienareikšmiškai
    identifikuoti asmenį, tam naudoti asmens kodą nėra būtinybės. Kadangi asmens kodas, VDAI nuomone, nėra pakankamai patikimas būdas tapatybei nustatyti siūlytina tokio būdo nesirinkti.
  • pagal sveikatos priežiūros įstaigos suteiktą unikalų kodą -  kiekvienam asmeniui individualiai suteiktas kodas turėtų būti konfidencialus ir skirtas tik pačiam asmeniui. Sveikatos priežiūros įstaiga turėtų įvertinti, kokiomis organizacinėmis ir techninėmis saugumo priemonėmis užtikrinti šių kodų apsaugą, pavyzdžiui, kaip kodas bus sudaromas, kokiais būdais suteikiamas (tinkamai identifikavus asmenį), kaip dažnai bus atnaujinami.
  • pagal asmenį identifikuojančius klausimus -  VDAI ragina įstaigas naudotis būtent šiuo būdu. Rekomenduojama klausimus pasirinkti atsižvelgiant į sveikatos priežiūros įstaigos teikiamas paslaugas, pacientų savybes (amžių, poreikius, kt.), nuotolinio sveikatos paslaugų teikimo metu tvarkomų asmens duomenų apimtį, jautrumą ir kt. VDAI atkreipia dėmesį, kad tais atvejais jei naudojant šį tapatybės nustatymo būdą, asmuo turėtų nurodyti tik savo vardą, pavardę ir asmens kodą, tai nebūtų laikoma pakankamu asmens identifikavimu.
  • pagal telefono ryšio numerį - tai neturėtų būti vienintelis būdas (o naudojama, pvz., su asmenį identifikuojančiais klausimais) ir turėtų būti įsitikinama jo patikimumu.
  • pagal vienkartinį prisijungimo kodą (nuorodą) - tais atvejais, kai sveikatos priežiūros paslaugą siekiama teikti naudojantis mobiliosiomis programomis, programine įranga ar kitokiais įrankiais, įskaitant ir turinčiais vaizdo
    duomenų, dokumentų perdavimo, susirašinėjimo funkcionalumus.
  • mobiliuoju parašu - gana ribotas panaudojimas, nes ne visi asmenys tokį turi.

Ar teikiant sveikatos priežiūros paslaugas telefonu, pokalbis gali būti įrašomas?

VDAI pabrėžia, kad vien ta aplinkybė, kad paslaugos teikiamos telefonu, savaime nereiškia, kad toks pokalbis turėtų būti įrašomas. Pastebėtina, kad sveikatos priežiūros paslaugų teikimo metu vertinami jautrūs paciento
asmens duomenys, susiję su jo sveikata, todėl jų įrašymas ir tolimesnis tvarkymas (pavyzdžiui, saugojimas) gali kelti nepagrįstą riziką paciento, kaip duomenų subjekto, teisėms ir laisvėms. Aptariamu atveju pokalbių įrašymas, net ir asmeniui sutikus, paprastai būtų laikomas nesuderinamu su BDAR įtvirtintu duomenų kiekio mažinimo principu.

Sveikatos priežiūros paslaugų teikimo nuotoliniu būdu tvarkos nustatymas ir dokumentavimas

Reikalinga įvertinti poreikį atikti poveikio duomenų apsaugai vertinimą dėl sveikatos priežiūros paslaugų teikimo nuotoliniu būdu. Jeigu atlikus poveikio duomenų apsaugai vertinimą būtų nustatyta, kad tvarkant asmens duomenis kiltų didelis pavojus, jei sveikatos priežiūros įstaiga nesiimtų priemonių pavojui sumažinti, ji turi kreiptis į VDAI išankstinių konsultacijų (BDAR 36 str.).

Sveikatos priežiūros įstaiga turėtų dokumentuoti nuotolinio sveikatos priežiūros paslaugų teikimo tvarką, aptariant:

  • Sveikatos priežiūros darbuotojų pareigas;
  • Nuotolinio sveikatos priežiūros paslaugų teikimo priemones ir naudojimosi jomis tvarką;
  • Pacientų registravimo sveikatos priežiūros paslaugų teikimui nuotoliniu būdu tvarką ir
    atsakingus asmenis;
  • Pacientų ar jų teisėtų atstovų tapatybės nustatymo būdus ir tvarką
  • Nuotolinio sveikatos priežiūros paslaugų teikimo metu surinktos informacijos fiksavimo apimtį ir tvarką;
  • Sveikatos priežiūros specialisto papildomų veiksmų (registravimo pas kitą specialistą, vaistinių preparatų ar kitų medicinos priemonių skyrimo, tolimesnės paciento stebėsenos vykdymo)
    tvarką;
  • Pacientų ir duomenų subjektų teises;
  • Ir kitus aktualius aspektus.

Asmens duomenų tvarkymo dokumentacijos atnaujinimas dėl sveikatos priežiūros įstaigų darbo organizavimo pokyčių

VDAI atkreipia dėmesį, kad jeigu dėl sveikatos priežiūros paslaugų teikimo nuotoliniu būdu pasikeičia tvarkomų asmens duomenų apimtis, naudojamos priemonės (įskaitant saugumo priemones), atsakingi asmenys ir pan., todėl taip pat būtų reikalinga atnaujinti sveikatos priežiūros įstaigos susijusius vidinius dokumentus, tokius kaip asmens duomenų tvarkymo taisyklės, privatumo pranešimai, duomenų tvarkymo veiklos įrašai ir pan.

Į ką atkreipti dėmesį jeigu sveikatos priežiūros paslaugoms teikti naudojami susirašinėjimo, vaizdo perdavimo įrankiai ar kita programinė įranga?

Organizuojant sveikatos priežiūros įstaigų darbą nuotoliniu būdu ir renkantis tam priemones VDAI rekomenduoja atkreipti dėmesį į:

  • įrankio ar programinės įrangos naudojimo taisykles (angl. terms & conditions), privatumo politiką (angl. privacy policy) ir kitus dokumentus (nurodančius naudojamas saugumo priemones, pavyzdžiui, duomenų šifravimą, įdiegtus saugumo sertifikatus ir jų atnaujinimo datą),
  • galimybę įgyvendinti duomenų subjektų teises,
  • duomenų tvarkytojų pasitelkimo galimybę,
  • ar pasirinkta priemonė renka slapukus ir jei taip kokius,
  • ar pasirinktos priemonės sudaro sąlygas dalintis dokumentais su sveikatos duomenimis.

VDAI pabrėžia, kad sveikatos priežiūros specialistai neturėtų naudoti asmeninių mobiliųjų įrenginių (telefonų, kompiuterių, planšetinių kompiuterių) jungiantis prie programinės įrangos, įrankių ar bendravimo platformų, taip pat naudoti šiose platformose sukurtų asmeninių paskyrų.

Nuorodos





Link to this page