Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Jun 11, 2020
This page contains macros or features from a plugin which requires a valid license.
You will need to contact your administrator.
Pirmadienį žiniasklaidojebuvo paviešinta, kad Vilniaus greitosios medicinos pagalbos stoties serverio duomenų bazėje saugoti per milijono asmenų asmens duomenys (tarp kurių ir specialių kategorijų asmens duomenys - pacientų ligos istorija) galimai prarasti bei nukopijuoti (perkeliant į kitą serverį), o prie jų galėjo gauti prieigą tretieji asmenys. Kaip skelbiama, Valstybinė duomenų apsaugos inspekcija (VDAI) domisi šiuo atveju ir Greitosios medicinos pagalbos stočiai bus išsiųstas raštas pateikti informaciją, ar šis incidentas buvo vertintas kaip asmens duomenų saugumo pažeidimas ir įgyvendintos su tuo susijusios pareigos - imtasi priemonių incidentui suvaldyti, pranešta VDAI, duomenų subjektams bei atitinkamai dokumentuota.
Kokių priemonių buvo imtasi pacientų duomenų saugumo incidentui nustatyti ir suvaldyti?
Kaip teigiama lrt.lt straipsnyje, pacientų duomenų dingimus iš duomenų bazės Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių, kuriose turi būti nurodyti net tik paciento kontaktiniai duomenys: adresas, telefonas, bet ir ligos istorija. Buvo įtarta, kad prie šių duomenų prieigą galimai turi tretieji asmenys. Atlikus auditą, buvo gautos išvados, kad asmens duomenys iš Greitosios medicinos pagalbos stoties serverio perkelti į kitą serverį ir prie jų galimai prieigą gavo ir tretieji asmenys. Gavęs audito išvadas, Vilniaus greitosios medicinos pagalbos stoties vadovas kreipėsi į VDAI patarimo ir gavo konsultaciją, kad pagal VDAI gautą informaciją galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas. Tačiau, kiek galima spręsti iš viešai skelbiamos informacijos, pranešimo dėl galimo pažeidimo Vilniaus greitosios medicinos pagalbos stotis, kaip duomenų valdytojas, VDAI neteikė. Vienas motyvų - paskelbtas karantinas, tačiau, kaip teigia advokatas Laimonas Marcinkevičius, "karantinas neatleidžia duomenų valdytojų nuo jų pareigų pagal BDAR vykdymo. Juolab, kad pranešimą apie duomenų saugumo pažeidimą duomenų valdytojai VDAI gali pateikti elektroninių ryšių priemonėmis, pvz., el. paštu. Vien konsultacija su VDAI, nesiėmus techninių ir organizacinių duomenų saugumo priemonių, negalėtų būti laikoma pakankama priemone pažeidimui valdyti."
Pirmiausia, vadovaujantis VDAI rekomendacijomis, duomenų valdytojas sužinojęs apie galimą pažeidimą, turėtų kaip įmanoma greičiau atlikti pirminį tyrimą, išsiaiškinti ir nustatyti, ar pažeidimas iš tikrųjų įvyko, bei kokios galimos pasekmės asmenims (t. y. įvertinti riziką). Vertinant riziką turėtų būti atsižvelgiant į šiuos kriterijus:
pažeidimo tipą;
asmens duomenų pobūdį, apimtis (pvz., specialių kategorijų asmens duomenys);
kaip lengvai identifikuojamas fizinis asmuo;
pasekmių rimtumą fiziniams asmenims;
specialias fizinio asmens savybes (pvz., duomenys susiję su vaikais ar kitais pažeidžiamais asmenimis);
nukentėjusiųjų fizinių asmenų skaičių;
specialias duomenų valdytojo savybes (pvz., veiklos pobūdį).
Pareiga pranešti apie duomenų saugumo pažeidimus - VDAI ir duomenų subjektams
Dabar VDAI domėsis, ar po gautos VDAI konsultacijos buvo imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Vadovaujantis BDAR 4 str. 12 p. asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Duomenų valdytojui įvertinus, kad įvyko asmens duomenų saugumo pažeidimas, jis privalo ne vėliau kaip per 72 val. nuo pažeidimo paaiškėjimo momento pranešti VDAI. Kadangi pranešimo terminas yra itin trumpas, kaip teigia UAB "JURIDICON", teikiančios duomenų apsaugos pareigūno paslaugą Allaw, teisininkė Miglė Žvinytė, "kiekvienas duomenų valdytojas turi būti numatęs ir pasitvirtinęs duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos procedūrą, kad galėtų efektyviai įgyvendinti šią BDAR 33-34 str. nustatytą pareigą." Savo rekomendacijose VDAI akcentuoja, kad jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie duomenų saugumo pažeidimą VDAI, rekomenduotina pranešti. Tais atvejais, kai dėl pažeidimo pobūdžio, duomenų valdytojui yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su asmens duomenų saugumo pažeidimu (pvz., dar nėra išsiaiškinta pažeidimo apimtis), ir per 72 val. nuo sužinojimo apie pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, pranešimui reikalinga informacija galėtų būti teikiama etapais, apie tai nurodant pirminiame pranešime. Todėl manytina, kad Vilniaus greitosios medicinos pagalbos stotis, nustačiusi minėtas aplinkybes dėl galimo pacientų duomenų praradimo turėjo ne konsultuotis, o teikti pirminį pranešimą VDAI dėl galimo asmens duomenų saugumo pažeidimo.
"Karantinas neatleidžia duomenų valdytojų nuo jų pareigų pagal BDAR vykdymo. Juolab, kad pranešimą apie duomenų saugumo pažeidimą duomenų valdytojai VDAI gali pateikti elektroninių ryšių priemonėmis, pvz., el. paštu. Vien konsultacija su VDAI, nesiėmus techninių ir organizacinių duomenų saugumo priemonių, negalėtų būti laikoma pakankama priemone pažeidimui valdyti."
Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas (rekomenduojama ne vėliau kaip per 72 val.) nuo pažeidimo paaiškėjimo momento, privalo pranešti apie duomenų saugumo pažeidimą duomenų subjektams. Tais atvejais, kai toks pranešimas pareikalautų neproporcingai daug pastangų susiekti su asmenimis (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba yra nežinomi), tokiu atveju vietoj to apie asmens duomenų saugumo pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
Pareiga dokumentuoti asmens duomenų saugumo pažeidimus - ką ir kaip reikia aprašyti?
Kaip teigiama, minėtoje situacijoje VDAI sieks išsiaškinti, ar Vilniaus greitosios pagalbos medicinos stotis dokumentavo šį atvejį kaip asmens duomenų saugumo pažeidimą. Vadovaujantis BDAR 33 str. 5 d., duomenų valdytojas turi dokumentuoti visus duomenų saugumo pažeidimus, nurodydamas su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi šiais dokumentais, VDAI turi galėti patikrinti, ar laikomasi šio reikalavimo. Pati VDAI savo rekomendacijose yra akcentavusi, kad visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų žurnale, kuris turi būti tvarkomas raštu, įskaitant elektronine forma, jame nurodant:
visus su asmens duomenų saugumo pažeidimu (toliau- pažeidimas) susijusius faktus – pažeidimo priežastį kas įvyko ir kokie asmens duomenys pažeisti;
pažeidimo poveikį ir pasekmes;
taisomuosius veiksmus (technines priemones), kurių buvo imtasi;
priežastis dėl su pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie pažeidimą duomenų subjektui nereikia);
pranešimo VDAI pateikimo vėlavimo priežastis (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);
informaciją, susijusią su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);
kitą reikšmingą informaciją, susijusią su pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai pažeidimo nebuvo, o buvo tik saugumo incidentas).
Visą šią informaciją Vilniaus greitosios medicinos stotis, kaip ir bet kuris kitas VDAI paprašytas duomenų valdytojas, turi pateikti VDAI.
Kokios galimos nepranešimo apie asmens duomenų saugumo pažeidimą pasekmės?
Už BDAR 33-34 str. numatytų pareigų neįgyvendinimą duomenų valdytojui gali būti taikoma atsakomybė ir skiriama bauda iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Už nepranešimą apie duomenų saugumo pažeidimą ir kitus susijusius pažeidimus vienai finansinių paslaugų įmonei VDAI jau yra skyrusi ženklią baudą, siekusią 61 500 eurų. Anot advokato Laimono Marcinkevičiaus, nežinant visų faktinių aplinkybių, sudėtinga spręsti, ar Greitosios medicinos pagalbos stotis bus pripažinta pažeidusi savo, kaip duomenų valdytojo, pareigas ir, ar bus taikoma atsakomybė. Bet kuriuo atveju, manytina, bus atsižvelgta į pažeidimo sunkumą ir galimai didelį nukentėjusių žmonių skaičių, ar pažeidimas buvo tyčinis, ar įvykdytas dėl aplaidumo, ar duomenų valdytojas/duomenų tvarkytojas ėmėsi veiksmų žalai sumažinti, į technines bei organizacines priemones, kurias įgyvendino duomenų valdytojas/duomenų tvarkytojas ir pan.
Per milijonas asmenų galėjo nukentėti dingus jų asmens duomenims iš Greitosios medicinos pagalbos stoties serverio
You will need to contact your administrator.
Pirmadienį žiniasklaidoje buvo paviešinta, kad Vilniaus greitosios medicinos pagalbos stoties serverio duomenų bazėje saugoti per milijono asmenų asmens duomenys (tarp kurių ir specialių kategorijų asmens duomenys - pacientų ligos istorija) galimai prarasti bei nukopijuoti (perkeliant į kitą serverį), o prie jų galėjo gauti prieigą tretieji asmenys. Kaip skelbiama, Valstybinė duomenų apsaugos inspekcija (VDAI) domisi šiuo atveju ir Greitosios medicinos pagalbos stočiai bus išsiųstas raštas pateikti informaciją, ar šis incidentas buvo vertintas kaip asmens duomenų saugumo pažeidimas ir įgyvendintos su tuo susijusios pareigos - imtasi priemonių incidentui suvaldyti, pranešta VDAI, duomenų subjektams bei atitinkamai dokumentuota.
Kaip teigiama lrt.lt straipsnyje, pacientų duomenų dingimus iš duomenų bazės Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių, kuriose turi būti nurodyti net tik paciento kontaktiniai duomenys: adresas, telefonas, bet ir ligos istorija. Buvo įtarta, kad prie šių duomenų prieigą galimai turi tretieji asmenys. Atlikus auditą, buvo gautos išvados, kad asmens duomenys iš Greitosios medicinos pagalbos stoties serverio perkelti į kitą serverį ir prie jų galimai prieigą gavo ir tretieji asmenys. Gavęs audito išvadas, Vilniaus greitosios medicinos pagalbos stoties vadovas kreipėsi į VDAI patarimo ir gavo konsultaciją, kad pagal VDAI gautą informaciją galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas. Tačiau, kiek galima spręsti iš viešai skelbiamos informacijos, pranešimo dėl galimo pažeidimo Vilniaus greitosios medicinos pagalbos stotis, kaip duomenų valdytojas, VDAI neteikė. Vienas motyvų - paskelbtas karantinas, tačiau, kaip teigia advokatas Laimonas Marcinkevičius, "karantinas neatleidžia duomenų valdytojų nuo jų pareigų pagal BDAR vykdymo. Juolab, kad pranešimą apie duomenų saugumo pažeidimą duomenų valdytojai VDAI gali pateikti elektroninių ryšių priemonėmis, pvz., el. paštu. Vien konsultacija su VDAI, nesiėmus techninių ir organizacinių duomenų saugumo priemonių, negalėtų būti laikoma pakankama priemone pažeidimui valdyti."
Pirmiausia, vadovaujantis VDAI rekomendacijomis, duomenų valdytojas sužinojęs apie galimą pažeidimą, turėtų kaip įmanoma greičiau atlikti pirminį tyrimą, išsiaiškinti ir nustatyti, ar pažeidimas iš tikrųjų įvyko, bei kokios galimos pasekmės asmenims (t. y. įvertinti riziką). Vertinant riziką turėtų būti atsižvelgiant į šiuos kriterijus:
Pareiga pranešti apie duomenų saugumo pažeidimus - VDAI ir duomenų subjektams
Dabar VDAI domėsis, ar po gautos VDAI konsultacijos buvo imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Vadovaujantis BDAR 4 str. 12 p. asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Duomenų valdytojui įvertinus, kad įvyko asmens duomenų saugumo pažeidimas, jis privalo ne vėliau kaip per 72 val. nuo pažeidimo paaiškėjimo momento pranešti VDAI. Kadangi pranešimo terminas yra itin trumpas, kaip teigia UAB "JURIDICON", teikiančios duomenų apsaugos pareigūno paslaugą Allaw, teisininkė Miglė Žvinytė, "kiekvienas duomenų valdytojas turi būti numatęs ir pasitvirtinęs duomenų saugumo pažeidimų nustatymo, tyrimo ir pranešimo apie juos procedūrą, kad galėtų efektyviai įgyvendinti šią BDAR 33-34 str. nustatytą pareigą." Savo rekomendacijose VDAI akcentuoja, kad jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie duomenų saugumo pažeidimą VDAI, rekomenduotina pranešti. Tais atvejais, kai dėl pažeidimo pobūdžio, duomenų valdytojui yra būtina atlikti išsamesnį tyrimą ir nustatyti visus svarbius faktus, susijusius su asmens duomenų saugumo pažeidimu (pvz., dar nėra išsiaiškinta pažeidimo apimtis), ir per 72 val. nuo sužinojimo apie pažeidimą dėl objektyvių aplinkybių to padaryti neįmanoma, pranešimui reikalinga informacija galėtų būti teikiama etapais, apie tai nurodant pirminiame pranešime. Todėl manytina, kad Vilniaus greitosios medicinos pagalbos stotis, nustačiusi minėtas aplinkybes dėl galimo pacientų duomenų praradimo turėjo ne konsultuotis, o teikti pirminį pranešimą VDAI dėl galimo asmens duomenų saugumo pažeidimo.
Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas (rekomenduojama ne vėliau kaip per 72 val.) nuo pažeidimo paaiškėjimo momento, privalo pranešti apie duomenų saugumo pažeidimą duomenų subjektams. Tais atvejais, kai toks pranešimas pareikalautų neproporcingai daug pastangų susiekti su asmenimis (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba yra nežinomi), tokiu atveju vietoj to apie asmens duomenų saugumo pažeidimą gali būti paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
Pareiga dokumentuoti asmens duomenų saugumo pažeidimus - ką ir kaip reikia aprašyti?
Kaip teigiama, minėtoje situacijoje VDAI sieks išsiaškinti, ar Vilniaus greitosios pagalbos medicinos stotis dokumentavo šį atvejį kaip asmens duomenų saugumo pažeidimą. Vadovaujantis BDAR 33 str. 5 d., duomenų valdytojas turi dokumentuoti visus duomenų saugumo pažeidimus, nurodydamas su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi šiais dokumentais, VDAI turi galėti patikrinti, ar laikomasi šio reikalavimo. Pati VDAI savo rekomendacijose yra akcentavusi, kad visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų žurnale, kuris turi būti tvarkomas raštu, įskaitant elektronine forma, jame nurodant:
Visą šią informaciją Vilniaus greitosios medicinos stotis, kaip ir bet kuris kitas VDAI paprašytas duomenų valdytojas, turi pateikti VDAI.
Kokios galimos nepranešimo apie asmens duomenų saugumo pažeidimą pasekmės?
Už BDAR 33-34 str. numatytų pareigų neįgyvendinimą duomenų valdytojui gali būti taikoma atsakomybė ir skiriama bauda iki 10 000 000 EUR arba, įmonės atveju – iki 2 % jos ankstesnių finansinių metų bendros metinės pasaulinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Už nepranešimą apie duomenų saugumo pažeidimą ir kitus susijusius pažeidimus vienai finansinių paslaugų įmonei VDAI jau yra skyrusi ženklią baudą, siekusią 61 500 eurų. Anot advokato Laimono Marcinkevičiaus, nežinant visų faktinių aplinkybių, sudėtinga spręsti, ar Greitosios medicinos pagalbos stotis bus pripažinta pažeidusi savo, kaip duomenų valdytojo, pareigas ir, ar bus taikoma atsakomybė. Bet kuriuo atveju, manytina, bus atsižvelgta į pažeidimo sunkumą ir galimai didelį nukentėjusių žmonių skaičių, ar pažeidimas buvo tyčinis, ar įvykdytas dėl aplaidumo, ar duomenų valdytojas/duomenų tvarkytojas ėmėsi veiksmų žalai sumažinti, į technines bei organizacines priemones, kurias įgyvendino duomenų valdytojas/duomenų tvarkytojas ir pan.
Nuorodos