Pirmadienį žiniasklaidoje buvo paviešinta, kad Vilniaus greitosios medicinos pagalbos stoties serverio duomenų bazėje saugoti asmens duomenys prarasti, galimai nukopijuoti (perkeliant į kitą serverį), o prie jų galėjo gauti prieigą tretieji asmenys. Kaip skelbiama, Valstybinė duomenų apsaugos inspekcija (VDAI) domisi šiuo atveju ir Greitosios medicinos pagalbos stočiai bus išsiųstas raštas pateikti informaciją ar šis incidentas buvo vertintas kaip asmens duomenų saugumo pažeidimas ir įgyvendintos su tuo susijusios pareigos - imtasi priemonių incidentui suvaldyti, pranešta VDAI, duomenų subjektams bei atitinkamai dokumentuota.
Kokių priemonių buvo imtasi pacientų duomenų saugumo incidentui nustatyti ir suvaldyti?
Pacientų duomenų dingimus iš duomenų bazės Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių, kuriose turi būti nurodyti paciento adresas, telefonas, ligos istorija. Buvo įtarta, kad prie šių duomenų prieigą galimai turi tretieji asmenys. Atlikus auditą buvo gautos išvados, kad asmens duomenys iš Greitosios medicinos pagalbos stoties serverio perkelti į kitą serverį ir prie jų galimai prieigą gavo ir tretieji asmenys. Gavęs audito išvadas Vilniaus greitosios medicinos pagalbos stoties vadovas kreipėsi į VDAI patarimo ir gavo konsultaciją, kad pagal VDAI gautą informaciją galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas. Tačiau kiek galima spręsti iš viešai skelbiamos informacijos pranešimo dėl galimo pažeidimo Vilniaus greitosios medicinos pagalbos stotis, kaip duomenų valdytojas, VDAI neteikė.
Pareiga pranešti apie duomenų saugumo pažeidimus - VDAI ir duomenų subjektams
Dabar VDAI domėsis ar po gautos VDAI konsultacijos buvo imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Vadovaujantis BDAR 4 str. 12 p. asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Įvertinus, kad įvyko asmens duomenų saugumo pažeidimas duomenų valdytojas privalo ne vėliau kaip per 72 val. nuo pažeidimo paaiškėjimo momento pranešti VDAI, pranešimui naudojant VDAI patvirtintą formą. Savo rekomendacijose VDAIakcentuoja, kad jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie duomenų saugumo pažeidimą VDAI, rekomenduotina pranešti.
Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas (rekomenduojama ne vėliau kaip per 72 val.) nuo pažeidimo paaiškėjimo momento, pranešti apie duomenų saugumo pažeidimą duomenų subjektams. Tais atvejais, kai toks pranešimas pareikalautų neproporcingai daug pastangų susiekti su asmenimis (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba pirma nežinomi). Tokiu atveju vietoj to apie asmnes duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
Pareiga dokumentuoti asmens duomenų saugumo pažeidimus - ką ir kaip reikia aprašyti?
Kaip teigiama, minėtoje situacijoje VDAI sieks išsiaškinti ar Vilniaus greitosios pagalbos medicinos stotis dokumentavo šį atvejį kaip asmens duomenų saugumo pažeidimą. Vadovaujantis BDAR 33 str. 5 d. duomenų valdytojas turi dokumentuoti visus duomenų saugumo pažeidimus, nurodant su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi šiais dokumentais VDAI turi galėti patikrinti, ar laikomasi šio reikalavimo. Pati VDAI savo rekomendacijose yra akcentavusi, kad visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų žurnale, kuris turi būti tvarkomas raštu, įskaitant elektronine forma, jame nurodant:
visus su asmens duomenų saugumo pažeidimu (toliau- pažeidimas) susijusius faktus – pažeidimo priežastį kas įvyko ir kokie asmens duomenys pažeisti;
pažeidimo poveikį ir pasekmes;
taisomuosius veiksmus (technines priemones), kurių buvo imtasi;
priežastis dėl su pažeidimu susijusių sprendimų priėmimo (pvz., kodėl duomenų valdytojas nusprendė nepranešti apie pažeidimą VDAI ir (ar) duomenų subjektui, t. y. kodėl nusprendė, kad tikėtina, jog pažeidimas negali sukelti pavojaus fizinių asmenų teisėms ir laisvėms, arba kokią sąlygą įvykdė, kuomet pranešti apie Pažeidimą duomenų subjektui nereikia);
pranešimo VDAI pateikimo vėlavimo priežastis (jeigu pranešimą vėluojama pateikti ar pranešimas teikiamas etapais);
informaciją, susijusią su pranešimu duomenų subjektui (pvz., ar buvo pranešta, kodėl nepranešta ir pan.);
kitą reikšmingą informaciją, susijusią su pažeidimu (pvz., kad tyrimo metu nustatyta, jog faktiškai pažeidimo nebuvo, o buvo tik saugumo incidentas).
Visą šią informaciją Vilniaus greitosios medicinos stotis, kaip ir bet kuris kitas VDAI paprašytas duomenų valdytojas, turi pateikti VDAI.
VDAI domisi Vilniaus greitosios pagalbos medicinos stoties duomenų bazėje saugotų pacientų asmens duomenų likimu
Kokių priemonių buvo imtasi pacientų duomenų saugumo incidentui nustatyti ir suvaldyti?
Pacientų duomenų dingimus iš duomenų bazės Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių, kuriose turi būti nurodyti paciento adresas, telefonas, ligos istorija. Buvo įtarta, kad prie šių duomenų prieigą galimai turi tretieji asmenys. Atlikus auditą buvo gautos išvados, kad asmens duomenys iš Greitosios medicinos pagalbos stoties serverio perkelti į kitą serverį ir prie jų galimai prieigą gavo ir tretieji asmenys. Gavęs audito išvadas Vilniaus greitosios medicinos pagalbos stoties vadovas kreipėsi į VDAI patarimo ir gavo konsultaciją, kad pagal VDAI gautą informaciją galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas. Tačiau kiek galima spręsti iš viešai skelbiamos informacijos pranešimo dėl galimo pažeidimo Vilniaus greitosios medicinos pagalbos stotis, kaip duomenų valdytojas, VDAI neteikė.
Pareiga pranešti apie duomenų saugumo pažeidimus - VDAI ir duomenų subjektams
Dabar VDAI domėsis ar po gautos VDAI konsultacijos buvo imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Vadovaujantis BDAR 4 str. 12 p. asmens duomenų saugumo pažeidimu laikomas saugumo pažeidimas, dėl kurio netyčia arba neteisėtai sunaikinami, prarandami, pakeičiami, be leidimo atskleidžiami persiųsti, saugomi arba kitaip tvarkomi asmens duomenys arba prie jų be leidimo gaunama prieiga. Įvertinus, kad įvyko asmens duomenų saugumo pažeidimas duomenų valdytojas privalo ne vėliau kaip per 72 val. nuo pažeidimo paaiškėjimo momento pranešti VDAI, pranešimui naudojant VDAI patvirtintą formą. Savo rekomendacijose VDAI akcentuoja, kad jeigu, įvertinus riziką, abejojama, ar ji yra ir ar reikia pranešti apie duomenų saugumo pažeidimą VDAI, rekomenduotina pranešti.
Kai dėl asmens duomenų saugumo pažeidimo gali kilti didelis pavojus fizinių asmenų teisėms ir laisvėms, duomenų valdytojas nepagrįstai nedelsdamas (rekomenduojama ne vėliau kaip per 72 val.) nuo pažeidimo paaiškėjimo momento, pranešti apie duomenų saugumo pažeidimą duomenų subjektams. Tais atvejais, kai toks pranešimas pareikalautų neproporcingai daug pastangų susiekti su asmenimis (pvz., kai jų kontaktiniai duomenys buvo prarasti dėl asmens duomenų saugumo pažeidimo arba pirma nežinomi). Tokiu atveju vietoj to apie asmnes duomenų saugumo pažeidimą paskelbiama viešai arba taikoma panaši priemonė, kuria duomenų subjektai būtų informuojami taip pat efektyviai.
Pareiga dokumentuoti asmens duomenų saugumo pažeidimus - ką ir kaip reikia aprašyti?
Kaip teigiama, minėtoje situacijoje VDAI sieks išsiaškinti ar Vilniaus greitosios pagalbos medicinos stotis dokumentavo šį atvejį kaip asmens duomenų saugumo pažeidimą. Vadovaujantis BDAR 33 str. 5 d. duomenų valdytojas turi dokumentuoti visus duomenų saugumo pažeidimus, nurodant su duomenų saugumo pažeidimu susijusius faktus, jo poveikį ir taisomuosius veiksmus, kurių buvo imtasi. Remdamasi šiais dokumentais VDAI turi galėti patikrinti, ar laikomasi šio reikalavimo. Pati VDAI savo rekomendacijose yra akcentavusi, kad visi asmens duomenų saugumo pažeidimai, nepriklausomai nuo to, ar apie juos buvo pranešta VDAI, ar ne, turėtų būti registruojami duomenų valdytojo Asmens duomenų saugumo pažeidimų žurnale, kuris turi būti tvarkomas raštu, įskaitant elektronine forma, jame nurodant:
Visą šią informaciją Vilniaus greitosios medicinos stotis, kaip ir bet kuris kitas VDAI paprašytas duomenų valdytojas, turi pateikti VDAI.
Nuorodos:
https://www.lrt.lt/naujienos/lietuvoje/2/1186311/greitosios-pagalbos-medikai-skambina-pavojaus-varpais-is-stoties-duomenu-bazes-issluoti-pacientu-duomenys
https://vdai.lrv.lt/uploads/vdai/documents/files/Rekomend_ADSP_2018.pdf