Paslaugų tiekėjai atsako už prarastus klientų duomenis ir jų atsakomybė tik griežtės

medicininių_duomenų_praradimas

Atvejis, kai iš plastikos chirurgijos klinikos „Grožio chirurgija“ galimai buvo pavogti klientų duomenys puikiai iliustruoja opią ir labai realią asmens duomenų apsaugos ir privatumo problemą. Šiandien kiekvienas paslaugų teikėjas, ypač tokiose jautriose srityse kaip sveikatos paslaugos, apie mus saugo begalę duomenų. Tokie duomenys dažnai saugomi prastai ir gali būti prarandami tiek dėl piktavališkų išorinių poveikių, tiek dėl pačių paslaugų teikėjų aplaidumo. Paslaugų tiekėjų noras dėl duomenų praradimo kaltinti tik „hakerius“, daugeliu atvejų yra mažiausiai nenuoširdus.

Asmens duomenų praradimo atvejo galiojantis Asmens duomenų teisinės apsaugos įstatymas specialiai nereglamentuoja, t.y. jame nėra nustatytos konkrečios taisyklės, kaip turėtų veikti asmens duomenų valdytojas įvykus duomenų praradimo incidentui. Konkrečios pareigos incidento atveju yra numatytos nuo 2018 m. gegužės 25 d. įsigaliosiančiame ES Bendrajame asmens duomenų apsaugos reglamente. Reglamente numatyta, kad apie tokius incidentus nedelsiant (bet ne vėliau kaip per 72 val.) turės būti informuojama Valstybinė duomenų apsaugos inspekcija, o tam tikrais atvejais ir duomenų subjektai, kurių duomenys buvo prarasti.

Vis dėlto, galiojančiame Asmens duomenų teisinės apsaugos įstatyme yra nustatytos bendrosios duomenų valdytojų pareigos, kurios apibrėžia duomenų valdytojo elgesį visais atvejais, kai yra tvarkomi asmens duomenys. Jų tikslas yra užkirsti kelią galimam duomenų praradimui ir kitokiam neteisėtam asmens duomenų tvarkymui. Atitinkamai bendrosios asmens duomenų valdytojo pareigos galioja ir duomenų praradimo atveju. Duomenų valdytojams, ypač tiems, kurie tvarko jautrius ir intymius asmens duomenis (įstatymiškai vadinamus – ypatingais asmens duomenimis), pareigų yra dar daugiau.

Pirmiausia, bet kuris privatus subjektas prieš pradėdamas tvarkyti ypatingus asmens duomenis privalo įsiregistruoti asmens duomenų valdytoju. Konkrečiu atveju labai tikėtina, kad „Grožio chirurgija“ UAB to yra nepadariusi. Viešame asmens duomenų valdytojų registre jokių įrašų apie „Grožio chirurgija“ UAB nėra. Vien tai jau leidžia įtarti galimą aplaidumą.

Galiojančio Asmens duomenų teisinės apsaugos įstatymo 10 str. 3 d. besąlygiškai reikalauja, kad „Asmens duomenys apie asmens sveikatą automatiniu būdu […] gali būti tvarkomi tik pranešus Valstybinei duomenų apsaugos inspekcijai. Šiuo atveju Valstybinė duomenų apsaugos inspekcija privalo atlikti išankstinę patikrą.“ Jokių išimčių iš šios taisyklės nėra. Jei „Grožio chirurgija“ UAB nėra įsiregistravusi asmens duomenų valdytoju, labai tikėtina, kad išankstinės patikros įmonė taip pat neatliko. Tai dar labiau sustiprina įtarimus dėl aplaidumo.

Svarbiausia reali visų asmens duomenų valdytojų pareiga yra tvarkomų asmens duomenų saugumo užtikrinimas. Galiojančio Asmens duomenų teisinės apsaugos įstatymo 30 str. 1 d. nustato: Duomenų valdytojas […] privalo įgyvendinti tinkamas organizacines ir technines priemones, skirtas apsaugoti asmens duomenims nuo atsitiktinio ar neteisėto sunaikinimo, pakeitimo, atskleidimo, taip pat nuo bet kokio kito neteisėto tvarkymo. Minėtos priemonės turi užtikrinti tokį saugumo lygį, kuris atitiktų saugotinų asmens duomenų pobūdį ir jų tvarkymo keliamą riziką, ir turi būti išdėstytos rašytinės formos dokumente (duomenų valdytojo patvirtintose asmens duomenų tvarkymo taisyklėse, duomenų valdytojo ir duomenų tvarkytojo sudarytoje sutartyje ir pan.)“. Ar „Grožio chirurgija“ UAB užtikrino tinkamą savo tvarkomų duomenų apsaugą? Kyla įtarimų, kad ne. Jautrūs ir intymūs sveikatos duomenys (kaip ir kiti ypatingi asmens duomenys) išvis neturėtų būti tvarkomi prie interneto (viešų kompiuterių tinklų) prijungtose duomenų bazėse, net jeigu jos ir yra apsaugotos slaptažodžiais, ugniasienėmis ir pan. Tvarkymas tokiose duomenų bazėse komercinių paslaugų atveju negali būti pateisinamas.

Įmonei nedaro garbės ir tai, kad įvykus duomenų praradimo incidentui, situaciją bandoma dangstyti, neigti jautriausių duomenų (intymių fotofiksacijų) tvarkymą, apie tai neinformuoti klientų, kurių interesai pažeisti. Kyla klausimų, ar įmonė įgyvendino klientų teises žinoti (būti informuotas) apie savo asmens duomenų tvarkymą ir ar apskritai tvarkė klientų duomenis turėdama klientų sutikimą?

Kas gresia duomenų valdytojui, pažeidusiam asmens duomenų teisinės apsaugos taisykles, geriausiai iliustruoja Reglamente numatytos baudos už neteisėtą asmens duomenų tvarkymą, kurios gali siekti iki 20mln EUR. Ypač intymių asmens duomenų masinis praradimas dėl tyčinių ar aplaidžių veiksmų būtent turėtų būti tas atvejis, kai taikoma didžiausia administracinė ir civilinė atsakomybė, kadangi padaroma didelė ir nepataisoma žala daugelio duomenų subjektų interesams.

Šiuo konkrečiu atveju, nukentėjusiems klientams savo teises galima ginti ir administracine (kreipiantis į Valstybinę duomenų apsaugos inspekciją), ir civiline tvarka (reikalaujant žalos atlyginimo teisme).

2016 m. vasarą atliktas Lietuvos įmonių tyrimas (žr. ankstesnį tinklaraščio įrašą) parodė gana liūdną asmens duomenų realios apsaugos situaciją Lietuvoje ir ypač menką įmonių pasirengimą įgyvendinti Bendrąjį asmens duomenų apsaugos reglamentą, todėl belieka viltis, kad tokie incidentai ir padidinta atsakomybė labiau paskatins įmones susirūpinti asmens duomenų realia apsauga.

Comments 2

  • Sveiki,

    Antraštėje, matyt, turėtų būti „atskleisti“, o ne „prarasti“ duomenys.

    Klausimas: ar analogiškiems ypatingiems duomenis, kaupiamiems popierine forma, irgi galiotų GDPR reikalavimai?

    • Galbūt ir „atskleisti“, nors norėčiau tikėti, kad šiuo atveju buvo tiesiog nekompetencija ir aplaidumas.
      Sunkiai įsivaizduoju tokių duomenų tvarkymą popierine forma.
      Popieriniam tvarkymui asmens duomenų teisinės apsaugos teisės aktai galioja (GDPR taip pat galios), su sąlyga jei tvarkoma susistemintose rinkmenose (pvz. popierinės med kortelės poliklinikoje), tačiau tai laikoma ne-automatiniu duomenų tvarkymu.
      Dauguma normų taikomos tik automatiniam tvarkymui, todėl dėl ne-automatinio tvarkymo reikėtų konkretizuoti konkretų atvejį ir klausimą.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *