Griežti asmens duomenų apsaugos reikalavimai gali tapti iššūkiu bet kuriai įmonei ar sektoriui, tačiau, reikia pripažinti, kad dirbant su itin dideliais sveikatos duomenų kiekiais šis iššūkis gali būti dar sudėtingesnis. Gausybė privalomojo pobūdžio procedūrų ir susijusių dokumentų, tinkamas darbuotojų supažindinimas su šiomis procedūromis ir bendraisiais Bendrojo duomenų apsaugos reglamento (BDAR) reikalavimais, susijusiais su jų darbu, taip pat gerosios praktikos sekimas ir laikymasis. Iš tiesų, užtikrinti asmens duomenų apsaugos atitikties reikalavimus vaistinėse gali atrodyti nelengva, tačiau tai tikrai yra pasiekiama.
Kokių klaidų pasitaiko praktikoje?
- 2019 m. Jungtinės Karalystės duomenų apsaugos institucija skyrė 275 000 svarų baudą vaistinei už netinkamą medicininių dokumentų šalinimą. Nustatyta, kad vaistinė neužrakintuose konteineriuose išmetė pusę milijono medicininių dokumentų, įskaitant dokumentus su jautria sveikatos informacija. Už tokio paties pobūdžio pažeidimą 2022 m. nubausta ir vaistinė Vokietijoje;
- 2020 m. Estijos duomenų apsaugos institucija trims internetinėms vaistinėms skyrė 100 000 eurų baudas dėl neteisėto receptų duomenų tvarkymo. Duomenų subjektų vaistų įrašai buvo prieinami trečiosioms šalims per asmens tapatybės dokumentus, nesant sutikimo;
- 2019 m. Prancūzijos duomenų apsaugos institucija organizacijai skyrė nurodymą, reikalaudama pagal BDAR reikalavimus keisti buvusią vaizdo stebėjimo praktiką dėl nuolatinio darbuotojų stebėjimo;
- 2022 m. Prancūzijos duomenų apsaugos institucija skyrė 1 500 000 Eur baudą bendrovei DEDALUS BIOLOGIE už tai, kad dėl saugumo priemonių trūkumų buvo atskleisti 500 000 asmenų medicininių duomenų. Dėl šio pažeidimo buvo atskleista itin jautri informacija, pavyzdžiui, vardai ir pavardės, socialinio draudimo numeriai, gydytojų vardai ir pavardės, tyrimų datos ir medicininė informacija.
Kokie yra esminiai vaistinėms aktualūs duomenų apsaugos reikalavimai?
Atitikties BDAR reikalavimams užtikrinimas yra ne tik teisinė prievolė, bet ir ypač svarbus klientų pasitikėjimo ir duomenų saugumo užtikrinimo elementas. Nors kai kurie iš šių atitikties reikalavimų yra žinomi visiems, pavyzdžiui, esminių asmens duomenų apsaugos principų laikymasis, vaistinėms aktualūs ir kiti duomenų apsaugos aspektai:
- Teisinis duomenų tvarkymo pagrindas. Vaistinėse yra vykdomas asmens duomenų tvarkymas ne tik teikiant farmacines paslaugas, kaip jos yra apibrėžtos Lietuvos Respublikos farmacijos įstatyme, bet ir kitais tikslais. Vaistinės gali vykdyti vaizdo stebėjimą, įrašyti telefoninius pokalbius, vykdyti tiesioginę rinkodarą ir t.t. Todėl kiekvienam atskiram asmens duomenų tvarkymo tikslui, turi būti numatytas tinkamas asmens duomenų tvarkymo pagrindas pagal BDAR 6 straipsnį, taip pat BDAR 9 straipsnį ir apie kurį klientai turi būti tinkamai informuojami;
- Darbuotojų mokymai. Dėl nuolatinės vaistininkų galimybės susipažinti su itin jautriais sveikatos duomenimis yra itin svarbu suteikti jiems reikiamų žinių ir įgūdžių, reikalingų tinkamam duomenų tvarkymui. Valstybinės duomenų apsaugos inspekcijos duomenys rodo, kad pirmąjį 2023 m. pusmetį pagrindinė asmens duomenų saugumo pažeidimų priežastis – žmogiškosios klaidos. Vadinasi, vaistinių darbuotojams būtina rengti išsamius mokymus, apimančius tokius klausimus kaip asmens duomenų saugumo pažeidimų atpažinimas, tinkami reagavimo būdai ir asmeninės funkcijos bei atsakomybė tokiose situacijose;
- Duomenų apsaugos pareigūnas. Duomenų apsaugos pareigūną pagal BDAR privaloma paskirti organizacijoms, kurios tvarko didelės apimties duomenis arba specialiųjų kategorijų duomenis. Atsižvelgiant į tai, kad vaistinės nuolat tvarko didelės apimties sveikatos duomenis, duomenų apsaugos pareigūno paskyrimas išties yra būtinas. Šis asmuo turėtų turėti reikiamą profesinę kvalifikaciją ir kompetenciją, kad galėtų orientuotis sudėtinguose sveikatos duomenų tvarkymo procesuose;
- Skaidrumas. Tvarkydamos asmens duomenis vaistinės turi elgtis skaidriai. Tai reiškia, kad vaistinių klientai turi būti informuojami apie jų tvarkomus asmens duomenis, tvarkomų asmens duomenų kategorijas, saugojimo laikotarpius ir kitus svarbius klausimus. Ši skaidraus asmens duomenų tvarkymo prievolė neapsiriboja vien tik privatumo pranešimais, bet yra įgyvendinama ir kitais būdais. Pavyzdžiui, jei vaistinėje vykdomas vaizdo stebėjimas, duomenų subjektai apie tai taip pat turi būti informuojami pranešimu, kuriame pateikiama pakankama informacija dėl atliekamo vaizdo stebėjimo. Ši pareiga taip pat taikoma vaistinės darbuotojų atžvilgiu, jei šie yra tam tikra apimtimi stebimi vaizdo kameromis, pavyzdžiui, siekiant kontroliuoti parduodamų vaistų kiekius ir panašiai;
- Informacijos valdymas. Kiekvienoje vaistinėje turėtų būti sukurta informacijos, įskaitant asmens duomenis, specialiųjų kategorijų asmens duomenis, valdymo sistema. Vaistinės turėtų užtikrinti, kad jų turimos politikos ir procedūros užtikrintų tinkamą asmens duomenų apsaugos teisės aktų laikymąsi;
- Tinkamos saugumo priemonės. Vaistinės turi imtis pagrįstų saugumo priemonių, kad apsaugotų valdomą informaciją, įskaitant asmens duomenis, nuo neteisėto ar atsitiktinio pakeitimo, prieigos, atskleidimo ar sunaikinimo.
Nors aptariami tik keli aktualių reikalavimų pavyzdžiai, akivaizdu, kad atitiktis BDAR reikalavimams gali tapti tikru iššūkiu. Ir nors taikomų reikalavimų apimtis yra didelė – jų įgyvendinimas yra ne tik teisinė būtinybė, bet ir įsipareigojimas duomenų subjektų atžvilgiu.
Norėdami gauti daugiau informacijos ar konsultaciją, susijusią su duomenų apsauga, kviečiame konsultuotis su ECOVIS ProventusLaw duomenų apsaugos ekspertais.
Parengė ECOVIS ProventusLaw sertifikuota duomenų apsaugos ekspertė Milda Šlekytė ir jaunesnioji teisininkė Julija Ginotytė