• Pirmos baudos už BDAR pažeidimus
  • Pirmos baudos už BDAR pažeidimus

    NUO BAUDŲ UŽ BDAR PAŽEIDIMUS NEAPSAUGOTOS IR VALDŽIOS INSTITUCIJOS IR ĮSTAIGOS: PORTUGALIJOJE PIRMOJI BAUDA SKIRTA SVEIKATOS PRIEŽIŪROS ĮSTAIGAI

    2018 m. liepos 17 d. Portugalijoje veiklą vykdančiai sveikatos priežiūros įstaigai Centro Hospitalar Barreiro Montijo(toliau – Įstaiga) buvo skirta net 400 000 Eur dydžio bauda už Bendrojo duomenų apsaugos reglamento (toliau – BDAR) pažeidimus. Portugalijos priežiūros institucija Comissão Nacional de Protecção de Dados atlikusi tyrimą nustatė, kad Įstaiga iš viso padarė tris BDAR pažeidimus. Pirmiausia, Įstaiga pažeidė duomenų kiekio mažinimo principą. Už tai Įstaigai paskirta 150 000 Eur bauda. Taip pat Įstaiga pažeidė duomenų vientisumo ir konfidencialumo principą. Už šį pažeidimą Įstaigai skirta tokio paties dydžio bauda kaip ir už pirmąjį pažeidimą. Galiausiai, Portugalijos priežiūros institucija Įstaigai skyrė dar 100 000 Eur dydžio baudą už pareigos, užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą, nevykdymą bei netinkamai įgyvendintas technines ir organizacines apsaugos priemones, kurios Įstaigoje neužtikrino tvarkomų asmens duomenų atitinkamo saugumo lygio.

    Dėl duomenų kiekio mažinimo principo ir principo „žinoti būtina“ pažeidimo

    Portugalijos priežiūros institucijos atlikto tyrimo metu paaiškėjo, kad Įstaigos naudojamoje informacinėje sistemoje iš viso veikė net 985 naudotojų paskyros, kurios turėjo sveikatos priežiūros specialistų prieigos teises susipažinti su pacientų asmens duomenimis, tarp jų – ir sveikatos duomenimis, nors tyrimo metu Įstaigoje dirbo tik 296 sveikatos priežiūros specialistai. Visi Įstaigos sveikatos priežiūros specialistai galėjo susipažinti su visų Įstaigoje aptarnaujamų pacientų asmens duomenimis. Tokia sveikatos priežiūros specialistų prieiga prie asmens duomenų yra laikytina pertekline ir nebūtina atitinkamoms sveikatos priežiūros paslaugoms teikti. Nustatyta, kad tokio paties lygio prieigą prie Įstaigos pacientų asmens duomenų turėjo ne tik visi Įstaigos sveikatos priežiūros specialistai, bet ir 9 techninio personalo darbuotojai. Tokia Įstaigoje nusistovėjusi praktika akivaizdžiai prieštaravo ne tik duomenų kiekio mažinimo principui, kuris draudžia tvarkyti perteklinius asmens duomenis, bet taipogi ir principui „žinoti būtina“, kuris įpareigoja darbuotojui suteikti prieigą tik prie tų asmens duomenų, kurie yra būtini jam atlikti savo tiesiogines funkcijas ir kitas užduotis. Techninio personalo darbuotojams atlikti savo darbines funkcijas prieigos prie visų Įstaigos aptarnaujamų pacientų asmens duomenų, taip pat ir jų sveikatos duomenų, tikrai nereikia.

    Dėl vientisumo ir konfidencialumo principų pažeidimo, taip pat netinkamo techninių ir organizacinių priemonių implementavimo

     Vientisumo ir konfidencialumo principų pažeidimą Portugalijos priežiūros institucija kildino iš Įstaigos netinkamai taikytų organizacinių ir techninių apsaugos priemonių, dėl ko neįgaliotiems asmenims buvo sudaryta galimybė neteisėtai prisijungti prie Įstaigos informacinės sistemos, kurioje saugomi visi pacientų asmens duomenys. Įstaigoje nebuvo dokumentuoti informacinės sistemos naudotojų paskyrų kūrimo ir naudotojų prieigos prie Įstaigos informacinėje sistemoje saugomų pacientų asmens duomenų procesai. Naudotojų paskyros su visomis privilegijomis nebuvo panaikintos sveikatos priežiūros specialistams, nebedirbantiems Įstaigoje. Portugalijos priežiūros institucija tyrimo metu nustatė, kad paskutinį kartą nenaudojama naudotojo paskyra buvo deaktyvuota 2016 metų gruodžio mėnesį. Toks Įstaigos neveikimas sąlygojo nereguliarų techninių ir organizacinių priemonių, susijusių su Įstaigos informacine sistema, tikrinimo ir veiksmingumo vertinimo procesą, dėl ko nebuvo užtikrintas Įstaigos nuolatinis duomenų tvarkymo sistemos ir teikiamų paslaugų konfidencialumas, vientisumas, prieinamumas ir atsparumas.

    Advokatų profesinės bendrijos „JurisConsultus“ teisininko Roberto Kvetkausko teigimu, Lietuvoje Valstybinė duomenų apsaugos inspekcija (toliau – Inspekcija) taip pat skiria didelį dėmesį tinkamų organizacinių ir techninių apsaugos priemonių įgyvendinimui. 2018 m. spalio 31 d. Inspekcija parengė Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gaires (toliau – Gairės) asmens duomenų valdytojams ir tvarkytojams. Gairėse Inspekcija pristatė minimalius organizacinius ir techninius duomenų saugumo reikalavimus visiems duomenų valdytojams ir tvarkytojams. Nemaža dalis reikalavimų Gairėse yra susiję su juridinių asmenų informacinių sistemų ir taikomųjų programų apsauga bei prieigos prie šių informacinių sistemų ir taikomųjų programų kontrole. Šiuo atveju informacinių sistemų ir taikomųjų programų apsauga nėra išimtinai susijusi tik su techninėmis jų apsaugos priemonėmis, tokiomis kaip naudotojų autentifikavimas, sesijų laikas, bet ir organizacinėmis, tokiomis kaip prieigos darbuotojams prie informacinių sistemų ir taikomųjų programų suteikimas, keitimas ir panaikinimas, darbuotojų informavimas apie jų pareigų apimtį, susijusią su tinkamų asmens duomenų tvarkymu ir apsauga, atsakingų asmenų už prieigos suteikimą, keitimą ir panaikinimą skyrimas.

    Atsižvelgiant į Inspekcijos skiriamą dėmesį tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimui, teisininko R. Kvetkausko manymu,duomenų valdytojai ir tvarkytojai pagrįstai gali tikėtis, kad jų atžvilgiu vykdomų tyrimų ar patikrinimų metu implementuotų organizacinių ir techninių apsaugos priemonių atitiktis BDAR reikalavimas bus vienas iš pagrindinių tyrimų ar patikrinimų objektų. Tinkamas organizacinių ir techninių duomenų saugumo priemonių įgyvendinimas bei reguliarus jų tikrinimas ir veiksmingumo vertinimas ypatingą svarbą turi ir duomenų valdytojų ir tvarkytojų vykdomo asmens duomenų tvarkymo atitikčiai pagrindiniams BDAR principams. Nagrinėjamu atveju Portugalijos priežiūros institucijai tyrimo metu nustačius, kad Įstaiga pažeidė savo pareigą užtikrinti reguliarų techninių ir organizacinių priemonių, susijusių su Įstaigos informacine sistema, tikrinimo ir veiksmingumo vertinimo procesą, atitinkamai buvo nustatyti ir duomenų kiekio mažinimo, vientisumo ir konfidencialumo principų, taip pat principo „žinoti būtina“ pažeidimai, dėl ko išaugo ir Įstaigai skirtos baudos dydis.

    Dėl skirtos baudos dydžio

    Spręsdama dėl baudos dydžio už kiekvieną nustatytą BDAR pažeidimą Portugalijos priežiūros institucija atsižvelgė į šias aplinkybes:

    1. pažeidimų prigimtį, sunkumą;
    2. pažeidimų trukmę – pažeidimai Įstaigoje tęsėsi kelerius metus;
    3. duomenų subjektų, kurių asmens duomenys galėjo būti paveikti nustatytų pažeidimų, skaičių – šiuo atveju visi Įstaigos aptarnaujami pacientai ir jų asmens duomenys;
    4. su pažeidimais susiję asmens duomenys buvo specialios kategorijos, t. y. pacientų sveikatos duomenys;
    5. Įstaigos pastangas sumažinti žalą, kuri galėjo kilti duomenų subjektams dėl nustatytų asmens duomenų saugumo pažeidimų;
    6. Įstaigos atsakomybės laipsnį, atsižvelgiant į jos taikytas organizacines ir technines apsaugos priemones;
    7. anksčiau panašių asmens duomenų saugumo pažeidimų, kurie būtų žinomi Portugalijos priežiūros institucijai, Įstaiga nėra padariusi;
    8. Įstaigos bendradarbiavimo su Portugalijos priežiūros institucija lygį siekiant kaip įmanoma suvaldyti ir sumažinti neigiamus nustatytų pažeidimų padarinius;
    9. Įstaiga nesiėmė veiksmų apie galimus asmens duomenų saugumo pažeidimus pranešti Portugalijos priežiūros institucijai. Apie galimus pažeidimus Portugalijos priežiūros institucija sužinojo iš žiniasklaidos ir šiuo pagrindu pradėjo tyrimą;
    10. Įstaiga pradėjus tyrimą ėmėsi veiksmų pašalinti esamus pažeidimus.

    Dėl valdžios institucijoms ir įstaigoms skiriamų baudų už nustatytus BDAR pažeidimus

    Pažymėtina, kad Portugalijos naujojo asmens duomenų apsaugos įstatymo, parengto pagal BDAR nuostatas, projekte nebuvo numatytos baudos viešiesiems juridiniams asmenims už BDAR pažeidimus. Grįsdama savo sprendimą skirti Įstaigai baudą už nustatytus BDAR pažeidimus Portugalijos priežiūros institucija nurodė, kad viešųjų juridinių atleidimas nuo baudų pažeistų lygiateisiškumo principą ir pamatinių duomenų subjektų teisių apsaugą. BDAR leidžia kiekvienai valstybei narei nustatyti taisykles, reglamentuojančias tai, ar ir kokiu mastu administracinės baudos gali būti skiriamos valdžios institucijoms ir įstaigoms, įsisteigusioms toje valstybėje narėje. Pasinaudodamas šia reglamento nuostata Lietuvos Respublikos įstatymų leidėjas pakeistame Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatyme sumažino baudų dydžiusvaldžios institucijoms ir įstaigoms.Vietoje maksimalios 20 000 000 Eur dydžio baudos valdžios institucijoms ir įstaigoms šiai dienai gali būti paskirta maksimali 60 000 Eur dydžio bauda. Dabartinis teisinis reguliavimas aiškiai leidžia suprasti, kad, nors baudos valdžios institucijoms ir įstaigoms yra mažesnės, tačiau jos yra neišvengiamos BDAR nuostatų pažeidimų atveju. Dėl šios priežasties visos Lietuvos Respublikos sveikatos sistemos įstaigos ir kitos valdžios institucijos ir įstaigos turėtų atkreipti dėmesį į straipsnyje pateikiamą atvejį ir užtikrinti tinkamą prieigos prie jų naudojamų informacinių sistemų kontrolę, taip pat kitų organizacinių ir techninių apsaugos priemonių tinkamą implementavimą.

     

     

Skip to content