Atliekant asmens duomenų tvarkymo ir apsaugos teisinį auditą sveikatos priežiūros įstaigose, dažnai pastebime, kad prašoma paciento sutikimo dėl asmens duomenų tvarkymo. Akivaizdu, kad sveikatos priežiūros įstaigoms yra įprasta rinkti pacientų sutikimus dėl paslaugų teikimo, nes tokia pareiga įtvirtinta jų veiklą reguliuojančiuose teisės aktuose, tad net nesusimąstoma, kad pacientų sutikimų dėl asmens duomenų tvarkymo rinkimas, gali tapti asmens duomenų apsaugos pažeidimu, užtraukiančiu nemažas baudas, – teigia advokatų profesinės bendrijos „NEWTON LAW“ partnerė advokatė Asta Kederytė.
Advokatė pažymi, kad suprantama, jog sutikimu siekiama apsisaugoti, tačiau efektas gali būti priešingas nei tikėtasi. Juk bendra vyraujanti nuomonė yra ta, kad, jei pacientas pasirašė minėtą sutikimą, sveikatos priežiūros įstaiga yra apsaugota nuo neteisėto asmens duomenų tvarkymo. Būtina paminėti, kad tokia nuomonė yra klaidinga ir neatitinkanti Bendrajame duomenų apsaugos reglamente (toliau – BDAR) nustatytų reikalavimų.
Sveikatos priežiūros įstaiga, rinkdama pacientų sutikimus tvarkyti jų asmens duomenis, suteikia pacientui nepagrįstą lūkestį, kad jis gali kontroliuoti savo asmens duomenų tvarkymą, nors sveikatos priežiūros įstaiga, teikdama sveikatos paslaugas, pacientų asmens duomenis tvarkys nepriklausomai nuo to ar pacientas su tuo sutinka, ar ne.
Sutikimas BDAR apibrėžiamas taip – bet koks laisva valia duotas, konkretus ir nedviprasmiškas tinkamai informuoto duomenų subjekto valios išreiškimas pareiškimu arba vienareikšmiais veiksmais[,] kuriais jis sutinka, kad būtų tvarkomi su juo susiję asmens duomenys.
Sutikimo sąvokos elementas „laisva valia“ reiškia, kad duomenų subjektai, šiuo atveju pacientai, turi turėti realų pasirinkimą ir kontrolę. Pagal BDAR įtvirtintą bendrą taisyklę, jei duomenų subjektas neturi realaus pasirinkimo, jaučiasi priverstas sutikti arba jei sutikimo neduotų, patirtų neigiamų pasekmių, toks sutikimas negalioja. O sveikatos priežiūros įstaigai pasirinkus tvarkyti paciento asmens duomenis sutikimo pagrindu, kuris pagal bendrą BDAR taisyklę būtų pripažintas negaliojančiu, iškyla grėsmė, kad tokių pacientų asmens duomenų tvarkymas, taip pat būtų pripažintas neteisėtu.
Kiekvienas duomenų valdytojas privalo užtikrinti ir galėti įrodyti, kad asmens duomenys yra tvarkomi teisėtai, t. y. egzistuojant tinkamam ir teisėtam asmens duomenų tvarkymo pagrindui.
Sveikatos priežiūros įstaigos, turėtų aiškiai identifikuoti ir vidaus dokumentuose nustatyti, kokiais tikslais ir kokiais pagrindais pacientų asmens duomenys yra tvarkomi. Be to, tokia informacija kartu su kitomis sąlygomis, numatytomis BDAR, privalo būti pateikiama pacientui dar jo asmens duomenų surinkimo metu.
Nors BDAR Lietuvoje tiesiogiai taikomas jau daugiau nei penkis metus, tačiau vis dar daugelis susiduria su sunkumais parenkant tinkamą duomenų tvarkymo pagrindą. Advokatė Asta Kederytė primena, kad tinkamo duomenų tvarkymo pagrindo parinkimas yra fundamentaliai svarbus, siekiant nustatyti, kurios iš BDAR kylančios teisės ir pareigos bei, žinoma, atsakomybės bus taikomos. Todėl patariama sveikatos priežiūros įstaigoms peržiūrėti savo turimas asmens duomenų tvarkymo taisykles ir įvertinti nustatytų asmens duomenų tvarkymo pagrindų atitiktį BDAR reikalavimams, kad būtų išvengta nemalonių pasekmių ateityje.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866
Advokatų profesinės bendrijos „NEWTON LAW“ advokatė, partnerė Asta Kederytė
