Pastariesiems priskiriami ir sveikatos priežiūros paslaugas teikiančių įstaigų veikloje naudojami pacientų sveikatos duomenys, kurių tinkamam bei teisėtam tvarkymui ir apsaugai nustatomi griežtesni reikalavimai. Anot advokatų profesinės bendrijos „JurisConsultus“ asocijuotosios teisininkės Astos Kederytės, šią sveikatos įstaigų pareigą sustiprina ir Valstybinės duomenų apsaugos inspekcijos susidomėjimas pastarųjų veikla. Atsižvelgiant į Valstybinės duomenų apsaugos inspekcijos paskelbtą informaciją, 2018 metų prevencinių patikrinimų plane numatoma atlikti dvidešimt trijų visuomenės ar asmens sveikatos priežiūros paslaugas teikiančių viešųjų įstaigų patikrinimus. Dėl nurodytų priežasčių sveikatos priežiūros įstaigos turėtų atkreipti dėmesį į BDAR keliamus naujus reikalavimus specialių kategorijų asmens duomenų tvarkymui.

Pirmiausia, kiekviena sveikatos priežiūros paslaugas teikianti įstaiga yra įpareigota pasirengti duomenų tvarkymo veiklos įrašus, kadangi pastarųjų įstaigų duomenų tvarkymas apima specialių kategorijų asmens duomenis, yra reguliarus ir kelia didelį pavojų duomenų subjektų teisėms ir laisvėms. Duomenų tvarkymo veiklos įrašai yra skirti dokumentuoti su duomenų tvarkymu susijusias veiklas, pavyzdžiui, asmens sveikatos priežiūros paslaugų teikimą, gydymą, medicininės diagnozės nustatymą, pacientų apskaitos tvarkymą ir t. t. Bendrasis duomenų apsaugos reglamentas pateikia informaciją, kuri turi būti nurodoma rengiant duomenų tvarkymo veiklos įrašą:

1. duomenų valdytojo, jo atstovo vardas, pavardė ir kontaktiniai duomenys;
2. duomenų apsaugos pareigūno vardas, pavardė ir kontaktiniai duomenys;
3. duomenų tvarkymo tikslai, pavyzdžiui, informacijos apie pacientus teikimas valstybės institucijoms ir kitoms įstaigoms;
4. duomenų subjektų kategorijų ir asmens duomenų kategorijų aprašymas, pavyzdžiui, duomenų subjektų kategorija – pacientai, o asmens duomenų kategorija – asmens sveikatos duomenys;
5. duomenų gavėjų, kuriems atskleidžiami asmens duomenys kategorijos, pavyzdžiui, teritorinė ligonių kasa.
6. kai taikoma, asmens duomenų perdavimai į trečiąją valstybę arba tarptautinei organizacijai, įskaitant tos trečiosios valstybės arba tarptautinės organizacijos pavadinimą;
7. kai įmanoma, numatomi įvairių kategorijų duomenų ištrynimo terminai, pavyzdžiui, asmens duomenų, esančių paciento ligos istorijoje ištrynimas, suėjus Sveikatos priežiūros įstaigų veiklos apskaitos ir atskaitomybės tvarkoje nustatytiems paciento ligos istorijos saugojimo terminams.
8. kai įmanoma, bendras techninių ir organizacinių saugumo priemonių, taikomų atliekamai asmens duomenų tvarkymo veiklai, aprašymas, pavyzdžiui, apsaugos priemonių, taikomų darbuotojų kompiuteriuose įdiegtai programinei įrangai, aprašymas.

Antra, visuomenės ir asmens sveikatos priežiūros paslaugas teikianti įstaiga turėtų įsivertinti, ar reikalinga atlikti poveikio duomenų apsaugai vertinimą operacijoms ar jų sekoms, susijusioms su asmens sveikatos duomenų tvarkymu. BDAR numato, kad poveikio duomenų apsaugai vertinimas turėtų būti atliekamas, kai specialių kategorijų asmens duomenų tvarkymas yra atliekamas dideliu mastu. Akivaizdu, kad sveikatos priežiūros įstaiga neprivalėtų atlikti poveikio duomenų apsaugai vertinimo, jei joje specialių kategorijų asmens duomenis tvarko tik vienas sveikatos priežiūros specialistas. Kitais atvejais, reikėtų įvertinti, ar specialių kategorijų asmens duomenų tvarkymas yra vykdomas dideliu mastu. Didelis mastas vertinamas pasitelkiant papildomus vertinimo kriterijus:

1. susijusių duomenų subjektų skaičių: tai gali būti konkretus skaičius arba atitinkamų gyventojų dalis;
2. tvarkomų duomenų kiekį ir (arba) skirtingų tvarkomų duomenų įvairovę;
3. duomenų tvarkymo veiklos trukmę arba pastovumą;
4. geografinį duomenų tvarkymo mastą.

Nurodytiems didelio masto vertinimo kriterijams šiai dienai nei BDAR, nei Lietuvos Respublikos teisės aktai nesuteikia skaitinių reikšmių, todėl sveikatos priežiūros įstaigoms didelio masto nustatymas gali tapti sudėtinga užduotimi.

Trečia, sveikatos priežiūros paslaugas teikianti įstaiga turėtų įsivertinti, ar reikalinga paskirti duomenų apsaugos pareigūną. BDAR yra nustatyta, kad duomenų valdytojas ar tvarkytojas privalo paskirti asmens duomenų apsaugos pareigūną, kai duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu. Pagrindinė veikla turėtų būti suprantama kaip veikla, kuria nebūtų įmanoma užsiimti be specialios kategorijos asmens duomenų tvarkymo, t.y. sveikatos paslaugų teikimas yra neįmanomas be pacientų ambulatorinių kortelių ir ligos istorijų pildymo ir apskaitos, todėl pacientų sveikatos duomenų tvarkymas yra laikomas pagrindine pastarųjų įstaigų veikla. Kaip minėta anksčiau, didelio masto nustatymas gali būti sudėtinga užduotis, kurią turi įveikti kiekviena sveikatos priežiūros įstaiga.

Aptartų reikalavimų, keliamų sveikatos priežiūros paslaugas teikiančioms įstaigoms, vykdymas yra neišvengiamas, todėl šioms įstaigoms tenka pareiga BDAR numatomus naujus reikalavimus laiku ir tinkamai įvertinti ir įgyvendinti savo vykdomoje veikloje, siekiant išvengti BDAR numatytų baudų ar kitų sankcijų.

Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „JurisConsultus“ el. paštu info@jurisconsultus.lt arba tel. +370 645 05754.