Kada medicinos įstaigoms reikia paskirti duomenų apsaugos pareguną?

Sveikatos priežiūros įstaigoms, įskaitant medicinos įstaigas, yra nustatytas specialus atvejis, kuomet būtina paskirti duomenų apsaugos pareigūną:

• duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį ir 10 straipsnyje nurodytų asmens duomenų apie apkaltinamuosius nuosprendžius ir nusikalstamas veikas tvarkymas dideliu mastu.

Iš šio atvejo galima išskirti du kriterijus, aktualius sveikatos priežiūros įstaigoms:

1. duomenų valdytojo arba duomenų tvarkytojo pagrindinė veikla yra specialių kategorijų duomenų tvarkymas dideliu mastu pagal 9 straipsnį;
2. duomenys tvarkomi dideliu mastu.

BDAR 9 straipsnyje minimi specialių kategorijų duomenys apima sveikatos duomenis, genetinius duomenis ir pan., kuriuos sveikatos priežiūros institucijos tvarko visuomet, todėl šis kriterijus bus tenkinamas visada.

Kitas būtinas įvertinti kriterijus yra didelis mastas. Nustatant, ar duomenų tvarkymas vykdomas dideliu mastu, reikalinga atsižvelgti į šiuos veiksnius:

1. Duomenų subjektų skaičių;
2. Įvairių tvarkomų duomenų kiekį ir (arba) intervalą;
3. Duomenų tvarkymo veiklos trukmę ir pastovumą;
4. Geografinę duomenų tvarkymo veiklos aprėptį.

Vis dėlto, nei vienas iš šių kriterijų nėra absoliučiai aiškus ir gali būti vertintinas subjektyviai, todėl vertinant patartina papildomai atsižvelgti į tai, ar tvarkomų duomenų skaičius yra ženklus valstybės gyventojų ar regiono gyventojų skaičiaus atžvilgiu, ar tvarkomi duomenys yra asmenų, gyvenančių viename mieste, ir panašias aplinkybes. Kol kas vis dar nėra aiškaus skaičiaus, kuriuo būtų galima remtis nustatinėjant masto dydį ir, tikėtina, kad toks skaičius ir neatsiras. Vis dėlto, galima paminėti, kad didelio masto duomenų tvarkymo operacijomis laikytina:

• pacientų duomenų tvarkymas ligoninės įprastinės veiklos metu;
• asmens kelionių naudojantis viešojo transporto sistema duomenų tvarkymas (pvz., sekimas naudojant kelionės korteles);
• klientų duomenų tvarkymas draudimo bendrovės arba banko įprastinės veiklos metu;
• asmens duomenų tvarkymas paieškos sistemoje vartotojų elgesiu grindžiamos reklamos tikslais;
• duomenų tvarkymas, kai tai daro telefono ryšio arba interneto paslaugų teikėjai;

• kiti panašūs atvejai.

Atsižvelgiant į Lietuvoje veikiančių medicinos įstaigų pobūdį bei jų dydi, galima teigti, kad joms duomenų apsaugos pareigūno paskyrimas būtų būtinas tik retais atvejais.

Pažymėtina, kad bendrovės turės pačios įsivertinti, ar joms privaloma paskirti duomenų apsaugos pareigūną. Taip pat, akcentuotina tai, kad šis vertinimas turėtų būti atliekamas nuodugniai ir, kaip jau minėta, turėtų būti tvarkingai dokumentuojamas tam, kad esant reikiamybei, galėtų būti pateiktas priežiūros institucijai.

Svarbu žinoti, kad tais atvejais, kai medicinos įstaigoms nekyla pareiga skirti duomenų apsaugos pareigūną, jos privalo paskirti atsakingą už duomenų apsaugą darbuotoją (plačiau apie tai skaitykite šiame Trustguru blogo įraše).

Kas gali būti duomenų apsaugos pareigūnu?

Pažymėtina, kad kai kurios Europos Sąjungos valstybės narės nustato specialius reikalavimus duomenų apsaugos pareigūnams, pvz.: kvalifikacijos, darbo stažo duomenų apsaugos srityje, išklausytų mokymų. Taip pat, norint tapti duomenų apsaugos pareigūnu būtina išlaikyti tam skirtą egzaminą. Lietuvoje kol kas specialūs reikalavimai duomenų apsaugos pareigūnams nėra taikomi, tačiau vadovaujantis BDAR, Duomenų apsaugos pareigūnu gali būti tik asmuo, turintis pakankamai teorinių ir praktinių žinių asmens duomenų apsaugos srityje.