Teisės aktai, priimti po BDAR įsigaliojimo, aktualūs medicinos klinikoms

Nors Bendrasis duomenų apsaugos reglamentas (toliau – BDAR) šiuo metu yra ko gero svarbiausias teisės aktas asmens duomenų apsaugos srityje, po BDAR įsigaliojimo yra priimta ir daugiau teisės aktų, galinčių daryti poveikį Jūsų medicinos įstaigai. Šiame straipsnyje aptarsime keturis svarbiausius teisės aktus be BDAR, kurie gali daryti poveikį Jūsų klinikai.

Valstybinės duomenų apsaugos inspekcijos (toliau – VDAI) parengtos „Tinkamų organizacinių ir techninių duomenų saugumo priemonių įgyvendinimo gairės duomenų valdytojams ir tvarkytojams“. Su šiomis gairėmis galite susipažinti paspaudę ant šios nuorodos. Nors šios gairės savo prasme nėra privalomas teisės aktas, jos nubrėžia tam tikrą standartą, kokių reikalavimų turėtų laikytis organizacijos tvarkydamos asmens duomenis. Kadangi tai yra minimalūs reikalavimai, šios, ar atitinkamos panašios, saugumo priemonės yra privalomos toms organizacijoms, kurių atliekamos duomenų tvarkymo operacijos yra laikomos žemos rizikos. Kadangi medicinos klinikose yra tvarkomi klientų sveikatos duomenys, kurie yra priskiriami jautrių asmens duomenų kategorijai, kiekvienoje klinikoje, be šiose gairėse nurodytų saugumo priemonių, turėtų būti įdiegtos ir papildomos saugumo priemonės nenumatytos šiose gairėse. Šios priemones apima tiek technines saugumo priemones, tokias kaip atsarginių kopijų darymas, programinės įrangos saugumas, fizinė asmens duomenų apsauga ir pan., tiek organizacines saugumo priemones, kurios apima personalo mokymus, vidinių procedūrų pasirengimą, prieigų paskirstymą ir pan.

Duomenų tvarkymo operacijų, kurioms taikomas reikalavimas atlikti poveikio duomenų apsaugai vertinimą sąrašas. BDAR įvedė naują procedūrą – poveikio duomenų apsaugai vertinimą (plačiau apie poveikio duomenų apsaugai vertinimą šiame mūsų blogo įrašę). Įsigaliojus BDAR, kiekviena Europos Sąjungos valstybė narė privalėjo paskelbti sąrašus asmens duomenų tvarkomų operacijų, kuomet poveikio duomenų apsaugai vertinimas yra privalomas. Būtent tokią funkciją ir atlieka šis dokumentas – numato atvejus, kuomet būtina atlikti šią procedūrą. Dažniausiai pasitaikantys atvejai, kuriais bus būtina atlikti poveikio duomenų apsaugai vertinimą yra:

1. telefoninių pokalbių įrašymas; 
2. priemonės darbuotojų stebėsenai ir kontrolei, įskaitant buvimo vietos stebėjimą (pvz.: automobilių GPS sekimo sistemos, raktinės kortelės su identifikatoriais ir pan.); 
3. kai kurie vaizdo stebėjimo kamerų naudojimo atvejai (pvz.: kai vaizdo stebėjimas atliekamas kartu su garso įrašymu, kai darbuotojai stebimi kontrolės ir/ar stebėsenos tikslu ir pan.). 

Su pilnu sąrašu galite susipažinti paspaudę ant šios nuorodos. Pažymėtina, kad tai nėra baigtinis sąrašas. Tai reiškia, kad poveikio duomenų apsaugai vertinimą gali tekti atlikti ir tais atvejais, kai vertinama priemonė nėra šiame sąraše, jei dėl atliekamų duomenų tvarkymo operacijų pobūdžio, aprėpties, tikslų ar konteksto fizinių asmenų teisėms ir laisvėms gali kilti didelis pavojus.

Europos duomenų apsaugos valdybos gairės dėl asmens duomenų tvarkymo naudojant vaizdo stebėjimo įrankius. Šios gairės sugriežtina vaizdo stebėjimo teisėtumo reikalavimus – numato kada vaizdo stebėjimą leidžiama naudoti, o kada ne. Taip pat, sugriežtinami vaizdo stebėjimo įrašų saugojimo terminai bei asmenų informavimo apie vykdomą vaizdo stebėjimą, tvarka. Svarbu, kad šis teisės aktas numatė pareigą papildomai dokumentuoti vaizdo kameromis atliekamą vaizdo stebėjimą. Daugiau informacijos apie tai galite rasti paspaudę ant šios nuorodos.

Žinoma, jog slapukai (angl. Cookies) šiuo metu naudojami daugelyje interneto puslapių, siekiant optimizuoti šių puslapių veikimą ar siekiant pasinaudoti slapukų suteikiamomis funkcijomis. Europos duomenų apsaugos valdyba 2020 m. Gegužės mėnesį savo gairėse (toliau – Gairės) dėl sutikimų rinkimo pagal BDAR pateikė keletą naujų išaiškinimų, susijusių būtent su slapukų naudojimu bei reikalingų sutikimų gavimu.

Gairėse pažymima, jog negalima laikyti, kad sutikimas dėl asmens duomenų naudojimo yra duotas laisva valia, jei lankytojas privalo sutikti su slapukų naudojimu tam, kad galėtų pasiekti visą interneto puslapio turinį (naudojamos vadinamosios „ slapukų sienos“). Europos duomenų apsaugos valdyba pabrėžė, kad šio ribojimo nepateisina argumentas, jog lankytojas gali rinktis tarp to duomenų valdytojo ir kito paslaugų teikėjo, kadangi tokiu atveju asmens pasirinkimo laisvė visiškai priklausytų nuo kitų rinkos dalyvių – to, ar asmuo tikrai galės rasti kitą paslaugos teikėją, kurio teikiamos paslaugos būtų visiškai identiškos. Be kita ko, tokia argumentacija sudarytų situaciją, kai duomenų valdytojui būtų privaloma nuolatos stebėti rinkos pokyčius, tam, kad galėtų užtikrinti tolesnį duodamo sutikimo galiojimą, kadangi konkurentų teikiamos paslaugos bet kada gali pakisti ir todėl išnykti galimybė gauti paslaugą kažkur kitur.

Taigi, toks prieigos prie tinklapio turinio ribojimas nėra suderinamas su BDAR, kadangi tokiu būdu išgautas sutikimas negali būti laikomas duotu visiškai laisva valia.

Kaip pavyzdį galima pateikti atvejus, kai interneto puslapyje naudojama iššokanti lentelė, kuri blokuoja likusio svetainės turinio matomumą. Svetainės lankytojui pateikiama tik informacija dėl puslapyje naudojamų slapukų ir siūlymas su jais sutikti, nepaliekant galimybės matyti turinio, nepaspaudus sutikimą patvirtinančio mygtuko. To, kaip ir minėta, negalima laikyti laisvu sutikimu, kadangi duomenų subjektas privalo paspausti „sutinku su slapukų naudojimu“ (ar panašų) mygtuką, kadangi jam nėra suteikiama visiška pasirinkimo laisvė.

Be kita ko, reikalinga paminėti ir tai, kad Europos duomenų apsaugos valdyba pabrėžė, jog negali būti laikoma sutikimu su slapukų naudojimu, jei asmuo tiesiog naršo internetiniame tinklapyje, aiškiais veiksmais neišreiškęs savo sutikimo. Pranešimas, jog toliau naudodamasis svetaine, lankytojas sutinka su slapukų naudojimu, nėra laikomas tinkamai gautu sutikimu, nes neatitinka aktyviais veiksmais išreikšto sutikimo reikalavimo. Taigi, vadovaujantis Gairėmis, tinkamu ir BDAR nuostatas atitinkančiu sutikimo išreiškimu laikytinas tik asmens paspaustas mygtukas „sutinku“.

Šiuo metu tai yra svarbiausi po BDAR įsigaliojimo priimti papildomi teisės aktai asmens duomenų apsaugos srityje, kurie gali būti aktualūs medicinos įstaigoms.