Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui – duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti nustatytos tam tikros procedūros, kurios gali būti taikomos nedelsiant. Pradedant atsargumo didinimu, dirbant su smens duomenimis, žinant, kur jie saugomi ir kaip jie yra tvarkomi. Tai taikoma tiek viešajam, tiek privačiam sektoriui: ligoninėms ir klinikoms, dantų priežiūrai, vaistinėms, slaugos namams, diagnostikos centrams ir laboratorijoms, e-parduotuvėms, parduodančioms vaistus, ir betkuriai kitai įmonei ar organizacijai, kuri tvarko asmens duomenissusijusius su sveikata.
Specialių kategorijų duomenų apibrėžimas ir sąlygos juos apdorojant
BDAR apibrėžia asmens duomenis, tvarkomus sveikatos priežiūros sektoriuje, kaip „specialių kategorijų duomenis“. Todėl apsaugos standartai yra kurkas didesni. BDAR nurodo tris specialias nuorodas į duomenis apie sveikatą:
- Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;;
- genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;
- Biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys.
Minėtų duomenų formų apdorojimas leidžiamas tik tam tikromis sąlygomis:
- Aiškus duomenų subjekto suteiktas sutikimas;
- Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas;
- Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus
Tačiau, remiantis BDAR, valstybės gali laikytis pateiktų arba nurodyti papildomas sąlygas, įskaitant apribojimus dėl genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymo.
Su BDAR duomenų subjektai įgijo daugiau teisių. Sveikatos priežiūros sektorius turi atkreipti į teisė gauti prieigą, leidžianti duomenų subjektams susipažinti su jų tvarkomais sveikatos duomenimis. Teisė į duomenų perkėlimą leidžia duomenų subjektams lengviau perduoti savo sveikatos duomenis bet kuriam kitam sveikatos priežiūros paslaugų teikėjui. Teisė būti pamirštam – sunkiausia įgyvendinama, leidžia duomenų subjektams reikalauti, kad jų sveikatos duomenų tvarkymas būtų nutrauktas ir visi turimi duomenys būtų pašalinti.
BDAR nurodo, kad įmonės ir organizacijos sveikatos priežiūros sektoriuje turėtų būti paskirtas duomenų apsaugos pareigūnas (DPO), nes spec.kategorijų duomenys tvarkomi dideliu mastu. Duomenų apsaugos poveikio vertinimo (DPIA) atlikimas padeda įvertinti rizikos duomenų subjekto teisėms ir laisvėms, kilmę, pobūdį, specifiškumą ir pavojingumą.
Įmonės ir organizacijos sveikatos priežiūros sektoriuje privalo pranešti apie saugumo pažeidimus (per 72 valandas) ne tik vietos duomenų apsaugos institucijai, bet ir asmenims, kurių asmens duomenys gali būti pažeisti. Turi būti numatytos aiškios, praktiškos ir veiksmingos procedūros, kurios būtų vykdomos pažeidimo atveju. Turi būti įdiegta pranešimo apie pažeidimą procedūra, įskaitant aptikimo ir reagavimo pajėgumus. Todėl, kartas nuo karto patartina atlikti personalo mokymus.
Duomenų apsaugos pažeidimo atveju baudos gali siekti iki 20 mln. € arba 4% metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Naujausias pažeidimas sveikatos priežiūros sektoriuje įvyko Portugalijos ligoninėje. Iš pradžių jai buvo paskirta 400 000 eurų bauda už prieigą prie paciento duomenų per netikras gydytojų paskiras. Skaitykite plačiau apie BDAR baudas.
ES valstybės narės gali nustatyti kokio masto administracinės baudos gali būti skiriamos toje valstybėje narėje įsteigtoms valdžios institucijoms ir įstaigoms. Tačiau tai nereiškia, kad jos gali būti atleidžiamos nuo atsakomybės.
Įmonių ir organizacijų sveikatos priežiūros sektoriuje žingsniai siekiant laikytis reikalavimų
Dėl senstančios IT infrastruktūros ir silpnos IT saugumo praktikos, sveikatos priežiūros sektorius yra vienas iš didžiausių taikinių kibernetinėms atakoms. Tai reiškia, kad reikia nustatyti technines saugumo priemones, kad būtų išvengta neteisėtos prieigos prie serveryje ar debesijoje laikomų asmens duomenų, jų neteisėto naudojimo ir praradimo.
Skaitykite daugiau:
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679
https://ico.org.uk/for-organisations/health
http://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf