Šioje svetainėje naudojami slapukai. Sutikdami naudoti slapukus galėsite patogiau naršyti mūsų svetainėje. Privatumo politika Nesutinku Sutinku
Publikacijos

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?2019-01-22

Ramintawww

Vyresnioji teisininkė Raminta Stravinskaitė

Europos Sąjungos šalyse skirtos pirmos baudos už asmens duomenų apsaugos pažeidimus po Bendrojo duomenų apsaugos reglamento įsigaliojimo 2018 m. gegužę.

Pirmoji bauda buvo paskirta praėjusių metų lapkričio pradžioje Austrijoje. Lažybų bendrovė susilaukė 4 800 EUR baudos dėl vaizdo stebėjimo reikalavimų nesilaikymo: vaizdo stebėjimo teritorija buvo neproporcingai didelė.

Antroji bauda paskirta to paties mėnesio pabaigoje, bet jau Portugalijoje. Nacionalinė priežiūros institucija vietos ligoninei paskyrė 400 000 EUR baudą už tris pažeidimus:

  • už duomenų kiekio mažinimo principo nesilaikymą skirta 150 000 EUR bauda;
  • už vientisumo ir konfidencialumo principo nesilaikymą, netaikant tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, skirta taip pat 150 000 EUR bauda;
  • už nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo neužtikrinimą skirta 100 000 EUR bauda.

Trečioji bauda buvo paskirta Vokietijoje socialinės žiniasklaidos bendrovei už duomenų saugumo reikalavimų nesilaikymą. Bendrovė pranešė, kad įsilaužus į jos sistemas buvo paveikta apie 808 000 el. pašto adresų ir slaptažodžių, dėl atakos galiausiai buvo neteisėtai atskleisti naudotojų asmens duomenys.

Taigi didžiausia bauda buvo paskirta medicinos sektoriuje. Portugalijos priežiūros institucija nustatė tokius pagrindinius ligoninės pažeidimus:

  • visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų;
  • ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai jų reikėjo, o gydytojų, kurie nebedirba ligoninėje, profiliai ir toliau buvo naudojami;
  • ligoninė neturėjo pasitvirtinusi vidinių teisės aktų, kuriuose būtų buvusi nustatyta informacinės sistemos kūrimo bei naudojimosi tvarka.

Ko iš to galime pasimokyti?

Visų pirma, turi būti užtikrinta prieigos prie sveikatos asmens duomenų suteikimo tvarka. Visi vartotojai: personalas, pacientai, įstaigos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turi turėti prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir turi būti identifikuojami rizikos lygį atitinkančiomis priemonėmis (pvz., naudojant dviejų faktorių autentifikaciją).

Patartina naudoti tokias prieigos teisių suteikimo priemones, kurios leistų bendro identifikavimo būdu gauti visus tai funkcijai atlikti priklausančius išteklius (pvz., Active DirectoryOpenLDAP).

Prieigos teisių užsakymas turėtų būti griežtai kontroliuojamas ir vykti pagal nustatytą procedūrą. Informacinės sistemos funkcionalumas turėtų būti suprojektuotas taip, kad galima būtų detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.

Įstaigoms patartina turėti prieigos užsakymo formą, kurią užsakymo atveju patvirtina atsakingas asmuo. Pacientų prieiga prie savo asmens duomenų taip pat neturi būti supaprastinta, jiems turi būti taikomi įprasti organizacijoje taikomi prieigos prie sveikatos asmens duomenų reikalavimai. Prieiga prie sveikatos kortelės galėtų būti suteikiama naudojant elektroninį parašą ar kitas patikimas tapatybės nustatymo ir patvirtinimo priemones. Reikalavimų griežtumas turi priklausyti nuo rizikos analizės rezultatų, t.y., kokios rizikos grupės sveikatos duomenys yra prieinami prisijungus atitinkamai identifikuojantis.

Vartotojų prisijungimo veiksmai prie informacinių sistemų, kuriose tvarkomi sveikatos asmens duomenys, taip pat prie tokių duomenų bazių ar failų turi būti kontroliuojami.

Kontrolės taisyklės ir tvarka nustato, kas, kaip ir kada kontroliuoja šį procesą. Pagrindinis tokios analizės šaltinis yra informacinės sistemos, duomenų bazės, tarnybinės stoties, ugniasienės ir kitų techninių ir programinių įrenginių kuriami elektroniniai įvykių žurnalai. Vartotojų veiksmų su sveikatos asmens duomenimis fiksavimas (rašymas, keitimas, šalinimas, peržiūra) turi būti numatytas projektuojant sveikatos priežiūros veiklai skirtą informacinę sistemą, nes techniniuose įvykių žurnaluose gali atsispindėti tik prisijungimo identifikatoriai, data, laikas.

Siekiant, kad kontrolės procesas būtų patogus, patartina naudoti papildomas rinkoje platinamas standartines programas, kurios integruoja ir apdoroja elektroninių įvykių žurnalų informaciją bei pateikia suvestines pagal pageidaujamus parametrus.

Jeigu identifikavimas vyksta naudojant slaptažodžius, jie turi būti administruojami pagal nustatytas taisykles: sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo ir pan. Jei vartotojas būna neaktyvus nustatytą laikotarpį, informacinė sistema turi automatiškai išjungti jį iš sistemos (angl. logoff).

Antra, įstaiga, tvarkanti sveikatos asmens duomenis, savo veiklą, užtikrinančią duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą, turi aiškiai ir tiksliai dokumentuoti. Tai būtina, siekiant užtikrinti personalo darbo kultūrą, procesų kontrolę, atskaitomybę ir informuotumą.

Įstaiga turi sukurti tikslią, detalią ir aiškią saugos ir konfidencialumo politiką, kurioje būtų nustatyta, kokia informacija yra konfidenciali ir kurie darbuotojai bei kokiais teisės aktų reikalavimais vadovaudamiesi turi teises ją tvarkyti. Dokumente turėtų būti aptarti personalo mokymo ir darbo su sveikatos asmens duomenimis kultūros kėlimo politika bei sankcijos pažeidimų atvejais. Saugos politikoje numatomas inventorizavimo bei rizikos vertinimo periodiškumas, teikiamos ataskaitos ir kontrolės mechanizmai. Darbuotojai, dirbantys su sveikatos asmens duomenimis, turėtų pasirašyti konfidencialumo pasižadėjimą.

Kita, detalesnė, dokumentų grupė yra taisyklės. Taisyklėse numatoma darbo su asmens duomenimis tvarka, konkrečios atsakomybės, rizikos vertinimo tvarka, darbo su popierinėmis sveikatos asmens duomenų bylomis tvarka, vartotojų identifikavimo, jų veiksmų registravimo tvarka ir pan.

Konkrečių darbo instrukcijų aprašymai pateikiami darbo procedūrų dokumentuose. Tai instrukcijos, skirtos atlikti konkrečią užduotį ar funkciją: atlikti atsarginį duomenų kopijavimą, administruoti vartotojus, kontroliuoti vartotojų veiksmų žurnalus ir pan.

Trečia, ir, turbūt, svarbiausia: vien tik prieigos teisių sukontroliavimas ir vidinių taisyklių pasitvirtinimas dar neužtikrina atitikties BDAR reikalavimams. Egzistuoja daugybė techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą, tačiau kiekvienu individualiu atveju šios priemonės gali kisti. Dėl šios priežasties kiekvienai įstaigai, įmonei ir organizacijai rekomenduojama atlikti rizikos vertinimą. Tai gali atlikti tiek savo darbuotojai, tiek pasitelkiami išorės ekspertai.

 

Raminta Stravinskaitė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, duomenų apsaugos ekspertė. Daugiausia konsultuoja klientus informacinių technologijų, žiniasklaidos, duomenų apsaugos, intelektinės nuosavybės teisės srityse.

Komentaras publikuotas naujienų portale vz.lt


Teisininkai: Raminta Stravinskaitė



Kontaktai

Jogailos 4, 01116 Vilnius
Telefonas: +370 5 2690 700