Kas tai? Eksperto įžvalgos

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?

Reklama publikuota: 2019-01-21
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
svg svg
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Europos Sąjungos šalyse skirtos pirmos baudos už asmens duomenų apsaugos pažeidimus po Bendrojo duomenų apsaugos reglamento įsigaliojimo 2018 m. gegužę.

Pirmoji bauda buvo paskirta praėjusių metų lapkričio pradžioje Austrijoje. Lažybų bendrovė susilaukė 4 800 EUR baudos dėl vaizdo stebėjimo reikalavimų nesilaikymo: vaizdo stebėjimo teritorija buvo neproporcingai didelė.

Antroji bauda paskirta to paties mėnesio pabaigoje, bet jau Portugalijoje. Nacionalinė priežiūros institucija vietos ligoninei paskyrė 400 000 EUR baudą už tris pažeidimus:

  • už duomenų kiekio mažinimo principo nesilaikymą skirta 150 000 EUR bauda;
  • už vientisumo ir konfidencialumo principo nesilaikymą, netaikant tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, skirta taip pat 150 000 EUR bauda;
  • už nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo neužtikrinimą skirta 100 000 EUR bauda.

Nemokami naujienlaiškiai į savo el. pašto dėžutę:













Svarbiausios dienos naujienos trumpai:



 

Trečioji bauda buvo paskirta Vokietijoje socialinės žiniasklaidos bendrovei už duomenų saugumo reikalavimų nesilaikymą. Bendrovė pranešė, kad įsilaužus į jos sistemas buvo paveikta apie 808 000 el. pašto adresų ir slaptažodžių, dėl atakos galiausiai buvo neteisėtai atskleisti naudotojų asmens duomenys.

Taigi didžiausia bauda buvo paskirta medicinos sektoriuje. Portugalijos priežiūros institucija nustatė tokius pagrindinius ligoninės pažeidimus:

  • visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų;
  • ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai jų reikėjo, o gydytojų, kurie nebedirba ligoninėje, profiliai ir toliau buvo naudojami;
  • ligoninė neturėjo pasitvirtinusi vidinių teisės aktų, kuriuose būtų buvusi nustatyta informacinės sistemos kūrimo bei naudojimosi tvarka.

Ko iš to galime pasimokyti?

Visų pirma, turi būti užtikrinta prieigos prie sveikatos asmens duomenų suteikimo tvarka. Visi vartotojai: personalas, pacientai, įstaigos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turi turėti prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir turi būti identifikuojami rizikos lygį atitinkančiomis priemonėmis (pvz., naudojant dviejų faktorių autentifikaciją).

Patartina naudoti tokias prieigos teisių suteikimo priemones, kurios leistų bendro identifikavimo būdu gauti visus tai funkcijai atlikti priklausančius išteklius (pvz., Active Directory, OpenLDAP).

Prieigos teisių užsakymas turėtų būti griežtai kontroliuojamas ir vykti pagal nustatytą procedūrą. Informacinės sistemos funkcionalumas turėtų būti suprojektuotas taip, kad galima būtų detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.

Įstaigoms patartina turėti prieigos užsakymo formą, kurią užsakymo atveju patvirtina atsakingas asmuo. Pacientų prieiga prie savo asmens duomenų taip pat neturi būti supaprastinta, jiems turi būti taikomi įprasti organizacijoje taikomi prieigos prie sveikatos asmens duomenų reikalavimai. Prieiga prie sveikatos kortelės galėtų būti suteikiama naudojant elektroninį parašą ar kitas patikimas tapatybės nustatymo ir patvirtinimo priemones. Reikalavimų griežtumas turi priklausyti nuo rizikos analizės rezultatų, t.y., kokios rizikos grupės sveikatos duomenys yra prieinami prisijungus atitinkamai identifikuojantis.

Vartotojų prisijungimo veiksmai prie informacinių sistemų, kuriose tvarkomi sveikatos asmens duomenys, taip pat prie tokių duomenų bazių ar failų turi būti kontroliuojami.

Kontrolės taisyklės ir tvarka nustato, kas, kaip ir kada kontroliuoja šį procesą. Pagrindinis tokios analizės šaltinis yra informacinės sistemos, duomenų bazės, tarnybinės stoties, ugniasienės ir kitų techninių ir programinių įrenginių kuriami elektroniniai įvykių žurnalai. Vartotojų veiksmų su sveikatos asmens duomenimis fiksavimas (rašymas, keitimas, šalinimas, peržiūra) turi būti numatytas projektuojant sveikatos priežiūros veiklai skirtą informacinę sistemą, nes techniniuose įvykių žurnaluose gali atsispindėti tik prisijungimo identifikatoriai, data, laikas.

Siekiant, kad kontrolės procesas būtų patogus, patartina naudoti papildomas rinkoje platinamas standartines programas, kurios integruoja ir apdoroja elektroninių įvykių žurnalų informaciją bei pateikia suvestines pagal pageidaujamus parametrus.

Jeigu identifikavimas vyksta naudojant slaptažodžius, jie turi būti administruojami pagal nustatytas taisykles: sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo ir pan. Jei vartotojas būna neaktyvus nustatytą laikotarpį, informacinė sistema turi automatiškai išjungti jį iš sistemos (angl. logoff).

Antra, įstaiga, tvarkanti sveikatos asmens duomenis, savo veiklą, užtikrinančią duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą, turi aiškiai ir tiksliai dokumentuoti. Tai būtina, siekiant užtikrinti personalo darbo kultūrą, procesų kontrolę, atskaitomybę ir informuotumą.

Įstaiga turi sukurti tikslią, detalią ir aiškią saugos ir konfidencialumo politiką, kurioje būtų nustatyta, kokia informacija yra konfidenciali ir kurie darbuotojai bei kokiais teisės aktų reikalavimais vadovaudamiesi turi teises ją tvarkyti. Dokumente turėtų būti aptarti personalo mokymo ir darbo su sveikatos asmens duomenimis kultūros kėlimo politika bei sankcijos pažeidimų atvejais. Saugos politikoje numatomas inventorizavimo bei rizikos vertinimo periodiškumas, teikiamos ataskaitos ir kontrolės mechanizmai. Darbuotojai, dirbantys su sveikatos asmens duomenimis, turėtų pasirašyti konfidencialumo pasižadėjimą.

Kita, detalesnė, dokumentų grupė yra taisyklės. Taisyklėse numatoma darbo su asmens duomenimis tvarka, konkrečios atsakomybės, rizikos vertinimo tvarka, darbo su popierinėmis sveikatos asmens duomenų bylomis tvarka, vartotojų identifikavimo, jų veiksmų registravimo tvarka ir pan.

Konkrečių darbo instrukcijų aprašymai pateikiami darbo procedūrų dokumentuose. Tai instrukcijos, skirtos atlikti konkrečią užduotį ar funkciją: atlikti atsarginį duomenų kopijavimą, administruoti vartotojus, kontroliuoti vartotojų veiksmų žurnalus ir pan.

Trečia, ir, turbūt, svarbiausia: vien tik prieigos teisių sukontroliavimas ir vidinių taisyklių pasitvirtinimas dar neužtikrina atitikties BDAR reikalavimams. Egzistuoja daugybė techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą, tačiau kiekvienu individualiu atveju šios priemonės gali kisti. Dėl šios priežasties kiekvienai įstaigai, įmonei ir organizacijai rekomenduojama atlikti rizikos vertinimą. Tai gali atlikti tiek savo darbuotojai, tiek pasitelkiami išorės ekspertai.

Raminta Stravinskaitė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, duomenų apsaugos ekspertė. Daugiausia konsultuoja klientus informacinių technologijų, žiniasklaidos, duomenų apsaugos, intelektinės nuosavybės teisės srityse.

Pasirinkite jus dominančias įmones ir temas – asmeniniu naujienlaiškiu informuosime iškart, kai jos bus minimos „Verslo žiniose“, „Sodros“, Registrų centro ir kt. šaltiniuose.

Tema „Vadyba“
M. Keizeris paskirtas naujuoju „Epso-G“ vadovu 2

Energijos perdavimo ir mainų įmonių grupės „Epso-G“ valdyba naujuoju vadovu paskyrė Mindaugą Keizerį, kuris...

Vadyba
14:23
VŽ klausomiausi podkastai birželį

Pateikiame daugiausia „Verslo žinių“ prenumeratorių dėmesio sulaukusių podkastų TOP 10.

Laisvalaikis
09:52
„Eurovaistinė internete“ darbo užkulisiai: griežtos kontrolės ir intuityvaus aptarnavimo balansas Verslo tribūna

Nors e. vaistinių sektoriaus specifika paremta griežtu reguliavimu ir kontrole, jai galioja bendri e.

Prekyba
05:30
Privatūs lėktuvai: godumo simbolis ar nauda verslui Premium

Ekspertai teigia, kad privatūs lėktuvai leidžia greitai įvertinti konkretaus asmens vidinius instinktus...

Vadyba
2022.06.30
„Vakarų laivų remontas“ locmanui neišmokėjo 35.600 Eur už viršvalandžius

Klaipėdos apygardos teismas konstatavo, kad „Vakarų laivų remontas“ darbuotojui neišmokėjo 35.600 Eur už...

Vadyba
2022.06.30
Migrantai galės įsidarbinti vos atšaukus jų judėjimo ribojimus 2

Seimas leido migrantams, įskaitant ir nelegaliai į Lietuvą patekusius ir prieglobsčio prašančius žmones,...

Vadyba
2022.06.30
„Vilniaus energijos“ ir „Litesko“ naujasis vadovas – R. Čepaitis

Nuo liepos 1 d. naujuoju „Vilniaus energijos“ ir „Litesko“ vadovu paskirtas Robertas Čepaitis, pastaruoju...

Vadyba
2022.06.30
Nedarbas Lietuvoje gegužę buvo mažesnis už ES vidurkį

Nedarbas gegužę Lietuvoje buvo mažesnis nei vidutiniškai Europos Sąjungos (ES) šalyse, skelbia Eurostatas.

Vadyba
2022.06.30
„Elektrum Lietuvos“ valdymo struktūros pokyčiai: atsiranda trijų narių valdyba

Latvijos grupei „Latvenergo“ priklausanti viena didžiausių Lietuvoje privačių energetikos bendrovių „Elektrum...

Vadyba
2022.06.30
Vasarą darbas kitoks: „Spiečiai“ kviečia pakeisti aplinką darbostogoms

Vasarą 13 savivaldybių įsikūrę bendradarbystės centrai „Spiečiai“ atveria erdves planuojantiems darbostogas...

Gazelė
2022.06.30
„AmerisourceBergen“ paslaugų centro Lietuvoje vadovu paskirtas L. Jankauskas

Pasaulinės sveikatos paslaugų įmonės „AmerisourceBergen“ verslo paslaugų centro Lietuvoje vadovu paskirtas...

Vadyba
2022.06.30
Naudos gavėjų duomenų teikimas: trys aktualūs klausimai ir atsakymai Verslo tribūna

Verslas ir organizacijos vis aktyviau teikia duomenis apie savo naudos gavėjus į naująją Registrų centro...

Lietuvos vežėjai: Vakarų kompanijoms konkuruoti su verslais iš Europos periferijos lengva nebus Premium 4

Palaipsniui įsigaliojančios Europos Sąjungos (ES) Mobilumo paketo nuostatos keičia visos Europos transporto...

Logistika
2022.06.30
„Teltonika Telematics“ vadovas: ne kiekviena klaida yra nusižengimas Premium

Trečias geidžiamiausias darbdavys Lietuvoje „Teltonika Telamatics“ dalijasi sėkmės istorija, kaip į...

Vadyba
2022.06.30
Du su valstybe siejamų bendrovių vadovai sukaupė milijoninį turtą

Du bendrovių, kurių akcininkė yra savivaldybė ar valstybė, vadovai yra milijonieriai, rodo vieši Valstybinės...

Vadyba
2022.06.29
Turtingiausių strateginių įmonių vadovų TOP 10 – M. Armonaitis, M. Rudnickis, A. Latakas

Tarp strateginių Lietuvos įmonių vadovų pagal deklaruoto 2021 m. turto ir lėšų vertę išsiskyrė Klaipėdos...

Vadyba
2022.06.29
Pilkos biuro juokelių, komplimentų ir replikų zonos: gali padėti vienas puslapis Premium

Savaime suprantamų taisyklių, kaip bendrauti komandoje, nėra – taip sutartinai sako organizacijų, kurios turi...

Vadyba
2022.06.29
Dirbantieji nelegaliai praras bedarbio statusą

Nuo liepos 1 d., nustačius nelegalų darbą arba nedeklaruotą savarankišką veiklą, bus naikinamas bedarbio...

Vadyba
2022.06.29
M. Navickienė: ruduo – geriausias metas priimti sprendimą dėl MMA

Monika Navickienė, socialinės apsaugos ir darbo ministrė, sako, kad rudenį būtų tinkamiausias metas priimti...

Vadyba
2022.06.29
Užimtumo sistemos pertvarka pareikalaus bent kelių mėnesių

Užimtumo tarnyba praneša, kad nuo liepos 1-osios keičiant užimtumo sistemą prireiks maždaug trijų mėnesių...

Vadyba
2022.06.29

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Valdyti Sutinku