Kas tai? Eksperto įžvalgos

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?

Publikuota: 2019-01-21
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Europos Sąjungos šalyse skirtos pirmos baudos už asmens duomenų apsaugos pažeidimus po Bendrojo duomenų apsaugos reglamento įsigaliojimo 2018 m. gegužę.

Pirmoji bauda buvo paskirta praėjusių metų lapkričio pradžioje Austrijoje. Lažybų bendrovė susilaukė 4 800 EUR baudos dėl vaizdo stebėjimo reikalavimų nesilaikymo: vaizdo stebėjimo teritorija buvo neproporcingai didelė.

Antroji bauda paskirta to paties mėnesio pabaigoje, bet jau Portugalijoje. Nacionalinė priežiūros institucija vietos ligoninei paskyrė 400 000 EUR baudą už tris pažeidimus:

  • už duomenų kiekio mažinimo principo nesilaikymą skirta 150 000 EUR bauda;
  • už vientisumo ir konfidencialumo principo nesilaikymą, netaikant tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, skirta taip pat 150 000 EUR bauda;
  • už nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo neužtikrinimą skirta 100 000 EUR bauda.

Trečioji bauda buvo paskirta Vokietijoje socialinės žiniasklaidos bendrovei už duomenų saugumo reikalavimų nesilaikymą. Bendrovė pranešė, kad įsilaužus į jos sistemas buvo paveikta apie 808 000 el. pašto adresų ir slaptažodžių, dėl atakos galiausiai buvo neteisėtai atskleisti naudotojų asmens duomenys.

Taigi didžiausia bauda buvo paskirta medicinos sektoriuje. Portugalijos priežiūros institucija nustatė tokius pagrindinius ligoninės pažeidimus:

  • visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų;
  • ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai jų reikėjo, o gydytojų, kurie nebedirba ligoninėje, profiliai ir toliau buvo naudojami;
  • ligoninė neturėjo pasitvirtinusi vidinių teisės aktų, kuriuose būtų buvusi nustatyta informacinės sistemos kūrimo bei naudojimosi tvarka.

Ko iš to galime pasimokyti?

Visų pirma, turi būti užtikrinta prieigos prie sveikatos asmens duomenų suteikimo tvarka. Visi vartotojai: personalas, pacientai, įstaigos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turi turėti prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir turi būti identifikuojami rizikos lygį atitinkančiomis priemonėmis (pvz., naudojant dviejų faktorių autentifikaciją).

Patartina naudoti tokias prieigos teisių suteikimo priemones, kurios leistų bendro identifikavimo būdu gauti visus tai funkcijai atlikti priklausančius išteklius (pvz., Active Directory, OpenLDAP).

Prieigos teisių užsakymas turėtų būti griežtai kontroliuojamas ir vykti pagal nustatytą procedūrą. Informacinės sistemos funkcionalumas turėtų būti suprojektuotas taip, kad galima būtų detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.

Įstaigoms patartina turėti prieigos užsakymo formą, kurią užsakymo atveju patvirtina atsakingas asmuo. Pacientų prieiga prie savo asmens duomenų taip pat neturi būti supaprastinta, jiems turi būti taikomi įprasti organizacijoje taikomi prieigos prie sveikatos asmens duomenų reikalavimai. Prieiga prie sveikatos kortelės galėtų būti suteikiama naudojant elektroninį parašą ar kitas patikimas tapatybės nustatymo ir patvirtinimo priemones. Reikalavimų griežtumas turi priklausyti nuo rizikos analizės rezultatų, t.y., kokios rizikos grupės sveikatos duomenys yra prieinami prisijungus atitinkamai identifikuojantis.

Vartotojų prisijungimo veiksmai prie informacinių sistemų, kuriose tvarkomi sveikatos asmens duomenys, taip pat prie tokių duomenų bazių ar failų turi būti kontroliuojami.

Kontrolės taisyklės ir tvarka nustato, kas, kaip ir kada kontroliuoja šį procesą. Pagrindinis tokios analizės šaltinis yra informacinės sistemos, duomenų bazės, tarnybinės stoties, ugniasienės ir kitų techninių ir programinių įrenginių kuriami elektroniniai įvykių žurnalai. Vartotojų veiksmų su sveikatos asmens duomenimis fiksavimas (rašymas, keitimas, šalinimas, peržiūra) turi būti numatytas projektuojant sveikatos priežiūros veiklai skirtą informacinę sistemą, nes techniniuose įvykių žurnaluose gali atsispindėti tik prisijungimo identifikatoriai, data, laikas.

Siekiant, kad kontrolės procesas būtų patogus, patartina naudoti papildomas rinkoje platinamas standartines programas, kurios integruoja ir apdoroja elektroninių įvykių žurnalų informaciją bei pateikia suvestines pagal pageidaujamus parametrus.

Jeigu identifikavimas vyksta naudojant slaptažodžius, jie turi būti administruojami pagal nustatytas taisykles: sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo ir pan. Jei vartotojas būna neaktyvus nustatytą laikotarpį, informacinė sistema turi automatiškai išjungti jį iš sistemos (angl. logoff).

Antra, įstaiga, tvarkanti sveikatos asmens duomenis, savo veiklą, užtikrinančią duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą, turi aiškiai ir tiksliai dokumentuoti. Tai būtina, siekiant užtikrinti personalo darbo kultūrą, procesų kontrolę, atskaitomybę ir informuotumą.

Įstaiga turi sukurti tikslią, detalią ir aiškią saugos ir konfidencialumo politiką, kurioje būtų nustatyta, kokia informacija yra konfidenciali ir kurie darbuotojai bei kokiais teisės aktų reikalavimais vadovaudamiesi turi teises ją tvarkyti. Dokumente turėtų būti aptarti personalo mokymo ir darbo su sveikatos asmens duomenimis kultūros kėlimo politika bei sankcijos pažeidimų atvejais. Saugos politikoje numatomas inventorizavimo bei rizikos vertinimo periodiškumas, teikiamos ataskaitos ir kontrolės mechanizmai. Darbuotojai, dirbantys su sveikatos asmens duomenimis, turėtų pasirašyti konfidencialumo pasižadėjimą.

Kita, detalesnė, dokumentų grupė yra taisyklės. Taisyklėse numatoma darbo su asmens duomenimis tvarka, konkrečios atsakomybės, rizikos vertinimo tvarka, darbo su popierinėmis sveikatos asmens duomenų bylomis tvarka, vartotojų identifikavimo, jų veiksmų registravimo tvarka ir pan.

Konkrečių darbo instrukcijų aprašymai pateikiami darbo procedūrų dokumentuose. Tai instrukcijos, skirtos atlikti konkrečią užduotį ar funkciją: atlikti atsarginį duomenų kopijavimą, administruoti vartotojus, kontroliuoti vartotojų veiksmų žurnalus ir pan.

Trečia, ir, turbūt, svarbiausia: vien tik prieigos teisių sukontroliavimas ir vidinių taisyklių pasitvirtinimas dar neužtikrina atitikties BDAR reikalavimams. Egzistuoja daugybė techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą, tačiau kiekvienu individualiu atveju šios priemonės gali kisti. Dėl šios priežasties kiekvienai įstaigai, įmonei ir organizacijai rekomenduojama atlikti rizikos vertinimą. Tai gali atlikti tiek savo darbuotojai, tiek pasitelkiami išorės ekspertai.

Raminta Stravinskaitė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, duomenų apsaugos ekspertė. Daugiausia konsultuoja klientus informacinių technologijų, žiniasklaidos, duomenų apsaugos, intelektinės nuosavybės teisės srityse.

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:













Svarbiausios dienos naujienos trumpai:



 
Rašyti komentarą 0
Darbuotojų apklausa: po dešimtmečio kasdien dirbti biure gali būti egzotika

Darbo rinkai spėriai transformuojantis, netrukus gali būti tikra egzotika kasdien keliauti į biurą.

Vadyba
2019.11.23
Koks yra valdybos vaidmuo strategijoje? 1

Pastaruoju metu Lietuvoje daug kalbama apie nepriklausomas valdybas ir jų svarbą ne tik viešajame sektoriuje,...

Vadyba
2019.11.22
„WeWork“ atleidžia 2.400 darbuotojų

JAV bendradarbystės centrų kompanija „WeWork“ išdalino atleidimo lapelius 2.400 darbuotojų. Tokia būdu...

Vadyba
2019.11.22
Kaip vadovauti biuro užsispyrėliams ir niurzgliams Premium

Jeigu šaukštas deguto gali pagadinti statinę medaus, tai vienas nuolatos bumbantis darbuotojas gali...

Vadyba
2019.11.22
Šalyje yra 18.300 laisvų darbo vietų

Šių metų trečiojo ketvirčio pabaigoje šalyje buvo 18.300 laisvų darbo vietų samdomiesiems darbuotojams.

Vadyba
2019.11.22
Kultūros renginių rėmimas: įtraukti vartotoją prasmingu turiniu (interviu) Verslo tribūna

Šiandien nebestebina didėjantis privačių rėmėjų ir kultūros renginių partnerysčių skaičius. „Rėmimo svarba...

Vadyba
2019.11.22
Darbuotojų skaičiaus pokyčiai: labiausiai mažėja „Maximoje“, o auga – besiplečiančiame „Lidl“  Premium 4

Nauji darbo organizavimo sprendimai, efektyvumas, savitarnos technologijos leidžia prekybininkams mažinti...

Prekyba
2019.11.21
Lietuvos moksleiviams trūksta globalaus požiūrio į verslą - „Junior achievement“ tam kuria „Acceleratorx“ Verslo tribūna

Organizacijos „Hofstede Insights“ atlikto tyrimo duomenimis, Lietuvos moksleiviai yra orientuoti į...

Vadyba
2019.11.20
Hakatonai kuria patrauklią įmonės kultūrą, bet ne inovacijas Premium

Šiuolaikiniams lyderiams nebepakanka inicijuoti pokyčius – tie pokyčiai privalo būti esminiai, iš pagrindų...

Vadyba
2019.11.20
Padažnėjus informacijos nutekinimo atvejams, „Google“ keičia susirinkimų tvarką

JAV technologijų milžinė „Google“ neberengs savaitinių susirinkimų, kuriuose vadovai atsako į darbuotojams...

Vadyba
2019.11.20
Galimybė kaupti be „Sodros“ ir pajamų mokesčio: kam patikėti pinigus Premium 4

Darbdavio įmokos darbuotojų naudai šiuo metu yra palankiausias kaupimo būdas, tačiau iki šiol tokia galimybe...

Finansai
2019.11.20
„Technopolis Lietuva“ reorganizuoja valdomas įmones Premium

Didžiausią biurų parką Vilniuje valdanti UAB „Technopolis Lietuva“ efektyvina veiklą ir reorganizuoja šešias...

Statyba ir NT
2019.11.20
Pasaulio talentų reitinge Lietuva aplenkė Latviją, bet atsilieka nuo estų

IMD pasaulio talentų reitinge (angl. IMD, World Talent Report 2019) Lietuva 8 pozicijomis pakilo aukštyn.

Vadyba
2019.11.19
Paskutinis penkmetis – virsmo metai pramogų versle: viską gauti nori iš vienų rankų Verslo tribūna

Prieš 15-a metų visos Lietuvos dėmesį prikaustė svarbus įvykis – po 13 mėnesių trukusių statybų buvo...

Vadyba
2019.11.19
Pradėta taikyti Informacijos apie Lietuvoje dirbančius užsieniečius pateikimo tvarka, kurioje nustatytos naujos pareigos darbdaviams Verslo tribūna 1

Šių metų rugsėjį „Sodros“, Valstybinės darbo inspekcijos bei Užimtumo tarnybos vadovai priėmė įsakymą, kuriuo...

Vadyba
2019.11.18
Kaip išlaikyti verslą, kai konkurencija žvėriška Premium

Kuo mažesnių investicijų reikia verslui pradėti, tuo sektoriuje aštresnė konkurencija bei daugiau bandymų...

Gazelė
2019.11.18
Algų skirtumai: moteris baudžia už kompetenciją, vyrus apdovanoja už jos trūkumą Premium 5

Dirbti komandoje be vadovo, kuris, stovėdamas už nugaros skaičiuotų rezultatus ir klaidas, – dažno...

Vadyba
2019.11.18
10 frazių, kurios dirbančius biure varo iš proto

E. rinkodaros platforma „GetResponse“ daugiau  kaip 1.000 biuruose dirbančių specialistų pasiteiravo, kokios...

Vadyba
2019.11.17
Sėkmingam naujoko startui reikia dviejų sąlygų Premium

Įmonėms neužtenka tik strategijos, kaip pritraukti talentų, reikia ir sėkmingos naujo darbuotojo įvedimo į...

Vadyba
2019.11.16
Trys taisyklės, kurios verslą apsaugo nuo susinaikinimo Premium

Sparčiai augantis verslas pasiekia etapą, kai arba būtina imtis kardinalių pokyčių, arba viskas, kas sukurta,...

Gazelė
2019.11.15

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau