Kas tai? Eksperto įžvalgos

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?

Publikuota: 2019-01-21
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Europos Sąjungos šalyse skirtos pirmos baudos už asmens duomenų apsaugos pažeidimus po Bendrojo duomenų apsaugos reglamento įsigaliojimo 2018 m. gegužę.

Pirmoji bauda buvo paskirta praėjusių metų lapkričio pradžioje Austrijoje. Lažybų bendrovė susilaukė 4 800 EUR baudos dėl vaizdo stebėjimo reikalavimų nesilaikymo: vaizdo stebėjimo teritorija buvo neproporcingai didelė.

Antroji bauda paskirta to paties mėnesio pabaigoje, bet jau Portugalijoje. Nacionalinė priežiūros institucija vietos ligoninei paskyrė 400 000 EUR baudą už tris pažeidimus:

  • už duomenų kiekio mažinimo principo nesilaikymą skirta 150 000 EUR bauda;
  • už vientisumo ir konfidencialumo principo nesilaikymą, netaikant tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, skirta taip pat 150 000 EUR bauda;
  • už nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo neužtikrinimą skirta 100 000 EUR bauda.

Trečioji bauda buvo paskirta Vokietijoje socialinės žiniasklaidos bendrovei už duomenų saugumo reikalavimų nesilaikymą. Bendrovė pranešė, kad įsilaužus į jos sistemas buvo paveikta apie 808 000 el. pašto adresų ir slaptažodžių, dėl atakos galiausiai buvo neteisėtai atskleisti naudotojų asmens duomenys.

Taigi didžiausia bauda buvo paskirta medicinos sektoriuje. Portugalijos priežiūros institucija nustatė tokius pagrindinius ligoninės pažeidimus:

  • visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų;
  • ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai jų reikėjo, o gydytojų, kurie nebedirba ligoninėje, profiliai ir toliau buvo naudojami;
  • ligoninė neturėjo pasitvirtinusi vidinių teisės aktų, kuriuose būtų buvusi nustatyta informacinės sistemos kūrimo bei naudojimosi tvarka.

Ko iš to galime pasimokyti?

Visų pirma, turi būti užtikrinta prieigos prie sveikatos asmens duomenų suteikimo tvarka. Visi vartotojai: personalas, pacientai, įstaigos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turi turėti prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir turi būti identifikuojami rizikos lygį atitinkančiomis priemonėmis (pvz., naudojant dviejų faktorių autentifikaciją).

Patartina naudoti tokias prieigos teisių suteikimo priemones, kurios leistų bendro identifikavimo būdu gauti visus tai funkcijai atlikti priklausančius išteklius (pvz., Active Directory, OpenLDAP).

Prieigos teisių užsakymas turėtų būti griežtai kontroliuojamas ir vykti pagal nustatytą procedūrą. Informacinės sistemos funkcionalumas turėtų būti suprojektuotas taip, kad galima būtų detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.

Įstaigoms patartina turėti prieigos užsakymo formą, kurią užsakymo atveju patvirtina atsakingas asmuo. Pacientų prieiga prie savo asmens duomenų taip pat neturi būti supaprastinta, jiems turi būti taikomi įprasti organizacijoje taikomi prieigos prie sveikatos asmens duomenų reikalavimai. Prieiga prie sveikatos kortelės galėtų būti suteikiama naudojant elektroninį parašą ar kitas patikimas tapatybės nustatymo ir patvirtinimo priemones. Reikalavimų griežtumas turi priklausyti nuo rizikos analizės rezultatų, t.y., kokios rizikos grupės sveikatos duomenys yra prieinami prisijungus atitinkamai identifikuojantis.

Vartotojų prisijungimo veiksmai prie informacinių sistemų, kuriose tvarkomi sveikatos asmens duomenys, taip pat prie tokių duomenų bazių ar failų turi būti kontroliuojami.

Kontrolės taisyklės ir tvarka nustato, kas, kaip ir kada kontroliuoja šį procesą. Pagrindinis tokios analizės šaltinis yra informacinės sistemos, duomenų bazės, tarnybinės stoties, ugniasienės ir kitų techninių ir programinių įrenginių kuriami elektroniniai įvykių žurnalai. Vartotojų veiksmų su sveikatos asmens duomenimis fiksavimas (rašymas, keitimas, šalinimas, peržiūra) turi būti numatytas projektuojant sveikatos priežiūros veiklai skirtą informacinę sistemą, nes techniniuose įvykių žurnaluose gali atsispindėti tik prisijungimo identifikatoriai, data, laikas.

Siekiant, kad kontrolės procesas būtų patogus, patartina naudoti papildomas rinkoje platinamas standartines programas, kurios integruoja ir apdoroja elektroninių įvykių žurnalų informaciją bei pateikia suvestines pagal pageidaujamus parametrus.

Jeigu identifikavimas vyksta naudojant slaptažodžius, jie turi būti administruojami pagal nustatytas taisykles: sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo ir pan. Jei vartotojas būna neaktyvus nustatytą laikotarpį, informacinė sistema turi automatiškai išjungti jį iš sistemos (angl. logoff).

Antra, įstaiga, tvarkanti sveikatos asmens duomenis, savo veiklą, užtikrinančią duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą, turi aiškiai ir tiksliai dokumentuoti. Tai būtina, siekiant užtikrinti personalo darbo kultūrą, procesų kontrolę, atskaitomybę ir informuotumą.

Įstaiga turi sukurti tikslią, detalią ir aiškią saugos ir konfidencialumo politiką, kurioje būtų nustatyta, kokia informacija yra konfidenciali ir kurie darbuotojai bei kokiais teisės aktų reikalavimais vadovaudamiesi turi teises ją tvarkyti. Dokumente turėtų būti aptarti personalo mokymo ir darbo su sveikatos asmens duomenimis kultūros kėlimo politika bei sankcijos pažeidimų atvejais. Saugos politikoje numatomas inventorizavimo bei rizikos vertinimo periodiškumas, teikiamos ataskaitos ir kontrolės mechanizmai. Darbuotojai, dirbantys su sveikatos asmens duomenimis, turėtų pasirašyti konfidencialumo pasižadėjimą.

Kita, detalesnė, dokumentų grupė yra taisyklės. Taisyklėse numatoma darbo su asmens duomenimis tvarka, konkrečios atsakomybės, rizikos vertinimo tvarka, darbo su popierinėmis sveikatos asmens duomenų bylomis tvarka, vartotojų identifikavimo, jų veiksmų registravimo tvarka ir pan.

Konkrečių darbo instrukcijų aprašymai pateikiami darbo procedūrų dokumentuose. Tai instrukcijos, skirtos atlikti konkrečią užduotį ar funkciją: atlikti atsarginį duomenų kopijavimą, administruoti vartotojus, kontroliuoti vartotojų veiksmų žurnalus ir pan.

Trečia, ir, turbūt, svarbiausia: vien tik prieigos teisių sukontroliavimas ir vidinių taisyklių pasitvirtinimas dar neužtikrina atitikties BDAR reikalavimams. Egzistuoja daugybė techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą, tačiau kiekvienu individualiu atveju šios priemonės gali kisti. Dėl šios priežasties kiekvienai įstaigai, įmonei ir organizacijai rekomenduojama atlikti rizikos vertinimą. Tai gali atlikti tiek savo darbuotojai, tiek pasitelkiami išorės ekspertai.

Raminta Stravinskaitė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, duomenų apsaugos ekspertė. Daugiausia konsultuoja klientus informacinių technologijų, žiniasklaidos, duomenų apsaugos, intelektinės nuosavybės teisės srityse.

Rašyti komentarą

Rašyti komentarą

„Alibaba“ įkūrėjas: dirbti 12 val. per parą, 6 dienas per savaitę – palaima Premium 5

Kai vis aktyviau diskutuojama apie darbo savaitės trumpinimą bei tokio pokyčio naudą darbuotojams, Jacko Ma,...

Vadyba
11:11
Darbuotojus motyvuoja robotai Algis ir Pūkis Premium

Robotai ir darbų automatizacija dažnai įsivaizduojami kaip žmogiškosios darbo jėgos priešai. Tačiau bent jau...

Vadyba
07:05
Pesimistinis scenarijus: iki 2030 m. Lietuvoje liks 2,4 mln. gyventojų 38

Per ateinančius šešerius metus žmonių skaičius Lietuvoje gali sumažėti iki 2,5 mln. žmonių, o iki 2030 m.

Vadyba
2019.04.16
Vilniaus kino klasteris siekia užsienio dėmesio Baltijos regionui Verslo tribūna

Kartu su „Kino pavasariu“ neseniai praūžė ir svarbiausias metų kino industrijos renginys Lietuvoje „Meeting...

Paslaugos
2019.04.16
Kaip išlikti įsitraukus į savo darbą

Darbuotojo įsitraukimas – naudingas ne tik jį samdančiai įmonei, bet ir pačiam darbuotojui. Naujas tyrimas...

Vadyba
2019.04.15
Kai liežuvis tampa CEO priešu – įmonei tai gali brangiai kainuoti

Kartais nereikšminga frazė gali sukelti sumaištį, ypač jei tą frazę ištarė vadovas. Vadybos specialistai...

Vadyba
2019.04.14
Dėl prastos komunikacijos darbuotojai nori mesti darbą 2

Vidinė komunikacija – svarbus įmonės sėkmės veiksnys. Jis ne tik daro įtaką bendrovės finansiniams...

Vadyba
2019.04.13
Kokia „Amazon“ įkūrėjo J. Bezoso metinė alga 9

Jeffo Bezoso, JAV prekybos milžinės „Amazon“ įkūrėjo ir turtingiausio pasaulio žmogaus, darbo užmokestis...

Vadyba
2019.04.13
Kaip „Danske Bank“ darbuotojų mokymo trukmę sumažino 5 kartus Premium 12

Standartizuoti veiklos procesai įmonėje padeda darbuotojams taupyti laiką bei įgalina juos dirbti...

Vadyba
2019.04.12
Teatras ir verslas: ko iš režisierių gali išmokti vadovai? Verslo tribūna

Teatras ir verslas yra panašūs tuo, kad tiek spektaklio premjerą, tiek verslo projektų sėkmę nulemia stipri...

Rinkodara
2019.04.11
Kaip „Air Asia“ CEO 0,26 USD vertės bendrovę išaugino iki milijardinio verslo 1

Sėkmingam vadovui svarbu ne tik mokėti keistis pačiam, bet ir gebėti suburti gabių specialistų komandą,...

Vadyba
2019.04.11
Paskirta nauja švietimo, mokslo ir sporto viceministrė 1

Švietimo, mokslo ir sporto ministerijoje darbą pradėjo nauja viceministrė Kornelija Tiesnesytė, kuruojanti...

Vadyba
2019.04.11
Ateities profesijai specialistų reikia jau dabar Verslo tribūna

Nors praėjusiame dešimtmetyje mobilusis telefonas tebuvo daiktas paskambinti anksti ryte ar vėlai vakare, kai...

Ateities miestas
2019.04.11
Pamatyti, kad darbuotojas išeis, galima prieš 9 mėnesius 5

Pirmieji ženklai, signalizuojantys apie kolektyvo nario būsimą pabėgimą iš įmonės, matyti likus 9 mėnesiams...

Vadyba
2019.04.10
Darbas ne biure – nauja norma, su kuria darbdaviai turi susitaikyti

Galimybė dirbti nebūtinai biure yra nauja norma tarp darbuotojų. Be to, renkantis darbovietę vis didesniu...

Vadyba
2019.04.09
Vadovės ambicija: LRT – patraukliausias darbdavys Premium 11

„Tiek daug ir taip intensyviai gyvenime dar nedirbau“, — prisipažįsta Monika Garbačiauskaitė-Budrienė, metus...

Vadyba
2019.04.09
E. Musko atleistą vadovą pasamdė J. Bezosas 3

Geri vadovai be darbo nebūna, ko gero, taip būtų galima apibūdinti Jeffo Bezoso, „Amazon“ įkūrėjo, sprendimą...

Vadyba
2019.04.08
Grįžtamasis ryšys veikia, kai vadovas supranta tokios praktikos svarbą Premium

Efektyvus grįžtamasis ryšys gali būti darbuotojų ugdymo, skatinimo bei motyvacijos didinimo priemonė. Kad...

Vadyba
2019.04.08
Mentorių turėti nori, bet ne visiems pavyksta tokį sutikti

Tinkamas mentorius gali padėti darbuotojui greičiau tobulėti. Bėda ta, kad toli gražu ne visiems pavyksta...

Vadyba
2019.04.07
Patrauklaus darbdavio įvaizdis: gražesnių skelbimų nepakanka 4

Susidaro įspūdis, kad patrauklaus darbdavio įvaizdis (angl. employer branding), paskutiniu metu yra...

Rinkodara
2019.04.07

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau