Kas tai? Eksperto įžvalgos

Pirmos baudos po BDAR įsigaliojimo: ko iš to galime pasimokyti?

Publikuota: 2019-01-21
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.
Raminta Stravinskaitė, advokatų kontoros GLIMSTEDT vyresnioji teisininkė.

Europos Sąjungos šalyse skirtos pirmos baudos už asmens duomenų apsaugos pažeidimus po Bendrojo duomenų apsaugos reglamento įsigaliojimo 2018 m. gegužę.

Pirmoji bauda buvo paskirta praėjusių metų lapkričio pradžioje Austrijoje. Lažybų bendrovė susilaukė 4 800 EUR baudos dėl vaizdo stebėjimo reikalavimų nesilaikymo: vaizdo stebėjimo teritorija buvo neproporcingai didelė.

Antroji bauda paskirta to paties mėnesio pabaigoje, bet jau Portugalijoje. Nacionalinė priežiūros institucija vietos ligoninei paskyrė 400 000 EUR baudą už tris pažeidimus:

  • už duomenų kiekio mažinimo principo nesilaikymą skirta 150 000 EUR bauda;
  • už vientisumo ir konfidencialumo principo nesilaikymą, netaikant tinkamų techninių ir organizacinių priemonių, kad būtų užtikrintas tinkamas asmens duomenų saugumas, skirta taip pat 150 000 EUR bauda;
  • už nuolatinio duomenų tvarkymo sistemų ir paslaugų konfidencialumo, vientisumo, prieinamumo ir atsparumo neužtikrinimą skirta 100 000 EUR bauda.

Trečioji bauda buvo paskirta Vokietijoje socialinės žiniasklaidos bendrovei už duomenų saugumo reikalavimų nesilaikymą. Bendrovė pranešė, kad įsilaužus į jos sistemas buvo paveikta apie 808 000 el. pašto adresų ir slaptažodžių, dėl atakos galiausiai buvo neteisėtai atskleisti naudotojų asmens duomenys.

Taigi didžiausia bauda buvo paskirta medicinos sektoriuje. Portugalijos priežiūros institucija nustatė tokius pagrindinius ligoninės pažeidimus:

  • visiems ligoninės gydytojams, nepriklausomai nuo jų specializacijos, buvo suteiktos neribotos prieigos prie visų ligoninės pacientų duomenų;
  • ligoninės informacinėje sistemoje buvo sukurta daugiau naudotojų paskyrų nei faktiškai jų reikėjo, o gydytojų, kurie nebedirba ligoninėje, profiliai ir toliau buvo naudojami;
  • ligoninė neturėjo pasitvirtinusi vidinių teisės aktų, kuriuose būtų buvusi nustatyta informacinės sistemos kūrimo bei naudojimosi tvarka.

Ko iš to galime pasimokyti?

Visų pirma, turi būti užtikrinta prieigos prie sveikatos asmens duomenų suteikimo tvarka. Visi vartotojai: personalas, pacientai, įstaigos informacinių sistemų ir duomenų bazių administratoriai, paslaugas teikiančių trečiųjų šalių (išoriniai paslaugų teikėjai, teikiantys paslaugas pagal sutartį) administratoriai ir programinę įrangą prižiūrintys paslaugų teikėjai turi turėti prieigą tik prie tų duomenų, kurie jiems yra būtini funkcijoms atlikti, ir turi būti identifikuojami rizikos lygį atitinkančiomis priemonėmis (pvz., naudojant dviejų faktorių autentifikaciją).

Patartina naudoti tokias prieigos teisių suteikimo priemones, kurios leistų bendro identifikavimo būdu gauti visus tai funkcijai atlikti priklausančius išteklius (pvz., Active Directory, OpenLDAP).

Prieigos teisių užsakymas turėtų būti griežtai kontroliuojamas ir vykti pagal nustatytą procedūrą. Informacinės sistemos funkcionalumas turėtų būti suprojektuotas taip, kad galima būtų detaliai nurodyti, prie kokių duomenų ar jų grupių leidžiama prieiga ir kokias funkcijas su jais galima atlikti.

Įstaigoms patartina turėti prieigos užsakymo formą, kurią užsakymo atveju patvirtina atsakingas asmuo. Pacientų prieiga prie savo asmens duomenų taip pat neturi būti supaprastinta, jiems turi būti taikomi įprasti organizacijoje taikomi prieigos prie sveikatos asmens duomenų reikalavimai. Prieiga prie sveikatos kortelės galėtų būti suteikiama naudojant elektroninį parašą ar kitas patikimas tapatybės nustatymo ir patvirtinimo priemones. Reikalavimų griežtumas turi priklausyti nuo rizikos analizės rezultatų, t.y., kokios rizikos grupės sveikatos duomenys yra prieinami prisijungus atitinkamai identifikuojantis.

Vartotojų prisijungimo veiksmai prie informacinių sistemų, kuriose tvarkomi sveikatos asmens duomenys, taip pat prie tokių duomenų bazių ar failų turi būti kontroliuojami.

Kontrolės taisyklės ir tvarka nustato, kas, kaip ir kada kontroliuoja šį procesą. Pagrindinis tokios analizės šaltinis yra informacinės sistemos, duomenų bazės, tarnybinės stoties, ugniasienės ir kitų techninių ir programinių įrenginių kuriami elektroniniai įvykių žurnalai. Vartotojų veiksmų su sveikatos asmens duomenimis fiksavimas (rašymas, keitimas, šalinimas, peržiūra) turi būti numatytas projektuojant sveikatos priežiūros veiklai skirtą informacinę sistemą, nes techniniuose įvykių žurnaluose gali atsispindėti tik prisijungimo identifikatoriai, data, laikas.

Siekiant, kad kontrolės procesas būtų patogus, patartina naudoti papildomas rinkoje platinamas standartines programas, kurios integruoja ir apdoroja elektroninių įvykių žurnalų informaciją bei pateikia suvestines pagal pageidaujamus parametrus.

Jeigu identifikavimas vyksta naudojant slaptažodžius, jie turi būti administruojami pagal nustatytas taisykles: sudėtingumo, keitimo dažnumo, naikinimo, priminimo, saugojimo ir pan. Jei vartotojas būna neaktyvus nustatytą laikotarpį, informacinė sistema turi automatiškai išjungti jį iš sistemos (angl. logoff).

Antra, įstaiga, tvarkanti sveikatos asmens duomenis, savo veiklą, užtikrinančią duomenų konfidencialumą, saugumą, integralumą ir pasiekiamumą, turi aiškiai ir tiksliai dokumentuoti. Tai būtina, siekiant užtikrinti personalo darbo kultūrą, procesų kontrolę, atskaitomybę ir informuotumą.

Įstaiga turi sukurti tikslią, detalią ir aiškią saugos ir konfidencialumo politiką, kurioje būtų nustatyta, kokia informacija yra konfidenciali ir kurie darbuotojai bei kokiais teisės aktų reikalavimais vadovaudamiesi turi teises ją tvarkyti. Dokumente turėtų būti aptarti personalo mokymo ir darbo su sveikatos asmens duomenimis kultūros kėlimo politika bei sankcijos pažeidimų atvejais. Saugos politikoje numatomas inventorizavimo bei rizikos vertinimo periodiškumas, teikiamos ataskaitos ir kontrolės mechanizmai. Darbuotojai, dirbantys su sveikatos asmens duomenimis, turėtų pasirašyti konfidencialumo pasižadėjimą.

Kita, detalesnė, dokumentų grupė yra taisyklės. Taisyklėse numatoma darbo su asmens duomenimis tvarka, konkrečios atsakomybės, rizikos vertinimo tvarka, darbo su popierinėmis sveikatos asmens duomenų bylomis tvarka, vartotojų identifikavimo, jų veiksmų registravimo tvarka ir pan.

Konkrečių darbo instrukcijų aprašymai pateikiami darbo procedūrų dokumentuose. Tai instrukcijos, skirtos atlikti konkrečią užduotį ar funkciją: atlikti atsarginį duomenų kopijavimą, administruoti vartotojus, kontroliuoti vartotojų veiksmų žurnalus ir pan.

Trečia, ir, turbūt, svarbiausia: vien tik prieigos teisių sukontroliavimas ir vidinių taisyklių pasitvirtinimas dar neužtikrina atitikties BDAR reikalavimams. Egzistuoja daugybė techninių ir organizacinių priemonių, užtikrinančių duomenų apsaugą, tačiau kiekvienu individualiu atveju šios priemonės gali kisti. Dėl šios priežasties kiekvienai įstaigai, įmonei ir organizacijai rekomenduojama atlikti rizikos vertinimą. Tai gali atlikti tiek savo darbuotojai, tiek pasitelkiami išorės ekspertai.

Raminta Stravinskaitė yra advokatų kontoros GLIMSTEDT vyresnioji teisininkė, duomenų apsaugos ekspertė. Daugiausia konsultuoja klientus informacinių technologijų, žiniasklaidos, duomenų apsaugos, intelektinės nuosavybės teisės srityse.

Rašyti komentarą

Rašyti komentarą

Gauk nemokamą VERSLO VALDYMO savaitraštį į savo el.pašto dėžutę:

Pasirinkite Jus dominančius NEMOKAMUS savaitraščius:















Svarbiausios dienos naujienos trumpai:



 
„Revolut“ paskelbė vadovų komandos bankui Lietuvoje ir Europoje paieškas 6

Banką Lietuvoje kuriantis JK „fintech“ startuolis „Revolut“ darbo rinkoje pradėjo plačias aukščiausių vadovų...

Rinkos
2019.02.05
Algas tenka skaičiuoti neturint visų duomenų Premium 3

Kaip tik šiuo metu buhalteriai skaičiuoja darbo užmokestį už sausį – pirmąją algą po mokesčių reformos.

Finansai
2019.02.05
Sėkmės formulė: keistis šiandien, kad išliktum rytoj Rėmėjo turinys 1

3D spausdintuvais spausdinami namai. Laukus ariantys traktoriai-robotai. Filmus kuriantis dirbtinis...

Vadyba
2019.02.05
„Ad Rem“ grupė vadovus „prisirišo“ įmonės akcijomis Premium 2

Vienai didžiausių logistikos, transporto ir sandėliavimo grupių „Ad Rem“ priklausančioje bendrovėje „Ad Rem...

Transportas
2019.02.05
Įmonės rado modernų būdą kovoti su gripu Premium 3

Nors masinis sirgimas peršalimo ligomis kartojasi kasmet ir tampa įprastas kaip sniegas žiemą, verslas brėžia...

Vadyba
2019.02.04
„Luminor“ Lietuvoje atleis 420 žmonių 44

Metų pradžioje įgyvendinęs susijungimą Baltijos šalyse, „Luminor“ diegia naują veiklos modelį ir planuoja...

Vadyba
2019.02.04
Interviu su „Luminor“ vadovu: apie darbuotojų atleidimą ir ateities planus Premium 8

Vieno didžiausių šalies bankų „Luminor“, pirmadienį paskelbusio apie 400 žmonių atleidimą, vadovas Lietuvoje...

Rinkos
2019.02.04
Pardavimai X, Y ir Z kartų klientams: misija įmanoma Premium 1

Vartotojų, klientų, pirkėjų segmentavimas į skirtingas kartas neturėtų tapti panacėja. Pardavimuose, ypač...

Rinkodara
2019.02.04
Algos diena: kaip paskaičiuoti, kiek lieka po mokesčių Premium

Darbuotojai pasirašo naujas darbo sutartis, sulaukia atsiskaitymo lapelių už sausio mėnesį. Kartu kyla ir...

Finansai
2019.02.04
Kad šeimos verslas pasisektų, reikia planuoti jo perdavimą

Vienas iš šeimos verslo sėkmės garantų – jo perdavimo suplanavimas. „Forbes“ nurodo, kad gana mažai šeimos...

Gazelė
2019.02.03
H&M pasamdė analitiką, sukėlusį „Facebook“ duomenų nutekinimo skandalą 1

Švedijos drabužių prekybininkė „Hennes&Mauritz“ įdarbino Christopherį Wylie, dėl kurio pateiktos informacijos...

Prekyba
2019.02.03
Kaip įveikti „Sekmadienio sindromą“: paprasti triukai geram nusiteikimui 1

Jeigu vien mintis, kad pirmadienį vėl teks eiti į darbą jums kelia nerimą, nenusiminte, tokių žmonių tikrai...

Vadyba
2019.02.03
Smulkieji įžvelgia naudą būti visur, kur tik gali būti pastebėti

Smulkiam verslui reikia būti matomam nuo pat pirmųjų jo dienų ir žingsnių. Net tokie dalykai, kaip pirmosios...

Gazelė
2019.02.03
Kodėl tiekėjų rasti būna ne lengviau nei pirkėjų

Verslo pradžia visuomet sunki, nes užtrunka ne tik, kol prisijaukini pirkėją, bet ir kol pelnai tiekėjo...

Gazelė
2019.02.03
Tapti vaiduokliais kandidatai išmoko iš darbdavių  Premium 11

Įkaitusioje darbo rinkoje dažnėja atvejų, kai dirbti priimti kandidatai dingsta apie tai nepranešę bendrovei.

Vadyba
2019.02.03
Niekas nežino, kiek savivaldybių valdomų įmonių veikia pagrįstai. Inventorizacija būtina. 1

Prieš pusę metų Vietos savivaldos įstatyme pakeistos taisyklės, kurių turi laikytis savivaldybės, spręsdamos...

Vadyba
2019.02.02
 Kaip persikelti į naujas patalpas ir neprarasti dalies klientų

Kraustymosi procesas pareikalauja ir laiko, ir jėgų, ir, žinoma, pinigų. Vis dėlto galima atrasti būdą,...

Gazelė
2019.02.02
„Lietuvos geležinkeliai“ už 115.000 Eur vertins vadovų lyderystę 21

Valstybės valdoma bendrovė „Lietuvos geležinkeliai“ už 115.000 Eur vertins vadovų lyderystės kompetencijas.

Transportas
2019.02.02
Lietuvoje steigiama olandų įdarbinimo agentūra „Otto Work Force“ 1

Lietuvoje kuriasi Nyderlandų  įmonė „Otto Work Force“, teikianti įdarbinimo paslaugas Vakarų, Centrinėje ir...

Vadyba
2019.02.01
Kuriems specialistams šiemet Lietuvoje įsidarbinti bus sunkiausia 1

Tarp mažiausią paklausą Lietuvoje šiemet turinčių specialistų – įvairūs dizaineriai, teisininkai,...

Vadyba
2019.02.01

Verslo žinių pasiūlymai

Šioje svetainėje naudojame slapukus (angl. „cookies“). Jie padeda atpažinti prisijungusius vartotojus, matuoti auditorijos dydį ir naršymo įpročius; taip mes galime keisti svetainę, kad ji būtų jums patogesnė.
Sutinku Plačiau