Gydytoja pastebėjo, kad prie jos medicininių duomenų jungėsi su gydymu nesusiję darbuotojai
Valstybinė duomenų apsaugos inspekcija (VDAI) išnagrinėjo gydytojos skundą dėl galimai neteisėto jos sveikatos duomenų tikrinimo Šakių pirminės asmens sveikatos priežiūros centre.
Kaip nurodoma VDAI sprendime, moteris pastebėjo, kad prie jos paciento kortelės informacinėje sistemoje jungėsi darbuotojos, kurios neteikė gydymo paslaugų ir neatliko funkcijų, susijusių su medicininių duomenų tvarkymu. Tuo metu pati pareiškėja dirbo toje pačioje įstaigoje ir kartu buvo jos pacientė.
Pasak pareiškėjos, šie prisijungimai suteikė galimybę matyti itin jautrią informaciją – diagnozes, gydymo duomenis, tyrimus ir nedarbingumo istoriją. Ji taip pat pabrėžė, kad pagal įstaigos tvarką prie tokių duomenų turėtų jungtis tik gydymo paslaugas teikiantys specialistai.
Dėl to ji kreipėsi į inspekciją, prašydama įvertinti, ar jos sveikatos duomenys buvo tvarkomi teisėtai.
Įstaiga aiškino, kad duomenys tikrinti dėl darbo funkcijų, tačiau inspekcija šių argumentų nelaikė pakankamais
Gydymo įstaiga teigė, kad darbuotojos prie sistemos jungėsi vykdydamos savo darbo funkcijas – tikrindamos mokėjimus, sudarydamos darbo grafikus ar aiškindamosi nedarbingumo laikotarpius.
Pačių darbuotojų paaiškinimuose nurodyta, kad jos tikrino nedarbingumo datas, darbo grafikus ar kasos operacijų duomenis. Tačiau VDAI nustatė, kad per kelias savaites prie pareiškėjos kortelės buvo jungtasi šešis kartus.
VDAI sprendime pažymima, kad prisijungimų metu buvo susipažinta su pareiškėjos sveikatos duomenimis. Taip pat pabrėžiama, kad net pats prisijungimas prie tokios sistemos laikomas asmens duomenų tvarkymu.
Inspekcija akcentavo, kad įstaiga nepateikė aiškaus teisinio pagrindo tokiam duomenų tikrinimui. Be to, nurodyta, kad informaciją apie darbuotojo nedarbingumą darbdavys gali gauti ir kitais teisėtais būdais, pavyzdžiui, iš paties darbuotojo ar per „Sodrą“.
Inspekcija nustatė pažeidimus ir įpareigojo griežtinti prieigą prie duomenų
Įvertinusi surinktą informaciją, VDAI konstatavo, kad gydymo įstaiga pažeidė Bendrojo duomenų apsaugos reglamento (BDAR) nuostatas. Nustatyta, kad sveikatos duomenys buvo tvarkomi neteisėtai, nes nebuvo pagrįsti teisėtomis sąlygomis.
Taip pat nustatyta, kad darbuotojams buvo suteiktos per plačios prieigos prie duomenų. Tai reiškia, kad su jautria informacija galėjo susipažinti ir tie darbuotojai, kuriems ji nėra būtina jų darbo funkcijoms atlikti.
Dėl šių pažeidimų įstaigai skirtas papeikimas. Be to, nurodyta imtis konkrečių priemonių – aiškiai apibrėžti darbuotojų roles, atsakomybes ir prieigos teises bei užtikrinti, kad prie pacientų duomenų galėtų jungtis tik tie darbuotojai, kuriems to reikia.
