healthcare sector

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui –  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti nustatytos tam tikros procedūros, kurios gali būti taikomos nedelsiant. Pradedant atsargumo didinimu, dirbant su smens duomenimis,  žinant, kur jie saugomi ir kaip jie yra tvarkomi. Tai taikoma tiek viešajam, tiek privačiam sektoriui: ligoninėms ir klinikoms, dantų priežiūrai, vaistinėms, slaugos namams, diagnostikos centrams ir laboratorijoms, e-parduotuvėms, parduodančioms vaistus, ir betkuriai kitai įmonei ar organizacijai, kuri tvarko asmens duomenissusijusius su sveikata.

Specialių kategorijų duomenų apibrėžimas ir sąlygos juos apdorojant 

BDAR apibrėžia asmens duomenis, tvarkomus sveikatos priežiūros sektoriuje, kaip „specialių kategorijų duomenis“. Todėl apsaugos standartai yra kurkas didesni. BDAR nurodo tris specialias nuorodas į duomenis apie sveikatą:

  1. Sveikatos duomenys – asmens duomenys, susiję su fizine ar psichine fizinio asmens sveikata, įskaitant duomenis apie sveikatos priežiūros paslaugų teikimą, atskleidžiantys informaciją apie to fizinio asmens sveikatos būklę;;
  2. genetiniai duomenys – asmens duomenys, susiję su paveldėtomis ar įgytomis fizinio asmens genetinėmis savybėmis, suteikiančiomis unikalios informacijos apie to fizinio asmens fiziologiją ar sveikatą, ir kurie gauti visų pirma analizuojant biologinį atitinkamo fizinio asmens mėginį;
  3. Biometriniai duomenys – po specialaus techninio apdorojimo gauti asmens duomenys, susiję su fizinio asmens fizinėmis, fiziologinėmis arba elgesio savybėmis, pagal kurias galima konkrečiai nustatyti arba patvirtinti to fizinio asmens tapatybę, kaip antai veido atvaizdai arba daktiloskopiniai duomenys.

Minėtų duomenų formų apdorojimas leidžiamas tik tam tikromis sąlygomis:

  1. Aiškus duomenų subjekto suteiktas sutikimas;
  2. Tvarkyti duomenis būtina profilaktinės arba darbo medicinos tikslais, siekiant įvertinti darbuotojo darbingumą, nustatyti medicininę diagnozę, teikti sveikatos priežiūros arba socialinės rūpybos paslaugas ar gydymą arba valdyti sveikatos priežiūros ar socialinės rūpybos sistemas ir paslaugas;
  3. Tvarkyti duomenis būtina dėl viešojo intereso priežasčių visuomenės sveikatos srityje, pavyzdžiui, siekiant apsisaugoti nuo rimtų tarpvalstybinio pobūdžio grėsmių sveikatai arba užtikrinti aukštus sveikatos priežiūros ir vaistų arba medicinos priemonių kokybės ir saugos standartus

Tačiau, remiantis BDAR,  valstybės gali laikytis pateiktų arba nurodyti papildomas sąlygas, įskaitant apribojimus dėl genetinių duomenų, biometrinių duomenų ar sveikatos duomenų tvarkymo.

Su BDAR duomenų subjektai įgijo daugiau teisių. Sveikatos priežiūros sektorius turi atkreipti į  teisė gauti prieigą, leidžianti duomenų subjektams susipažinti su jų tvarkomais sveikatos duomenimis. Teisė į duomenų perkėlimą leidžia duomenų subjektams lengviau perduoti savo sveikatos duomenis bet kuriam kitam sveikatos priežiūros paslaugų teikėjui. Teisė būti pamirštam – sunkiausia įgyvendinama, leidžia duomenų subjektams reikalauti,  kad jų sveikatos duomenų tvarkymas būtų nutrauktas ir visi turimi duomenys būtų pašalinti.

BDAR nurodo, kad įmonės ir organizacijos sveikatos priežiūros sektoriuje turėtų būti  paskirtas duomenų apsaugos pareigūnas (DPO), nes spec.kategorijų duomenys tvarkomi dideliu mastu. Duomenų apsaugos poveikio vertinimo (DPIA) atlikimas padeda įvertinti rizikos duomenų subjekto teisėms ir laisvėms, kilmę, pobūdį, specifiškumą ir pavojingumą.

Įmonės ir organizacijos sveikatos priežiūros sektoriuje privalo pranešti apie saugumo pažeidimus (per 72 valandas) ne tik vietos duomenų apsaugos institucijai, bet ir asmenims, kurių asmens duomenys gali būti pažeisti. Turi būti numatytos aiškios, praktiškos ir veiksmingos procedūros, kurios būtų vykdomos pažeidimo atveju.  Turi būti įdiegta pranešimo apie pažeidimą procedūra, įskaitant aptikimo ir reagavimo pajėgumus. Todėl, kartas nuo karto patartina atlikti personalo mokymus.

Duomenų apsaugos pažeidimo atveju baudos gali siekti iki 20 mln. € arba 4%  metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Naujausias pažeidimas sveikatos priežiūros sektoriuje įvyko Portugalijos ligoninėje. Iš pradžių jai buvo paskirta 400 000 eurų bauda už prieigą prie paciento duomenų per netikras gydytojų paskiras. Skaitykite plačiau apie BDAR baudas.

ES valstybės narės gali nustatyti kokio masto administracinės baudos gali būti skiriamos toje valstybėje narėje įsteigtoms valdžios institucijoms ir įstaigoms. Tačiau tai nereiškia, kad jos gali būti atleidžiamos nuo atsakomybės.

Įmonių ir organizacijų sveikatos priežiūros sektoriuje žingsniai siekiant laikytis reikalavimų 

Dėl senstančios IT infrastruktūros ir silpnos IT saugumo praktikos, sveikatos priežiūros sektorius yra vienas iš didžiausių taikinių kibernetinėms atakoms. Tai reiškia, kad reikia nustatyti technines saugumo priemones, kad būtų išvengta neteisėtos prieigos prie serveryje ar debesijoje laikomų asmens duomenų, jų neteisėto naudojimo ir praradimo.

 

Skaitykite daugiau:
https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1543321123665&uri=CELEX:32016R0679
https://ico.org.uk/for-organisations/health
http://www.eu-patient.eu/globalassets/policy/data-protection/data-protection-guide-for-patients-organisations.pdf

Share on facebook
Share on google
Share on twitter
Share on linkedin
Share on pinterest
Share on print
Share on email

Try our GDPR Compliance Tool GDPR Register for 14-days.

No credit card required.

Latest Posts
Duomenų apsaugos pareigūno vaidmuo ir pareigos

Duomenų apsaugos pareigūno vaidmuo ir pareigos

Atsižvelgiant į naujausią CPO žurnalo apklausą, mes aiškinamės, koks yra duomenų apsaugos pareigūno (DAP) vaidmuo. Šiame straipsnyje bus atsakyta į...
Skirta pirmoji BDAR bauda Lietuvoje

Skirta pirmoji BDAR bauda Lietuvoje

Praėjus metams po BDAR įsigaliojimo, Lietuvos valstybinė duomenų apsaugos inspekcija (VDAI) skyrė pirmą administracinę baudą. Įmonei UAB „Mister Tango“, kuri...
Poveikio duomenų apsaugai vertinimo vadovas

Poveikio duomenų apsaugai vertinimo vadovas

Bendrasis duomenų apsaugos reglamentas (BDAR) reikalauja, kad įmonės ir organizacijos, kurių duomenų tvarkymas gali sukelti pavojų fizinių asmenų interesams, atliktų poveikio asmens...
BDAR ir B2B rinkodara

BDAR ir B2B rinkodara

Perduodant asmeninius duomenis tiesioginei rinkodarai B2B ir B2C veikloje, reikia vadovautis dviem atskirais ES lygmens reglamentais. Elektroninių ryšių įstatymu (ERĮ)...
BDAR: Teisėti interesai

BDAR: Teisėti interesai

BDAR nurodo 6 teisėtumo pagrindus asmens duomenų tvarkymui ir teisėti interesai - vienas jų.Teisėti interesai nenurodo konkretaus duomenų tvarkymo tikslo, todėl tai...
Šeši mėnesiai su GDPR. Kas įvyko?

Šeši mėnesiai su GDPR. Kas įvyko?

BDAR, įsigaliojęs 2018 m. gegužės 25 d., išplėtė ES duomenų apsaugos zonos aprėptį, pristatė naujoves, turinčios įtakos tiek įmonėms, tiek...
Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Kibernetinės atakos iš BDAR perspektyvos: Ransomware

Beveik kiekvienas verslo sektorius, vykdydamas kasdienes operacijas, į jas integruoja įvairias technologijas. IT infrastruktūra ir praktika, jei ji nėra reguliariai...
Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Sveikatos priežiūros sektorius: kaip atitikti BDAR reikalavimus?

Įsigaliojus BDAR, asmens duomenų apsauga tapo sudėtingesnė sveikatos priežiūros sektoriui -  duomenys turi būti tvarkomi remiantis holistiniu požiūriu. Organizacijose turi būti...
Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius: Kaip atitikti BDAR reikalavimus?

Viešbučių ir laisvalaikio planavimo sektorius surenka didžiulį kiekį asmens duomenų, todėl būtina imtis reikiamų veiksmų, kad būtų išvengta finansinių pasekmių dėl...
Google Analytics: IP Anonimizacija

Google Analytics: IP Anonimizacija

Daugelis įmonių naudoja "Google Analytics" kaip pagalbinę priemonę, kad surinktų vertingos informacijos apie klientų elgesį svetainėse, mobiliosse programėlėse ir kt....

Zpracovává vaše společnost osobní údaje?


Zpracovávat vaše společnost osobní údaje fyzických osob, jako jsou:

  • Údaje zaměstnanců, zákazníků, uchazečů o zaměstnání nebo pacientů včetně:
    • Jméno nebo osobní identifikační číslo
    • Kontaktní údaje (e-mailová adresa, telefonní číslo, adresa)
    • Bankovní údaje, plat, údaje o pasu nebo jiné osobní údaje

 

Ar Jūsų įmonė renka ir tvarko fizinių asmenų asmens duomenis? 


Asmens duomenys gali būti:

  • Kliento, darbuotojo. paciento, kandidato į darbo vietą ir kt. 
    • Vardas ar asmens  numeris 
    • Kontaktinė informacija (el.pašto adresas, telefono numeris, adresas ir kt)
    • Banko sąskaitos  duomenys, atlyginimo dydis, paso duomenys ar bet kokia kita asmeninė informacija. 

Onko yrityksessäsi enemmän, kuin 250 työntekijää?


Kas teie ettevõte kogub ja töötleb isikuandmeid?


Kas teie ettevõte kogub ja töötleb füüsiliste isikutega seotud andmeid nagu näiteks:

Töötajate, klientide, tööle kandideerijate, patsientide:

  • Nimi, isikukood
  • E-posti aadress, telefoninumber, kodune aadress
  • Pangakontonumber, palgasumma, krediitkaardiandmed või mõnda muut tüüpi isiklikud andmed

Does your company collect any personal data?


Does your company collect and process any personal data of natural persons such as:

  • Employees, Customers, Job Applicants or Patients including:
    • Name or personal ID number
    • Contact details (Email address, Phone number, Address)
    • Bank details, Salary amounts, Passport details or any other personal data