Pakeitus Lietuvos Respublikos sveikatos priežiūros įstaigų įstatymą, atsirado pareiga visiems sveikatos priežiūros paslaugas teikiantiems juridiniams asmenims (ligoninėms, šeimos klinikoms, odontologijos paslaugas teikiančioms klinikoms, įmonėms, turinčioms pirmosios pagalbos medicinos punktus ir kt.) naudotis Sveikatos apsaugos ministerijos valdomos Elektroninės sveikatos paslaugų ir bendradarbiavimo infrastruktūros informacine sistema (toliau – ESPBI IS), teikiant bei gaunant duomenis apie pacientus. Asmens duomenys ESPBI IS tvarkomi siekiant teikti pacientams su sveikatinimo veikla susijusias paslaugas, atpažinti pacientus ir sveikatinimo veiklą vykdančius specialistus.
Sutartis dėl naudojimosi ESPBI IS asmens sveikatos priežiūros įstaigos privalėjo sudaryti su pagrindiniu ESPBI IS tvarkytoju – VĮ „Registrų centras“ iki 2022 m. rugsėjo 1 d. Taigi, nuo šios dienos, asmens sveikatos priežiūros paslaugas teikiantys subjektai (turintys licenciją teikti sveikatos priežiūros paslaugas) privalo pildyti elektroninius dokumentus bei teikti duomenis į ESPBI IS.
Svarbu paminėti, kad sveikatos priežiūros įstaigoms, neįvykdžius įstatyme nustatytos pareigos teisės aktų nustatyta tvarka sudaryti sutartį dėl naudojimosi ESPBI IS, Valstybinė akreditavimo sveikatos priežiūros veiklai tarnyba prie Sveikatos apsaugos ministerijos turi teisę taikyti kontrolės priemones ir sankcijas, pvz., stabdomas asmens sveikatos priežiūros veiklos licencijos galiojimas visoms asmens sveikatos priežiūros paslaugoms ir pan.
Aukščiau minėtas sutartis privalėjo sudaryti ir įmonės, turinčios pirmosios pagalbos medicinos punktus, ir kurioms išduota licencija užsiimti asmens sveikatos priežiūros veikla ir teikti licencijoje nurodytas paslaugas. Taigi, turime situaciją, kuomet pvz., įmonė, kurios pagrindinė veikla – gamyba, turinti pirmosios pagalbos medicinos punktą, privalo sudaryti sutartį dėl naudojimosi ESPBI IS ir privalo ne tik teikti į ją duomenis apie savo darbuotojus, bet ir privalo gauti ESPBI IS esančius duomenis. Žodžiai „privalo gauti“ paryškinti neatsitiktinai – pasirodo, ESPBI IS neturi techninių savybių, kurios leistų įmonei atsisakyti gauti joje esančius gan jautrius specialių kategorijų asmens duomenis, t. y. apriboti įmonės prieigą prie duomenų. ESPBI IS pateikiama visa informacija apie paciento sveikatos istoriją, atliktų tyrimų duomenys, medicininiai vaizdai, diagnozės, išrašyti receptai, siuntimai, rentgeno nuotraukos, užsakytos ir išduotos pažymos, konsultacijų registracijos ir kita svarbi informacija apie asmenis. Įmonė, gavusi prieigą prie ESPBI IS, gauna prieigą prie visų asmenų, ne tik įmonės darbuotojų, sveikatos duomenų.
Vertinant iš Bendrojo duomenų apsaugos reglamento (BDAR) pusės, ESPBI IS neturėjimas techninių savybių apriboti duomenų teikėjui prieigos teisių, ypač kai akivaizdžiai jam prieiga nėra reikalinga, priverčia jį pažeisti BDAR įtvirtintą duomenų kiekio mažinimo principą. Šis principas numato, kad įmonė turi tvarkyti adekvačius, tinkamus ir tik tokius duomenis, kurių reikia siekiant tikslų, dėl kurių jie tvarkomi. Žinoma, pasak Valstybinės duomenų apsaugos inspekcijos, vykdant tyrimą, į aplinkybę, kad duomenų teikėjas yra priverstas turėti prieigą prie ESPBI IS, būtų atsižvelgta ir būtų vertinami konkretūs duomenų teikėjo veiksmai, t. y. suteiktų prieigos teisių panaudojimas.
Duomenų teikėjas, aptariamu atveju įmonė, gauna prieigą prie specialių kategorijų asmens duomenų, kurie jam absoliučiai nėra reikalingi. Taigi, įmonei perkeliama našta užtikrinti ne tik savo teikiamų duomenų apie darbuotojus saugumą ir tinkamą jų tvarkymą, bet ir pasirūpinti visų kitų ESPBI IS sistemoje esančių asmens duomenų saugumu ir tinkamu tvarkymu. Taip įmonė yra priversta imtis papildomų techninių ir organizacinių priemonių, t. y. panaudoti įmonės finansinius ir žmogiškuosius išteklius, kad būtų sumažinti galimi pavojai asmenų teisėms ir laisvėms.
Įmonės, siekdamos tinkamai įgyvendinti jai nustatytas prievoles, privalo užtikrinti, kad prieigą prie ESPBI IS turėtų tik konkretūs, įmonės vadovo paskirti darbuotojai, kurie raštu įsipareigojo tvarkyti asmens duomenis pagal teisės aktų reikalavimus, jų neatskleisti asmenims, neturintiems teisės gauti šių duomenų, ir pan. Įmonė privalo instruktuoti paskirtus darbuotojus, kaip tinkamai naudotis ESPBI IS ir suteiktomis prieigos teisėmis, bei informuoti juos apie galimas pasekmes nesilaikant aukščiau minėtų darbuotojo įsipareigojimų. Taip pat, įmonė turėtų informuoti visus savo darbuotojus apie įmonės pareigą teikti duomenis apie darbuotojus į ESPBI IS, nurodant kokie duomenys, kokiu būdu bus teikiami ir kt. Be to, rekomenduotina informuoti darbuotojus apie jų galimybę apriboti trečiųjų asmenų prieigą prie jų asmens duomenų. ESPBI IS leidžia patiems asmenims peržiūrėti savo sveikatos duomenis ir tvarkyti tam tikrus prieigos teisių suteikimo ar apribojimo nustatymus. Kiekvienas asmuo turi galimybę prisijungęs prie ESPBI IS apriboti savo medicininių dokumentų matomumą tam tikriems sveikatos priežiūros specialistams.
Taigi, gavus prieigą prie ESPBI IS ir joje esančių specialių kategorijų asmens duomenų, privaloma užtikrinti, kad prieigos teisėmis nebūtų piktnaudžiaujama, kad teikiama ir tikrinama tik ta informacija, kuri yra būtina numatytoms funkcijoms atlikti, o svarbiausia, kad asmenys, kuriems suteikiama prieigos teisė būtų apmokyti ir suprastų, savo įsipareigojimus ir atsakomybes.
Šis teisininko komentaras laikytinas bendro pobūdžio konsultacija. Siekiant individualios teisinės konsultacijos konkrečiu atveju turėtumėte kreiptis į advokatų profesinę bendriją „NEWTON LAW“ el. paštu info@newtonlaw.lt arba tel. +370 668 33866