Kāds pacients ir nepatīkami pārsteigts par datu bāzi, kurā var apskatīt dažādu ārstniecības iestāžu diagnostikas un laboratorisko izmeklējumu rezultātus. Viņš ir nobažījies, vai dati par medicīniskajiem izmeklējumiem, kas ir sensitīva un īpaši glabājama informācija, atrodas drošībā. Savukārt Veselības ministrijā lūgusi šo situāciju izvērtēt Datu valsts inspekciju. Tā sākusi pārbaudi par uzņēmuma darbību atbilstību normatīvo aktu prasībām.
Pacients pārsteigts par datu bāzi
Kāds Facebook lietotājs raksta: "Pieļauju, ka daudziem tas būs pārsteigums, tāpat kā man, kad to uzzināju.
Izrādās šogad izveidota datu bāze, kurā vienu pēc otra pievieno dažādu poliklīniku (arī Rīgas 1.slimnīca) un medicīnas iestāžu diagnostikas un laboratorisko izmeklējumu rezultātus.
Savā dziļākajā būtībā tas nebūtu nekas slikts, ja vien šīs datu bāzes uzturētājs nebūtu kāda 2006.gadā dibināta SIA ar 3000 EUR pamatkapitālu.
Ko paredz šī sistēma? Ielogojoties caur i-banku jebkurš pacients var tikt pie saviem vēsturiskajiem izmeklējumiem kopš laikiem, kad tie tiek digitalizēti. Es sarakstā atradu izmeklējumu no 2004.gada.
Tik tālu viss ir jauki! Lai šo vēsturisko izmeklējumu apskatītu ir konkrēta apskatīšanās maksa: EUR 2,99!
Tagad visi atcerēsimies, ka par katru izmeklējumu, īpaši, ja to esat veikuši pašrocīgi, neizstāvot visas ārstu rindas, par to maksājot pavisam konkrētus cipariņus. Jā, arī šādi izmeklējumi šajā datu bāzē ir atrodami. (Saraksts ar iestādēm, kas ir pievienotas šai sistēmai: https://datamed.lv/lv/klienti.html)
Kur tad ir problēma?
Problēma ir tāda, ka visi medicīniskie izmeklējumi ir sensitīva un īpaši glabājama informācija.
Šobrīd sanāk, ka šī sensitīvā informācija ir pieejama kādai Jūrmalā reģistrētai firmai, kura brīvi var aplūkot, kādus izmeklējumus esat veicis un vai kaut kas interesants ir atklāts. Jautājums ir, vai nododot analīzes uz jebko, esat parakstījies, ka piekrītat, ka šādi tiks darīts? Es personīgi neesmu piekritis.
Sazvanījos ar iestādi, kur ir veikts skaitliski visvairāk izmeklējumu - E.Gulbja laboratorija. Teicu, ka neesmu mierā ar šo situāciju. Sekas bija tādas, ka viņi manuāli atvienoja manus datus no ieraudzīšanas šajā datu bāzē. (Pēc ieraksta publicēšanas vēlreiz gāju pārliecināties, vai tiešām vairs nav pieejami, diemžēl, joprojām ir pieejami)
Kas mani satrauc šajā stāstā?
Tas, ka neliels uzņēmums, iespējams, bez nopietnām sekām, tiek klāt teju visu Latvijas iedzīvotāju medicīniskajiem datiem.
Tas nozīme, ka kāds gudrs čalis var izdomāt: Paskatīsimies, vai deputātam X nav kāda interesanta kaite? O, ir! Pārdodam Lato Lapsam vai kādai citai jaukai izdevniecībai? Vai varbūt pašantažējam deputātu, ja negrib, lai to visu uzzina citi. Jā, piekrītu, sazvērestības teorija, tomēr tīri tehniski tas ir iespējams.
Ja šādu datu bāzi uzturētu, piemēram, Veselības Inspekcija vai tml. kantoris, visdrīzāk es šos jautājumus neuzdotu. Lai cik ļoti nākas vilties dažādu valsts iestāžu darbā, tomēr tā būtu valsts datu bāze ar atbilstošiem normatīviem.
Bet tagad? Cik es atceros, ka ir ieguldīts daudz naudiņas tādā e-veselības sistēmā, bet šeku reku kādi gudri čalīši ir izdomājuši, ka var nopelnīt par vecu analīžu aplūkošanu. Cepums, protams, par ideju, tomēr kaut kas tajā visā nešķiet pārāk labi."
Lūdz izvērtēt Datu valsts inspekcijai
Savukārt Veselības ministrijas Komunikācijas nodaļas vadītājs Oskars Šneiders TVNET skaidroja, ka šo un analogu datu bāzu darbību reglamentē Fizisko personu datu aizsardzības likums u.c. normatīvie akti, kuros noteiktās kārtības uzraudzību veic Datu valsts inspekcija.
Tāpēc Veselības ministrija ir nosūtījusi Datu valsts inspekcijai (DVI) vēstuli ar lūgumu sniegt informāciju, vai no DVI puses ir veiktas uzraudzības funkcijas attiecībā uz medicīnas diagnostikas datu arhīvu DATAMED vai ar tā darbību saistītajām datubāzēm.
Gadījumā, ja DVI ir veikusi uzraudzības darbības, ministrija ir lūgusi informēt par pārbaudes rezultātiem attiecībā uz darbības likumību un uzglabājamo datu drošību, savukārt, ja iepriekšminētās pārbaudes nav veiktas, ministrija lūdz DVI veikt DATAMED darbības pārbaudi.
Viņš arī vērsa uzmanību, ka Veselības ministrijā līdz šim nav saņemta informācija par iespējamiem pārkāpumiem pacientu datu aizsardzībā kontekstā ar DATAMED realizēto pakalpojumu.
Datu valsts inspekcija sāk pārbaudi
TVNET vaicāja arī Datu valsts inspekcijas komentāru par šo situāciju. Datu valsts inspekcija informēja, ka saskaņā ar Fizisko personu datu aizsardzības likuma (FPDAL) 2.panta 9.punktu pārzinis ir fiziskā vai juridiskā persona, valsts vai pašvaldības institūcija, kura pati vai kopā ar citiem nosaka personas datu apstrādes mērķus un apstrādes līdzekļus, kā arī atbild par personas datu apstrādi saskaņā ar šo likumu.
Savukārt FPDAL 2.panta 6.punkts nosaka, ka personas datu operators ir pārziņa pilnvarota persona, kas veic personas datu apstrādi pārziņa uzdevumā. Saskaņā ar FPDAL 14.panta pirmo daļu personas datu apstrādi pārzinis var uzticēt personas datu operatoram, noslēdzot rakstveida līgumu un atbilstoši FPDAL 14.panta otrajai daļai personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā, atbilstoši tajā paredzētajiem mērķiem un saskaņā ar pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem.
Papildus iepriekš minētajam saskaņā ar FPDAL 25.panta pirmo daļu
pārziņa un personas datu operatora pienākums ir lietot nepieciešamos tehniskos un organizatoriskos līdzekļus, lai aizsargātu personas datus un novērstu to nelikumīgu apstrādi.
Savukārt FPDAL 14.panta trešajā daļā noteikts, ka personas datu operators pirms personas datu apstrādes sākšanas veic pārziņa norādītos drošības pasākumus personas datu apstrādes sistēmas aizsardzībai atbilstoši FPDAL prasībām, arī FPDAL 25.panta otrajā daļā noteikts, ka pārzinis kontrolē ievadīto personas datu veidu un ievadīšanas laiku un ir atbildīgs par to personu rīcību, kuras veic personas datu apstrādi.
Datu valsts inspekcijas rīcībā esošā informācija liecina, ka ārstniecības iestādes, veicot personas datu apstrādi veselības aprūpes pakalpojumu sniegšanai, ir pārziņi FPDAL 2.panta 9.punkta izpratnē. Savukārt konkrētajā gadījumā SIA «DATAMED» ir personas datu operators FPDAL 2.panta 6.punkta izpratnē.
Ņemot vērā iepriekš minēto, Datu valsts inspekcija paskaidro, ka saskaņā ar FPDAL 2.panta 9.punktu par personas datu apstrādi atbildīgs ir pārzinis, kas gan neizslēdz civiltiesisku atbildību (saskaņā ar līgumu) operatoram par nodarīto zaudējumu atlīdzību pārzinim.
Vienlaikus Datu valsts inspekcija norāda, ka FPDAL neierobežo pārziņu (konkrētajā situācijā ārstniecības iestāžu), tiesības izvēlēties pakalpojumu sniedzēju, kā arī datu apstrādes veidu (papīra, manuālā veidā vai digitālā veidā), veikt datu apstrādi pašiem vai piesaistīt ārpakalpojuma sniedzējus.
Papildus tam Datu valsts inspekcija norāda, ka pārzinim, neatkarīgi no tā vai ir fiziskā vai juridiskā persona, valsts vai pašvaldību iestāde, veicot personas datu un sensitīvo personas datu apstrādi, ir jāievēro FPDAL un citos personu datu aizsardzību reglamentējošajos normatīvajos aktos noteiktās prasības.
Tāpat inspekcijā informēja, ka līdz šim brīdim Datu valsts inspekcija nav saņēmusi sūdzības vai iesniegumus par SIA «DATAMED» veikto personas datu apstrādi. Attiecībā uz SIA «DATAMED» veikto personas datu apstrādi un, pamatojoties uz interneta vietnē esošo informāciju par pieejamību sensitīvajiem datiem, un saskaņā ar FPDAL 29.panta ceturtās daļas 2.punktu
inspekcija trešdien ir uzsākusi pārbaudi par SIA «DATAMED» personas datu apstrādes atbilstību FPDAL un citu normatīvo aktu prasībām.
Līdz šim brīdim Datu valsts inspekcija nav saņēmusi vēstuli no Veselības ministrijas.
