Laiškas atėmė žadą
Į redakciją kreipėsi moteris, pasakodama, jog liepą lankėsi Neįgalumo ir darbingumo nustatymo tarnyboje, kur kas dvejus metus tenka nustatinėti neįgalaus sūnaus specialiuosius poreikius.
„Praėjus mėnesiui po vizito, elektroniniame pašte radau laišką apie tarnybos vykdomą apklausą. Kadangi gerbiu kitų žmonių triūsą, pagalvojau, kad į apklausą atsakysiu. Atsidariau failą ir net loštelėjau kėdėje – ten juodu ant balto surašyti NDNT klientų vardai, pavardės ir elektroninio pašto adresai.
 
Pasijutau kaip nuoga prieš minią – matyt, ir kiti tėveliai gavo tokį pat laišką, tad neaišku, kas ir kada gali tais duomenimis pasinaudoti nedoriems tikslams“, – nuogąstavo aštuonerių metų Tomą auginanti Alina (skaitytojos vardas yra pakeistas ir redakcijai žinomas – red.).
Skaitytoja taip pat pažymėjo, kad minėtame sąraše užmatė ir pažįstamo asmens vardą bei pavardę.
 
Kaltę verčia žmogiškajam faktoriui
Užklausus apie minėtą incidentą, su mumis susiekė NDNT atstovė – Asmenų aptarnavimo ir dokumentų valdymo skyriaus vyriausioji specialistė Nomeda Pikelytė. Ji paaiškino, kad klientai yra prašomi užpildyti asmenų aptarnavimo anketą.
 
„Kadangi sunku prisiprašyti, kad žmonės įlįstų į svetainę ir susirastų anketą – niekas ten nelenda ir neieško, – anketą išsiunčiame elektroniniu paštu tiems žmonėms, kurie kreipiasi į mūsų tarnybą dėl savęs ar dėl ko nors kito. Laiške, kuriame prašėme užpildyti anketą, dėl žmogiškosios klaidos buvo prikabintas ir išsiųstas kitas failas su žmonių sąrašu ir elektroniniais paštų adresais“, – pasakojo tarnybos atstovė.
 
Medicinos ir farmacijos teisės ekspertas Andrej Rudanov sako, jog pirmiausiai asmuo turi informuoti tarnybą, kad gavo ne jam skirtą laišką ir jį ištrinti. O NDNT dėl duomenų nutekinimo incidento turi atlikti tarnybinį patikrinimą.
 

„Tai yra incidentas, apie kurį turi būti pranešta Duomenų apsaugos inspekcijai, nes tai yra rimtas pažeidimas. Kadangi tai yra NDNT, vadinasi, žmogus gavo kito asmens ypatingus duomenis“, – sako medicinos ir farmacijos teisės ekspertas Andrej Rudanov.

 
Nepaisant to, kad tarnybos atstovė apgailestavo dėl incidento, nutekintų duomenų ji nepriskiria prie ypatingai svarbių.
„Nebuvo jokie negalios sveikatos duomenys išduoti. Pamatę klaidą, kad ne tas failas prikabintas, iš karto staigiuoju būdu išsiuntėme laišką su atsiprašymu, kad išsiuntėme ne jums skirtą laišką, prašome nenaudoti ir jį greičiau ištrinti. Tad mes iš karto taisėme klaidą ir, supratę, kad nelabai gerai atsitiko, iš karto ėmėmės visų kitų administracinių veiksmų, jog ateityje tokie dalykai nepasikartotų.
 
Mes, institucija, tikrai staigiai sureagavome ir žmonių paprašėme, kad būkite malonūs, laiškas ne jums ir tikrai staigiuoju būdu ištrinkite.
Jokie medicininiai duomenys neišduoti ypatingai“, – aiškino tarnybos atstovė.
Paklausta, ar apie incidentą buvo informuota Valstybinė duomenų apsaugos inspekcija, tarnybos atstovė negalėjo atsakyti. Tik pridūrė, kad tarnybos viduje buvo informuotas duomenų apsaugos pareigūnas.

---

 
Valstybinės duomenų apsaugos inspekcijos atsakymas:
Neįgalumo ir darbingumo nustatymo tarnyba prie Socialinės apsaugos ir darbo ministerijos (toliau – NDNT) visų pirma turėtų imtis visų tinkamų techninių ir organizacinių priemonių, kad pažeidimas būtų išsamiai ištirtas ir pašalintas (sustabdytas, ištaisytas) bei ateityje nepasikartotų ir tuomet, prireikus, pateikti pranešimą Valstybinei duomenų apsaugos inspekcijai.
Jei NDNT, kaip duomenų valdytojas nustato, kad asmens duomenų saugumo pažeidimas įvyko ir yra rizika fizinių asmenų teisėms ir laisvėms, duomenų valdytojas per 72 valandas nuo tada, kai jis sužino apie asmens duomenų saugumo pažeidimą turi informuoti Inspekciją, pateikiant visą būtiną informaciją, susijusią su pažeidimu, jo priežastimis, tyrimu, taikytomis priemonėmis ir pan., tuomet Inspekcija pateikia gautos informacijos vertinimą ir priima sprendimą, ar reikalingas papildomas tyrimas ar kiti papildomi veiksmai. Šiuo metu šioje situacijoje minėtas pranešimas Inspekcijai nėra pateiktas.
Inspekcija už BDAR pažeidimus gali imtis šių taisomųjų veiksmų (priklausomai nuo konkretaus atvejo aplinkybių): įspėti, pareikšti papeikimą, teikti nurodymus, apriboti arba uždrausti duomenų tvarkymą, skirti administracinę baudą iki 1 procento valdžios institucijos ar įstaigos einamųjų metų biudžeto ir kitų praėjusiais metais gautų bendrųjų metinių pajamų dydžio, bet ne didesnę negu šešiasdešimt tūkstančių eurų ir kt.

---

 
Komentaras
Sveikatos teisės advokatas Arūnas Žlioba:

- Tai yra skandalas, kadangi sveikatos duomenys ypač slapti. Jeigu jie buvo išviešinti kitam ar kitiems asmenims, duomenų apsaugos klausimus sprendžia valstybės įkurta Duomenų apsaugos inspekcija ir ji, nustačiusi pažeidimą, vienareikšmiškai turėtų taikyti sankcijas duomenis paviešinusiai įstaigai.
O po to, jeigu iš tikrųjų atsirastų kokia nors žala dėl tų duomenų paviešinimo (jau vien duomenų paviešinimas yra žala, nes žmogus patiria įvairiausių pergyvenimų ir nepatogumų), tokiu atveju civiline tvarka, esant Duomenų inspekcijos sprendimui, galima prisiteisti neturtinės žalos.
 
Mes gi girdėjome apie privačios grožio klinikos didelio masto skandalą, kuomet buvo paviešinti pacientų duomenys. Bet jeigu valstybinė įstaiga taip pasielgė, vadinasi, ji turi didelių sisteminių problemų.
Netgi draudimo kompanijos siunčia draudimo sutartis ir dar atsiunčia atskirus kodus, idant apsaugotų asmens duomenis.
Taigi akivaizdu, kad toje įstaigoje yra neužtikrinama duomenų apsauga.

---

 
Tarp kitko
Verta paminėti kelis svarbius duomenų perdavimo el. paštu aspektus:
Būtina naudoti šifruotą komunikaciją, pvz., naudoti SSL ar TLS kriptografinį protokolą duomenų perdavimui per tam skirtą prievadą;
Duomenis segti prie el. laiško atskiru šifruotu priedu ir užtikrinti duomenų perdavimą pagal principą „būtina žinoti“, pvz., failą šifruoti pagal PGP (Pretty Good Privacy) vartotojo (asmens pagal prieigos politiką) viešą šifravimo raktą;
Prieš siunčiant elektroninį laišką, pasitikrinti: kokie jame nurodyti tinkami gavėjai; ar į adresatus nėra įtraukta papildomų asmenų, kuriems el. laiške ar jo prieduose pateikta informacija neturėtų būti žinoma; adresatų el. pašto adresai yra nurodyti tiksliai ir pan.
Valstybinės duomenų apsaugos inspekcijos inf.

lsveikata.lt „Facebook“. Būkime draugai!