Padaugėjo pacientų teisių į duomenų apsaugą
Pacientų teisės, susijusios su asmens duomenų apsauga, reglamentuojamos Europos Sąjungos teisės aktų lygmeniu, t. y. Bendrajame duomenų apsaugos reglamente (ES) 2016/679 (toliau – BDAR). Tai reiškia, kad tiek Lietuvos gyventojai, tiek gyventojai kitose Europos Sąjungos valstybėse narėse turi lygiai tokias pačias teises. Tai taip pat reiškia, kad sveikatos priežiūros įstaigos, kaip pacientų asmens duomenų valdytojai, veikiantys skirtingose Europos Sąjungos valstybėse narėse, taip pat turi tokias pačias pareigas.
Nepaisant to, kad BDAR taikomas jau daugiau kaip 2 metus, pasitaiko atvejų, kai sveikatos priežiūros įstaigos vis dar vadovaujasi Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo redakcijos, galiojusios iki 2018-07-15, nuostatomis. Netinkamų nuostatų taikymas ne tik sudaro prielaidas pažeisti pacientų, kaip duomenų subjektų, teisių įgyvendinimo tvarką (įgyvendinimo terminus, formą ir pan.), neįgyvendinti tinkamai pacientų, kaip duomenų subjektų, teisių (pateikti ne visą informaciją, kurią privaloma pateikti pradėjus taikyti BDAR), bet ir neįgyvendinti visų teisių (pavyzdžiui, tokių, kurios pirmą kartą buvo įtvirtintos tik BDAR).
 
BDAR pacientui be jau turėtų teisių – būti informuotam apie asmens duomenų tvarkymą, reikalauti ištaisyti, ištrinti duomenis, nesutikti su asmens duomenų tvarkymu, susipažinti su savo asmens duomenimis, numato ir tokias naujas teises, kaip teisė į duomenų perkeliamumą, teisė apriboti asmens duomenų tvarkymą, teisė reikalauti, kad asmeniui nebūtų taikomas automatizuotas atskirų sprendimų priėmimas, įskaitant profiliavimą.
VDAI savo veikloje iš esmės susiduria su asmenų teisės būti informuotam ir teisės susipažinti su savo asmens duomenims pažeidimas sveikatos priežiūros srityje. Atsižvelgiant į tai, aptarsime su šių teisių įgyvendinimo problematiką.
 
Skaidrumo principo įgyvendinimas
Vienas pagrindinių asmens duomenų tvarkymo principų, kuris buvo itin akcentuojamas keičiant asmens duomenų tvarkymo teisinį reglamentavimą ir priimant BDAR, – skaidrumo principas. Šis principas yra įgyvendinamas per paciento, kaip duomenų subjekto, teisės būti informuotam įgyvendinimą. Ir nors ši teisė nėra nauja ir sveikatos priežiūros įstaigos jau daugel metų turi pareigą ją įgyvendinti, BDAR įpareigojo sveikatos priežiūros įstaigas atskleisti daugiau informacijos apie jų atliekamą asmens duomenų tvarkymą pacientams, negu iki tol galiojęs teisinis reguliavimas. Kai sveikatos priežiūros įstaiga renka ir tvarko asmens duomenis, ji privalo pateikti duomenų subjektui šią informaciją ne tik apie save (įstaigos pavadinimą, kontaktinius duomenis); duomenų tvarkymo tikslus, dėl kurių ketinama tvarkyti asmens duomenis duomenų gavėjus, informaciją apie turimas pacientų teises, bet ir tokią informaciją, kurios iki BDAR taikymo sveikatos priežiūros įstaigos pateikti neturėjo: duomenų apsaugos pareigūno, jeigu jį privaloma pagal BDAR paskirti, kontaktinius duomenis; duomenų tvarkymo teisinį pagrindą (nuorodą į konkretų BDAR 6 straipsnio 1 dalies ir 9 straipsnio 2 dalies punktą); įmonės ketinimą asmens duomenis perduoti į trečiąją valstybę (nepriklausančią ES), jei toks ketinimas yra; asmens duomenų saugojimo laikotarpį arba, jei tai neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti; teisę pateikti skundą VDAI ar teismui; apie automatizuotą sprendimų priėmimą, įskaitant profiliavimą, apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes asmeniui; bei nurodyti, ar asmens duomenų pateikimas yra teisės aktais arba sutartyje numatytas reikalavimas, taip pat tai, ar asmuo, kurio duomenys tvarkomi, privalo pateikti asmens duomenis, ir informaciją apie galimas tokių duomenų nepateikimo pasekmes.
 
Nepamiršti nurodyti duomenų gavėjų
Viena BDAR naujovių yra duomenų gavėjo sąvokos pasikeitimas, t. y. duomenų tvarkytojai taip pat laikomi duomenų gavėjais, todėl sveikatos priežiūros įstaigos informuodamos apie asmens duomenų tvarkymą, turėtų nepamiršti nurodyti, kad asmens duomenis gaus ir įmonės, kurios teikia informacinių technologijų priežiūros paslaugas, įmonės teikiančios kompiuterinės debesijos paslaugas, apsaugos įmonės, stebinčios vaizdo stebėjimo įrenginiais gaunamus vaizdus, buhalterines paslaugas teikiančios įmonės ir pan.
 
Tinkamas informacijos pateikimas pacientams
Informacija asmeniui turi būti pateikiama glausta, skaidria ir suprantama forma, aiškia ir paprasta kalba. Šis reikalavimas sveikatos priežiūros įstaigoms tampa nemenku išūkiu – kaip pateikti visą reikalaujamą informaciją, bet kartu ir glausta forma, ir dar daugiau – suprantama, aiškia ir paprasta kalba. Čia į pagalbą ateina Europos duomenų apsaugos valdyba (EDAV), kurios vienas iš uždavinių, siekti, kad BDAR būtų taikomas vienodai visoje Europos Sąjungoje. Siekdama minėto tikslo, EDAV (buvusi 29 straipsnio darbo grupė) 2017-11-29 Skaidrumo užtikrinimo pagal BDAR gairėse, pažymėjo, kad siekiant nesukelti informacinio nuovargio, informacija apie asmens duomenų tvarkymą turėtų būti aiškiai atskirta nuo kitos su privatumu nesusijusios informacijos, pvz., sutartinių nuostatų ar bendrųjų naudojimo sąlygų. Dėl internetinės aplinkos EDAV pažymėjo, kad naudojant lygmeninius pareiškimus ir (arba) pranešimus dėl privatumo, duomenų subjektams turėtų būti suteikiama galimybė iš karto pereiti į tam tikrą norimą pareiškimo ir (arba) pranešimo dėl privatumo skirsnį, išvengiant didelės apimties teksto naršymo, norint surasti tam tikrus jame aptariamus dalykus.
 
Labai svarbu, kad sveikatos priežiūros įstaigos ne tik tinkamai parengtų informaciją apie asmens duomenų tvarkymą, bet taip pat ir laiku šią informaciją suteiktų pacientui. VDAI, nagrinėdama skundus, pastebėjo, jog pasitaiko atvejų, kad nors informacija apie asmens duomenų tvarkymą yra parengta tinkamai, tačiau ji nėra pateikiama pacientui reikiamu laiku, pavyzdžiui, informacija pateikiama tik pacientui pareikalavus, arba informacija paskelbiama sveikatos priežiūros įstaigos stende ir pacientui gydytojo kabinete pildant dokumentus ir pateikiant duomenis pasiūloma nueiti pasiskaityti ir pan. Reikėtų atkreipti dėmesį, kad ši teisė turi būti įgyvendinama būtent sveikatos priežiūros įstaigos iniciatyva, t. y. pacientams neturi reikėti patiems ieškoti informacijos. Vienas iš pagrindinių šios teisės įgyvendinimo aspektų yra tas, kad pacientas turi galėti iš anksto nustatyti, kokia yra duomenų tvarkymo aprėptis ir pasekmės, ir kad vėliau jam neturėtų būti netikėta, kaip naudojami jo asmens duomenys.
 
Paciento informavimo terminai
Taigi, momentas arba terminas, per kurį asmuo turi būti informuotas apie duomenų tvarkymą, priklauso nuo to, iš kur gaunami duomenys bei kokius veiksmus ketinama atlikti:
1. Kai įmonė renka asmens duomenis iš asmens, informacija turi būti pateikta iš karto, duomenų gavimo metu.
2. Kai įmonė gauna asmens duomenis iš kito šaltinio, informacija asmeniui turi būti pateikta:
· Per pagrįstą laikotarpį, kai gaunami asmens duomenys, ir ne vėliau kaip per 1 mėnesį;
· Jeigu asmens duomenys bus naudojami ryšiams su asmeniu palaikyti – ne vėliau kaip pirmą kartą susisiekiant su tuo asmeniu;
· Jei planuojama atskleisti informaciją kitiems – ne vėliau kaip atskleidžiant duomenis pirmą kartą.
 
Atvejai, kai pacientui informacija gali nebūti teikiama
Sveikatos priežiūros įstaigoms gali kilti pagrįstas klausimas, ar tikrai informacija visuomet pacientui turi būti pateikiama. Atsakymas – ne. BDAR numato, kad tuo atveju, kai asmens duomenys gaunami ne iš paties asmens, informacijos apie jų asmens duomenų tvarkymą nepateikiama, jei asmuo jau turi informaciją; informacijos teikimas asmeniui būtų neįmanomas; informacijos teikimas asmeniui pareikalautų neproporcingų pastangų; sveikatos priežiūros įstaigos pagal įstatymus reikalaujama gauti ar atskleisti asmens duomenis; sveikatos priežiūros įstaigai taikomas profesinės paslapties reikalavimas, kurį reglamentuoja įstatymai, kurie apima asmens duomenis.
 
Asmens duomenų tvarkymas kitais tikslais
Sveikatos priežiūros įstaigos pacientų asmens duomenis tvarko ne tik sveikatos priežiūros paslaugų tikslu, bet ir kitais tikslais. Kai kurios sveikatos priežiūros įstaigos vykdo vaizdo stebėjimą, įrašo telefoninius pokalbius, dabartinėje situacijoje teikia sveikatos priežiūros paslaugas nuotoliniu būdu. Taip atsiranda papildomas asmens duomenų tvarkymas, apie kurį pacientai taip pat turi būti tinkamai informuojami. VDAI yra parengusi informaciją apie tai, kaip tinkamai informuoti apie vykdomą vaizdo stebėjimą. Sveikatos priežiūros įstaigos taip pat turi atkreipti dėmesį, kad apie telefoninių pokalbių įrašymą pacientai turi būti informuojami dar iki pokalbio įrašymo, kaip to reikalaujama Lietuvos Respublikos elektroninių ryšių įstatyme.
 
Be reikalo prašoma sutikimo
Neretai pasitaiko, kad asmens teisė žinoti apie asmens duomenų tvarkymą yra supainiojama su asmens sutikimu, kaip teisiniu pagrindu tvarkyti asmens duomenis, todėl kartais, pateikiant informaciją apie asmens duomenų tvarkymą, asmenų prašoma su ja sutikti. Tokiu būdu asmenys yra klaidinami. Jie kreipiasi į VDAI su skundais, kad iš jų reikalaujama sutikti su tuo, su kuo iš esmės jie nesutinka. Tokį pacientų ir sveikatos priežiūros įstaigų nesusikalbėjimą nulemia netinkamų žodžių vartojimas.
Reikėtų atkreipti dėmesį, kad pateikiant informaciją pacientui apie asmens duomenų tvarkymą nederėtų reikalauti pasirašyti, kad jis sutinka su pateikiama informacija, ar teikiant informaciją interneto svetainėje, prašyti paspausti mygtuką „sutinku“. Reikia sutikti, kad sveikatos priežiūros įstaigos turi pareigą esant reikalui įrodyti, kad pacientas apie jo asmens duomenų tvarkymą tinkamai informuotas, tačiau tokiu atveju siūlytume naudoti tokias formuluotes kaip „esu informuotas“, „susipažinau“ ir pan.
 
Informacijos pateikimas labiau pažeidžiamiems asmenims
Sveikatos priežiūros įstaigos yra iš tų duomenų valdytojų, kurie turi ypač pagalvoti apie tai, kaip informuoti apie asmens duomenų tvarkymą pažeidžiamus asmenis. Numatant asmenų informavimo būdus, svarbu apsvarstyti, kaip tai bus padaryta skirtingą negalią turinčių asmenų atžvilgiu (kurčiųjų, aklųjų ir pan.). Nors paprastai informacija apie asmens duomenų tvarkymą turi būti pateikta raštu, tačiau paliekama galimybė tokią informaciją pateikti ir žodžiu. Europos duomenų apsaugos valdyba minėtose gairėse yra pažymėjusi, kad duomenų valdytojas, suteikęs informaciją žodžiu, turėtų suteikti duomenų subjektui galimybę pakartotinai išklausyti iš anksto įrašytus pranešimus. Tai yra privaloma, kai suteikti žodinę informaciją prašo silpnaregiai duomenų subjektai arba kiti duomenų subjektai, kuriems gali būti sunku susipažinti su rašytine informacija arba ją suprasti. Be to, sveikatos priežiūros įstaiga (siekdama laikytis atskaitomybės reikalavimo) turėtų užregistruoti arba sugebėti įrodyti šiuos dalykus: 1) prašymą suteikti informaciją žodžiu, 2) faktą, kad informacija duomenų subjektui buvo suteikta.
 
Teisės susipažinti su duomenimis įgyvendinimas
Pacientas, kurio duomenys yra renkami ir tvarkomi, taip pat turi teisę susipažinti su savo duomenimis ir gauti jų kopiją bei bet kokią susijusią papildomą informaciją (pvz., asmens duomenų tvarkymo priežastį, naudojamų asmens duomenų kategorijas ir pan.).
Pacientas turi teisę iš sveikatos priežiūros įstaigos gauti patvirtinimą, ar su juo susiję asmens duomenys yra tvarkomi, o jei tokie asmens duomenys yra tvarkomi, turi teisę susipažinti su asmens duomenimis ir gauti informaciją apie:
· Duomenų tvarkymo tikslus;
· Apie asmenį turimą informaciją;
· Duomenų gavėjus arba duomenų gavėjų kategorijas, kuriems buvo arba bus atskleisti asmens duomenys, visų pirma – duomenų gavėjus trečiosiose valstybėse arba tarptautinėse organizacijose;
· Kai įmanoma, numatomą asmens duomenų saugojimo laikotarpį arba, jei neįmanoma, kriterijus, taikomus tam laikotarpiui nustatyti;
· Teisę prašyti įmonės ištaisyti arba ištrinti asmens duomenis ar apriboti su asmeniu susijusių asmens duomenų tvarkymą arba nesutikti su tokiu tvarkymu;
· Teisę pateikti skundą VDAI;
· Kai asmens duomenys renkami ne iš asmens, visą turimą informaciją apie jų šaltinius;
· Tai, kad naudojamas automatizuotas sprendimų priėmimas (įskaitant profiliavimą) ir informaciją apie loginį jo pagrindimą, taip pat tokio duomenų tvarkymo reikšmę ir numatomas pasekmes asmeniui.
 
Pavyzdžiui, sveikatos priežiūros įstaiga, įgyvendindama duomenų subjekto teisę susipažinti su savo asmens duomenimis pagal jo prašymą turi pateikti, kada asmuo, kurio duomenys tvarkomi, pirmą kartą pradėjo naudotis paslaugomis, kada ir kokios sveikatos priežiūros paslaugos jam buvo teikiamos, kokie tyrimai buvo atliekami ir kokie buvo jų rezultatai, kada ir kiek sumokėjo už sveikatos priežiūros paslaugas ir kt.
Svarbu atkreipti dėmesį, kad pacientui turi būti ne tik pateikiama informacija apie asmens duomenų tvarkymą, bet ir pateikiama asmens duomenų kopija, pavyzdžiui, ligos istorijos kopijos, elektroninės sveikatos istorijos išrašai, vaizdo įrašas, telefoninio pokalbio įrašas ir pan. Kalbant apie šią pareigą svarbu nepamiršti, kad sveikatos priežiūros įstaigos turi pareigą užtikrinti trečiųjų asmenų apsaugą. Tai reiškia, kad teikdamos pacientui vaizdo įrašą, trečiųjų asmenų duomenis įraše turi retušuoti, taip pat turi būti elgiamasi ir teikiant asmens duomenų kopiją kita forma.
 
Būtina patikrinti prašančio susipažinti su duomenimis paciento tapatybę
Sveikatos priežiūros įstaigos turi būti atidžios ir nepamiršti, kad įgyvendinant pacientų teisę susipažinti su savo asmens duomenimis, privalu patikrinti paciento, prašančio leisti susipažinti su savo asmens duomenimis, tapatybę. VDAI sulaukia pacientų pasipiktinimo, kad sveikatos priežiūros įstaigos reikalauja identifikuotis, tačiau net ir esant pacientų nepasitenkinimui, jos privalo nepasiduoti spaudimui ir neidentifikavus paciento teisės susipažinti su savo asmens duomenimis neįgyvendinti ir prašomų duomenų neteikti. Ypač tai reikia turėti omenyje, kai prašoma suteikti informaciją telefonu. Paprastas paciento pareiškimas, kad jo vardas yra toks ir toks, nėra pakankamas tinkamam jo identifikavimui. Sveikatos priežiūros įstaiga turi turėti galimybę pakankamai patikimai patikrinti paciento tapatybę.
 
Paciento tapatybės nustatymas
Paciento tapatybės identifikavimas yra bene vienas iš didžiausių iššūkių, susijusių su asmens duomenų apsauga, teikiant nuotolines sveikatos priežiūros paslaugas. Sveikatos priežiūros įstaiga gali pasirinkti asmenį identifikuojantį būdą savarankiškai, įvertinusi šio būdo patikimumą, savo naudojamas technologijas, teikiamas paslaugas ir pacientus, kuriems sveikatos priežiūros paslaugos galėtų būti teikiamos nuotoliniu būdu (pavyzdžiui, jų amžių). Rekomenduojama pasirinkti kelis tapatybės identifikavimo būdus, priklausomai nuo konkretaus paciento ar sveikatos paslaugų pobūdžio. Pabrėžiame, kad kuo didesnės pasekmės pacientui gali kilti dėl jo netinkamo identifikavimo, tuo griežtesni tapatybės nustatymo būdai turi būti pasirenkami.
 
VDAI Rekomendacijoje dėl asmens duomenų tvarkymo aspektų, teikiant sveikatos priežiūros paslaugas nuotoliniu būdu, aptarė šiuos asmens tapatybės nustatymo būdus:

• Asmens identifikavimas pagal asmens kodą. Asmens kodas nėra laikomas pakankamai patikimu būdu asmens tapatybei nustatyti, todėl siūlytina nesirinkti asmens kodo (ar jo dalies) asmens tapatybei nuotoliniu būdu patvirtinti.
• Asmens identifikavimas pagal sveikatos priežiūros įstaigos suteiktą unikalų kodą. Šis kodas turėtų būti suteikiamas kiekvienam asmeniui individualiai, jis turėtų būti konfidencialus ir skirtas tik pačiam asmeniui. Sveikatos priežiūros įstaiga turėtų įvertinti, kokiomis organizacinėmis ir techninėmis saugumo priemonėmis užtikrinti šių kodų apsaugą, pavyzdžiui, kaip kodas bus sudaromas, kokiais būdais suteikiamas (tinkamai identifikavus asmenį), kaip dažnai bus atnaujinamas, kiek ilgai unikalus kodas galios ir pan.
• Asmenį identifikuojantys klausimai. Sveikatos priežiūros įstaigos raginamos nustatyti klausimus, kurių visuma galėtų leisti vienareikšmiškai identifikuoti asmenį. Sveikatos priežiūros įstaigos gali laisvai pasirinkti, kokius ir kiek klausimų būtina užduoti siekiant identifikuoti asmenį. Rekomenduojama klausimus pasirinkti atsižvelgiant į sveikatos priežiūros įstaigos teikiamas paslaugas, pacientų savybes (amžių, poreikius, kt.), nuotolinio sveikatos paslaugų teikimo metu tvarkomų asmens duomenų apimtį, jautrumą ir kt. Galimų klausimų pavyzdžiai galėtų būti tokie: gyvenamosios vietos adresas (jei šis asmens duomuo yra paciento sveikatos kortelėje ir yra aktualus), paskutinis apsilankymas pas gydytoją (gydytojo pavardė, data, laikas, priežastis), paskutinis atliktas tyrimas, ligos istorijos numeris (jei pacientui jis žinomas), paskutinis išrašytas receptas (gydytojo pavardė ir išrašytas vaistinis preparatas) ar kt. Pastebėtina, kad tuo atveju, jei naudojant šį tapatybės nustatymo būdą, asmuo turėtų nurodyti tik savo vardą, pavardę ir asmens kodą, tai nebūtų laikoma pakankamu asmens identifikavimu.
• Asmens identifikavimas pagal telefono ryšio numerį. Atkreipiame dėmesį, kad telefono ryšio numeris neturėtų būti naudojamas kaip visiškai savarankiška ir vienintelė asmens indentifikavimo priemonė, todėl rekomenduojama nustatyti kelis kausimus, siekiant įvertinti, kad sveikatos priežiūros paslauga būtų teikiama tinkamam asmeniui. Telefono ryšio numeris turėtų būti žinomas iš anksto ir gautas patikimu būdu, pavyzdžiui, pacientui fiziškai atvykus į sveikatos priežiūros įstaigą ar pateikus jį per sveikatos priežiūros įstaigos informacinę sistemą. Taip pat sveikatos priežiūros įstaiga turėtų įvertinti, kada paskutinį kartą informacija apie konkretaus telefono ryšio naudotoją buvo atnaujinta, t. y. ar ši informacija yra patikima.
• Asmens identifikavimas pagal vienkartinį prisijungimo kodą (nuorodą). Šis būdas gali būti taikomas tais atvejais, kai sveikatos priežiūros paslaugą siekiama teikti naudojantis mobiliosiomis programomis, programine įranga ar kitokiais įrankiais, įskaitant ir turinčiais vaizdo duomenų, dokumentų perdavimo, susirašinėjimo funkcionalumus. Sveikatos priežiūros įstaiga turėtų informuoti pacientus ir sveikatos priežiūros specialistus apie vienkartinio prisijungimo kodo (nuorodos) veikimą, kaip tinkamai šiuo būdu naudotis ir t. t.
• Tapatybės patvirtinimas mobiliuoju parašu. Susisiekus su sveikatos priežiūros įstaiga ar šiai įstaigai susisiekus su pacientu, paciento tapatybė gali būti patvirtinta mobiliuoju parašu (jei pacientas tokį naudoja). Sveikatos priežiūros įstaiga turėtų įvertinti, kokie asmens duomenys tokiu atveju būtų reikalingi, kurie iš jų sveikatos priežiūros įstaigai turėtų būti žinomi iš anksto ir kaip užtikrinti tokio tapatybės patvirtinimo būdo veikimą.

Svarbu atkreipti dėmesį, kad įrankių ar priemonių, skirtų asmens identifikavimui, teikiant sveikatos priežiūros paslaugas, naudojimas įpareigoja sveikatos priežiūros įstaigą atlikti poveikio duomenų apsaugai vertinimą (žr. BDAR 35 straipsnį), nuo kurio rezultato priklauso, ar jų naudojimas būtų suderinamas su BDAR.
 
Svarbu įgyvendinant duomenų apsaugos teises 
Asmuo, kurio duomenys tvarkomi, savo teises gali įgyvendinti pats arba per atstovą. Jei asmens vardu kreipiasi asmens atstovas, sveikatos priežiūros įstaiga turi paprašyti pateikti atstovavimą patvirtinantį dokumentą ar jo kopiją, patvirtintą teisės aktų nustatyta tvarka.
Neretai pasitaikanti klaida gavus paciento prašymą susipažinti su savo asmens duomenų tvarkymu į prašymą neatsakyti, manant, kad jei asmens duomenys netvarkomi, tai ir teisės gali būti neįgyvendinamos. Deja, net ir tuo atveju, kai konkretaus paciento duomenys nėra tvarkomi konkrečioje sveikatos priežiūros įstaigoje, turi būti pacientui atsakyta ir nurodyta, kad jo asmens duomenų tvarkymas neatliekamas.
 
Na, ir jeigu sveikatos priežiūros įstaiga įsitikino paciento tapatybe, per vieną mėnesį nuo prašymo gavimo privalo atsakyti į asmens prašymą dėl teisės susipažinti su savo asmens duomenimis. Tam tikromis aplinkybėmis (pvz., didelė duomenų apimtis ar kt.) terminą galima pratęsti dar dviem mėnesiais. Jei terminą būtina pratęsti, tuomet per vieną mėnesį nuo prašymo gavimo privalu pranešti asmeniui, kad terminas bus pratęsiamas ir nurodyti termino pratęsimo priežastį.
Dar iki BDAR galiojęs teisinis asmens duomenų apsaugos reguliavimas, numatė, kad paciento teisė susipažinti su savo asmens duomenimis įgyvendinama nemokamai tik kartą per metus. BDAR priešingai, numatė bendrą taisyklę, kad visos duomenų subjekto teisės įgyvendinamos nemokamai, išskyrus atvejus, kai prašymai yra akivaizdžiai nepagrįsti arba neproporcingi, visų pirma dėl pasikartojančio turinio. Pareiga įrodyti, kad prašymas yra akivaizdžiai nepagrįstas arba neproporcingas tenka sveikatos priežiūros įstaigai.
 
Tiek teisė žinoti apie asmens duomenų tvarkymą, tiek susipažinti su savo asmens duomenimis, neatsiejamos nuo sveikatos priežiūros įstaigos veiklos, atliekant asmens duomenų tvarkymą, skaidrumo. Skaidrumas yra neatsiejamas nuo pasitikėjimo. Pasitikėjimas neatsiejamas nuo įstaigos veiklos sėkmės. Būkite skaidrūs, ne dėl to, kad nebūtumėte nubausti, bet dėl to, kad Jus lydėtų sėkmė.

Įgyvendinant SolPriPa projektą sukurtoje mobiliojoje programėlėje „ADA gidas“ skelbiame „Asmens duomenų apsaugos gaires sveikatos priežiūros sektoriui“ ir kitą aktualią informaciją apie asmens duomenų apsaugą. Programėlę nemokamai atsisiųntus iš parduotuvių „Google Play Store“ ir „App Store“ galima naudoti mobiliuosiuose telefonuose ir planšetiniuose kompiuteriuose.