Į klausimus apie vadovybės atsakomybę, ar būtų įmanoma imtis kažkokių juridinių veiksmų, teisiškai įpareigojant panašių įstaigų administracijas užtikrinti bent jau bazinį apsaugos lygį, apie vartotojų teises, kompensacijų galimybę ir kaip tokių kibernetinių atakų perspektyvoje gali keistis medicinos paslaugų bei medicininių duomenų perspektyva, atsakė „Cobalt“ Intelektinės nuosavybės ir IT reguliavimo teisės praktikos grupės vyresnioji teisininkė Renata Vasiliauskienė.
Vadovai tiesiogiai neatsakingi
Pasak ekspertės, tiesioginės vadovų atsakomybės už tai, kad buvo įsilaužtą į jų vadovaujamos įstaigos svetainę, pagal duomenų apsaugą reglamentuojančius teisės aktus, nėra.
„Kodėl? Todėl, kad šie teisės aktai numato atsakomybę ne vadovui, o duomenų valdytojui (juridiniam asmeniui, šiuo atveju, poliklinikai). Atsakomybė pačiam vadovui galėtų kilti pagal Kibernetinio saugumo įstatymą, jeigu jis nesilaikytų šio įstatymo reikalavimų, pvz., nevykdytų Nacionalinio kibernetinio saugumo centro privalomų nurodymų. Už tai numatyta administracinė atsakomybė, įspėjimas arba bauda iki 150 eurų. Didesnės baudos numatytos tik įmonių, kurios valdo ypatingos svarbos infrastruktūrą vadovams – jiems gali būti skiriamos baudos iki 1400 eurų už techninių ir organizacinių saugumo priemonių netaikymą“, – teigė R.Vasiliauskienė.
Pasak jos, svarbu paminėti, kad pats įsilaužimas į svetainę ir jos veiklos sutrikdymas dar jokiu būdu nereiškia, kad įvyko ir duomenų saugos pažeidimas. „Kibernetinis incidentas nėra tolygu duomenų saugos pažeidimui. Įvairiausių kibernetinių incidentų vyksta nuolatos ir nuo jų niekas nėra apsaugotas, tačiau ne kiekvienas kibernetinis incidentas reiškia, kad buvo nutekinti, sugadinti ir kitaip paveikti asmens duomenys“, – sakė „Cobalt“ teisininkė.
Grįžtant prie vadovų atsakomybės, R. Vasiliauskinės teigimu, svarbu paminėti, kad kartais, kai įstaigai padaryta žala, o tiesioginė atsakomybė vadovui nenumatyta teisės aktuose, įstaigos steigėjai ir/ar dalininkai turi teisę civilinio ieškinio tvarka padarytą žalą iš vadovo išsiieškoti.
„Tam, kad tokia galimybe galima būtų pasinaudoti, būtinos keletas sąlygų: įsilaužimu į svetainę būtų padaryta žala asmens duomenims, dėl ko įstaiga patirtų materialinių išlaidų (baudos sumokėjimui, civilinių ieškinių žalos patenkinimui ir pan.); būtų įrodyta, kad vadovas nesiėmė riziką atitinkančių protingų apsaugos priemonių svetainei apsaugoti ir kad tokių priemonių nebuvimas lėmė padarytą žalą“, – nurodė ekspertė.
Kaip saugomi jų duomenys sužinoti gali kiekvienas
Jos teigimu, kiekviena įstaiga, kaip duomenų valdytojas, privalo atlikti saugumo rizikų vertinimą ir numatyti tiek administracines, tiek technines saugumo priemones, kurios būtų adekvačios rizikoms užkardyti.
Patikrinti, ar tokie rizikos vertinimai atlikti ir ar taikomos saugumo priemonės yra adekvačios, turėtų priežiūros institucijos – šiuo atveju, Valstybinė duomenų apsaugos inspekcija, o kai kalba eina apie ypatingos svarbos infrastruktūrą – Nacionalinis kibernetinio saugumo centras.
„Paprastam žmogui kažkaip priversti poliklinikos administracijos naudoti vienokias ar kitokias saugumo priemones praktinių galimybių mano vertinimu nėra. Aišku, pacientai visada turi teisę žinoti, kaip įstaiga tvarko jų duomenis, tame tarpe ir kokias saugumo priemones taiko. Taigi, pasinaudoti šia teise gali kiekvienas – tiesiog pateikdamas rašytinę užklausą poliklinikai. Tačiau, saugumo priemonių žinojimas nieko neišspręs“, – aiškina R. Vasiliauskienė.
„Pirma, reikia turėti omenyje, kad absoliutaus saugumo internetinėje erdvėje nėra ir to tikėtis iš svetainių valdytojų negalima. Įsilaužiama net ir į labai apsaugotas svetaines. Antra, klausimas turėtų būti ne tik tai, kokias saugumo priemones Poliklinikos svetainė naudoja, bet ir tai, kokie duomenys gali būti pasiekiami per svetainę. Jeigu svetainė yra tik informacinio, reprezentacinio pobūdžio ir joje nėra kuriamos paskyros, nėra vykdomi atsiskaitymai, tikėtina, kad jos įsilaužimas nebus pavojingas pacientų asmens duomenims. Todėl ir saugumo priemonės tokiu atveju gali būti ne tokios griežtos“, – apibendrino specialistė.
Ko laukti ateityje
O kaip su kompensacijų klausimu? Ar pacientai tokiais atvejais galėtų reikalauti kokių nors kompensacijų?
„Šiuo atveju, kaip suprantu, asmens duomenų saugumas nebuvo pažeistas. Vadinasi, teisiškai kalbant, pacientai neturi ieškinio pagrindo. ESTT šiais metais priėmė sprendimą, kuriuo nurodė, kad tam, jog atsirastų teisė į kompensaciją, nepakanka tik duomenų/ kibernetinio incidento fakto. Asmuo turi būti patyręs tam tikro laipsnio moralinę žalą, kuri viršija paprastą susierzinimą ar nemalonumą. Kol tokios žalos pacientai nėra patyrę, kompensacijos reikalauti nėra prasmės“. – paaiškino R. Vasiliauskienė
Beveik neišvengiama, kad bandymų įsilaužti (tiek sėkmingų, tiek ne) ateityje neišvengiamai tik daugės. Ar tai kaip nors turėtų/galėtų pakeisti požiūrį į medicinines paslaugas ir medicininius vartotojų duomenis, jų priežiūrą ir apsaugą valstybiniu mastu? Atsakomybę įstaigoms?
Atsakydama į šiuos klausimus, „Cobalt“ Intelektinės nuosavybės ir IT reguliavimo teisės praktikos grupės vyresnioji teisininkė sutiko, kad žinant statistiką, bandymų įsilaužti nuolatos didėja ir atakos tampa vis sudėtingesnės. „Vien „Chat GPT“ kiek prisidėjo leisdami sukurti ypač tikroviškus phishingo laiškus. Kaip sakiau, nėra 100 procentų saugumo elektroninėje erdvėje“, – pastebėjo ekspertė.
„O kalbant apie atsakomybę, manau, kad šiuo metu galiojantis reguliavimas yra tinkamas. Atsakomybė už duomenų saugos pažeidimus yra gan didelė. Priminsiu, kad BDAR numato baudas iki 4 procentų pasaulinės metinės duomenų valdytojo apyvartos. O be baudos dar reikia priskaičiuoti ir reputacinę žalą bei civilinius ieškinius dėl žalos, išlaidas viešiesiems ryšiams ir teisinei pagalbai. Taigi susidaro labai didelė suma. Manau, kad visi, kas rimtai vertina savo verslus, rimtai ir žiūri į saugumą. Tuo pačiu sutinku, kad dėl finansinės situacijos viešose įstaigose situacija saugumo prasme gali būti prastesnė, tačiau, kaip ir minėjau, tuo turi rūpintis priežiūros institucijos“, – apibendrino R. Vasiliauskienė.
