Žinojo informaciją, kurios nesakė net artimiesiems
„2025 m. kovo mėnesį man į asmeninį telefono numerį paskambino iš Vilniaus teritorinės ligonių kasos. Pokalbio metu inspektorius, jau žinodamas apie mano ankstesnį apsilankymą konkrečioje privačioje gydymo įstaigoje, teiravosi apie man suteiktas medicinines paslaugas, jų apmokėjimą, kokybę ir kitas detales. Aš pats nei Ligonių kasoms, nei kitoms valstybės institucijoms, nesu davęs sutikimo naudoti mano asmens duomenis tokiam tikslui – skambinti, teirautis apie asmens sveikatos duomenis ar kitą konfidencialią informaciją. Man buvo atlikta operacija, apie kurią nenorėjau, kad kas nors žinotų, nes esu privatus asmuo.
Pokalbis su Vilniaus teritorinės ligonių kasos darbuotoju nebuvo iš maloniųjų, nes supratau, kad apie mano sveikatos būklę, teiktas paslaugas, kur lankiausi dėl jų, Ligonių kasos žino daugiau, negu kai kurie mano šeimos nariai, konkrečiai – vaikai. Tai mane sutrikdė ir sukėlė nerimą. Pasijutau visiškai „nuogas“ prieš valstybę. Niekaip negalėjau suprasti, iš kur ši instituciją gavo mano asmens duomenis, kodėl tiek daug žino apie man taikytą gydymą ir kas sunkiausiai suvokiama – skambina man telefonu ir apie tai kalba lyg tai būtų įprasta ir maloni tema.
Remiantis Bendrojo duomenų apsaugos reglamento (BDAR) nuostatomis ir Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymu, asmens duomenys – ypač sveikatos duomenys ir kontaktinė informacija – gali būti tvarkomi tik turint aiškų teisinį pagrindą ir (arba) tinkamai gautą duomenų subjekto, šiuo atveju mano, sutikimą. Paciento sutikimas gydytis ar dalintis sveikatos įrašais su klinika nėra tas pats, kas sutikimas tvarkyti asmens duomenis kitais tikslais, pvz., apklausoms ar kokybės vertinimui valstybės institucijoms.
Mano nuomone, Ligonių kasos be tinkamo pagrindo ir be mano sutikimo, neteisėtai naudojo mano asmens duomenis (telefono numerį, informaciją apie apsilankymą gydymo įstaigoje ir suteiktas paslaugas), taip pažeisdamos mano teisę į asmens duomenų apsaugą, privatų gyvenimą ir sveikatos duomenų konfidencialumą“, – savo situaciją pasakojo skaitytojas.
Situacija įvertino teisininkas
Gyvybės mokslų teisės ekspertas Andrejus Rudanovas sako, kad kiekvienas pacientas turi teisę į savo asmens duomenų apsaugą ir konfidencialumą. Jei jis įtaria, kad Valstybinė ligonių kasa pažeidė jo asmens duomenų tvarkymo reikalavimus, jis gali:
- Kreiptis į pačią įstaigą su skundu ar prašymu paaiškinti duomenų tvarkymo aplinkybes.
- Teikti skundą Valstybinei duomenų apsaugos inspekcijai, kuri prižiūri asmens duomenų apsaugos laikymąsi Lietuvoje.
- Reikalauti informacijos apie tai, kokie jo duomenys yra tvarkomi, kokiu tikslu, iš kur jie buvo gauti ir kam jie buvo perduoti.
- Prašyti ištaisyti, papildyti ar panaikinti netikslius ar perteklinius duomenis.
Valstybinė ligonių kasa privalo užtikrinti, kad asmens duomenys būtų tvarkomi teisėtai, tiksliai, saugiai ir tik tokia apimtimi, kuri būtina įstatymuose numatytiems tikslams pasiekti.
Nesupranta kas lėmė „Būtinybę žinoti“
Valstybinė duomenų apsaugos inspekcijos Teisės skyriaus patarėja Inga Mauricienė Lrytui sakė, kad VLK darbuotojai, kaip duomenų valdytojo įgalioti asmenys, gali kreiptis į sveikatos priežiūros paslaugas gavusius asmenis dėl tokių paslaugų gavimo, atsiskaitymo už jas ar kt., arba savarankiškai rinkti susijusius šių asmenų duomenis, neturint jų sutikimo ar skundo, tais atvejais, kai tokį asmens duomenų tvarkymą gali pagrįsti BDAR įtvirtintais teisiniais pagrindais.
„Prieigoms prie asmens duomenų (įskaitant galimybę juos peržiūrėti) taikomi tokie patys reikalavimai – prieigos turi būti suteiktos tiek, kiek būtina konkrečioms VLK funkcijoms vykdyti ar teisėms įgyvendinti. Atitinkamai VLK aptariamas prieigas turi suteikti savo darbuotojams vadovaujantis „būtinumo žinoti“ principu – suteikti jas tiems darbuotojams, kurių funkcijoms ir užduotims vykdyti tokios prieigos yra būtinos, o darbuotojai jomis gali naudotis tik vykdant konkrečias užduotis. Priešingu atveju, tai galėtų lemti asmens duomenų tvarkymo pažeidimą“, – sakė I.Mauricienė.
Pacientas, kuris kreipėsi į redakciją, teigė nesuprantąs, koks „būtinumas žinoti“ apie jam atlikta operaciją lėmė, kad Valstybinė ligonių kasas pasisavino jo duomenis. „Esu paprastas žmogus, nesu politikas, nesu valstybės tarnautojas, mano sveikatos duomenys yra privatūs ir neprivalau jų niekam atskleisti, juolab, leisti juos tiesiog savinintis ir naudoti man nežinomais tikslais“, – redakcijai tikslino pacientas.
Anot A. Rudanovo, prieiga prie asmens sveikatos duomenų išties nėra besąlygiška, ji suteikiama tik tiems sveikatos priežiūros specialistams, kuriems ji būtina tiesioginiam darbui su pacientu ir tik tuomet, kai pacientas registruojasi vizitui. Valstybinė duomenų apsaugos inspekcija, ištyrusį ne vieno paciento skundą, labai aiškiai ir nuosekliai pasisako šiuo klausimu – sveikatos duomenų tvarkymas ir naudojimas privalo turėti įstatyminį pagrindą.
„Duomenų naudojimas gali būti vykdomas tik tiek, kiek reikia konkrečiam atvejui spręsti ir nagrinėti. Paprastai tariant, jeigu pacientas pats kreipėsi į VLK su skundu dėl konkrečios paslaugos suteikimo ir jos apmokėjimo PSDF biudžeto lėšomis, VLK ir gali analizuoti šio paciento duomenis tik to atvejo ribose, bet ne daugiau, tačiau kaip suprantu iš situacijos, pats pacientas į VLK nesikreipė“, – sakė A.Rudanovas.
Apie asmens duomenų rinkimą ne visada būtina informuoti
Atsidūrus panašioje situacijoje ir kitiems pacientams gali kilti klausimas – kokiais būdais VLK renka pacientų duomenis ir ar visada apie tai daro teisėtai?
„Iš paciento pasakojimo kyla kitų klausimų – ar susipažinimas su paciento ypatingais asmens duomenimis, pirminis kontaktas su pacientu, pokalbis su juo, kurio metu pacientui užduodami klausimai – susiję su įstatymuose nustatytais tikslais. Šioje situacijoje kiekviena detalė ypatingai svarbi. Ir bene svarbiausia detalė – koks yra VLK tikslas rinkti ypatingus paciento duomenis ir su juo kontaktuoti. Jeigu VLK gavo paciento skundą ir nagrinėjo jį, kilo poreikis patikslinti informaciją ir tuo tikslu buvo skambinta – tai viena istorija. O jeigu tokio skundo nebuvo, natūraliai kyla klausimas – kodėl taip daroma? Koks įstatymas numato tokią VLK teisę?“, – klausimus kėlė pašnekovas.
„Įvertinti, ar konkretus sveikatos duomenų tvarkymas yra būtinas, teisėtas ir proporcingas konkrečiu atveju, galima tik išsamaus tyrimo metu“, – sakė Valstybinė duomenų apsaugos inspekcijos atstovė.
Apibendrindamas A. Rudanovas sakė: „Vertinant šį pasakojimą – VLK atstovai neturi teisės skambinti pacientui, kuris pats nesikreipė į VLK su prašymu ar skundu, ir teirautis apie konkrečios gydymo įstaigos suteiktas medicinines paslaugas, jų kokybę, kainą ar (ne)mokėjimą už jas. Informacija apie paciento sveikatą, gautas paslaugas ir jų apmokėjimą yra laikoma asmens duomenimis ir griežtai saugoma“.
Jis pridūrė, kad tokia informacija telefonu teikiama tik pačiam pacientui, kai jis pats inicijuoja kontaktą, ir tik nustačius jo tapatybę. Ne priešingai. Todėl situacija, kurią nupasakojo pacientas, kelia ypatingai daug klausimų dėl VLK/ TLK atstovų veiksmų atitikimo duomenų apsaugos teisiniam reguliavimui.