Portalą jonavoszinios.lt pasiekė jonavietės Aušros (vardas pakeistas, redakcijai žinomas) klausimas dėl jos asmens duomenų naudojimo, kuomet ji gavo SMS žinutę iš buvusios savo šeimos gydytojos. Žinutėje rašoma: „Sveiki. Išeinu dirbti į naują kliniką (duomenys neskelbtini). Kilus problemoms mane rasite ten, nuo lapkričio 8 d. Iki pasimatymo. Jūsų šeimos gydytoja (duomenys neskelbtini).“

Moteris teiravosi, ar jos šeimos gydytoja turi teisę pasinaudoti jos asmens duomenimis ir siųsti SMS žinutę, kad pereina dirbti į kitą gydymo įstaigą. Anot Aušros, tai gali būti, jos manymu, ir duomenų apsaugos reglamento, ir, galimai, reklamavimo pažeidimas.

„Aš nedaviau sutikimo naudoti savo duomenis, o ir kur dingo paciento ir mediko konfidencialumas? Galvojau, kad mano asmeniniai, medicininiai duomenys saugūs, bet panašu, kad nelabai. O kaip dėl privačios gydymo įstaigos reklamos, kuria užsiima šeimos gydytoja? Manau, kad tai yra duomenų apsaugos ir gal net reklamavimo pažeidimas. Nenorėčiau, kad taip „sėkmingai“ būtų naudojami mano duomenys ir kitur, nes nežinau, kur šeimos gydytoja juos dar gali naudoti“, - teiravosi jonavietė bei atsiuntė jai siųstos SMS žinutės nuotrauką.

Ar pacientų duomenys - konfidencialūs?  

Jonavietės klausimas perduotas Valstybinei duomenų apsaugos inspekcijai (VDAI) bei teirautasi, ar medikas, pereinantis dirbti į kitą įstaigą, turi teisę naudotis pacientų duomenimis, kurie - griežtai konfidencialūs ir negali būti perduoti tretiesiems asmenims?

„Pagal Bendrąjį duomenų apsaugos reglamentą (Reglamentas) asmens duomenys gali būti tvarkomi tik laikantis su asmens duomenų tvarkymu susijusių principų, įtvirtintų Reglamento 5 straipsnyje, ir kai toks asmens duomenų tvarkymas gali būti pagrįstas nors viena teisėto asmens duomenų tvarkymo sąlyga, numatyta Reglamento 6 ir, kai taikoma, 9 straipsnyje, atsižvelgiant į tvarkomų asmens duomenų kategoriją. Būtent duomenų valdytojas (fizinis ar juridinis asmuo, tvarkantis asmens duomenis) yra atsakingas už tai, kad būtų laikomasi Reglamento ir turi sugebėti įrodyti, kad jo laikomasi (atskaitomybės principas).

Reglamente įtvirtintas tikslo apribojimo principas įpareigoja asmens duomenis rinkti nustatytais, aiškiai apibrėžtais bei teisėtais tikslais ir toliau jų netvarkyti su tais tikslais nesuderinamu būdu. Pavyzdžiui, poliklinikoje paciento asmens duomenys tvarkomi tam, kad suteikti gydymo paslaugas. Vadinasi, poliklinikos darbuotojai paciento asmens duomenis tvarkys, kad būtų suteiktos šios paslaugos. Jei poliklinikos darbuotojas konkrečioje situacijoje nusprendžia tvarkyti asmens duomenis siekdamas savo tikslų (susijusių su profesine veikla), toks darbuotojas taptų duomenų valdytoju ir privalėtų užtikrinti, jog asmens duomenys būtų tvarkomi gavus atitinkamo duomenų subjekto (paciento) sutikimą arba remiantis kitu teisiniu pagrindu, nustatytu Reglamente.

Taigi, tuo atveju, jei šeimos gydytoja tvarko konkretaus paciento kontaktinius ir kitus sveikatos duomenis ir tokio atliekamo asmens duomenų tvarkymo negalėtų pagrįsti Reglamento 6 ir 9 straipsniuose nurodyta teisėto asmens duomenų tvarkymo sąlyga ir negalėtų nurodyti tokio asmens duomenų tvarkymo tikslo, tokia vykdoma veikla galimai būtų asmens duomenų pažeidimas. Visgi konstatuoti, kas konkrečiu atveju būtų atsakingas  – poliklinika ar šeimos gydytoja, galima tik išsamaus tyrimo metu, nustačius visas reikšmingas aplinkybes“, - paaiškino VDAI Teisės skyriaus patarėja Raminta Sinkevičiūtė-Šečkuvienė.

SMS reklama tik su sutikimu?

VDAI Teisės skyriaus patarėja, atsakydama į klausimą ir dėl galimos reklamos, siunčiamos SMS žinutėmis teigia, kad toks reklamavimas galimas tik su asmens sutikimu.

„Dėl asmens duomenų tvarkymo tiesioginės rinkodaros tikslu pažymėtina, kad Lietuvos Respublikos asmens duomenų teisinės apsaugos įstatymo 2 straipsnio 1 dalyje numatyta, jog tiesioginė rinkodara  – veikla, kurios tikslas paštu, telefonu arba kitokiu tiesioginiu būdu siūlyti asmenims prekes ar paslaugas ir (arba) teirautis jų nuomonės dėl siūlomų prekių ar paslaugų.

Pagal Lietuvos Respublikos elektroninių ryšių įstatymo (toliau – ERĮ) 81 straipsnio 1 dalį, naudoti elektroninių ryšių paslaugas, įskaitant elektroninio pašto pranešimų siuntimą, tiesioginės rinkodaros tikslu leidžiama tik gavus išankstinį abonento ar registruoto elektroninių ryšių paslaugų naudotojo sutikimą. Ši ERĮ nuostata yra taikoma, kai tiesioginės rinkodaros pasiūlymai teikiami skambinant, siunčiant juos elektroniniu paštu ar telefonu trumposiomis žinutėmis (SMS)“, - išaiškino VDAI Teisės skyriaus patarėja Raminta Sinkevičiūtė-Šečkuvienė.