Ievietots 16.05.2017 · sadaļā 1.lapa, Ziņas

Datu valsts inspekcija (turpmāk-Inspekcija) informē, ka, pamatojoties uz masu informācijas līdzekļos izskanējušo informāciju par to, ka privātuzņēmums SIA “DATAMED”, iespējams, veic nelikumīgu ārstniecības iestāžu pacientu personas datu apstrādi, kā arī pamatojoties uz Administratīvā procesa likuma 55.panta 2.punktu, Inspekcija 2016.gadā uzsāka pārbaudi par šīs rīcības atbilstību Fizisko personu datu aizsardzības likumam (turpmāk – FPDAL).
Inspekcija pārbaudes ietvaros veica desmit Latvijā lielāko ārstniecības iestāžu veikto personas datu apstrādes atbilstības izvērtēšanu fizisko personu datu aizsardzības reglamentējošo normatīvajos aktos noteiktajām prasībām, glabājot pacientu sensitīvos personas datus SIA “DATAMED” datu bāzē.

Inspekcija informē, ka pārbaudes ietvaros tika konstatētas vairākas neatbilstības FPDAL.

FPDAL 21.pants noteic, ka pirms personas datu apstrādes uzsākšanas pārzinis reģistrē personas datu apstrādi Inspekcijā vai norīko fizisko personu – datu aizsardzības speciālistu -, ja pārzinis veic kādu no šajā pantā minētajām personas datu apstrādēm.

Savukārt FPDAL 22.panta ceturtā daļa noteic, ka pirms izmaiņu izdarīšanas personas datu apstrādē šīs izmaiņas reģistrē Inspekcijā, izņemot šā panta pirmās daļas 11.punktā minēto informāciju.

Veiktās pārbaudes ietvaros tika konstatēts, ka divas ārstniecības iestādes nebija reģistrējušas izmaiņas Inspekcijā atbilstoši FPDAL 22.panta ceturtajai daļai, tas ir, netika reģistrēts šo abu ārstniecības iestāžu personas datu operators – SIA “DATAMED”.

Ievērojot minēto, Inspekcija konstatēja, ka divas ārstniecības iestādes nav ievērojušas FPDAL 22.panta ceturtās daļas prasības un līdz ar to izdarījušas administratīvo pārkāpumu, par ko ir paredzēta administratīvā atbildība Latvijas Administratīvo pārkāpumu kodeksa (turpmāk – LAPK) 204.9panta otrajā daļā. Atbilstoši LAPK noteiktajai kārtībai attiecībā uz divām ārstniecības iestādēm tika pieņemts lēmums par saukšanu pie administratīvās atbildības un administratīvā soda piemērošanu.

FPDAL 14.pants paredz, ka personas datu apstrādi pārzinis var uzticēt personas datu operatoram, noslēdzot rakstveida līgumu. Personas datu operators viņam uzticētos personas datus drīkst apstrādāt tikai līgumā norādītajā apjomā, atbilstoši tajā paredzētajiem mērķiem un saskaņā ar pārziņa norādījumiem, ja tie nav pretrunā ar normatīvajiem aktiem. Personas datu operators pirms personas datu apstrādes sākšanas veic pārziņa norādītos drošības pasākumus personas datu apstrādes sistēmas aizsardzībai atbilstoši šā likuma prasībām.

Veiktās pārbaudes ietvaros tika konstatēts, ka četru ārstniecības iestāžu noslēgtajos rakstveida līgumos ar personas datu operatoru tika iekļauti vispārīgi nosacījumi attiecībā uz datu subjekta pieejas tiesībām un iespējām piekļūt saviem sensitīvajiem personas datiem. Ņemot vērā minēto, Inspekcija aicināja šo ārstniecības iestāžu pārstāvjus un personas datu operatoru SIA “DATAMED” precizēt šos nosacījumus noslēgtajos līgumos, lai tie atbilstu FPDAL 14.pantā noteiktajām prasībām.

Inspekcija informē, ka gan ārstniecības iestāžu pārstāvji, gan personas datu operators SIA “DATAMED” ir ņēmuši vērā Inspekcijas norādījumus, un ir precizējuši savstarpēji noslēgtos līgumus atbilstoši Inspekcijas izvirzītajām prasībām.