Norėdamas užsirašyti vizitui pas gydytoją, pasirodo, gali pamatyti ir konfidencialią informaciją. Į tv3.lt kreipęsis vilnietis sakosi ir apstulbęs, ir sunerimęs dėl duomenų apsaugos lygio tinklalapyje sergu.lt. Su savo telefono numeriu prisijungęs prie svetainės paskyros jis netikėtai išvydo nepažįstamo vyro asmens duomenis.
Naudoja aštuonerius metus
Vilnietis Tomas pasakoja spragą pamatęs prieš keletą dienų, kuomet norėjo užsiregistruoti pas gydytoją vienoje iš sostinės poliklinikų. Užėjus į sergu.lt svetainę, jo buvo paprašyta įvesti savąjį telefono numerį. Tiesa, tai padarius, jis buvo informuotas, kad numeris jau yra aktyvuotas sistemoje.
„Pagalvojau, kad paprasčiausiai pamiršau, jog registravausi anksčiau. Pasinaudojau slaptažodžio atstatymo funkcija ir gavau specialų kodą į telefoną. Pasikeičiau slaptažodį ir prisijungiau. Bet bandant patvirtinti apsilankymą pas reikalingą gydytoją, sistema atidarė dar vieną langą, kuriame paklausė, kieno vardu yra registruojamasi pas daktarą.
Pamačiau nepažįstamo man asmens duomenis – vardą, pavardę, miestą ir asmens kodą. Buvo ir funkcija „Asmens apsilankymo pas gydytojus istorija“. Tiesiog pas tą konkretų žmogų nebuvo jokios informacijos šiame laukelyje“, – sakė vyriškis. Jis pabrėžė, kad telefono numerį, kuriuo jungėsi prie sergu.lt paskyros, naudoja jau beveik aštuonerius metus.
Nurodė kaltininką
Tinklalapio kūrėju ir valdytoju iki šių metų sausio 1 d. buvo Vilniaus universiteto ligoninės Santaros klinikos. O nuo minėtos datos sergu.lt perėjo į Registrų centro atsakomybę.
Kaip tv3.lt teigė Santaros klinikų vyriausioji specialistė ryšiams su visuomene Gitana Letukienė, dėl susiklosčiusios situacijos kaltas ankstesnis telefono numerio naudotojas. Tai yra žmogus, kuriam dabartinis vilniečio numeris priklausė prieš aštuonerius metus.
„Viena iš pagrindinių naudojimosi sergu.lt taisyklių yra „Pasikeitus telefono numeriui ar kitai asmeninei informacijai, privalote pakoreguoti duomenis sistemoje arba apie tai pranešti sistemos administratoriui, nes, priešingu atveju, jūsų informaciją galės matyti nauji mobilaus telefono numerio savininkai.“
sergu.lt paskyra su nepažįstamo asmens duomenimis (skaitytojo nuotr.)
Kitaip tariant, ankstesnis dabartinio telefono numerio savininkas, kuris pirmasis sistemoje užsiregistravo, nurodydamas aptartą mobilaus telefono numerį, šios taisyklės nesilaikė. Praradęs savo telefono numerį, jis neužregistravo šio fakto. Ankstesnis sistemos naudotojas pats neatsakingai elgėsi su savo duomenimis“, – incidentą aiškino G. Letukienė.
Žada saugesnę versiją
Tai, kad prisijungti prie minėto tinklalapio galima pasinaudojant telefono numeriu, nežavi dabartinio sergu.lt valdytojo Registrų centro. Jo atstovas spaudai Mindaugas Samkus sakė, kad per pirmąjį šių metų pusmetį bus baigta diegti nauja išankstinės pacientų registravimo sistemos, kurios dalimi yra sergu.lt, versija. Joje galimybės prisijungti telefonu nebeliks.
„Kuriant naująją sistemą ypatingas dėmesys yra skiriamas duomenų saugumui, todėl pacientai naujajame portale pas gydytojus galės užsiregistruoti tik prisijungę per elektroninius valdžios vartus ar su elektroniniu parašu.
Šiuo metu sergu.lt su elektroniniu parašu prisijungti negalima, reikia naudoti mobiliojo telefono numerį. Būtent dėl to, mūsų manymu, ir galėjo iškilti toks atvejis, kai pacientas, prisijungęs su savo telefono numeriu, pamatė kito paciento, kuriam, tikėtina, anksčiau priklausė tas telefono numeris, duomenis“, – teigė M. Samkus.
Santaros klinikų atstovų teigimu, paskutinį kartą sergu.lt svetainė buvo atnaujinta daugiau nei prieš trejus metus – 2015 m. gruodį. Jos įrengimui per du etapus buvo skirti apie 2,8 mln. Eurų. 85 proc. jų atkeliavo kaip ES parama.
Precedentų nėra
Anot advokatų kontoros „TGS Baltic“ partnerio Mindaugo Civilkos, net jeigu aprašytasis atvejis yra atsitiktinis, jis taip pat reiškia asmens duomenų apsaugos pažeidimą.
„Aišku, pažeidimas mažo lygio, jeigu tai atsitiktinumas, o ne sisteminis pažeidimas. Jeigu kalba eitų apie sisteminį pažeidimą, tuomet yra bėdų, reikia giliau tirti tas priežastis. Juk tai labai jautrūs duomenys – asmens kodai, vizitai pas gydytojus ir panašiai“, – atkreipia dėmesį teisininkas.
Tiesa, M. Civilka pabrėžė, kad kalbėti apie hipotetinį scenarijų, kas gresia pažeidus asmens duomenų reglamentą, vis dar per anksti.
Nors visoje ES bendrasis duomenų apsaugos reglamentas (BDAR) pradėtas taikyti praėjusių metų gegužę, kol kas precedentų dėl duomenų apsaugos pažeidimo nėra.
Maža to, „TGS Baltic“ partneris pažymėjo, kad daug kas priklauso nuo to, kokius svetimo asmens duomenis žmogus pamato. Viena yra vardas ir pavardė, o kita apsilankymų pas gydytojų išklotinės ir asmens kodai. Už pastarojo tipo pažeidimus teorinės bausmės būtų daug griežtesnės.