Po Malinausko laidos – patikrinimas: už asmens duomenų saugumo pažeidimus garsiai klinikai skirta 450 tūkst. eurų bauda
Valstybinė duomenų apsaugos inspekcija (toliau – VDAI) už asmens duomenų saugumo pažeidimus UAB „InMedica skyrė 450 tūkst. eurų baudą, skelbia VDAI.
VDAI buvo atlikti du medicinos bendrovių patikrinimai, kurie vėliau sujungti į vieną.
VDAI, atsižvelgdama į 2024 m. rugsėjo mėn. viešoje erdvėje prieinamą informaciją (Skirmanto Malinausko 2024-09-08 laida „Nulaužta Lietuva“) apie asmens duomenų saugumo pažeidimą (toliau – ADSP), kurioje nurodoma, kad trečiasis asmuo prisijungė prie UAB „Kardiolita“ vidinės duomenų valdymo sistemos, kurioje matomi duomenų subjektų asmens duomenys (pacientų informacinės sistemos), atliko BDAR taikymo stebėseną UAB „Kardiolita“ atžvilgiu. Atlikus stebėseną buvo nuspręsta pradėti tikrinimą savo iniciatyva, įtariant, kad gali būti padaryta BDAR pažeidimų.
Kitas patikrinimas savo iniciatyva buvo pradėtas gavus UAB „InMedica" pranešimą apie ADSP. „InMedica" patyrė duomenų šifravimo ir išpirkos reikalaujančią ataką, kai trečioji šalis užšifravo keturių sistemų duomenis. Šiose sistemose buvo tvarkomi pacientų bei darbuotojų asmens duomenys.
Atlikusi pirmąjį patikrinimą dėl „Kardiolitos" VDAI nustatė, kad ADSP metu nebuvo užtikrintas tinkamas asmens duomenų saugumo lygis, t. y., ADSP įvyko dėl „Kardiolitos“ nepakankamai užtikrinamos prieigų kontrolės ir netinkamo autentifikavimo jungiantis prie sistemos su asmens duomenimis (darbuotojams jungiantis per išorinį tinklą (internetu) nebuvo taikomas kelių veiksnių autentifikavimas, nebuvo įdiegtas prieigos apribojimas tik įgaliotiems asmenims, prisijungimų slaptažodžiai neatitiko tam tikro kompleksiškumo lygio).
Atlikusi antrąjį patikrinimą dėl „InMedica" VDAI nustatė, kad ADSP metu „InMedica" paveiktose sistemose taip pat nebuvo užtikrinamas tinkamas asmens duomenų saugumo lygis. „InMedica" nebuvo pakankamai užtikrinama prieigų kontrolė ir autentifikavimas, t. y. privilegijuotiems naudotojams jungiantis per išorinį tinklą (internetu) nebuvo taikomas kelių veiksnių autentifikavimas, nebuvo įdiegtas prieigos apribojimas tik įgaliotiems asmenims.
Kadangi nuo 2025-06-25 UAB „Kardiolita“ teisių ir pareigų perėmėja yra UAB „InMedica“, bauda skirta pastarajai bendrovei. Administracinė bauda skirta už BDAR 24 straipsnio 1 dalies, BDAR 32 straipsnio 1 dalies b punkto bei BDAR 5 straipsnio 1 dalies f punkto nuostatų pažeidimus.
VDAI sprendimą Nr. 3R-1143 galite rasti rubrikoje „VDAI sprendimai (baudos, nurodymai ir kt.) 2026 m.“
Sprendimas per vieną mėnesį nuo jo įteikimo dienos gali būti skundžiamas teismui.
Tiesa, jau skelbta, kad didžiausiai privačios medicinos paslaugų teikėjai Lietuvoje „InMedica grupei“ priklausančios „InMedica“ klinikos, „Kardiolitos klinikos“ bei VIC odontologijos klinikos keičia pavadinimus ir dabar veikia po bendru prekės ženklu – „Meliva“.