Z początkiem nowego roku IV pakiet deregulacyjny znowelizował przepisy ustawy o ochronie danych osobowych. Z założenia nowelizacja miała dotyczyć statusu administratora bezpieczenstwa informacji. Bonusem dla administratorów danych osobowych, którzy zdecydowaliby się na powołanie ABI jest zwolnienie z obowiązku rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Obwiązek ten miałby spocząć na powołanym ABI.

W ustawie został szczegółowo wymieniony katalog zadań ABI.

W świetle nowych przepisów przedsiębiorca ma wybór co do powołania ABI w swoje firmie. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w ustawie dla ABI z wyłączeniem sporządzania sprawozdania wykonuje sam przedsiębiorca.

Jakie wiec zadania w świetle noweli należy przypisać przedsiębiorcy w przypadku, gdy nie powoła on do ich wykonywania ABI. Do tych zadań należy:

1) zapewnianie  przestrzegania przepisów o ochronie danych osobowych w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami,
  • nadzorowanie opracowania i aktualizowania dokumentacji wymaganej przepisami,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami.

W zasadzie wydaje się, że nie jest to dla administratorów nowość. Z mocy samej ustawy o ochronie danych osobowych odpowiedzialność za zgodność przetwarzania danych osobowych z ustawą i odpowiednimi przepisami spoczywa na administratorze danych. Ustawa określa szczegółowe zasady przetwarzania danych osobowych. Odnoszą sie one do wszystkich administratorów danych osbowych.

Aby przetwarzać dane zgodnie z zasadami określonymi w przepisach o ochronie danych osobowych każdy administrator powinien dokonywać sprawdzenia zgodności tego przetwarzania z przepisami o ochronie danych osobowych.

Jednakże ani samo pojęcie sprawdzenia zgodności przetwarzania danych osobowych, jak również sposób realizacji tego zadania nie były określone w przepisach prawnych.

Ostatnia nowelizacja to jednak zmieniła. Sprawdzenie zgodności przetwarzania stało się literą prawa. Zmiana w tym zakresie dotyczy wszystkich administratorów danych osobowych nawet tych, którzy nie powołają ABI. W związku z tym wszystkie podmioty  tak publiczne jak i prywatne przetwarzające dane osobowe powinny zapoznać się z nowymi regulacjami. Jest to jednak  utrudnione, bowiem najważniejsze rozporządzenie wykonawcze precyzujące tryb i sposób wykonywania nowych obowiązków w dalszym ciągu nie zostało uchwalone.

O trybie i sposobie realizacji nowych zadań z pewnością będziemy jeszcze wielokrotnie pisać. Tak z punktu widzenia wypełniania tych zadań przez administratorów bezpieczeństwa informacji (ABI) jak i samych administratorów danych osobowych.

Życie bez ABI

Czy  w nowej rzeczywistości prawnej tj. w świetle znowelizowanej ustawy o ochronie danych osobowych, da się żyć bez ABI. Mam wrażenie, że ta deregulacyjna nowelizacja, której pierwotnie przyświecał cel ułatwienia przedsiębiorcom prowadzenia działalności, poruszyła przedsiębiorców do działania.

Od początku roku obserwuję wzmożone zainteresowanie nie tylko prawników, profesjonalnych ABI ale też samych przedsiębiorców nową regulacją. Nie da się ukryć, że zainteresowanie to spowite jest strachem przed nowym obliczem ABI. Obowiązków miało być mniej a będzie więcej. ABI musi być ekspertem w dziedzinie ochrony danych osobowych. Za brak odpowiedniej wiedzy GIODO może z urzędu wykreślić go z rejestru. Dla reputacji ABI może to być cios przesądzający losy jego kariery w tym zawodzie. Nowe obowiązki nie ominą nawet administratorów, którzy w ogóle  zrezygnują z powołania ABI. Dylematów jest wiele i okazuje się, że mają je wszyscy począwszy od przedsiębiorcy poprzez ABI a na prawnikach i GIODO kończąc.

Czy wobec tego życie bez ABI nie jest jakąś alternatywą zapytam przewrotnie.

Niektórzy jednak się budzą lub też są budzeni przez spaming firm oferujących usługi w zakresie danych osobowych. Budzą się i jak nie mieli nic tak nagle chcą mieć wszystko łącznie z ABI na etacie. Zalecam jednak zachować spokój, nie ulegać presjom a juz na pewno zachować dystans do  ofert przesyłanych w związku z ostatnią nowelizacją.

Nie oznacza to, że należy się nie przejmować i spać dalej. Jeśli w tym momencie chcesz zrobić porządek w obszarze ochrony danych osobowych w swojej firmie to nie musisz działać w amoku. Najważniejsze to podjąć odpowiednią dla swojej firmy decyzję. Powołanie ABI nie w każdym przypadku jest rozwiązaniem optymalnym. Są sytuacje, gdy bardziej korzystne będzie zapewnienie stanu zgodności bez powołania ABI.

Na koniec muszę jednak też powiedzieć, że rzeczywiście są firmy, dla których profesjonalny ABI to najlepsze z możliwych rozwiązań. Jednak co najlepsze jest dla twojej firmy musi być wyważone a decyzja podjęta w oparciu o anlizę jej działalności, rozmiaru działania, zakresu przetwarzania danych osobowych i ryzk prawnych z tym związanych.

 

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.

Nowelizację ustawy o ochronie danych osobowych omawiamy już od miesięcy. Nowelizacja, która została wprowadzona w IV pakiecie deregulacyjnym teoretycznie miała zapewnić ułatwienie życia przedsiębiorcom tj. wykonywanej przez nich działalności.

Przykre obowiązki administracyjne w postaci zgłaszania, aktualizowania, wykreślania zbiorów z rejestru GIODO miały zniknąć. Jedynym warunkiem dla skorzystania ze zwolnienia było powołanie ABI i zarejestrowanie go w rejestrze GIODO. Jednak wszystko to było alternatywą dla przedsiębiorców. Ci, kórzy nie zdecydowali się na powołanie ABI mogli się nowelizacją nie interesować. To twierdzenie jednak w aktualnym stanie wiedzy jest fałszywe. Okazuje się bowiem, że nowelizacja dotyczy wszystkich administratorów danych.

Nowelizacja potraktowała ABI bardzo poważnie. Mamy bowiem nowego quasi urzędnika, wyposażonego po zęby w quasi urzędnicze narzędzia w celu wypełniania swojej funkcji. Nowy status w postaci odrębności organizacyjnej, niezależności, szczegółowo określony katalog zadań. Trzy rozporządzenia wykonawcze i mnożące się pytania oraz wątpliwości.

Najważniejsze rozporządzenie wykonawcze  w sprawie trybu i sposobu realizacji zadań w celu przestrzegania przepisów o ochronie danych osobowych jak dotychczas nie zostało uchwalone, co potęguje niepewność prawną odnośnie nowej regulacji.

Czytając projekt nasuwa się sporo wątpliwości, zwłaszcza w kontekście głownego założenia IV pakietu deregulacyjnego polegającego na ułatwieniu wykonywania działalności . Zgodnie z intencją prawodawcy wprowadzone w ustawie o ochronie danych zmiany miały dotyczyć jedynie podmiotów, które w trybie przewidzianym w ustawie o ułatwieniu działalności gospodarczej powołają i zgłoszą do GIODO administratora bezpieczeństwa informacji.

Wielokrtonie w toku prac legislacyjnych podkreślano, iż decyzja o powołaniu ABI miała zależeć od woli administratorów danych. Nowy system miał mieć charakter fakultatywny. Tymczasem obowiązki określone w rozporządzeniu wykonawczym dotyczącym trybu i realizacji zadań ABI, będą dotyczyć wszystkich administratorów danych osobowych nawet tych, którzy nie zdecydują się nie powołanie ABI i nie będą objęci zwolnieniem z obowiązków rejestracji zbiorów w GIODO..

Rozszerzenie nowych obowiązków zapewnienia zgodności przetwarzania danych osobowych na wszystkich administratorów również tych, którzy nie skorzystają z ułatwień regulacji, gdyż nie zdecydują się na powołanie ABI  niweczy cel zmian deregulacyjnych.

Czyli miało być pięknie a wyszło jak zawsze…

Nowelizacja prawa telekomunikacyjnego i uzależnienie używania telekomunikacyjnych urządzeń końcowych (w tym telefonów) w celu marketingu bezpośredniego, od uprzedniej zgody abonenta wzbudza wiele emocji.

Branże, które aktywnie korzystają z telemarketingu stanęły przed ogromnym wyzwaniem. W jaki sposób pozyskiwać uprzednią zgodę, czy wykonanie połączenia w celu uzyskania zgody jest już zakazane. Jak w takich warunkach prowadzić biznes.

Przepis jest świeży, prawnicze wykładnie jego treści też nie rozwiewają wątpliwości.

Okazuje się, że możemy się spodziewać pierwszego postępowania przed Prezesem UOKiKu dotyczącego zakazanego telemarketingu. Bowiem firma sprzedająca garnki do gotowania, nie posiadając uprzedniej zgody konsumentów, kontaktowała się z nimi telefonicznie w celu zapraszania ich na pokazy tychże garnków.

Świadomi konsumenci o praktykach firmy sprzedającej garnki powiadomili Prezesa UOKiKu, który wszczął postępowanie wyjaśniające w sprawie ustalenia czy stosowane przez firmę praktyki naruszyły zbiorowy interes konsumenta.

Więcej na stronie UOKiKu:

http://www.uokik.gov.pl/aktualnosci.php?news_id=11536

UOKiK ostrzega…

Kierowane do przedsiębiorców e-maile z ofertami odpłatnej zmiany regulaminu sklepu internetowego nie mają nic wspólnego z działalnością UOKiK i mogą naruszać prawo.

Więcej na stronie UOKiK:

http://www.uokik.gov.pl/aktualnosci.php?news_id=11562

Powołanie ABI nie jest obowiązkiem

Inspiracją do tego wpisu była rozmowa z klientem, który zadzwonił do mnie z przerażeniem, że zmieniły się przepisy i że on chce zgodnie z nimi uporządkować obszar ochrony danych osobowych i powołać  ABI .

W toku rozmowy zorientowałam się, iż  klient ma przeświadczenie, że powołanie ABI stało się obowiązkiem prawnym, o czym przypomina nieustanny spaming od firm, które świadczą tego rodzaju usługi w zakresie ochrony danych osobowych.

Świadectwo klienta trochę mnie wprawiło w osłupienie, gdyż nie zdawałam sobie sprawy, że uprawiane są tego rodzaju naganne praktyki. Dodatkowo jeszcze wprowadzające w błąd. Bowiem nowelizacja ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. nie wprowadza obowiązku powołania ABI a wręcz przeciwnie stanowi, iż powołanie ABI jest prawem a nie obowiązkiem administratora danych.

W przypadku niepowołania ABI jego zadania z wyłączeniem obowiązku sporządzania sprawozdania wykonuje administrator danych.

Czy administrator danych osobowych w związku z niepowołaniem ABI, w świetle znowelizowanej ustawy o ochronie danych osobowych  osobowych będzie miał więcej obowiązków, przyjrzymy się w kolejnych wpisach.

Reklamy, które nas śledzą…

Surfując po sieci w poszukiwaniu informacji klikamy przenosząc się ze strony na stronę. Przy pomocy linków przenosimy się w różne obszary naszych zainteresowań, potrzeb.

Po jakimś czasie szukamy innych informacji ale nasza metoda poszukiwań się nie zmienia, klikamy na pozostawione w sieci linki, wpisujemy słowa kluczowe  do wyszukiwarek i szukamy, szukamy, szukamy.

Okazuje się jednak, że ktoś podąża za nami przez te wszystkie czy niektóre internetowe szlaki. Orientujemy się, gdy widzimy reklamę usług, towarów, których szukaliśmy wcześniej wpisując słowa kluczowe, odwiedzając określone witryny czy klikając na określone linki. Ktoś śledził, czego szukamy i wnioskując po zostawionych śladach przygotował dla nas ofertę w postaci sprofilowanej reklamy.

Działanie, które ma na celu dobranie właściwej do oczekiwań, potrzeb reklamy na podstawie obserwacji zachowań internauty nazywa się profilowaniem a reklama, która jest tworzona w oparciu o obserwację zachowań reklamą behawioralną.

Kto nas śledzi, w jaki sposób i w jakim celu, kto ma interes w tym, aby pokazać nam taką czy inną reklamę, dostosować ją do stworzonego profilu.

W proces tworzenia reklamy behawioralnej zaangażowanych jest kilka podmiotów, które muszą współpracować ze sobą, aby osiągnąć  pożądany efekt czyli wyświetlić właściwą reklamę właściwym osobom czy raczej profilom.

Do tworzenia profili służą nowe technologie informatyczne i są one coraz bardziej zaawansowane. Najbardziej znane to popularne cookies czyli małe pliki tekstowe, które są umieszczane na urządzeniu końcowym użytkownika najczęściej po wejściu na jakąś witrynę. Rodzajów plików jest bardzo wiele od najprostszych służących do poruszania się po witrynie czy badania statystyk po te, które nas śledzą.

Czy mamy się czego bać i tak i nie powiem przewrotnie. Nie powinniśmy się bać cookies, które umożliwiają nam korzystanie z internetu, poruszanie się po witrynach internetowych. Nawet, gdy wyświetlają się nam profilowane reklamy nie jest to jeszcze powód do paniki, o ile profilowanie jest zgodne z prawem.

Najbardziej niepokojące w całym procesie profilowania jest to, że informacje zbierane przez różne podmioty oraz do różnych celów czy z różnych źródeł mogą być ze sobą zestawiane. O ile pliki cookies śledzą urządzenie a nie osobę to nie można wykluczyć, że  w którymś momencie podmiot umieszczający pliki, będzie w posiadaniu danych osobowych np. pochodzących z rejestracji.

Takie zestawianie danych może służyć do personalizowania reklam, ofert czy szerokiego wykorzystywania w marketingu i sprzedaży tylko, że my zwykle nie mamy o tym żadnej wiedzy, a powinniśmy mieć.

Używanie plików cookies wymaga zgody użytkownika lub abonenta, po uprzednim poinformowaniu go o rodzajach, celach cookies, możliwości usunięcia cookies poprzez zmianę ustawień w swojej przeglądarce.

Tylko kto to wszytko czyta. Nie czytamy informacji, które i tak są niezbyt precyzyjne, zwykle nie czytamy treści zgód, które klikamy w internecie. Dobrym rozwiązaniem byłaby informacja graficzna z użyciem  graficznych ikonek informujących o profilowaniu oraz możliwość łatwego cofnięcia swojej zgody.

W procedowanym aktualnie rozporządzeniu unijnym o ochronie danych osobowych osób fizycznych profilowanie będzie dużo bardziej szczegółowo uregulowane niż w aktualnie obowiązujących przepisach  prawnych, co na pewno wpłynie na bezpieczeństwo prawne w wykorzystywaniu tej technologii.

Czasy, w których dane medyczne zapisywane są na różnego rodzaju kartach papierowych niebawem staną się przeszłością. Dla większych placówek informatyzacja już stała się faktem. Całej branży medycznej pozostawiony został jednak czas na oswojenie się z jej wizją oraz odpowiednie przygotowanie, w szczególności w zakresie zapewnienia odpowiednich narzędzi informatycznych. Z dniem 1 sierpnia 2017 r. obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej obejmie wszystkie podmioty udzielające świadczeń zdrowotnych.

Dane medyczne przetwarzane będą obowiązkowo w formie elektronicznej tworząc elektroniczną dokumentację medyczną w dużym szpitalu publicznym, prywatnej przychodni lekarskiej czy tworzonej w ramach prywatnej praktyki lekarskiej, w dużym mieście, małym miasteczku czy wiejskim ośrodku zdrowia, bez wyjątku.

Systemy informatyczne przeznaczone do przetwarzania danych medycznych powinny oczywiście umożliwiać tworzenie zgodnej z prawem dokumentacji medycznej. Muszą też uwzględniać wymagania prawa ochrony danych osobowych, o czym twórcy aplikacji przeznaczonej do przetwarzania danych medycznych, powinni pamiętać już na etapie projektowania.

W kontekście elektronicznej dokumentacji medycznej wyłania się problem, który dotyczy outsourcingu IT przez podmioty udzielające świadczeń zdrowotnych. Wprowadzenie obowiązku prowadzenia dokumentacji elektronicznej implikuje bowiem szereg problemów w sferze prawnej oraz czysto praktycznej.

Każdy podmiot udzielający świadczeń zdrowotnych tak prywatny, jak publiczny będzie musiał wyposażyć swoją placówkę w odpowiednią infrastrukturę oraz oprogramowanie IT. Duże podmioty z pewnością postawią na własne IT gwarantujące wysoki poziom bezpieczeństwa przetwarzanym danym medycznym. Małe podmioty, w ogromnej większości, rozważać będą skorzystanie z usług zewnętrznych podmiotów oferujących gotową aplikację do tworzenia dokumentacji medycznej.

Na dzień dzisiejszy jest z tym pewien problem, gdyż przepisy dotyczące tajemnicy medycznej nie uwzględniają możliwości outsourcingu. Niemniej jednak, jak wynika z oświadczeń Dyrektora CSIOZ trwają prace legislacyjne mające na celu niezbędną zmianę przepisów prawnych. Warto wspomnieć, iż GIODO Wojciech R. Wiewiórowski wielokrotnie monitował odpowiednie organy państwowe wskazując na potrzebę uregulowania tej ważnej kwestii i stworzenia podstaw prawnych dla outsourcingu IT w branży medycznej.

Miejmy nadzieję, że do czasu wejścia w życie przepisów wprowadzających obowiązek w zakresie elektronicznej dokumentacji medycznej zostaną również uchwalone przepisy dające prawne podstawy dla bezpiecznego korzystania z outsourcingu IT w branży medycznej.

Po koniec  ubiegłego roku we Wrocławiu  powstało wprawiające w osłupienie Medyczne Centrum Przetwarzania Danych. Centrum świadczy usługi w zakresie IT na rzecz podmiotów wykonujących działalność leczniczą. Centrum posiada imponującą infrastrukturę informatyczną z zabezpieczeniami równającymi się z tymi stosowanymi na Giełdzie Nowojorskiej.

Jak wiadomo obowiązek prowadzenia elektronicznej dokumentacji medycznej wejdzie w życie z dniem 1 sierpnia  2017 r. Począwszy od tej daty każdy podmiot prowadzący działalność leczniczą  będzie zobowiązany do prowadzenia dokumentacji medycznej w formie elektronicznej. Obowiązek ten jest integralnie związany z budową systemu informacji w ochronie zdrowia.

SIM to  system teleinformatyczny  służący przetwarzaniu danych dotyczących udzielonych, udzielanych i planowanych świadczeń opieki zdrowotnej udostępnianych przez systemy teleinformatyczne usługodawców. Usługodawcy to przede wszystkim podmioty wykonujące działalność leczniczą w rozumieniu przepisów o działalności leczniczej. Z dniem 1 sierpnia 2017 r. usługodawcy będą obowiązani prowadzić dokumentację medyczną w formie elektronicznej.

W związku z powyższym obowiązkiem informatyzacja w całej ochronie zdrowia stanie się faktem.

Problemem przed którym staną czy stoją podmioty wykonujące działalność leczniczą będzie zapewnienie infrastruktury i systemów informatycznych dla swoich jednostek. W zależności od rozmiaru danej jednostki, zakresu i ilości przetwarzanych danych medycznych te decyzje będą też inne.

Medyczne Centrum Przetwarzania danych oferuje cały wachlarz usług IT począwszy do zapewnienia sprzętu IT a skończywszy na gotowym produkcie w postaci aplikacji.

Na stronach CSIOZ (Centrum Systemów Informacyjnych Ochrony Zdrowia) pojawiły się wytyczne dla elektronicznej dokumentacji medycznej omawiające zagadnienia prawne związane z bezpiecznym przetwarzaniem danych medycznych w systemach informatycznych jak również warunki zlecenia tych usług podmiotom zewnętrznym.

Wytyczne są na tyle ciekawe i chwilami niejednoznaczne, że zasługują na odrębny wpis.