Gdybym nie przeczytała tego w oficjalnym oświadczeniu na stronie GIODO to bym nie uwierzyła.

Moje prawdziwe zdumienie wywołała poniższa informacja podana na stronach GIODO:

W ostatnim czasie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych.

Oznacza to niestety, że ci ABI, którzy wysłali  sprawozdania do GIODO niewystarczająco znają przepisy ustawy o ochronie danych osobowych. Nie zdzwiłabym się zatem, gdyby w następstwie przesłanych (niepotrzebnie) sprawozdań GIODO zapragnął bliżej się przyjrzeć podmiotom, które takich ABI powołały.

Skąd w ogóle pomysł, aby sprawozdanie z wewnętrznego sprawdzenia stanu zgodności przesyłać do GIODO. Rzecz w tym, że w jednym, jedynym przypadku przepisy o ochronie danych osobowych przewidują obowiązek przedstawienia GIODO sprawozdania ze sprawdzenia.

Zgodnie z przepisami GIODO może zwrócić się do zarejestrowanego ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa, u administratora danych, który go powołał. Po dokonaniu tego sprawdzenia ABI  przedstawia GIODO sprawozdanie, ale wyłącznie w tym przypadku.

Zasadą jest sprawdzanie przez ABI stanu zgodności przetwarzania danych z przepisami. Zasadą jest również opracowywanie sprawozdań z takich sprawdzeń. Jednak  zasadą jest również, że są to czynności wewnętrzne, tworzone na użytek danego podmiotu a nie dla GIODO. Poza przypadkiem, gdy GIODO sam zwróci się do ABI o dokonanie sprawdzenia.  Wówczas i tylko wówczas sprawozdanie z takiego sprawdzenia musi trafić do GIODO.

Jaki z tego morał. A no taki, że  niektórzy ABI niewystarczająco znają przepisy o ochronie danych osobowych czyli można im postawić zarzut braku odpowiedniej wiedzy, która z kolei jest jedną z ustawowych przesłanek  powołania i istnienia ABI.

Zdemaskowanie się przed GIODO ze swoją niewiedzą to w mojej ocenie trochę słabe jak na profesjonalnego ABI. Nie zdziwiłabym się kontrolom GIODO w  podmiotach, od których wpłynęły sprawozdania.

W następnym wpisie postaram się przedstawić warunek odpowiedniej wiedzy wymaganej od ABI, ale już w świetle rozporządzenia unijnego. Widać, że jest potrzeba pochylenia się nad tym jakże ważnym tematem.

 

Czas Sprawozdań

Koniec jednego roku i początek drugiego to dla przesiębiorców trudny czas choćby z powodu różnorakich obowiązków związanych z zamknięciem, podsumowaniem, sprawdzeniem działań w starym roku i obowiązkiem podsumowania tych działań.

W obszarze ochrony danych osbowych koniec roku wiąże się obowiązkiem sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest powiązane z realizacją obowiązków zabezpieczenia danych osobowych. Wymagania dotyczące wykonywania sprawdzeń są obowiązkiem każdego administratora danych i procesora.

W przypadku, gdy administrator danych osobowych powołał u siebie ABI to on właśnie będzie odpowiedzialny za okresowe sprawdzenia zgodności przetwarzania danych. Ci ADO, którzy nie powołali u siebie ABI sami  będą odpowiedzialni za dokonywanie sprawdzeń.

Rodzaje sprawdzeń oraz szczegółowe wymagania wobec sprawdzeń dokonywanych przez ABI zawarte są w przepisach wykonawczych.

Brak szczegółówych regulacji prawnych odnośnie sprawdzeń dokonywanych przez administratorów danych osobowych nie oznacza, że przewidziana jest dla nich  taryfa ulgowa w wykonywaniu tych obowiązków. Sprawdzanie stanu zgodności przetwarzania danych osobowych jest to ustawowy obowiązek ADO, który nie powołał ABI. Wywiązanie się z tego obowiązku a także wykazanie tego wobec GIODO spoczywa na samym ADO.

Z ustawy nie wynika, aby ADO  był zobowiązany sam sobie składać sprawozdanie ze sprawdzenia, ale czy oznacza, że nie powinien ich robić. W mojej ocenie trudno w lepszy sposób wykazać wywiązanie się z obowiązku sprawdzania stanu zgodności przetwarzania danych niż w sprawozdaniu właśnie. Ustna deklaracja czy oświadczenie kierownika jednostki czy prezesa firmy, że sprawdzono stan zgodności może okazać się w czasie kontroli GIODO zupełnie niewystarczająca.

Pamiętajmy, że ADO musi być w stanie wykazać, że sprawdza stan zgodonści przetwarzania danych, udowodnić to, z tego powodu nie ma ucieczki przed formalizcją czynności sprawdzających i sprawozdaniem.

Zatem wszyscy administratorzy danych osobowych i procesorzy powinni dokonywać cyklicznego sprawdzania, przynajmniej raz do roku stanu zgodności przetwarzania danych, a wyniki takiego sprawdzenia zamieszczać w corocznym sprawozdaniu.

Jeśli nie przygotowałeś jeszcze sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych w Twojej firmie i nie do końca wiesz jak się do tego zabrać zachęcam do lektury mojego Poradnika ABI nr 1 , który taki pomocny wzór zawiera. Znajdziesz go TUTAJ.

W ostatnim wpisie rozpoczęłam omawianie zagadnień związanych z inspektorem danych osobowych (DPO) czyli dotychczasowym znanym polskiemu prawu ABI. Jest to zagadnienie i dość szerokie i nie do końca oczywiste w świetle przepisów nowego rozporządzenie stąd potrzeba wyjaśnień oraz interpretacji.

W świetle nowych przepisów administratorzy danych osobowych nie mają bezwzględnego obowiązku powołania DPO, jednak każdorazowo muszą przeanalizować czy w ich przypadku nie zachodzą jednak przesłanki wskazujące na konieczność powołania ABI.

Rozporządzenie wprowadza obowiązek wyznaczenia DPO, jeśli przetwarzanie danych osobowych prowadzone jest na szeroką skalę i dotyczy działalności polegającej na regularnym i systematycznym monitorowaniu osób. Drugi przypadek to przetwarzanie na dużą skalę danych osobowych szczególnie chronionych. Przepisy nie definiują co oznacza szeroka skala przetwarzania.

Przy ustalaniu  czy przetwarzanie jest prowadzane na szeroką skalę należy wziąć pod uwagę następujące czynniki a w szczególności należy uwzględnić:

  • liczbę osób, których dane dotyczą
  • ilość danych i / lub zakres różnych danych
  • czas trwania lub trwałość procesów przetwarzania danych
  • zakres geograficzny procesów przetwarzania

Ciekawe przykłady przetwarzania na szeroką skalę to:

  • przetwarzanie danych pacjenta w toku zwykłej działalności przez szpital
  • przetwarzanie danych klienta w toku zwykłej działalności przez towarzystwo ubezpieczeniowe lub bank
  • przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarkę
  • przetwarzanie danych (zawartość, ruch, lokalizacja) przez dostawców usług telefonicznych lub internetowych

A przykłady, które nie stanowią przetwarzania na dużą skalę to:

  • przetwarzanie danych pacjenta przez indywidualnego lekarza
  • przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez indywidualnego prawnika

Jak widać brakuje wskazówek co do dokładnej liczby w odniesieniu do ilości przetwarzanych danych lub liczby osób, które będą mogły być stosowane w każdej sytuacji. To nie wyklucza jednak, że w miarę upływu czasu może się rozwinąć standardowa praktyka, która określi pod względem ilościowym, co stanowi „dużą skalę” w odniesieniu do niektórych rodzajów wspólnych działalności przetwarzania danych.

W każdym razie organy doradcze  na poziomie unijnym  planują również przyczynić się do tego rozwoju, na zasadzie udostępniania i rozpowszechniania przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych.

O ile oczywiste jest, że rozporządzenie nie przewiduje obowiązku powołania inspektora danych osobowych z zasady dla wszystkich administratorów danych osobowych, to jednak w świetle ostatnich wytycznych Grupy Roboczej art. 29 każda organizacja powinna przeprowadzić analizę, której celem będzie ustalenie czy mimo braku powszechnego obowiązku nie zachodzą w danej organizacji przesłanki oraz okoliczności przemawiające za powołaniem DPO (Data Protection Officer).

Okazuje się, że nie będzie to prosty wybór mieć albo nie mieć DPO. W celu podjęcia odpowiedniej decyzji administrator danych powinien przeprowadzić analizę oraz udokumentować ją.

Analiza taka miałby być pomocna w celu określenia, czy inspektor ochrony danych osobowych (DPO ) powinien być mianowany w danej organizacji, czy wszystkie istotne dla takiej oceny czynniki zostały przez organizację uwzględnione.

Odpowiednio przeprowadzona analiza powinna wziąć pod uwagę czynniki istotne dla oceny obowiązku lub jego braku w kwestii powołania DPO. Z pewnością w pierwszej kolejności administrator danych powinien rozważyć czy w świetle samych przepisów ma wybór a może obowiązek powołania DPO, gdyż nie jest to takie oczywiste.

Przepis mówi, iż administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przywołane wyżej wytyczne Grupy Roboczej odnoszą się do poszczególnych wymienionych wyżej przesłanek prawnych przemawiających za powołaniem DPO (ABI). Okazuje się, że rozumienie tych przepisów i ich właściwa interpretacja jest kluczowa dla przeprowadzenia wspomnianej analizy i wywiedzenia z niej odpowiednich konkluzji w zakresie obowiązku  powłania lub nie DPO w twojej firmie.

W kolejnych wpisach będę kontynuować temat, bowiem jest on rozległy i wielowątkowy a jego zakres wykracza poza ramy jednego artykułu na blogu.

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Korzystanie z usług IT w branży medycznej stało się powszechne. Przychodnie medyczne coraz  częściej wykorzystują systemy informatyczne w swojej pracy. Przy obsłudze tychże systemów korzystają z pomocy zewnętrznych informatyków. Systemy informatyczne służą podmiotom leczniczym do rejestrowania różnych informacji medycznych dotyczących tak pacjentów jak i udzielanych im świadczeń.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej co prawda został przesłunięty do 2018 r. Niemniej jednak nie jest to jedyny obowiązek podmiotów leczniczych, z którym może być związane wypełnienie obowiązków dotyczących ochrony danych osobowych.

Należy pamiętać, że już dostęp do systemu eWUŚ, z którego korzystają podmioty lecznicze, implikuje obowiązki w zakresie ochrony danych osobowych. Podmiot ubiegający się o dostęp do systemu eWUŚ składa do NFZ stosowny wniosek oraz zobowiązuje się do przestrzegania ustawy o ochronie danych osobowych. Wiele takich zobowiązań pozostaje bez pokrycia.

Do systemu eWUŚ mogą mieć dostęp wyłącznie osoby upoważnione, powinny posługiwać się swoim loginem oraz swoim hasłem. Należy prowadzić ewidencję osób upoważnionych. System eWUŚ powinien być wymieniony w polityce bezpieczeństwa danych osobowych jako system służący do przetwarzania danych osobowych.

Bardzo powszechnym wśród podmiotów udzielających świadczeń medycznych jest również korzystanie z oprogramowania, które służy rejestrowaniu danych związanych z udzielanymi świadczeniami a które podlegają rozliczeniu z NFZ. Dodatkowo NFZ udostępnia swoją aplikację służącą do przesyłania w celach rozliczeniowych specjalnych raportów. Właściciele podmiotów leczniczych najczęściej rejestrację danych związanych z rozliczaniem umów z NFZ zlecają na zewnątrz.

Outsourcing IT w branży medycznej dotyczy różnych czynności od rejestrowania danych w systemie po zapewnianie wsparcia technicznego dla systemów przetwarzajacych dane osobowe pacjentów. Najczęściej w związku z realizacją zleconych usług firma IT lub i jej pracownicy uzyskują dostęp do danych osobowych wrażliwych, bo dotyczących zdrowia.

W następnych wpisach napiszę jak wygląda praktyka w zakresie ochrony danych przy ousourcingu IT oraz jak się ona ma do wymagań prawnych.

 

„Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego „Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  „w twoim koszyku czekają na ciebie wybrane towary” lub „nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.

 

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje internetowe występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest „wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.