W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Korzystanie z usług IT w branży medycznej stało się powszechne. Przychodnie medyczne coraz  częściej wykorzystują systemy informatyczne w swojej pracy. Przy obsłudze tychże systemów korzystają z pomocy zewnętrznych informatyków. Systemy informatyczne służą podmiotom leczniczym do rejestrowania różnych informacji medycznych dotyczących tak pacjentów jak i udzielanych im świadczeń.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej co prawda został przesłunięty do 2018 r. Niemniej jednak nie jest to jedyny obowiązek podmiotów leczniczych, z którym może być związane wypełnienie obowiązków dotyczących ochrony danych osobowych.

Należy pamiętać, że już dostęp do systemu eWUŚ, z którego korzystają podmioty lecznicze, implikuje obowiązki w zakresie ochrony danych osobowych. Podmiot ubiegający się o dostęp do systemu eWUŚ składa do NFZ stosowny wniosek oraz zobowiązuje się do przestrzegania ustawy o ochronie danych osobowych. Wiele takich zobowiązań pozostaje bez pokrycia.

Do systemu eWUŚ mogą mieć dostęp wyłącznie osoby upoważnione, powinny posługiwać się swoim loginem oraz swoim hasłem. Należy prowadzić ewidencję osób upoważnionych. System eWUŚ powinien być wymieniony w polityce bezpieczeństwa danych osobowych jako system służący do przetwarzania danych osobowych.

Bardzo powszechnym wśród podmiotów udzielających świadczeń medycznych jest również korzystanie z oprogramowania, które służy rejestrowaniu danych związanych z udzielanymi świadczeniami a które podlegają rozliczeniu z NFZ. Dodatkowo NFZ udostępnia swoją aplikację służącą do przesyłania w celach rozliczeniowych specjalnych raportów. Właściciele podmiotów leczniczych najczęściej rejestrację danych związanych z rozliczaniem umów z NFZ zlecają na zewnątrz.

Outsourcing IT w branży medycznej dotyczy różnych czynności od rejestrowania danych w systemie po zapewnianie wsparcia technicznego dla systemów przetwarzajacych dane osobowe pacjentów. Najczęściej w związku z realizacją zleconych usług firma IT lub i jej pracownicy uzyskują dostęp do danych osobowych wrażliwych, bo dotyczących zdrowia.

W następnych wpisach napiszę jak wygląda praktyka w zakresie ochrony danych przy ousourcingu IT oraz jak się ona ma do wymagań prawnych.

 

„Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego „Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  „w twoim koszyku czekają na ciebie wybrane towary” lub „nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.

 

Grzybiarze narzekają na brak grzybów w tym sezonie. I nic to, że deszcz pada w październiku bez przerwy, bo wcześniejsza susza przesądziła o nieurodzaju.

W przeciwieństwie do grzybów urodzaj na aplikacje internetowe występuje nieustanny a wykorzystywanie aplikacji do pracy, rozrywki, nauki staje się powszechne.

Z aplikacji udostępnianych przez internet korzystają już prawie wszyscy i większość z nich oczywiście przetwarza dane osobowe, co wkracza w obszar mojego zainteresowania. Z uwagi na fakt, że temat jest niezmiernie szeroki powiem dzisiaj o wykorzystywaniu  aplikacji internetowych do celów związanych z prowadzeniem działalności gospodarczej.

Faktem jest, że większość przedsiębiorców w chwili obecnej korzysta z różnego rodzaju aplikacji udostępnianych przez internet. Oprogramowanie udostępniane przez internet wykorzystywane jest w działalności  firm, szczególnie tych małych i średnich. Aplikacje  służą w szczególności do prowadzenia księgowości w małej firmie, spraw kadrowych, zarządzania biznesem, prowadzenia działań marketingowych.

Pojawiają się aplikacje dedykowane określonym działalnościom takim jak salony kosmetyczne, szkoły tańca, placówki medyczne, firmy handlowe czy wreszcie kancelarie prawnicze a to tylko niektóre branże.

Aplikacje udostępniane przez internet są łatwe w obsłudze, dostępne z każdego miejsca przy pomocy urządzenia telekomunikacyjnego podłączonego do sieci internet, dostosowane do specyficznych potrzeb odbiorcy, umożliwiają szybki i łatwy dostęp do danych w nich przechowywanych. No i są tanie.

Aplikacja udostępniana przez internet czyli  SaaS (Software as a Service)  jest jednym z modeli tzw. chmury obliczeniowej.

A co to ma wszystko wspólnego z danymi osobowymi?

Wykorzystywanie aplikacji w chmurze najczęściej związane jest z wprowadzaniem do niej danych osobowych np. klientów, kontrahentów, pacjentów, pracowników, petentów,  i innych.  Z tego właśnie powodu  jest przedmiotem zainteresowania prawa ochrony danych osobowych.

Należy pamiętać, że z wykorzystywaniem aplikacji związane jest „wyprowadzanie” danych często poufnych, stanowiących tajemnicę przedsiębiorstwa, poza obszar, nad którym firma ma kontrolę. Wprowadzając  dane do aplikacji internetowej  bezpieczeństwo danych od tego momentu zależeć będzie od  podmiotu, który tę aplikację udostępnia.

Z punktu widzenia prawa ochrony danych osobowych administrator danych ma prawo korzystać z zewnętrznych usług, nawet jeśli związane jest z tym powierzanie danych. Prawo mu tego nie zabrania. W takim przypadku przedsiębiorca, który powierza dane osobowe innemu podmiotowi powinien to zrobić w formie umowy zawartej na piśmie. Taką umowę nazywa się krótko umową powierzenia.

Podmiot (firma udostępniająca aplikację), któremu na podstawie umowy powierzenia zostały powierzone dane może je przetwarzać wyłącznie w zakresie i celu przewidzianym w umowie, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić inne wymagania określone w przepisach prawa.  W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

Wiele firm korzysta z aplikacji internetowych przetwarzających dane osobowe, jednakże nieliczni pamiętają o zgodnym z prawem powierzeniu danych. Dzieje się tak dlatego, że firmy nie mają świadomości swoich obowiązków w tym zakresie jak również zagrożeń związanych z powierzeniem danych niesprawdzonym dostawcom.

Zlecając na zewnątrz jakąkolwiek usługę zwykle zachowujemy rozsądek i racjonalnie dokonujemy wyboru kontrahenta, który spełnia określone kryteria na przykład posiada wymagane uprawnienia, certyfikaty, zezwolenia czy koncesje, posiada bogato udokumentowane doświadczenie a także referencje zadowolonych klientów.

Większość firm ma świadomość, że kontrahenta należy w miarę możliwości sprawdzić czy zapewni wykonanie usługi zgodnie z umową. Jednakże, jeśli chodzi o korzystanie z aplikacji internetowych praktyka sprawdzenia dostawcy pod katem zapewniania bezpieczeństwa danych osobowych jest bardzo rzadka.

Pamiętać należy, że przekazując dane do aplikacji internetowej, która nie jest należycie zabezpieczona może narazić  klientów na przykład na wyciek danych lub inną szkodę. Osoba pokrzywdzona będzie mogła wówczas dochodzić odszkodowania na drodze postępowania cywilnego na przykład z tytułu naruszenie dóbr osobistych. Takie procesy już się zdarzają.

Powierzenie danych osobowych niesprawdzonemu usługodawcy, bez umowy powierzenia może przesądzić o odpowiedzialności administratora danych nawet, jeśli faktycznie wyciek nastąpił z winy usługodawcy. Dodatkowo administrator danych osobowych, który powierza dane osobowe niezgodnie  z prawem naraża się na odpowiedzialność administracyjną oraz karną.

Decydując się wiec na wykupienie abonamentu  dostępu do kolejnej aplikacji  lub rozpoczęcie współpracy, z którą związane jest powierzenie danych do przetwarzania innemu podmiotowi należy pamiętać, aby zawrzeć umowę powierzenia i uregulować w niej wymagane prawem obszary. W szczególności, jeśli powierzenie związane jest z przekazaniem danych do  aplikacji udostępnianych w tzw. chmurze.

Dzisiaj trochę inaczej o ochronie danych osobowych. Myślę, że kwestia ochrony danych osobowych to jedna z najbardziej zakurzonych i zapomnianych w większości firm.

Ba gorzej jest to temat, którego potencjalne porządkowanie denerwuje właścicieli firm jak nic innego. W ich ocenie temat ochrony danych osobowych jest wydumaną fanaberią.

W życiu najczęściej takie podejście związane jest ze zwykłym niezrozumieniem tematu, nieświadomością co do prawa oraz faktów. Dyrektywa unijna w sprawie ochrony danych osobowych ma już 20 lat a nie ma chyba innych przepisów, które byłby tak bardzo zapomniane jak te o ochronie danych osobowych.

Nawet moi koledzy radcy czy adwokaci, którzy na co dzień nie zajmują się tą tematyką ochrony danych kręcą głowami wyrażając niezrozumienie tematu. GIODO im to wytyka i wyraża opinię, że prawnicy nie zawsze w tym obszarze są wzorami do naśladowania

Bardzo często otrzymuję telefony od właścicieli małych firm. Kupię pani poradnik – mówi mój rozmówca, ale czy wystarczy mi on, aby samemu napisać wszystkie wymagane dokumenty. No i jak tu być mądrym oraz uprzejmym, nie urazić potencjalnego klienta, ale też wyrazić swoją opinię. Trudne zadanie.

Odpowiadam więc, że wszystko zależy od tego, co chcemy osiągnąć. Jeśli zależy nam żeby mieć jakiś papier w tym temacie i to już nas uspokoi to można skopiować jakie wzory lub kupić za parę złotych. Nie będzie miało to zbyt wiele wspólnego z zapewnieniem zgodności ochrony danych osobowych, ale zyskamy pozorny spokój, że coś zrobiliśmy, coś mamy.

Mojemu rozmówcy odpowiedziałam, że nawet, gdy kupi poradnik to w mojej ocenie nie jest w stanie samodzielnie uporządkować obszaru ochrony danych osobowych. Poradniki piszę bowiem dla ABI (administratorów bezpieczeństwa informacji), którzy na co dzień zajmują się stosowaniem przepisów o ochronie danych osobowych.

Klient poradnika nie kupił. Skutecznie go zniechęciłam. Jednak zapewnianie go, że mój poradnik rozwiązałby mu problem uważałam za nieetyczne.

Z drugiej strony normą jest  w firmie wyznaczanie do  porządkowania kwestii ochrony danych przez osoby zupełnie do tego nieprzygotowane. Dostaję pełne rozpaczy listy, że nagle jak grom z jasnego nieba  prezes zrzuca na swoją kadrową czy księgową obowiązek uporządkowania danych osobowych. Jest płacz i zgrzytanie zębów.

Pamiętam błagalny list o pomoc młodej dziewczyny, stażystki w spółdzielni mieszkaniowej, której łaskawa Pani Prezes dała za zadanie uporządkowanie kwestii ochrony danych osobowych. Dziewczynie zależało na pracy, chciała się wykazać i mimo, że bladego pojęcia o temacie nie miała ambitnie wzięła się do rzeczy. Jednak, gdy zaczęła zgłębiać temat grunt spod nóg powoli jej się usuwał. Stąd błagalny list do mnie.

Dane osobowe to nie są jakieś tam dane osobowe, jednostkowe imiona i nazwiska przetwarzane w formie papierowej i trzymane na dnie szafy czy szuflady zamykanej na klucz. Te czasy minęły bezpowrotnie. Nasze dane osobowe to wszystkie informacje, które nas dotyczą, informacje dotyczące naszej sytuacji finansowej, mieszkaniowej, zawodowej, historie chorób, historie kredytowe, informacje dotyczące także skazań czy innych orzeczeń nas dotyczących.

Dane osobowe to wszelkie informacje, które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wszelkie, co oznacza, że katalog informacji, które mogą zostać uznane za dane osobowe jest otwarty. Dane osobowe to adresy email, numery IP, co jeszcze kilka lat temu było sporne.

W dobie wszechobecności internetu, powszechności usług świadczonych elektronicznie także w sektorze publicznym, tworzenia kolejnych rejestrów zbierających dane o obywatelach (rejestry karne, rejestry PESEL, rejestry  ZUS, rejestry w systemie informacji medycznej i inne). Ilość danych, które są o nas przetwarzane jest zatrważająca.

Argument o udostępnianiu danych w portalach społecznościowych typu Facebook przez samych internautów do mnie nie trafia, bo każdy ma prawo decydowania o sobie i jeśli taka jego wola może ujawniać na swój temat, co chce. Jednak zauważmy, że na FB ludzie ujawniają z reguły te pozytywne informacje tak, aby ich wizerunek nie ucierpiał. Ba czasami z rozmysłem w ten sposób kreują  swój image.

Problem pojawia się, gdy to inni chcą decydować lub decydują, co zrobią z naszymi danymi, komu je udostępnią, bez naszej wiedzy i woli a czasami jej wbrew.

Nieustanny rozwój nowych technologii w internecie, ale także nasza w nim obecność w różnych aspektach zawodowym, prywatnym, handlowym wymaga posługiwania się danymi osobowymi  z wykorzystaniem tychże technologii.

Brak regulacji prawnych dotyczących ochrony danych osobowych w tej sferze czyniłoby z internetu i jego możliwości prawdziwe pole do nadużyć jak handel danymi na wielką skalę, kradzież tożsamości, notoryczne naruszanie prywatności i wiele wiele innych.

Nie dlatego, że zawodowo zajmuję się prawem ochrony danych osobowych, ale dlatego, że wiem, jak szerokie jest pole nadużyć w tej sferze i jak bardzo dotkliwe mogą być to nadużycia dla konkretnego człowieka jestem za ochroną danych osobowych.

Rozporządzenie unijne w sprawie ochrony danych osobowych, które w kwietniu tego roku zostało przyjęte w organach UE jest odpowiedzią na zagrożenia, które powyżej w wielkim skrócie starałam się zasygnalizować w tym poście.

Udostępnianie danych osobowych to w praktyce jedno z trudniejszych zagadnień dotyczących ochrony danych osobowych.  Spróbuję je dzisiaj nieco przybliżyć.

Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Z drugiej strony ustawy nie stosuje się do osób fizycznych, które przetwarzają dane wyłącznie w celach osobistych lub domowych, dlatego nie każde naruszenie w sferze danych osobowych osoby fizycznej będzie oznaczało naruszenie ustawy o ochronie danych osobowych.

Przepisy o ochronie danych osobowych stosuje się więc do podmiotów, które w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych przetwarzają dane osobowe a nie stosuje się do osób prywatnych, które przetwarzają dane w celach osobistych. Naruszenia danych osobowych przez takie osoby będą oceniane w świetle innych niż ustawa o ochronie danych osobowych przepisów.

Coż znaczy, że dane są przetwarzane? Co w świetle prawa oznacza określenie przetwarzanie danych osobowych?

Przetwarzanie to zgodnie z przepisami  jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Udostępnianie danych jest więc operacją przetwarzania danych wykonywaną przez administratora danych w związku z prowadzoną działalnością zarobkową, zawodową lub dla realizacji celów zawodowych. Samo udostępnianie danych oznacza przekazywanie danych pomiędzy różnymi administratorami danych.

W praktyce udostępnianie zdarza się dość często. Na moim blogu często wpisywaną frazą w wyszukiwarkę jest udostępnianie (przekazywanie) danych osobowych Policji, bowiem dość często zdarza się, że Policja wnioskuje do różnych podmiotów (np. pracodawców) o udostępnienie danych osobowych.

W sferze publicznej udostępnianie danych osobowych pomiędzy różnymi organami państwowymi danych osobowych zdarza się bardzo często, jednak pamiętajmy, że podstawą dla takiego udostępnienia danych zawsze powinien być przepis prawa. Organy administracji państwowej działają na podstawie i w granicach prawa i dotyczy to również udostępniania danych osobowych.

Bywa z tym jednak różnie i dane są udostępniane, chociaż nie powinny lub blokuje się dostęp do danych, gdy są ku temu podstawy prawne. Związane jest to bardzo często z brakiem odpowiedniej wiedzy przez urzędników.

W sektorze prywatnym do udostępniania (przekazywania) danych osobowych również dochodzi często, bowiem przetwarzanie danych osobowych i potrzeby administratorów danych osobowych stale ewoluują. Wobec rozwoju nowych technologii oraz pojawiania się ciągle nowych sposobów przetwarzania danych osobowych pojawia się potrzeba udostępniania danych osobowych innym podmiotom.

W szczególności widoczne jest to w internecie, gdzie rozwój nowych form przetwarzania danych osobowych jest bardzo dynamiczny. Podmioty prowadzące swoją działalność gospodarczą, zarobkową czy zawodową za pośrednictwem internetu w celu rozwoju swojego biznesu często z tych nowych form korzystają.

Potrzeba udostępniania danych przez przedsiębiorców internetowych związana jest często z nawiązywaniem współpracy z innymi podmiotami na przykład w celu poprawy funkcjonalności systemów sprzedaży, zwiększenia wiarygodności czy badania rynku i preferencji klientów.

Pamiętam zdziwienie mojego klienta, gdy po przeanalizowaniu swojego internetowego biznesu w zakresie udostępniania danych swoich klientów innym podmiotom był bardzo zdziwiony jak dużą ilość danych  osobowych przekazuje innym podmiotom.

Pamiętajmy jednak, że udostępnianie danych jest dopuszczalne, ale pod warunkiem, że jest legalne to znaczy, że administrator danych udostępniający dane posiada odpowiednią podstawę prawną tak samo administrator zbierający dane również musi taką podstawą się legitymować.

Zgodnie z przepisami to administrator danych powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy.

Za niedopełnienie powyższego obowiązku administrator danych, który udostępnia dane osobom nieupoważnionym podlega grzywnie, karze ograniczenia wolności albo pobawienia wolności do lat 2, ponosi więc odpowiedzialność karną.

Z drugiej strony administrator danych, któremu dane zostały bezpodstawnie udostępnione a on je dalej  również bez podstawy prawnej przetwarza poniesie odpowiedzialność karną, administracyjną, cywilną a wkrótce również zapłacić wysoką karę finansową (po wejściu w życie rozporządzenia unijnego).

Z uwagi na powyższe pamiętajmy, aby zabezpieczyć przetwarzanie danych tak, aby uniknąć narażenia się na zarzut wykorzystywania danych nielegalnie. W tym celu należy każdą sytuację zbierania danych przeanalizować pod kątem potrzeb biznesowych a w szczególności zadbać, aby dane były od samego początku zbierane legalnie. Czasami związane to będzie z pozyskaniem odpowiednio sformułowanych zgód.

Przeglądając strony internetowe różnych przedsiębiorców internetowych widzę jak duże są niedociągnięcia w powyższym zakresie. W dalszym ciągu funkcjonują klauzule zgody z błędami, które w orzecznictwie i doktrynie już lata temu zostały wytknięte.

Tworzenie baz danych w oparciu o nieprawidłowe zgody jest z  zasady skazane na porażkę. Pozyskanie właściwych zgód po fakcie zwłaszcza gdy baza zawiera tysiące (setki tysięcy) danych jest niewykonalne, gdyż ludzie niechętnie potwierdzają zgody a GIODO w każdej chwili może zarzucić nielegalność przetwarzania danych i zakazać wykorzystywania bazy, co dla biznesu  może być niepowetowaną stratą.

Płacę z Payu …

Zawieranie umów na odległość staje się coraz bardziej powszechne, oczywiście przede wszystkim dzięki zakupom przez internet. Systemy sklepów internetowych w sposób niemal intuicyjny prowadzą nas przez cały proces zamówienia aż do „zamawiam i płacę”.

Jeśli chodzi o płatności to coraz bardziej popularne stają się płatności online, błyskawiczne i intuicyjne. Dzięki operatorom tychże płatności klient w ciągu paru minut otrzymuje potwierdzenie dokonania płatności i może już spokojnie czekać na realizację  zamówienia.

Jednakże i tutaj podobnie jak w przypadku Opineo, o którym pisałam w ostatnim poście pojawia się kwestia udostępniania danych klienta. Klikając „płacę z Payu” w sklepie internetowym klient przenosi się na stronę operatora płatności i widzi już automatycznie wczytane swoje dane osobowe.

Przetwarzanie danych osobowych jest legalne, o ile istnieje ku temu odpowiednia podstawa prawna. Podstawy te wymienia ustawa o ochronie danych osobowych.  Klient kupując w sklepie internetowym zawiera umowę ze sklepem internetowym, który staje się odpowiedzialny za zgodne z prawem przetwarzanie danych osobowych klienta. Udostępnianie przez  sklep danych jego klientów innemu podmiotowi wymaga odpowiedniej podstawy prawnej. W omawianym przypadku powinna być to zgoda klienta.

W praktyce sprzedaży internetowej niewiele jest sklepów, które udostępniają dane na podstawie zgody, wiele z nich nawet nie informuje swoich klientów o takim udostępnianiu a sami klienci też nie są świadomi, że ich dane są udostępniane poza sklep, w którym kupili towar.

 

Opineo Opineo …

Dzisiaj po raz kolejny do mojej skrzynki pocztowej zajrzało Opineo z przypomnieniem, że robiąc zakupy w sklepie internetowym X trzy tygodnie temu nie wyraziłam jeszcze swojej opinii na temat poziomu zadowolenia z tegoż zakupu.

Rzeczywiście nie wyraziłam, gdyż być może nie miałam czasu lub ochoty, co nie oznacza, że nie byłam zadowolona z zakupu. Jednak nie musze dzielić się swoją radością z zakupionego towaru, jeśli nie chcę a przede wszystkim ani sklep ani Opineo nie ma prawa wysyłać mi wiadomości w tym temacie, jeśli nie wyraziłam na to zgody.

A więc Opineo wysyła te swoje przypominające e-maile już któryś raz z kolei chcąc mnie zdyscyplinować. Uważa, że ma prawo, bo podpisało umowę powierzenia ze sklepem. Umowa ta jednak nie stanowi w tym przypadku odpowiedniej podstawy prawnej, bowiem Opineo zbiera opinie na własny rachunek, aby wypełnić ankietę trzeba zaakceptować Regulamin Opineo. W świetle tego regulaminu Opineo staje się administratorem danych osobowych dotyczących wypełnianych ankiet.

W przypadku powierzenia danych do przetwarzania przetwarzający (tutaj Opineo) powinien działać w imieniu i na rzecz administratora danych (sklepu). Nieuprawnione jest wykorzystanie umowy powierzenia jako podstawy do zbierania danych dla własnych celów, co  ma miejsce w omawianej sytuacji.

Reasumując, jeśli sklep zamierza badać poziom zadowolenia z dokonywanych w nim zakupów sam czy w  kooperacji z Opineo, Ceneo zawsze będzie potrzebował na to zgody klienta. Bowiem badanie satysfakcji z zakupu nie jest niezbędne do zawarcia czy wykonania zawartej umowy sprzedaży i jako takie wymaga odrębnej podstawy prawnej czyli zgody podmiotu danych.

Podobno dobra opinia o sklepie w w/w portalach jest bardzo cenna, bowiem przekłada się to na wzrost poziomu zaufania do sklepu no i finalnie na sprzedaż. Należy jednak pamiętać, że w każdym przypadku, gdy mamy do czynienia z przekazywaniem danych naszych klientów podmiotom trzecim posiadać odpowiednią ku temu podstawę prawną. W innym przypadku dane udostępniane są nielegalnie, co może skutkować odpowiedzialnością sklepu karną, administracyjną a także  cywilną.

Reasumując pamiętajmy, że dobra opinia to skarb, jednak należy sięgać po te opinie z rozwagą i poszanowaniem prawa klienta również do niewyrażania  opinii.