Inspektorzy ochrony danych, dysponujący odpowiednią wiedzą i umiejętnościami, będą stanowić fundament nowego, skutecznego systemu ochrony danych osobowych. Stąd podnoszenie ich kwalifikacji to jeden z priorytetów GIODO.

Więcej przeczytasz  Tutaj.

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

Na stronie GIODO czytamy:

„Konieczność podawania wielu, nieraz intymnych danych, podczas rejestracji w przychodni lub poradni lekarskiej, bez zapewnienia ich poufności i poszanowania prywatności, to sytuacje, na które do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż skarżą się pacjenci.”

Stąd w planie kontroli przeprowadzanych przez inspektorów GIODO ujęto ten właśnie sektor.

Dzięki temu możliwe będzie dokonanie oceny przetwarzania danych osobowych w większej liczbie placówek opieki zdrowotnej, niezależnie od tego, czy są prowadzone przez podmioty publiczne, czy prywatne.

W mojej opinii w branży medycznej jest wiele do zrobienia w zakresie zapewnienia zgodności przetwarzania danych osobowych. Ochrona danych medycznych rozpoczyna się od realnego zrozumienia i świadomości dotyczacej tajemnicy zawodowej zobowiązującej do zachowania w tajemnicy wszelkich informacji dotyczących pacjenta.

Tajemnica danych medycznych dotyczy nie tylko osób wykonujących zawody medyczne, ale także osób z nimi współpracujących na przykład w zakresie wsparcia IT dla systemów informatycznych funkcjonujących w placówkach medycznych.

Dane o stanie zdrowia jako wrażliwe dane osobowe podlegają dodatkowo ochronie w świetle ustawy o ochronie danych osobowych. Zgodnie z nimi administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych i zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

Na koniec krótki przypadek z życia. Ostanio znajoma opowiadała mi, że z łatwością mogła zapoznać się z dokumentacją medyczną osoby, która w tym samym, co ona dniu korzystała z usług medycyny estetycznej w renomowanym gabinecie lekarskim. Pan doktor zapraszając kolejną osobę nie schował karty leczenia poprzedniej pacjentki a pozostawił ją na biurku umożlwiając swobodne zapoznanie się z nią kolejnym pacjentom.

Moja znajoma jako radca prawny zwróciła uwagę na ten fakt bedąc już świadomą, że wobec takich zasad, kolejna pacjentka będzie miała możliwość zapoznania się z jej kartą leczenia.

Taki sposób postępowania oznacza brak należytego zabezpieczenia danych przed dostępem osób do tego nieupoważnionych ale to tylko wierzchołek góry lodowej, jeśli chodzi o braki w tym obszarze.

Kontrole GIODO w branży medycznej zaplanowane na rok 2017 być miejmy nadzieję przyczynią się do lepszej ochrony naszych wrażliwych danych osobowych przez tę branżę.

A dla samej branży będzie to też okazja do rozpoczęcia wdrażania wymogów ogólnego rozporządzenia unijnego w zakresie ochrony danych osobowych , co zważywszy na dotkliwe sankcje pieniężne, będzie miało swój pozytywny wymiar.

Sklepy z aplikacjami mobilnymi pękają w szwach. Każdy znajdzie coś dla siebie. Na moim smartfonie widzę następujące „Geometry Dash Lite”,  „Zabawny budzik”, „My Angela” „Math Games”, „Zalando”. Z większości korzysta dziecko. A jakie aplikacje mobilne Ty masz na swoim smatfonie? I co wiesz o aplikacji mobilnej oprócz tego, że spełnia pożądaną przez Ciebie funkcję, jest dla Ciebie pożyteczna.

Ośmielę się powiedzieć, że większość z nas niewiele wie o tym, jak  korzystanie z aplikacji mobilnych wpływa na naszą prywatność i raczej się na tym nie zastanawia.

Aplikacje mobilne to narzędzia, które oprócz dostarczania określonych pożytecznych funkcjonalności służą też do zbierania danych osobowych oraz ich dalszego przetwarzania. Większość aplikacji mobilnych dla instalacji wymaga  udostępnienia  danych geolokalizacyjnych a także dostępu do  plików przechowywanych na urządzeniu, na którym są instalowane.

Za  korzystanie z aplikacji mobilnych płacimy naszymi danymi osobowymi.

Aplikacja rządzi. To fakt. Jednak twórcy aplikacji mobilnych muszą pamiętać o ochronie prwatności użytkowników a także o spełnieniu wymogów w zakresie ochrony danych osobowych.

Dostęp do różnego rodzaju danych, których pozyskanie umożliwia aplikacja może odbywać się wyłącznie za zgodą użytkownika. Użytkownik powinien także być odpowiednio poinformowany o administratorze jego danych, o celach przetwarzania, prawie dostępu do danych itd.

Przetwarzanie danych osobowych w aplikacjach mobilnych i przy ich pomocy należy zakwalifikować jako przetwarzanie obciążone potencjalnie dużym ryzkiem dla ochrony danych osobowych. W świetle nowych przepisów o ochronie danych osobowych twórcy aplikacji mobilnych lub podmioty udostępniające takie aplikacje osobom fizycznym bedą obowiązani do wypełnienia szeregu obowiązków prawnych.

W świetle nowego prawa ochrony danych osobowych rygory naruszenia praw podmiotów danych będą bardzo srogie. Rozporządzenie bowiem przewiduje bardzo duże kary finansowe za naruszenia jego postanowień. Powinny mieć to na uwadze tak twórcy aplikacji mobilnych jak i podmioty wprowadzajace je komercyjnie na rynek.

Outsourcing IT w sektorze zdrowia

Na ten właśnie temat napisałam artykuł dla Gazety Dolnśląskiej Izby Lekarskiej „Medium”. Cały test znajdziecie  tutaj: Artykuł_Medium.

Dla zainteresowanych tematyką ochrony danych w branży medycznej sporo cennej wiedzy, bowiem większa część lutowego wydania „Medium” została poświęcona ochronie danych medycznych w tym danych osobowych.

Zapraszam do lektury.

Gdybym nie przeczytała tego w oficjalnym oświadczeniu na stronie GIODO to bym nie uwierzyła.

Moje prawdziwe zdumienie wywołała poniższa informacja podana na stronach GIODO:

W ostatnim czasie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpływają sprawozdania z przygotowywanych przez administratorów bezpieczeństwa informacji (ABI) sprawdzeń planowych i doraźnych.

Oznacza to niestety, że ci ABI, którzy wysłali  sprawozdania do GIODO niewystarczająco znają przepisy ustawy o ochronie danych osobowych. Nie zdzwiłabym się zatem, gdyby w następstwie przesłanych (niepotrzebnie) sprawozdań GIODO zapragnął bliżej się przyjrzeć podmiotom, które takich ABI powołały.

Skąd w ogóle pomysł, aby sprawozdanie z wewnętrznego sprawdzenia stanu zgodności przesyłać do GIODO. Rzecz w tym, że w jednym, jedynym przypadku przepisy o ochronie danych osobowych przewidują obowiązek przedstawienia GIODO sprawozdania ze sprawdzenia.

Zgodnie z przepisami GIODO może zwrócić się do zarejestrowanego ABI o dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami prawa, u administratora danych, który go powołał. Po dokonaniu tego sprawdzenia ABI  przedstawia GIODO sprawozdanie, ale wyłącznie w tym przypadku.

Zasadą jest sprawdzanie przez ABI stanu zgodności przetwarzania danych z przepisami. Zasadą jest również opracowywanie sprawozdań z takich sprawdzeń. Jednak  zasadą jest również, że są to czynności wewnętrzne, tworzone na użytek danego podmiotu a nie dla GIODO. Poza przypadkiem, gdy GIODO sam zwróci się do ABI o dokonanie sprawdzenia.  Wówczas i tylko wówczas sprawozdanie z takiego sprawdzenia musi trafić do GIODO.

Jaki z tego morał. A no taki, że  niektórzy ABI niewystarczająco znają przepisy o ochronie danych osobowych czyli można im postawić zarzut braku odpowiedniej wiedzy, która z kolei jest jedną z ustawowych przesłanek  powołania i istnienia ABI.

Zdemaskowanie się przed GIODO ze swoją niewiedzą to w mojej ocenie trochę słabe jak na profesjonalnego ABI. Nie zdziwiłabym się kontrolom GIODO w  podmiotach, od których wpłynęły sprawozdania.

W następnym wpisie postaram się przedstawić warunek odpowiedniej wiedzy wymaganej od ABI, ale już w świetle rozporządzenia unijnego. Widać, że jest potrzeba pochylenia się nad tym jakże ważnym tematem.

 

Czas Sprawozdań

Koniec jednego roku i początek drugiego to dla przesiębiorców trudny czas choćby z powodu różnorakich obowiązków związanych z zamknięciem, podsumowaniem, sprawdzeniem działań w starym roku i obowiązkiem podsumowania tych działań.

W obszarze ochrony danych osbowych koniec roku wiąże się obowiązkiem sprawdzenia zgodności przetwarzania danych osobowych z przepisami.

Wykonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych jest powiązane z realizacją obowiązków zabezpieczenia danych osobowych. Wymagania dotyczące wykonywania sprawdzeń są obowiązkiem każdego administratora danych i procesora.

W przypadku, gdy administrator danych osobowych powołał u siebie ABI to on właśnie będzie odpowiedzialny za okresowe sprawdzenia zgodności przetwarzania danych. Ci ADO, którzy nie powołali u siebie ABI sami  będą odpowiedzialni za dokonywanie sprawdzeń.

Rodzaje sprawdzeń oraz szczegółowe wymagania wobec sprawdzeń dokonywanych przez ABI zawarte są w przepisach wykonawczych.

Brak szczegółówych regulacji prawnych odnośnie sprawdzeń dokonywanych przez administratorów danych osobowych nie oznacza, że przewidziana jest dla nich  taryfa ulgowa w wykonywaniu tych obowiązków. Sprawdzanie stanu zgodności przetwarzania danych osobowych jest to ustawowy obowiązek ADO, który nie powołał ABI. Wywiązanie się z tego obowiązku a także wykazanie tego wobec GIODO spoczywa na samym ADO.

Z ustawy nie wynika, aby ADO  był zobowiązany sam sobie składać sprawozdanie ze sprawdzenia, ale czy oznacza, że nie powinien ich robić. W mojej ocenie trudno w lepszy sposób wykazać wywiązanie się z obowiązku sprawdzania stanu zgodności przetwarzania danych niż w sprawozdaniu właśnie. Ustna deklaracja czy oświadczenie kierownika jednostki czy prezesa firmy, że sprawdzono stan zgodności może okazać się w czasie kontroli GIODO zupełnie niewystarczająca.

Pamiętajmy, że ADO musi być w stanie wykazać, że sprawdza stan zgodonści przetwarzania danych, udowodnić to, z tego powodu nie ma ucieczki przed formalizcją czynności sprawdzających i sprawozdaniem.

Zatem wszyscy administratorzy danych osobowych i procesorzy powinni dokonywać cyklicznego sprawdzania, przynajmniej raz do roku stanu zgodności przetwarzania danych, a wyniki takiego sprawdzenia zamieszczać w corocznym sprawozdaniu.

Jeśli nie przygotowałeś jeszcze sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych w Twojej firmie i nie do końca wiesz jak się do tego zabrać zachęcam do lektury mojego Poradnika ABI nr 1 , który taki pomocny wzór zawiera. Znajdziesz go TUTAJ.

W ostatnim wpisie rozpoczęłam omawianie zagadnień związanych z inspektorem danych osobowych (DPO) czyli dotychczasowym znanym polskiemu prawu ABI. Jest to zagadnienie i dość szerokie i nie do końca oczywiste w świetle przepisów nowego rozporządzenie stąd potrzeba wyjaśnień oraz interpretacji.

W świetle nowych przepisów administratorzy danych osobowych nie mają bezwzględnego obowiązku powołania DPO, jednak każdorazowo muszą przeanalizować czy w ich przypadku nie zachodzą jednak przesłanki wskazujące na konieczność powołania ABI.

Rozporządzenie wprowadza obowiązek wyznaczenia DPO, jeśli przetwarzanie danych osobowych prowadzone jest na szeroką skalę i dotyczy działalności polegającej na regularnym i systematycznym monitorowaniu osób. Drugi przypadek to przetwarzanie na dużą skalę danych osobowych szczególnie chronionych. Przepisy nie definiują co oznacza szeroka skala przetwarzania.

Przy ustalaniu  czy przetwarzanie jest prowadzane na szeroką skalę należy wziąć pod uwagę następujące czynniki a w szczególności należy uwzględnić:

  • liczbę osób, których dane dotyczą
  • ilość danych i / lub zakres różnych danych
  • czas trwania lub trwałość procesów przetwarzania danych
  • zakres geograficzny procesów przetwarzania

Ciekawe przykłady przetwarzania na szeroką skalę to:

  • przetwarzanie danych pacjenta w toku zwykłej działalności przez szpital
  • przetwarzanie danych klienta w toku zwykłej działalności przez towarzystwo ubezpieczeniowe lub bank
  • przetwarzanie danych osobowych do celów reklamy behawioralnej przez wyszukiwarkę
  • przetwarzanie danych (zawartość, ruch, lokalizacja) przez dostawców usług telefonicznych lub internetowych

A przykłady, które nie stanowią przetwarzania na dużą skalę to:

  • przetwarzanie danych pacjenta przez indywidualnego lekarza
  • przetwarzanie danych osobowych dotyczących wyroków karnych i wykroczeń przez indywidualnego prawnika

Jak widać brakuje wskazówek co do dokładnej liczby w odniesieniu do ilości przetwarzanych danych lub liczby osób, które będą mogły być stosowane w każdej sytuacji. To nie wyklucza jednak, że w miarę upływu czasu może się rozwinąć standardowa praktyka, która określi pod względem ilościowym, co stanowi „dużą skalę” w odniesieniu do niektórych rodzajów wspólnych działalności przetwarzania danych.

W każdym razie organy doradcze  na poziomie unijnym  planują również przyczynić się do tego rozwoju, na zasadzie udostępniania i rozpowszechniania przykładów odpowiednich progów dla wyznaczenia inspektora ochrony danych.

O ile oczywiste jest, że rozporządzenie nie przewiduje obowiązku powołania inspektora danych osobowych z zasady dla wszystkich administratorów danych osobowych, to jednak w świetle ostatnich wytycznych Grupy Roboczej art. 29 każda organizacja powinna przeprowadzić analizę, której celem będzie ustalenie czy mimo braku powszechnego obowiązku nie zachodzą w danej organizacji przesłanki oraz okoliczności przemawiające za powołaniem DPO (Data Protection Officer).

Okazuje się, że nie będzie to prosty wybór mieć albo nie mieć DPO. W celu podjęcia odpowiedniej decyzji administrator danych powinien przeprowadzić analizę oraz udokumentować ją.

Analiza taka miałby być pomocna w celu określenia, czy inspektor ochrony danych osobowych (DPO ) powinien być mianowany w danej organizacji, czy wszystkie istotne dla takiej oceny czynniki zostały przez organizację uwzględnione.

Odpowiednio przeprowadzona analiza powinna wziąć pod uwagę czynniki istotne dla oceny obowiązku lub jego braku w kwestii powołania DPO. Z pewnością w pierwszej kolejności administrator danych powinien rozważyć czy w świetle samych przepisów ma wybór a może obowiązek powołania DPO, gdyż nie jest to takie oczywiste.

Przepis mówi, iż administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Przywołane wyżej wytyczne Grupy Roboczej odnoszą się do poszczególnych wymienionych wyżej przesłanek prawnych przemawiających za powołaniem DPO (ABI). Okazuje się, że rozumienie tych przepisów i ich właściwa interpretacja jest kluczowa dla przeprowadzenia wspomnianej analizy i wywiedzenia z niej odpowiednich konkluzji w zakresie obowiązku  powłania lub nie DPO w twojej firmie.

W kolejnych wpisach będę kontynuować temat, bowiem jest on rozległy i wielowątkowy a jego zakres wykracza poza ramy jednego artykułu na blogu.

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.