System e-WUŚ a ochrona danych osobowych

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.

Miało być pięknie a wyszło jak zawsze czyli nowelizacja ustawy o ochronie danych osobowych

Nowelizację ustawy o ochronie danych osobowych omawiamy już od miesięcy. Nowelizacja, która została wprowadzona w IV pakiecie deregulacyjnym teoretycznie miała zapewnić ułatwienie życia przedsiębiorcom tj. wykonywanej przez nich działalności.

Przykre obowiązki administracyjne w postaci zgłaszania, aktualizowania, wykreślania zbiorów z rejestru GIODO miały zniknąć. Jedynym warunkiem dla skorzystania ze zwolnienia było powołanie ABI i zarejestrowanie go w rejestrze GIODO. Jednak wszystko to było alternatywą dla przedsiębiorców. Ci, kórzy nie zdecydowali się na powołanie ABI mogli się nowelizacją nie interesować. To twierdzenie jednak w aktualnym stanie wiedzy jest fałszywe. Okazuje się bowiem, że nowelizacja dotyczy wszystkich administratorów danych.

Nowelizacja potraktowała ABI bardzo poważnie. Mamy bowiem nowego quasi urzędnika, wyposażonego po zęby w quasi urzędnicze narzędzia w celu wypełniania swojej funkcji. Nowy status w postaci odrębności organizacyjnej, niezależności, szczegółowo określony katalog zadań. Trzy rozporządzenia wykonawcze i mnożące się pytania oraz wątpliwości.

Najważniejsze rozporządzenie wykonawcze  w sprawie trybu i sposobu realizacji zadań w celu przestrzegania przepisów o ochronie danych osobowych jak dotychczas nie zostało uchwalone, co potęguje niepewność prawną odnośnie nowej regulacji.

Czytając projekt nasuwa się sporo wątpliwości, zwłaszcza w kontekście głownego założenia IV pakietu deregulacyjnego polegającego na ułatwieniu wykonywania działalności . Zgodnie z intencją prawodawcy wprowadzone w ustawie o ochronie danych zmiany miały dotyczyć jedynie podmiotów, które w trybie przewidzianym w ustawie o ułatwieniu działalności gospodarczej powołają i zgłoszą do GIODO administratora bezpieczeństwa informacji.

Wielokrtonie w toku prac legislacyjnych podkreślano, iż decyzja o powołaniu ABI miała zależeć od woli administratorów danych. Nowy system miał mieć charakter fakultatywny. Tymczasem obowiązki określone w rozporządzeniu wykonawczym dotyczącym trybu i realizacji zadań ABI, będą dotyczyć wszystkich administratorów danych osobowych nawet tych, którzy nie zdecydują się nie powołanie ABI i nie będą objęci zwolnieniem z obowiązków rejestracji zbiorów w GIODO..

Rozszerzenie nowych obowiązków zapewnienia zgodności przetwarzania danych osobowych na wszystkich administratorów również tych, którzy nie skorzystają z ułatwień regulacji, gdyż nie zdecydują się na powołanie ABI  niweczy cel zmian deregulacyjnych.

Czyli miało być pięknie a wyszło jak zawsze…

Czy kupi Pani garnki – UOKiK wszczyna postępowanie

Nowelizacja prawa telekomunikacyjnego i uzależnienie używania telekomunikacyjnych urządzeń końcowych (w tym telefonów) w celu marketingu bezpośredniego, od uprzedniej zgody abonenta wzbudza wiele emocji.

Branże, które aktywnie korzystają z telemarketingu stanęły przed ogromnym wyzwaniem. W jaki sposób pozyskiwać uprzednią zgodę, czy wykonanie połączenia w celu uzyskania zgody jest już zakazane. Jak w takich warunkach prowadzić biznes.

Przepis jest świeży, prawnicze wykładnie jego treści też nie rozwiewają wątpliwości.

Okazuje się, że możemy się spodziewać pierwszego postępowania przed Prezesem UOKiKu dotyczącego zakazanego telemarketingu. Bowiem firma sprzedająca garnki do gotowania, nie posiadając uprzedniej zgody konsumentów, kontaktowała się z nimi telefonicznie w celu zapraszania ich na pokazy tychże garnków.

Świadomi konsumenci o praktykach firmy sprzedającej garnki powiadomili Prezesa UOKiKu, który wszczął postępowanie wyjaśniające w sprawie ustalenia czy stosowane przez firmę praktyki naruszyły zbiorowy interes konsumenta.

Więcej na stronie UOKiKu:

http://www.uokik.gov.pl/aktualnosci.php?news_id=11536

Powołanie ABI nie jest obowiązkiem

Inspiracją do tego wpisu była rozmowa z klientem, który zadzwonił do mnie z przerażeniem, że zmieniły się przepisy i że on chce zgodnie z nimi uporządkować obszar ochrony danych osobowych i powołać  ABI .

W toku rozmowy zorientowałam się, iż  klient ma przeświadczenie, że powołanie ABI stało się obowiązkiem prawnym, o czym przypomina nieustanny spaming od firm, które świadczą tego rodzaju usługi w zakresie ochrony danych osobowych.

Świadectwo klienta trochę mnie wprawiło w osłupienie, gdyż nie zdawałam sobie sprawy, że uprawiane są tego rodzaju naganne praktyki. Dodatkowo jeszcze wprowadzające w błąd. Bowiem nowelizacja ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. nie wprowadza obowiązku powołania ABI a wręcz przeciwnie stanowi, iż powołanie ABI jest prawem a nie obowiązkiem administratora danych.

W przypadku niepowołania ABI jego zadania z wyłączeniem obowiązku sporządzania sprawozdania wykonuje administrator danych.

Czy administrator danych osobowych w związku z niepowołaniem ABI, w świetle znowelizowanej ustawy o ochronie danych osobowych  osobowych będzie miał więcej obowiązków, przyjrzymy się w kolejnych wpisach.