Nowy poradnik dla ABI

Stworzyłam nowy, unikalny poradnik dla administratora bezpieczeństwa informacji (ABI). Poradnik poświęcony jest praktycznie w całości obowiązkom nałożonym na ABI w związku z ostatnią nowelizacją ustawy o ochronie danych osobowych. Poradnik będzie również bardzo pomocny dla osób, które formalnie nie nazywają się ABI, ale w praktyce wykonują w swojej organizacji obowiązki przypisane ABI. Te osoby również zachęcam do zapoznania się z nową publikacją.

Dlaczego warto go mieć?

Poradnik wyjaśnia oraz instruuje jak krok po krok wywiązać się z nowych obowiązków a jest ich nie mało. Podstawowym obowiązkiem jest sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Równie ważne są nowe obowiązki sprawozdawcze.

Czym jest sprawdzenie?

Przez sprawdzenie należy rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Jedną z pierwszych czynności, do których zobowiązują ABIego przepisy jest sporządzenie planu sprawdzenia, ale to dopiero początek na drodze weryfikacji zgodności przetwarzania danych z przepisami.

Jakie czynności musi wykonać ABI, aby mieć pewność, że jego sprawdzenie prawidłowo weryfikuje stan przetwarzania danych osobowych. Od czego zacząć, jak sobie pracę uprościć czy zorganizować. Są to dylematy z którymi na codzień boryka się ABI.

Wzór planu sprawdzeń oraz sprawozdania dołączam do Poradnika.

Sprawozdanie jest o tyle ważne, że będzie stanowiło podstawową lekturę w przypadku kontroli GIODO. Umiejętność zgodnego ze sztuką sporządzania sprawozdania będzie więc poddana ocenie GIODO, który dysponuje prawem wykreślenia ABI z rejestru, w przypadku stwierdzenia, że ABI niewłaściwie wykonuje swoje obowiązki.

Poradnik odpowiada na nurtujące pytania, porusza wątpliwe kwestie i stara się je rozstrzygnąć.

A na koniec bonusy specjalne. Każdy nabywca poradnika co miesiąc (6 miesięcy) będzie otrzymywał ode mnie raport o stanie zaawansowania rozporządzenia unijnego jak również pogłębione opracowanie i omówienie jego najważniejszych instytucji. Będziesz więc zupełnie na bieżąco z prawem unijnym, które za chwilę obowiązywać będzie w Polsce. W każdym raporcie postaram się też zamieścić jakiś super temat np. omówię ciekawe orzeczenie czy zinterpretuję jakieś niszowe zagadnienie z zakresu ochrony danych. W każdym razie będzie to coś unikalnego.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt prenumeraty materiałów przez 6 miesięcy to jedyne 49 złotych netto.

Poradnik_ABI_spis_tresci

Zamówienia można składać na adres: kancelaria@przetwarzaniedanych.pl

Oferta kierowana jest do Przedsiębiorców.

Rozporządzenie unijne w sprawie ochrony danych osobowych jeszcze w tym roku

Rozporządzenie unijne o ochronie danych osobowych znajduje się obecnie w fazie trilogu i po jego zakończeniu należy spodziewać się przyjęcia rozporządzenia jeszcze w tym roku.

Z punktu widzenia GIODO ważnym rozwiązaniem jest przyznanie organom ds. ochrony danych kompetencji do nakładania kar finansowych. Jest to niezbędne do skutecznej realizacji prawa do ochrony danych osobowych, które aktualnie jest słabo egzekwowane i często wręcz lekceważone.

W związku z finalizacją prac nad projektem unijnego rozporządzenia dotyczącego ochrony danych osobowych w GIODO powstała komisja, której zadaniem jest przygotowanie Polski do wdrożenia przepisów unijnych. Trwają także prace nad nowelizacją polskiej ustawy, tak by możliwość wprowadzenia kar finansowych wprowadzić wcześniej. Celem jest łatwiejsze przygotowanie się do nowych przepisów i płynniejsze ich wdrożenie.

18 września b.r w GIODO odbyła się konferencja naukowa poświęcona właśnie nowym przepisom prawa ochrony danych osobowych.

Podczas konferencji ze strony przedstawicieli GIODO  padły informacje, iż aktualnie GIODO będzie przeprowadzał kontrole dwiema drogami – poprzez sprawdzenia czyli kontrole ABI-ch oraz poprzez kontrole jednostek, w których taki urzędnik nie został wyznaczony lub nie działa.

O sprawdzeniu, jako nowym obowiązku ABI ale także administratora danych osobowych, który ABI nie powołał pisałam tutaj.

Według przedstawicieli GIODO brak powołania w jednostce ABI może stanowić domniemanie, iż poziom ochrony danych osobowych w tych jednostkach jest niewystarczający. Kontrole mogą być też przeprowadzane w podmiotach, które mają ABI-ego, jeśli zaistnieją przesłanki świadczące, iż przetwarzanie danych jest niewłaściwe.

Po wejściu w życie nowych przepisów z początkiem roku wszyscy się zastanawiali kto będzie miał więcej kontroli czy firmy, które powołają ABI czy może te, które ABi nie powołają.

Z ostatnich doniesień wynika, że GIODO będzie kontrolował jednak bardziej tych, którzy oficjalnie ABI nie powołali. Jest to już jakieś stanowisko w sprawie niedawnej nowelizacji krajowej ustawy o ochronie danych osobowych.

Umowy z NFZ a ochrona danych osobowych

Podmioty lecznicze zawierają z NFZ umowy o udzielanie świadczeń opieki zdrowotnej finansowanych ze środków publicznych w trybie i na zasadach określonych przepisami prawa.

Umowa o udzielanie świadczeń zawarta przez Fundusz ze świadczeniodawcą (podmiot leczniczy) określa rodzaj świadczenia lub grupę świadczeń oraz kwotę finansowania.

Fundusz jest zobowiązany do finansowania świadczeń udzielonych w okresie rozliczeniowym do kwoty zobowiązania Funduszu wobec świadczeniodawcy określonej w umowie.

W związku z udzielaniem przez podmioty lecznicze świadczeń finansowanych ze środków publicznych mają one obowiązek rejestrowania informacji o pacjentach oraz udzielanych im świadczeniach w celu ich rozliczenia.

Odpowiednie przepisy określają zakres niezbędnych informacji gromadzonych przez podmioty lecznicze oraz sposób ich przekazywania do NFZ.

Podmioty lecznicze tworzą i prowadzą w formie elektronicznej rejestr świadczeń opieki . W rejestrze świadczeń gromadzone są dane charakteryzujące każde udzielone świadczenie opieki zdrowotnej, finansowane ze środków publicznych w tym dane osobowe.

W celu rejestrowania danych o pacjentach oraz udzielonych im świadczeniach podmioty lecznicze korzystają z dedykowanych aplikacji informatycznych umożliwiających sprawną rejestrację wymaganych informacji. Zadaniem aplikacji jest umożliwienie wprowadzenia danych, gromadzenie ich oraz generowanie raportów statycznych w postaci wyjściowych plików, przesyłanych do NFZ.

Wykonywanie zawartych z NFZ umów i obowiązkiem rejestracji danych o pacjentach i udzielanych im świadczeniach w formie elektronicznej implikuje oczywiście obowiązki w zakresie ochrony danych osobowych.

Każdy podmiot leczniczy, który posiada podpisaną z NFZ umowę o udzielanie świadczeń zdrowotnych oraz rejestrujący w związku z tym dane o pacjentach i udzielanych im świadczeniach w postaci elektronicznej zobowiązany jest do posiadania pełnej dokumentacji przetwarzania danych osobowych.

Ze stosowaniem przepisów o ochronie danych osobowych w placówkach medycznych bywa różnie. Pisałam o tym wielokrotnie. Niewielkie podmioty lecznicze pomimo ciążących na nich obowiązków w tym zakresie niechętnie je realizują. Poniekąd jest to usprawiedliwione charakterem pracy i wagą wykonywanych obowiązków. Nieliczni tylko lubują się w wykonywaniu obowiązków administracyjnych. Większość przedsiębiorców traktuje je jednak jako kolejny uciążliwy obowiązek.

Niemniej jednak należy pamiętać, że z uwagi na charakter przetwarzanych danych o pacjentach tych szczególnie wrażliwych, bo dotyczących stanu zdrowia oraz postępującą informatyzacją w ochronie zdrowia właściwie nie ma już ucieczki przed wykonaniem obowiązków w zakresie ochrony danych osobowych.

W przeddzień wejścia w życia restrykcyjnego rozporządzenia unijnego o ochronie danych osobowych osób fizycznych warto to sobie uświadomić i powoli zacząć porządkować tą nieco zapomnianą sferę obowiązków.

Prawa pacjenta

W pewnej rodzinie zmarł człowiek. Następnego dnia pod adresem, gdzie za życia zamieszkiwał zjawił się przedstawiciel firmy odszkodowawczej. Rodzinie przedstawił wizytówkę firmy odszkodowawczej. Jego wizyta miała związek ze śmiercią członka tejże rodziny i chęcią złożenia oferty dotyczącej dochodzenia odszkodowania w związku ze śmiercią pacjenta.

Jak się okazało dane osobowe osoby nieżyjącej zostały przekazane przez pielęgniarkę ze szpitala, w którym pacjent zmarł.

Oto krótka historia. Obrazuje ona, że wszystko jest na sprzedaż i na wszystkim można zarobić. Pielęgniarka ze szpitala przekazująca dane osobowe dotyczące pacjenta. Firma ubezpieczeniowa pozyskująca dane osobowe o pacjentach od osób, które zobowiązane są do zachowania w tajemnicy tych danych.

Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

Osoby wykonujące zawód medyczny, z wyjątkiem przypadków są związane tajemnicą również po śmierci pacjenta.

Prawo przewiduje sankcje związane z niedochowaniem tajemnicy zawodowej osób wykonujących zawód medyczny. Osoby, które wbrew ciążącym na nich obowiązkach ujawniły dane osobowe pacjentów mogą być pociągnięte do odpowiedzialności zawodowej, cywilnej a także karnej.

Bez wątpienia w związku z  ujawnieniem informacji o pacjencie zostały naruszone dobra osobiste rodziny, jej prawo do uszanowania żałoby związanej ze śmiercią najbliżej osoby. Wizyta przedstawiciela firmy odszkodowawczej w tym czasie, gdy nawet  nie odbył się jeszcze pochówek zmarłego, w najwyższej mierze  dowodzi braku szacunku dla tej wyjątkowej sytuacji.

Rodzina zawiadomiła organy ścigania o popełnieniu przestępstwa. Bez wątpienia może dochodzić swoich praw związanych z naruszeniem dóbr osobistych przed sądem powszechnym w drodze powództwa cywilnego.

Tajemnica medyczna a outsourcing IT w branży medycznej

Z biura GIODO napływają informacje, iż finalizowane są prace nad zmianą przepisów prawnych umożliwiających podmiotom leczniczym przekazywanie danych medycznych firmom zewnętrznym, w związku ze świadczonymi przez te podmioty specjalistycznymi usługami np. w zakresie IT. W chwili obecnej nie ma odpowiedniej ku temu podstawy prawnej z uwagi na treść przepisów o tajemnicy zawodowej.

 Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

I tutaj zaczyna się problem związany z korzystaniem przez placówki medyczne z usług zewnętrznych usługodawców, z którymi to usługami związane jest powierzenie przetwarzania danych osobowych. Aktualnie w świetle obowiązujących przepisów i stanowiska GIODO takiej podstawy prawnej nie ma. Jest to oczywiście duża uciążliwość w szczególności dla małych i średnich podmiotów leczniczych, które już dzisiaj z zewnętrznych usług korzystają.

Sprawa jest o tyle pilna, że jesteśmy w przeddzień wejścia w życie (2017 r.) przepisów wprowadzających obowiązek prowadzenia elektronicznej dokumentacji medycznej przez wszystkie podmioty udzielające świadczeń zdrowotnych. Będzie się to wiązało z wdrożeniem przez tysiące małych podmiotów systemów informatycznych umożliwiających elektroniczne prowadzenie dokumentacji.

Wiele z tych podmiotów w celu zaoszczędzenia kosztów zdecyduje się na wykupienie aplikacji dostępnej przez internet czyli na tzw. aplikację w chmurze. Będzie to oczywiście związane z powierzeniem danych osobowych do przetwarzania, co w chwili obecnej w świetle prawa nie znajduje podstawy prawnej.

 Aktualnie w Ministerstwie Zdrowia oraz Parlamencie procedowane są zmiany przepisów prawa w zakresie przekazywania przez podmioty lecznicze danych osobowych firmom zewnętrznym w związku ze świadczonymi przez nie usługami specjalistycznymi np.dotyczącymi przechowywania dokumentacji medycznej.

Obowiązek wdrożenia elektronicznej dokumentacji medycznej jest związany z szeroko zakrojoną akcją informatyzacji w ochronie zdrowia oraz wdrażaniem powszechnego systemu informacji medycznej, gromadzącego informacje o pacjentach pochodzące od z systemów informatycznych poszczególnych świadczeniodawców.

Podmioty lecznicze wdrażające  elektroniczną dokumentację medyczną muszą też pamiętać o spełnieniu wymagań prawnych w zakresie ochrony danych osobowych, między innymi o prowadzeniu wymaganej prawem dokumentacji  tj. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.

Odpowiedzialność ABI część II

Wraz z ostatnią nowelizacją do życia powołany został ABI profesjonalista. Nowelizacja, która weszła w życie 1 stycznia 2015 r. w zasadniczej części została poświęcona ABI. Określiła więc szczegółowo katalog zadań ABI, zakres formalnych wymagań wobec ABI, wyposażyła też ABI w niezależność w wykonywaniu zadań. Na podstawie nowych przepisów zostały wydane rozporządzenia, które precyzują sposób i tryb wykonywania zdań czy sposób prowadzenia rejestru przez ABI.

Pisałam już, że na skutek tych zabiegów powstał ABI jakiego wcześniej w naszym systemie prawnym nie było. Bez wątpienia ABI musi być znawcą tematu, posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. Ustawa jednak nie wymaga od ABI posiadania określonych certyfikatów, ukończenia studiów czy szkoleń. Wymaga jednak odpowiedniej wiedzy w tym zakresie.

Decyzję o powołaniu ABI podejmuje administrator danych osobowych i to on musi ocenić poziom wiedzy i doświadczenia ABI.

Zatrudniając księgową, kadrową, informatyka w zasadzie pracodawca również nie ma ustawowych wskazówek jakiego rodzaju osoby zatrudnić,  a jednak w praktyce nie stwarza to większych problemów.

Sprawa z ABI jest może o tyle trudniejsza, że w firmie zwykle nie ma osób włącznie z szefostwem, które byłyby w stanie rzetelnie ocenić poziom wiedzy ABI i możliwości zapewnienia firmie bezpieczeństwa w obszarze danych osobowych.

Czy poziom wiedzy ABI w zakresie ochrony danych osobowych jest odpowiedni. Oto jest pytanie.

W praktyce zauważyłam skrajne postawy od ABI, którzy zostali wyrwani z tzw. łapanki do pełnienia funkcji i ogólnie mają słabą orientację w temacie, ale też nie specjalnie ich to martwi do ABI, którzy są bardzo zmotywowani, świadomi odpowiedzialności, która z wykonywanie funkcji może by związana.

Odpowiedzialność ABI to jeden z tematów, który bardzo interesuje samych ABI ale także administratorów danych osobowych. Odpowiedzialność ABI może być więc  cywilna (outosurcing ABI), pracownicza, administracyjna a nawet karna.

W konsekwencji nałożenia na ABI konkretnych obowiązków, związana z nimi odpowiedzialność administracyjna może spoczywać bezpośrednio na ABI. W doktrynie pojawiają się stanowiska, iż ABI może być adresatem decyzji wydawanych przez GIODO w przypadku naruszenia przepisów o ochornie danych osobowych. Do takiego naruszenia może dojść na skutek niewykonywania przez ABI swoich obowiązków.

Istnieje ryzyko odpowiedzialności karnej ABI w przypadku nieumyślnego naruszenia przepisów ochrony danych osobowych poprzez udostępnienie danych osobom nieupoważnionym. Jednak należy pamiętać, że odpowiedzialność karna jest odpowiedzialnością osobistą i wymaga osobistej zarzucalności popełnionego czynu konkretnej osobie.

Odpowiedzialność pracownicza, podobnie jak w przypadku innych pracowników, może skutkować nawet rozwiązaniem umowy o pracę w przypadku utraty zaufania w związku z niewłaściwym wykonywaniem obowiązków pracowniczych. W przypadku, gdyby pracodawca poniósł szkodę w związku z wykonywaniem przez ABI jego obowiązków, mógłby również pociągnąć go do odpowiedzialności materialnej do wysokości trzykrotnego wynagrodzenia za pracę.

Odpowiedzialność ABI to rozległe zagadnienie ściśle związane z jego kompetencjami i poziomem wymaganej w zakresie ochrony danych osobowych wiedzy. Zagadnienie to będzie miało coraz większe znaczenie. Należy o tym pamiętać  zwłaszcza w kontekście rozporządzenia w sprawie ochrony danych osobowych, nad którym prace legislacyjne w organach Unii wkroczyły w ostatnią fazę.

Zachęcam do nabycia nowego poradnika ABI z wzorami dokumentów, comiesięcznym raportem o reformie prawa unijnego (6 raportów) zaopatrzonym moim komentarzem oraz możliwością rozwiązania jakiegoś trapiącego Cię problemu prawnego z zakresu przepisów ochrony danych osobowych.Więcej tutaj.

A z ostatnim raportem otrzymasz ode mnie super niespodziankę. Uchylając rąbka tajemnicy powiem Ci, że oczywiście będzie to potężny zastrzyk wiedzy z zakresu ochrony danych osobowych. Jednak o szczegółach dowiesz się w swoim czasie pod warunkiem oczywiście złożenia zamówienia na nowy poradnik ABI.

Koszt poradnika ze wszystkimi bonusami to jedyne 49 złotych netto.

Zamówienia proszę składać na adres: kancelaria@przetwarzaniedanych.pl