Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

W tym roku GIODO zbada zgodność przetwarzania danych w branży medycznej

Na stronie GIODO czytamy:

“Konieczność podawania wielu, nieraz intymnych danych, podczas rejestracji w przychodni lub poradni lekarskiej, bez zapewnienia ich poufności i poszanowania prywatności, to sytuacje, na które do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż skarżą się pacjenci.”

Stąd w planie kontroli przeprowadzanych przez inspektorów GIODO ujęto ten właśnie sektor.

Dzięki temu możliwe będzie dokonanie oceny przetwarzania danych osobowych w większej liczbie placówek opieki zdrowotnej, niezależnie od tego, czy są prowadzone przez podmioty publiczne, czy prywatne.

W mojej opinii w branży medycznej jest wiele do zrobienia w zakresie zapewnienia zgodności przetwarzania danych osobowych. Ochrona danych medycznych rozpoczyna się od realnego zrozumienia i świadomości dotyczacej tajemnicy zawodowej zobowiązującej do zachowania w tajemnicy wszelkich informacji dotyczących pacjenta.

Tajemnica danych medycznych dotyczy nie tylko osób wykonujących zawody medyczne, ale także osób z nimi współpracujących na przykład w zakresie wsparcia IT dla systemów informatycznych funkcjonujących w placówkach medycznych.

Dane o stanie zdrowia jako wrażliwe dane osobowe podlegają dodatkowo ochronie w świetle ustawy o ochronie danych osobowych. Zgodnie z nimi administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych i zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

Na koniec krótki przypadek z życia. Ostanio znajoma opowiadała mi, że z łatwością mogła zapoznać się z dokumentacją medyczną osoby, która w tym samym, co ona dniu korzystała z usług medycyny estetycznej w renomowanym gabinecie lekarskim. Pan doktor zapraszając kolejną osobę nie schował karty leczenia poprzedniej pacjentki a pozostawił ją na biurku umożlwiając swobodne zapoznanie się z nią kolejnym pacjentom.

Moja znajoma jako radca prawny zwróciła uwagę na ten fakt bedąc już świadomą, że wobec takich zasad, kolejna pacjentka będzie miała możliwość zapoznania się z jej kartą leczenia.

Taki sposób postępowania oznacza brak należytego zabezpieczenia danych przed dostępem osób do tego nieupoważnionych ale to tylko wierzchołek góry lodowej, jeśli chodzi o braki w tym obszarze.

Kontrole GIODO w branży medycznej zaplanowane na rok 2017 być miejmy nadzieję przyczynią się do lepszej ochrony naszych wrażliwych danych osobowych przez tę branżę.

A dla samej branży będzie to też okazja do rozpoczęcia wdrażania wymogów ogólnego rozporządzenia unijnego w zakresie ochrony danych osobowych , co zważywszy na dotkliwe sankcje pieniężne, będzie miało swój pozytywny wymiar.

Aplikacje mobilne a nowe prawo ochrony danych osobowych

Sklepy z aplikacjami mobilnymi pękają w szwach. Każdy znajdzie coś dla siebie. Na moim smartfonie widzę następujące “Geometry Dash Lite”,  “Zabawny budzik”, “My Angela” “Math Games”, “Zalando”. Z większości korzysta dziecko. A jakie aplikacje mobilne Ty masz na swoim smatfonie? I co wiesz o aplikacji mobilnej oprócz tego, że spełnia pożądaną przez Ciebie funkcję, jest dla Ciebie pożyteczna.

Ośmielę się powiedzieć, że większość z nas niewiele wie o tym, jak  korzystanie z aplikacji mobilnych wpływa na naszą prywatność i raczej się na tym nie zastanawia.

Aplikacje mobilne to narzędzia, które oprócz dostarczania określonych pożytecznych funkcjonalności służą też do zbierania danych osobowych oraz ich dalszego przetwarzania. Większość aplikacji mobilnych dla instalacji wymaga  udostępnienia  danych geolokalizacyjnych a także dostępu do  plików przechowywanych na urządzeniu, na którym są instalowane.

Za  korzystanie z aplikacji mobilnych płacimy naszymi danymi osobowymi.

Aplikacja rządzi. To fakt. Jednak twórcy aplikacji mobilnych muszą pamiętać o ochronie prwatności użytkowników a także o spełnieniu wymogów w zakresie ochrony danych osobowych.

Dostęp do różnego rodzaju danych, których pozyskanie umożliwia aplikacja może odbywać się wyłącznie za zgodą użytkownika. Użytkownik powinien także być odpowiednio poinformowany o administratorze jego danych, o celach przetwarzania, prawie dostępu do danych itd.

Przetwarzanie danych osobowych w aplikacjach mobilnych i przy ich pomocy należy zakwalifikować jako przetwarzanie obciążone potencjalnie dużym ryzkiem dla ochrony danych osobowych. W świetle nowych przepisów o ochronie danych osobowych twórcy aplikacji mobilnych lub podmioty udostępniające takie aplikacje osobom fizycznym bedą obowiązani do wypełnienia szeregu obowiązków prawnych.

W świetle nowego prawa ochrony danych osobowych rygory naruszenia praw podmiotów danych będą bardzo srogie. Rozporządzenie bowiem przewiduje bardzo duże kary finansowe za naruszenia jego postanowień. Powinny mieć to na uwadze tak twórcy aplikacji mobilnych jak i podmioty wprowadzajace je komercyjnie na rynek.

Outsourcing IT w sektorze zdrowia

Na ten właśnie temat napisałam artykuł dla Gazety Dolnśląskiej Izby Lekarskiej “Medium”. Cały test znajdziecie  tutaj: Artykuł_Medium.

Dla zainteresowanych tematyką ochrony danych w branży medycznej sporo cennej wiedzy, bowiem większa część lutowego wydania “Medium” została poświęcona ochronie danych medycznych w tym danych osobowych.

Zapraszam do lektury.