Przetwarzanie danych

Każdy kto wykonuje  działaność zarobkową lub zawodową lub statutową przetwarza dane osobowe osób fizycznych powinien spełnić obowiązki w zakresie ochrony tychże danych.

Przetwarzanie danych osobowych osób fizycznych najczęściej odbywa sie w celach marketingowych Administratorów danych, którzy organizują:

programy lojalnościowe, programy partnerskie, konkursy, wysyłają do klientów newslettery, kartki na święta, smsy konkursowe itd.

Przetwarzanie danych ma miejsce także w sytuacjach, gdy dane osobowe są przetwarzane dla potrzeb realizacji umowy zawartej z klientem nawet, jeśli dane te są tylko przechowywane np. dla celów związanych z dochodzeniem roszczeń.

Przetwarzanie może odbywać się również, gdy przepis prawa na to zezwala. Chodzi tutaj o przepisy szczególne, inne niż ustawa o ochronie danych osobowych, które mogą zawierać szczególne regulacje dotyczące przetwarzania danych osobowych. Na przykład policja ma prawo przetwarzać dane osobowe na potrzeby prowadzonych przez nią postępowań.

W przypadku przetwarzania danych osobowych dla celów marketingowych najczęściej będzie nam potrzebna zgoda osoby, chyba, że powołamy się na usprawiedliwony interes administratora danych, dane będą przetwarzane w celach marketingu własnych produktów i usług oraz administrator dopełni obowiązku informacyjnego wobec osoby, której dane ma zamiar przetwarzać.

Przetwarzanie danych osobowych wymaga od administratora danych podstawy prawnej (zgoda, umowa, przepis prawa, usprawiedliwony cel), spełnienia obowiązków informacyjnych, rejestracji zbiorów, zabezpieczenia danych odpowiednio do zagrożeń i kategorii danych, wdrożenia polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym.

W przypadku uchybienia powyższym obowiązkom administrator danych może ponieść odpowiedzialność karną, cywilną i administracyjną.

Internetowe Konta Pacjenta a dane osobowe

lekarze internet

Cyfryzacja służby zdrowia, która dotyczy każdego z nas – gdyż wszyscy jesteśmy lub możemy zostać pacjentami – według przyjetych założeń ma zostać wprowadzona w przyszłym roku. W ramach cyfryzacji powstają Internetowe Konta Pacjenta, IKP  to system, który gromadzi w jednym miejscu podstawowe dane medyczne na temat zdrowia pacjenta oraz wskazuje miejsce przechowywania rozszerzonych danych medycznych: zaświadczenia, orzeczenia lekarskie, opinie , skierowania, karty leczenia szpitalnego itd. Korzystając z systemu IKP  lekarz uzyska informacje gdzie znajduje się niezbędne w procesie leczenia badanie USG, dokumentację ze szpitala itd. Na szczęście to pacjent sam decyduje o zakresie udostępniania konkretnej placówce medycznej swoich danych medycznych. Jeżeli pacjent nie wyrazi zgody na dostęp do nich pracownikom danej placówki nie mają oni wówczas prawa.

Póki co poziom przetwarzania danych osobowych pacjentów w Polsce jest niewielki, jednakże ta sytuacja ma ulec zmianie począwszy od 1 sierpnia 2014 roku, jeśli oczywiście nie wsytąpią opóźnienienia. Od tego dnia wszystkie podmioty medyczne będą zobowiązane przechowywać dokumentacje w formie elektronicznej. Będzie to podstawa do tego żeby komletna dokumentacja medyczna każdego pacjenta bezpiecznie podążała za pacjentem do placówek medycznych, w których będzie się on leczyć. System umożliwi rónież umawianie wizyt u lekarzy danej specjalności, wypisywanie oraz obsługę skierowań i zwolnień. Wszystkie wymienione czynności będą wymagały zgody pacjenta, gdyż mówimy tutaj o danych wrażliwych.

 

Administrator danych osobowych może Ty może ja a może on

Administrator danych to:

podmiot prywatny lub publiczny decydujący o celach i środkach przetwarzania danych.

 Administrator danych to podmiot, który zbiera i przetwarza dane osobowe, gdyż są one mu potrzebne do realizacji celów związanych najczęściej z prowadzoną działalnością gospodarczą lub zawodową. Jednak nie tylko, gdyż ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, więc  administratorami danych są również te podmioty.

Administratorem danych są, więc podmioty publiczne i prywatne,  gdyż przetwarzając dane decydują o celach tego przetwarzania lub o środkach używanych do tego przetwarzania.

Administratorzy to właściciele małych i dużych firm, jak również osoby nieprowadzące działalności gospodarczej, jeśli tylko dane przetwarzają w związku z działalnością zarobkową lub zawodową.

 Administrator przetwarza dane, czyli wykonuje jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych

 Dane można przetwarzać w sposób tradycyjny w segregatorach, rejestrach, kartotekach, ale tez, co obecnie jest normą w systemach informatycznych. Administrator danych sam może przetwarzać dane osobowe, ale może też całość lub część zadań związanych z tym przetwarzaniem zlecić na, zewnątrz, co związane jest z powierzeniem danych do przetwarzania.

 Sytuacje, w których najczęściej dochodzi do powierzenia danych do przetwarzania związane są ze zleceniem na zewnątrz usług księgowych, kadrowo-płacowych, IT, marketingowych. Na przykład korzystasz z usług biura księgowego i przekazujesz mu dokumenty z danymi lub korzystasz z aplikacji internetowej do obsługi księgowej online, zatrudniasz firmę informatyczną, której umożliwiasz dostęp do systemu lub wynajmujesz serwer.

 Administrator ma prawa i obowiązki, jak również ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych oraz odpowiednie zabezpieczenie  danych, podlega on też kontroli Generalnego Inspektora Danych Osobowych na okoliczność przestrzegania norm prawnych związanych z przetwarzaniem.

 W każdym przypadku, gdy przetwarzasz dane osobowe musisz mieć podstawę prawną. W świetle prawa taka podstawą będzie:

 1) zgoda osoby, której dane dotyczą,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych

 Następnie musisz pamiętać, aby w sposób prawem wymagany poinformować osobę, której dane dotyczą, kto będzie przetwarzał jej dane, w jakim celu, że podanie danych jest dobrowolne oraz o prawie dostępu do danych.

 Następnie przygotowujesz politykę bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym. Jeśli jesteś małym podmiotem i Twoje przetwarzanie nie jest zbyt skomplikowane możesz spróbować sam taką dokumentację przygotować, jeśli natomiast jesteś większą organizacją lub korzystasz z usług hostingu a hosting jest na przykład w chmurze to lepiej zlecić przygotowanie takich dokumentów profesjonaliście.

 Odpowiedzialność Administratora danych jest administracyjna, karna oraz cywilna. Za niezgodne z prawem przetwarzanie danych możemy mieć sprawę karną i postępowanie karne, możemy mieć też  procesy cywilne. Aktualnie prawo nie przewiduje administracyjnych kar pieniężnych, ale to się zmieni z wejście w życie rozporządzenia w sprawie ochrony danych osobowych osób fizycznych procedowanego aktualnie w Unii Europejskiej.

 Praktyka i życie pokazuje, iż świadomość w zakresie ochrony danych osobowych  i wypełniania wszystkich ciążących na Administratorach obowiązków ciągle nie jesteś zadawalająca. Często przedsiębiorcy ochronę danych traktują, jako kolejny przykry obowiązek do spełnienia. Z jednak strony rzeczywiście trudno odmówić temu racji, biznes nie lub, gdy mu się przycina skrzydła. Z drugiej strony w dobie cyfryzacji naszego życia, powszechności urządzeń mobilnych, usług online, ochrona danych osobowych jest swojego rodzaju koniecznością, gdyż te wszystkie nowe cyfrowe sposoby przetwarzania danych osobowych dają ogromne możliwości do niekontrolowanych nadużyć.

 

Hosting a dane osobowe

 

Pojęcie hostingu w czasach, gdy internet staje się tak naprawdę drugą rzeczywistością, w której funkcjonujemy, wydaje się być powszechnie zrozumiałe. Tak z pewnością jest z technicznego punktu widzenia. Wiekszość przedsiębiorców  funkcjonuje w przestrzeni cyfrowej czy to przez prowadzenie biznesu czy też dla samej promocji swojego biznesu, który prowadzony jest poza siecią. Aby zaistnieć w internecie przedsiębiorcy decydują się na założenie własnej strony internetowej, wizytówki, bloga czy też na prowadzenie strony fanowskiej na FB.

Niezbędne formalności, aby zaistnieć w internecie związane z założeniem strony to oczywiście poza zamówieniem samego projektu, wykupienie serwera oraz domeny internetowej, czyli indywidualnego  adresu, pod którym będzie publikowana nasza strona w internecie.

No i właśnie to wykupienie miejsca, powierzchni na serwerze jest zwane popularnie hostingiem. W świetle prawa hosting funkcjonuje, jako udostępnienie pamięci podłączonych do sieci serwerów w celu przechowywania i udostępniania różnego rodzaju danych. Z ochroną danych osobowych hosting związany jest przez to właśnie przechowywanie danych osób trzecich, które często są też danymi osobowymi podlegającymi szczególnemu reżimowi ochrony.

Ilość hostingodawców oferujących usługi w zakresie udostępniania powierzchni dyskowej jest imponujący oraz wielość różnych kombinacji usług w skład, których wchodzi hosting również poraża przeciętnego użytkownika internetu. Oprócz jednak technicznych aspektów przy wyborze właściwego hostingodawcy zwrócić należy uwagę, jakich gwarancji udziela firma dla ochrony danych osobowych w kontekście zabezpieczeń czy innych obowiązków.

Na rynku nie mamy jednolitej sytuacji są firmy, które oferując usługi hostingowe czy wszelkie z nimi powiązane, zabezpieczają kwestie związane ochroną danych osobowych, są jednak i takie, które wykorzystują różne luki, aby od tych obowiązków uciec.  Jest to jednak o tyle ważne, że przedsiębiorca korzystający z wynajętego serwera zwykle jest administratorem danych osobowych swoich klientów, które często przy pomocy strony zbiera i to on właśnie odpowiada za spełnienie wszystkich obowiązków w zakresie ochrony danych osobowych tychże klientów, również w zakresie wyboru podmiotu, który dostarcza mu serwer a nie daje należytych gwarancji w zakresie zabezpieczeń.

W związku z powyższym należy zachować czujność, przy zawieraniu umowy z hostingodawcą dokładnie przeczytać regulaminy i inną dokumentację, z której wynikać będzie jego postawa wobec kwestii ochrony danych osobowych. W moim odczuciu powinniśmy wybierać podmioty, które gwarantują nam wysoką ochronę w tym zakresie, gdyż, jako użytkownicy końcowi dysponujemy niewielką wiedza i możliwościami, aby kontrolować stan zabezpieczeń i właściwie je ocenić, dlatego ze swojej strony rekomenduje zawieranie umów z podmiotami, które oferują swoim klientom możliwość zawarcia umowy o powierzenie danych do przetwarzania.

Informacja handlowa, komunikat czy reklama

reklama

Za informację handlową ustawa o świadczeniu usług drogą elektroniczną uważa każdą informację przeznaczoną bezpośrednio lub pośrednio do promowania towarów, usług lub wizerunku przedsiębiorcy lub osoby wykonującej zawód regulowany. Wyłączenia dotyczą informacji umożliwiającej porozumiewanie się za pomocą środków komunikacji elektronicznej (podanie adres www czy adresu e-mail) oraz informacji neutralnej, nie służącej osiągnięciu efektu handlowego. Czyli reasumując usude uznaje każdy przekaz o charakterze reklamowym za informację handlową.

Zgodnie z prawem zakazane jest przesyłanie niezamówionej informacji handlowej skierowanej do oznaczonego odbiorcy będącego osobą fizyczną za pomocą środków komunikacji elektronicznej w szczególności poczty elektronicznej.

Informacja handlowa, której dotyczy zakaz przewidziany w art. 10 ust. 1 u.ś.u.d.e., ma być skierowana do oznaczonego odbiorcy będącego osoba fizyczną. Przesłanka oznaczonego odbiorcy zostaje spełniona poprzez indywidualne adresowanie niezamówionej informacji handlowej

Zakazane jest wysyłanie niezamówionych informacji handlowych za pomocą wszystkich środków komunikacji elektronicznej w szczególności poczty elektronicznej. Choć więc najczęściej spam wysyłany jest w formie wiadomości e-mail, zakazane jest również wysyłanie niezamówionych informacji handlowych np. w SMS-ach czy MMS-ach. Niezamówioną informacją handlową będą również wiadomości przesyłane na konta użytkowników w portalach społecznościowych przy zastrzeżeniu, że dany portal służy komunikowaniu się za pomocą środków elektronicznych.

Natomiast dozwolone jest wysyłanie niezamówionych informacji handlowych na publiczne miejsca Internetu, jak np. grupy i fora dyskusyjne oraz za pomocą np. faksu czy tradycyjnej poczty.

Sprawa, która była przedmiotem badania sądu administracyjnego dotyczyła klienta banku, który zawarł z bankiem umowę karty kredytowej jak również korzystał z bankowości elektronicznej. Przy okazji zawierania tejże umowy wyraził zgodę na przetwarzanie jego danych osobowych w celach marketingowych. Następnie jednak wniósł sprzeciw wobec przetwarzania jego danych w tych celach. Po zgłoszeniu sprzeciwu klient po wejściu na stronę banku i zalogowaniu się na swoje konto w dalszym ciągu widział reklamy, które były wyświetlane na stronie głównej banku. Zgodnie z prawem po zgłoszeniu przez klienta sprzeciwu Bank nie posiadał podstawy do przetwarzania jego danych w celach marketingowych. Powinien był zaprzestać wysyłania reklam do tego klienta bez względu na formę i środki technicznej użyte do tej reklamy. Bank podnosił, iż wyświetlany komunikat nie może stanowić niezamówionej informacji w rozumieniu prawa, gdyż był skierowany do anonimowego internauty a ponadto nie jest informacją handlową, gdyż nie spełnia wszystkich wymaganych prawem dla informacji handlowych przesłanek.

Sąd uznał jednak, iż fakt umieszczenia tego komunikatu na stronie internetowej skarżącego Banku nie zmienia w niczym oceny, iż komunikat ten jest reklamą, jednakże skierowaną do anonimowych odbiorców. Dlatego na tym etapie wyświetlania się reklamy nie można domagać się od Banku respektowania sprzeciwu kleinta wobec przetwarzania jego danych w celach marketingowych, choćby z tej prostej przyczyny, iż na tym etapie internauta nie jest dla Banku znany, ale anonimowy. Dopiero gdy następuje spersonalizowanie internauty, co miało niewątpliwie miejsce przy okazji korzystania przez klienta z internetowej usługi tego Banku – wykonania przelewu, Bank powinien wiedzieć, że emituje swoją reklamę wprost do osoby, która wniosła sprzeciw na przetwarzanie jej danych osobowych w celach marketingowych, a zatem nadal mimo wyraźnego sprzeciwu takiej osoby łączy ją ze swoją reklamą, ze swoim materiałem marketingowym, czym narusza ustawę o ochronie danych osobowych.

Z uwagi na powyższe przedsiębiorcy wysyłający lub emitujący informacje handlowe wobec oznaczonych odbiorców środkami komunikacji elektronicznej powinni zachować ostrożność i zadbać o zgody odbiorców na takie działania, aby nie zarzucono im działań niezgodnych z prawem. W przypadku działań marketingowych zawsze należy zachować czujność i przeanalizować czy mamy podstawy do prowadzenia tych działań wobec określonych osób oraz w określony sposób. Jak widać z powyższego nawet wyświetlanie reklam na własnej stronie nie zawsze jest bezpieczne, jeśli nie dysponujemy odpowiednimi zgodami.