Proszę poprosić panią Malicką czyli rzecz o prywatności pacjenta

Pogoda jest podła nie ma co do tego wątpliwości. Przychodnie pełne pacjentów, przeziębienia górą. Parę dni temu na tej właśnie fali z chorobą udałam się do lekarza. Siedzę i grzecznie czekam.

Drzwi się otwierają i lewym uchem dobiega mnie coś, w co w pierwszej chwili nie mogłam uwierzyć. “Proszę poprosić panią Malicką”. W ułamkach  sekund doszło do mnie, że oto lekarz pacjentce wychodzącej z jego gabinetu polecił poprosić kolejnego pacjenta  po nazwisku i że chodzi o mnie.

Niestety słuch mnie nie mylił. Pacjentka, która wychodziła z gabinetu zapytała czy nazywam się tak jak się nazywam i przekazała, że jestem proszona do gabinetu.

Włos się na głowie jeży, bo to naprawdę jest elementarz. Nie każdy a raczej mało kto będąc u lekarza a bywamy u lekarzy różnych specjalności chce, aby na cały korytarz wzywano go po nazwisko. GIODO wielokrotnie się na ten temat wypowiadał, iż przychodnie i lekarze powinni czuwać, aby dane osobowe pacjentów nie były udostępniane osobom postronnym, zwłaszcza podczas rejestracji czy wywoływania do gabinetu. Stąd praktykowane wzywanie po numerkach na przykład.

Jednak sytuacja, w której lekarz prosi pacjenta wychodzącego z gabinetu o zawołanie siedzącego przed gabinetem pana Nowaka, Kowalskiego czy Iksińskiego jest naprawde niedopuszczalna.

Sytuacja ta obrazuje tylko na jakim poziomie świadomości jesteśmy z ochroną danych osobowych, na jakim poziomie wiedzy w tym zakresie są lekarze, którzy przetwarzają dane wrażliwe, te szczególnie chronione.

Sytuacja z pewnością ulegnie zmianie w momencie wejścia w życie procedowanego w organach UE rozporządzenia w sprawie ochrony danych osobowych. Edukacja w tej materii pewnie dopiero wówczas nabierze piorunującego tempa i sytuacji takich, jak opisana w niniejszym wpisie  nie będzie. Przyczynią się do tego kary pieniężne, które za naruszenia przepisów ochrony danych osobowych rozporządzenie przewiduje.

“Wielki brat” pracodawca…

Aktualnie praktyką coraz bardzie powszechną staje się wszelkiego rodzaju śledzenie. Śledzą nas w internecie, na ulicach miast, śledzą w pracy.

Wchodzisz do biura kamera rejestruje. Idziesz korytarzem podąża za Tobą. Siadasz przy biurku odpalasz komputer wielki brat pracodawca razem z Tobą ogląda internet. Niestety nie jest to przesadzone. Tak wygląda bowiem nasza codzienna rzeczywistość. Czasami pracownicy wiedzą jakie czynności monitorujące ich czas pracy są podejmowane przez pracodawcę a często niestety nie są im ujawniane jakiekolwiek zasady takiego monitorowania.

Co na to prawo. W wyroku Trybunału Praw Człowieka w sprawie Copland przeciwko Zjednoczonemu Królestwu Trybunał stwierdził, iż rozmowy telefoniczne z pracy, e-maile i użtkowanie Internetu są objete terminami “życie prywatne” i tajemnica korespondencji”.

Oznacza to, że monitoring pracowników w miejscu pracy musi spełniać wymogi zgodności z prawem także prawem ochrony danych osobowych.

Najważniejsza konkluzja jest taka, że pracownicy powinni mieć świadomość, że są poddani monitoringowi a pracodawca powinien szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników a pracownicy powinni potwierdzić fakt zapozonania się z nimi podpisaniem stosownego oświadczenia.

Powyższe zasady monitorowania pracowników zostały potwierdzone przez polskie orzecznictwo sądowe w tym Naczelny Sąd Administracyjny w wydanym w roku ubiegłym orzeczeniu dotyczącym omawianej kwestii.

Reasumując pracodawca nie powinien i nie może śledzić nas bez uprzedzenia.

Niby można żyć bez ABI ale co to za życie…

Wielokrotnie na łamach tego bloga podkreślałam, iż w świetle ostatniej nowelizacji OchrDanOsobU powołanie ABI stało się uprawnieniem a nie jak dotychczas obowiązkiem administratora danych.

W związku z powyższym to podmiot odpowiedzialny za przetwarzanie danych osobowych w świetle prawa czyli admisnitrator danych, którym jest spółka, urząd, spółdzielna, fundacja czy inne, podejmują decyzję o powołaniu lub nie ABI.

Czy administrator danych jest w stanie przeżyć bez ABI. Powiem żartobliwie, że w sumie jest to możliwe tylko co to za życie. W mojej ocenie bowiem zdecydowana większość firm nie będzie w stanie podołać obowiązkom zwłaszcza w ich nowej postaci.

W przypadku, gdy ABI formalnie nie zostanie powołany to wyznaczenie osoby lub osób, które będą temat danych osobowych w organizacji koordynować jest niezbędne. Osoby takie również nie powinny być przypadkowe i pozyskane z tzw. “łapanki”. Jeśli miałaby to być takie osoby to w sumie można sobie temat ochrony danych osobowych odpuścić w ogóle wpisąc go w ryzyko ewentualnych konsekwencji w przypadku kontroli GIODO.

Nie można się bowiem łudzić, że osoby w firmie, które nigdy wcześniej nie zajmowały się tematyką ochrony danych osobowych lub mają o niej bardzo powierzchowną wiedzę podołają obowiązkom wynikającym z przepisów prawnych w szczególności w świetle ostatniej nowelizacji. Kierownictwo organizacji powinno mieć tego swiadomość i zapewnić takim osobom odpowiednią pomoc czy w postaci dodatkowych szkoleń, czy konsultacji.

Z moich obserwacji wynika, iż w dalszym ciągu temat ochrony danych osobowych jest traktowany bardzo po macoszemu przez odpowiedzialne podmioty. Zasadą jest, aby się tematem nie zajmować rzynajmniej do czasu, gdy nie będzie zagrożenia karami finansowymi.

Skutek jest taki, że spotykam w firmach uchwały powołujące pracownika działu informatyki na administratora danych osobowych. Włos się jeży to mało powiedziane.

Na koniec trzeba powiedzieć, że tematyka związana z przepisami o ochronie danych osobowych nie jest łatwa. Wymaga sporej wiedzy teoretycznej ale jeszcze większej praktycznej. Nieprawdą jest, że można ten temat opanować łatwo, bez wysiłku i kosztów.

W przypadku, gdy administrator danych nie powoła ABI, wówczas on sam wykonuje obowiązki, które ustawa przyisuje kompetencjom ABI. Obowiązków w związku z nowelizacją przybyło a nie ubyło. Podołanie tym obowiązkom wymaga wiedzy profesjonalnej.

Do kierownictwa firmy oczywiście należy decyzja jak te obowiązki będą wykonywane. Jednak nie należy zapominać, iz mimo braku (jeszcze) dotkliwych kar finansowych obowiązują przepisy karne w przypadku łamania przepisów ochrony danych osobowych.

W mojej ocenie jeszcze bardziej dotkliwe są inne konsekwencje. Trudno wyobrazić sobie firmę, która nie buduje bazy danych osobowych. Wartościowa baza danych osobowych klientów jest dla każdego przedsiębiorcy nieocenioną wartością a czasami w ogóle podstawą biznesu.

W przypadku, gdy na poziomie np. zbierania danych osobowych popełniane są podstawowe błędy może się okazać, że baza nie jest legalna. Na skutek kontroli GIDO (jeden niezadowolony klient) może dojść do decyzji nakazującej przywrócenie stanu zgodnego z prawem.

I jesli na przykład dla pozyskanych danych osobowych nie mamy odpowiednich zgód na przetwarzanie danych osobowych to tak naprawdę mamy bazę, która nie jest legalna. Wsteczne zebranie po latach takich zgód to zadanie prawie nie do wykonania.

Możemy latami nie zajmować się danymi osobowymi, lecz na wskutek takiej opieszałości pewne uchybienia mogą pociągnąć zmiany nieodwracalne w skutkach i bolesne również finansowo, które dopadną nas po latach.

W szczególności Ci wszyscy przedsiębiorcy, którzy budują bazy klientów w celach marketinowych lub tacy, którzy w celach zawodowych przetwarzają duże ilości danych osobowych w systemach informatycznych powinni mieć to na uwadze.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

 

“Znany lekarz” na wokandzie sądowej…

Sprawa dotyczy znango portalu znanylekarz.pl, na którym wystawiane są opinie o pracy lekarzy. Portal zapewnia równiez możiwość umawiania wizyt za jego pośrednictwem.  Lekarz, o którym na portalu zostały zamieszczone opinie bez jego zgody złożył wniosek do GIODO o nakazanie właścicielowi portalu zaprzestania przetwarzania jego danych osobowych.

GIODO odmówił uwzględnienia wniosku. Uznał, iż podstawą przetwarzania danych osobowych będzie usprawiedliwiony interes administratora danych a prawa i wolności lekarza nie zostały naruszone. GIODO uznał też, iż Spółka działa w interesie publicznym umożliwiając zapoznanie się z opiniami na temat lekarzy.

Sprawa znalazła finał przed wojewódzkim sądem administracyjnym a następnie z inicjatywy GIODO przez NSA. Wyrok NSA jest świeży i został wydany w kwietniu tego roku.  Na jego podstawie GIODO będzie zmuszony raz jeszcze zbadać sprawę oraz ustalić stan faktyczny a następnie dokonać odpowiedniej kwalifikacji prawnej.

Czy przetwarzanie danych osobowych lekarzy bez ich wiedzy i zgody na portalu o charakterze komercyjnym jest dopuszczalne w świetle przepisów ochrony danych osobowych. Czy przesłanka usprawiedliwionego interesu administratora uzasadniona wykonywaniem zawodu zaufania publicznego może być podstawą tego przetwarzania. Na to i inne pytania GIODO jeszcze raz będzie musiał odpowiedzieć pochylając się tym razem chyba bardziej wnikliwie nad sporną kwestią.

Osobiście jestem zdziwiona oceną prawną GIODO w tej sprawie zwłaszcza, że w innych sprawach, w których dane osobowe są pozyskiwane z publicznie dostępnych rejestrów a następnie wykorzystywane do celów komercyjnych GIODO z całą konsekwencją wymagał spełnienia wszystkich wymogów przepisów ochrony danych osobowych.

Nie umniejszam idei funckjonowania takiego portalu jak znanylekarz.pl czy innych mu podobnych, jednakże uważam, iż argumentacja GIODO jest w tym przypadku zupełnie nieprzekonywująca. Fakt, że lekarz wykonuje zawód zaufania publicznego nie oznacza, że dane osobowe dotyczące jego osoby mogą być przetwarzane w komercyjnych portalach internetowych mimo jego wyraźnego sprzeciwu. Jest to w mojej ocenie niedopuszczalne i nie znajduje podstaw prawnych a argumentacja GIODO w tej sprawie nie przekonuje.

Na szczęście sądy tak WSA jak i NSA były zgodne, że GIODO nie ustalił czy właściciel portalu zapewnia należytą ochronę danych osobowych jako administrator, już choćby w zakresie obowiązków informacyjnych wymienionych w przepisach ustawy o chronie danych osobowych.

Rzeczą organu będzie zatem ponowne rozpatrzenie sprawy w jej całokształcie z uwzględnieniem powyższych wskazań i procedury administracyjnej.

Nowe obowiązki w celu zapewnienia zgodności przetwarzania danych osobowych

Z początkiem nowego roku IV pakiet deregulacyjny znowelizował przepisy ustawy o ochronie danych osobowych. Z założenia nowelizacja miała dotyczyć statusu administratora bezpieczenstwa informacji. Bonusem dla administratorów danych osobowych, którzy zdecydowaliby się na powołanie ABI jest zwolnienie z obowiązku rejestracji i aktualizacji zbiorów danych osobowych w GIODO. Obwiązek ten miałby spocząć na powołanym ABI.

W ustawie został szczegółowo wymieniony katalog zadań ABI.

W świetle nowych przepisów przedsiębiorca ma wybór co do powołania ABI w swoje firmie. W przypadku niepowołania administratora bezpieczeństwa informacji zadania określone w ustawie dla ABI z wyłączeniem sporządzania sprawozdania wykonuje sam przedsiębiorca.

Jakie wiec zadania w świetle noweli należy przypisać przedsiębiorcy w przypadku, gdy nie powoła on do ich wykonywania ABI. Do tych zadań należy:

1) zapewnianie  przestrzegania przepisów o ochronie danych osobowych w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami,
  • nadzorowanie opracowania i aktualizowania dokumentacji wymaganej przepisami,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami.

W zasadzie wydaje się, że nie jest to dla administratorów nowość. Z mocy samej ustawy o ochronie danych osobowych odpowiedzialność za zgodność przetwarzania danych osobowych z ustawą i odpowiednimi przepisami spoczywa na administratorze danych. Ustawa określa szczegółowe zasady przetwarzania danych osobowych. Odnoszą sie one do wszystkich administratorów danych osbowych.

Aby przetwarzać dane zgodnie z zasadami określonymi w przepisach o ochronie danych osobowych każdy administrator powinien dokonywać sprawdzenia zgodności tego przetwarzania z przepisami o ochronie danych osobowych.

Jednakże ani samo pojęcie sprawdzenia zgodności przetwarzania danych osobowych, jak również sposób realizacji tego zadania nie były określone w przepisach prawnych.

Ostatnia nowelizacja to jednak zmieniła. Sprawdzenie zgodności przetwarzania stało się literą prawa. Zmiana w tym zakresie dotyczy wszystkich administratorów danych osobowych nawet tych, którzy nie powołają ABI. W związku z tym wszystkie podmioty  tak publiczne jak i prywatne przetwarzające dane osobowe powinny zapoznać się z nowymi regulacjami. Jest to jednak  utrudnione, bowiem najważniejsze rozporządzenie wykonawcze precyzujące tryb i sposób wykonywania nowych obowiązków w dalszym ciągu nie zostało uchwalone.

O trybie i sposobie realizacji nowych zadań z pewnością będziemy jeszcze wielokrotnie pisać. Tak z punktu widzenia wypełniania tych zadań przez administratorów bezpieczeństwa informacji (ABI) jak i samych administratorów danych osobowych.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

Szkolenie ABI 3-4 sierpnia Warszawa

Życie bez ABI

Czy  w nowej rzeczywistości prawnej tj. w świetle znowelizowanej ustawy o ochronie danych osobowych, da się żyć bez ABI. Mam wrażenie, że ta deregulacyjna nowelizacja, której pierwotnie przyświecał cel ułatwienia przedsiębiorcom prowadzenia działalności, poruszyła przedsiębiorców do działania.

Od początku roku obserwuję wzmożone zainteresowanie nie tylko prawników, profesjonalnych ABI ale też samych przedsiębiorców nową regulacją. Nie da się ukryć, że zainteresowanie to spowite jest strachem przed nowym obliczem ABI. Obowiązków miało być mniej a będzie więcej. ABI musi być ekspertem w dziedzinie ochrony danych osobowych. Za brak odpowiedniej wiedzy GIODO może z urzędu wykreślić go z rejestru. Dla reputacji ABI może to być cios przesądzający losy jego kariery w tym zawodzie. Nowe obowiązki nie ominą nawet administratorów, którzy w ogóle  zrezygnują z powołania ABI. Dylematów jest wiele i okazuje się, że mają je wszyscy począwszy od przedsiębiorcy poprzez ABI a na prawnikach i GIODO kończąc.

Czy wobec tego życie bez ABI nie jest jakąś alternatywą zapytam przewrotnie.

Niektórzy jednak się budzą lub też są budzeni przez spaming firm oferujących usługi w zakresie danych osobowych. Budzą się i jak nie mieli nic tak nagle chcą mieć wszystko łącznie z ABI na etacie. Zalecam jednak zachować spokój, nie ulegać presjom a juz na pewno zachować dystans do  ofert przesyłanych w związku z ostatnią nowelizacją.

Nie oznacza to, że należy się nie przejmować i spać dalej. Jeśli w tym momencie chcesz zrobić porządek w obszarze ochrony danych osobowych w swojej firmie to nie musisz działać w amoku. Najważniejsze to podjąć odpowiednią dla swojej firmy decyzję. Powołanie ABI nie w każdym przypadku jest rozwiązaniem optymalnym. Są sytuacje, gdy bardziej korzystne będzie zapewnienie stanu zgodności bez powołania ABI.

Na koniec muszę jednak też powiedzieć, że rzeczywiście są firmy, dla których profesjonalny ABI to najlepsze z możliwych rozwiązań. Jednak co najlepsze jest dla twojej firmy musi być wyważone a decyzja podjęta w oparciu o anlizę jej działalności, rozmiaru działania, zakresu przetwarzania danych osobowych i ryzk prawnych z tym związanych.