Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

Reforma prawa ochrony danych osobowych i świadomość przedsiębiorców a ryzyka

Jedną z głównych przyczyn reformowania prawa ochrony danych osobowych była wola stworzenia bezpiecznego i jednolitego rynku cyfrowego. Wymiana dóbr i usług przez internet lub za jego pośrednictwem jest nieodzownym elementem naszych czasów, ale pomimo zalet niesie też istotne zagrożenia.

W chwili obecnej prowadzenie biznesu bez internetu i możliwości, które on daje  jest prawie niemożliwe.  Z drugiej strony sami konsumenci są istotnym uczestnikiem internetowej wymiany dóbr i usług coraz więcej kupując przez internet, korzystając z różnego rodzaju portali społecznościowych, grup dyskusyjnych czy aplikacji mobilnych.

Wymiana pomiędzy usługodawcami a usługobiorcami wymaga wchodzenia w relacje biznesowe i prawne, z którymi związana jest często konieczność przetwarzania danych osobowych. Nowe technologie w swojej dynamice nieustannie dostarczają nowych sposobów przetwarzania danych.

Technologie nie są już jedynie wykorzystywane do obsługi prostej transakcji sprzedaży, ale też do innych celów takich jak na przykład monitorowanie czy profilowanie usługobiorców na podstawie dostępnych danych. Najogólniej profilowanie polega na obserwacji zachowań użytkownika w internecie i na tej podstawie przewidywaniu jego zachowań, preferencji czy decyzji.

Wielość operacji na danych osobowych związana z rozwojem nowych technologii jest nieograniczona i trudna do przewidzenia. Z tym rozwojem nieodłącznie związana jest ingerencja w prywatność osób fizycznych. Dla zapewnienia bezpieczeństwa tym osobom, ktore uczestniczą w cyfrowej wymianie dóbr i usług zostało powołane rozporządzenie o ochronie danych osobowych osób fizycznych.

Z moich obserwacji wynika, iż świadomość reformy prawa ochrony danych osobowych stale się zwiększa, ale jest wciąż bardzo mała.  W dalszym ciągu obserwowuję podjeście do ochrony danych osobowych jako kwestii mniejszej wagi, często niezrozumiałej i abstrakcyjnej.

Nowe rozporządzenie wprowadza jako istotnę novum podejście oparte na ryzyku, co oznacza, że to administrator danych po ocenie ryzyka dla przetwarzania danych będzie odpowiedzialny za dobór odpowiednich środków zapewniających bezpieczeństwo danych w jego organizacji. Skalowanie ryzyka dla przetwarzania danych nie oznacza jednak skalowania odpowiedzialności, gdyż odpowiedzialność dla wszystkich podmiotów jest taka sama.

Zgodnie z rozporządzeniem operacje na danych z użyciem nowych technologii czy polegające na monitorowaniu czy tworzeniu profili z reguły stwarzają ryzyko dla przetwarzania danych. Z tego powodu dla tych operacji rozporządzenie przewiduje szereg mechanizmów prawnych, których celem jest zapewnienie bezpieczeństwa dla przetwarzania danych.

Rok 2017 jest rokiem, w którym wymagania nowego prawa ochrony danych osobowych powinny być wdrażane przez organy tak prywatne jak i publiczne. W szczególności dotyczy to nowych projektów, wdrażania nowych systemów informatycznych czy aplikacji, gdyż już na etapie projektowania powinny być wdrażane środki służące ochronie danych osobowych osób fizycznych. Umożliwiłoby to w przyszłości administratorom danych korzystającym z takich narzędzi wywiązywanie się z obowiązków rozporządzenia.

System Informacji Medycznej nadciąga

System informacji medycznej (SIM) to ogromne przedsięwzięcie finansowe, organizacyjne, informatyczne, ale też i mentalne. Założę się, że przeciętny obywatel nie ma o nim pojęcia. I upłynie pewnie wiele czasu, gdy obywatele zrozumieją, że cyfryzacja w ochronie zdrowia to fakt i to fakt, który dotyczy ich bezpośrednio. Kampanię informacyjne, komunikaty przekazywane w przystępnej formie to jedna strona medalu. Druga to taka mniej wygodna dotycząca bezpieczeństwa danych medycznych przetwarzanych przez SIM.

Aktualnie trwa budowa systemu P1 („Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych”). Platforma będzie sercem SIM, docelowo zintegrowana z systemami informatycznymi usługodawców, umożliwiająca organom administracji publicznej i obywatelom gromadzenie, analizę i udostępnianie zasobów cyfrowych o zdarzeniach medycznych, zgodnie z ustawą o systemie informacji w ochronie zdrowia.

W Systemie P1 będzie znajdowała się informacja o zdarzeniach medycznych wszystkich obywateli Polski niezależnie od płatnika, a także obywateli Unii Europejskiej i innych krajów, którzy skorzystają ze świadczeń zdrowotnych na terenie Polski.

Zaplanowane do wdrożenia w ramach Projektu P1 rozwiązania zakładają:

  • Tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów.
  • Elektroniczną obsługę recept, skierowań oraz wsparcia rezerwacji na porady lekarskie.
  • Udostępnienie podmiotom nadzorującym i kontrolującym sektor ochrony zdrowia w Polsce wiarygodnych i aktualnych informacji statystycznych pozwalających monitorować i planować działania w tej dziedzinie.
  • Wymianę niezbędnych danych medycznych pomiędzy różnymi systemami poszczególnych krajów Unii Europejskiej.

Realizacja Projektu ma na celu utworzenie rozwiązań informatycznych, które umożliwią gromadzenie i przetwarzane wiarygodnych danych o zdarzeniach medycznych. Dane te będą mogły być dalej wykorzystywane do celów profilaktyki i leczenia pacjenta, jak również do celów planowania opieki zdrowotnej i zarządzania kryzysowego.

System ma przyczynić się do poprawy jakości obsługi pacjentów przez wzmocnienie jakości świadczeń zdrowotnych poprzez podniesienie jakości i dostępności informacji o stanie zdrowia pacjenta i jego danych medycznych.

Dodatkowo ma nastąpić usprawnienie obsługi pacjenta poprzez umożliwienie realizacji elektronicznych usług związanych ze świadczeniem usług medycznych i ich rozliczaniem (np. elektroniczna recepta, elektroniczne skierowanie czy elektroniczne zwolnienie lekarskie) oraz telemedycyną.

Z punktu widzenia, który mnie interesuje System Informacji Medycznej będzie przetwarzał dane i to dane te najbardziej wrażliwe, bo dotyczące zdrowia i udzielanych w związku z jego ochroną świadczeń. Informatyzacja w ochronie zdrowia oczywiście jest zgodna z duchem czasu i co do zasady dobra. Dla pacjentów może to oznaczać oszczędność czasu, szybki i zdalny dostęp do danych przetwarzanych w dokumentacji medycznej. Nie zapominajmy jednak, że przy tego rodzaju danych wrażliwych kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa, zapewnienia środków technicznych i organizacyjnych do zapewnienia tego poziomu, ale także podniesienia świadomości w tym zakresie u wszystkich podmiotów, osób, które w procesie przetwarzania danych będą uczestniczyć.

Świadomość wagi przetwarzanych danych medycznych ważna jest u samych pacjentów, którzy powinni być bezpośrednio zainteresowani zapewnieniem odpowiedniego bezpieczeństwa dla ich wrażliwych danych medycznych. Tymczasem według danych przedstawionych przez GIODO polscy obywatele wyżej cenią sobie informacje na temat danych ich identyfikujących jak imię i nazwisko niż dotyczące ich stanu zdrowia. Wydaje się to nieprawdopodbne a jednak.

Usługodawcy usług medycznych, pracownicy medyczni przetwarzający dane medyczne w związku z udzielaniem pacjentom świadczeń również muszą znać zasady zgodnego z prawem przetwarzania danych medycznych w systemach informatycznych. Jest to o tyle istotne, że spoczywa na nich szeroko pojęta odpowiedzialność prawna za zgodne z prawem przetwarzanie.

Niniejszy artykuł ma na celu wprowadzenie w bardzo szeroki temat informatyzacji w ochronie zdrowia i związane z tym przetwarzanie wrażliwych danych medycznych wszystkich obywateli. Temat ten postaram się na łamach mojego bloga stopniowo zgłębiać.

Kradzież danych osobowych tysięcy klientów Orange

Gigant telefonii komórkowej sieć Orange w tarapatach…

Dane osobowe tysięcy klientów tego operatora oferowano do sprzedaży przez internet…  

Uzyskane dotychczas przez funkcjonariuszy policji informacje mogą być jedynie wierzchołkiem góry lodowej. Z informacji uzyskanych przez Puls Biznesu wynika, że dane osobowe abonentów Orange były oferowane przez zatrzymanych od kilku miesięcy.

Co na to wszystko przedstawiciele operatora?  Orange nie komentuje tłumacząc to dobrem śledztwa. Rzecznik prasowy informuje, że nie można mówić o wycieku danych, ale o ich kradzieży.

Policja zatrzymała trzy osoby szukające w sieci kupców na dane osobowe abonentów telekomunikacyjnego giganta – czytamy w Pulsie Biznesu.

  Imiona i nazwiska, numery telefonów, PESEL, NIP i dokumentów tożsamości oraz adresy tradycyjne i e-mail. Z ustaleń Pulsu Biznesu wynika, że wszystkie te dane osobowe setek tysięcy abonentów Orange od kilku miesięcy można było kupić w internecie. Już nie można. Jeden z potencjalnych nabywców bazy danych zawiadomił łódzką policję, a ta zatrzymała trzech mężczyzn zamieszanych w proceder.

Zatrzymani usłyszeli zarzut z artykułu 267 kodeksu karnego,dotyczący kradzieży danych.

Grozi im do dwóch lat więzienia — potwierdza Joanna Kącka, rzecznik komendanta wojewódzkiego policji w Łodzi.

Czego boimy się w sieci…

 Tym razem trochę statystyki. Wyniki ankiety Eurobarometru o wpływie cyberprzestępczości, w której uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich.

Użytkownicy internetu w UE bardzo zaniepokojeni zagrożeniami dla bezpieczeństwa w internecie – jak ujawniono w opublikowanym badaniu Eurobarometru. 76% badanych – więcej niż w podobnym badaniu z 2012 r. – uznaje, że ryzyko stania się ofiarą cyberprzestępczości wzrosło w ostatnim roku.  Już 12% internautów doświadczyło włamania na swoje konto poczty elektronicznej lub profil w portalu społecznościowym.   W badaniu, w którym uczestniczyło ponad 27 tys. osób ze wszystkich państw członkowskich, wykazano ponadto, że:

 87% respondentów unika ujawniania w internecie informacji osobistych (nieco mniej niż 89% w 2012 r.);

 większość badanych nadal nie czuje się dobrze poinformowanymi o zagrożeniach cyberprzestępczości (52% w tym roku w porównaniu z 59% w 2012 r.);

 7% padło ofiarą internetowego oszustwa bankowego lub dotyczącego karty kredytowej;

 znacznie wzrosła liczba osób korzystających z internetu za pomocą smartfona (35%, rok temu 24%) bądź tabletu (14%, w zeszłym roku 6%).

Badanie przeprowadzono w maju i czerwcu bieżącego roku

O ochronie danych osobowych słów kilka

dane

W każdym biznesie podstawą jest klient. Wie to każdy przedsiębiorca. Najlepszy produkt czy najlepszy pomysł potrzebuje klienta. Przedsiębiorcy przeznaczają część budżetów swoich firm na reklamę i marketing a wszystko w celu pozyskania klienta.

Bardzo szybko tworzy się całe bazy klientów. Właściwie każdy z nas jako konsument w sieci czy w realu nieustannie jest zachęcany do jakiejś lojalności. Aktualnie już chyba większość sklepów proponuje karty klienta, dzięki którym mamy prawo do rabatów czy innych gratyfikacji. Jedynym warunkiem jest udostępnienie swoich danych osobowych. Prawda? Dostajemy do wypełnienia formularz, którego większość z nas z reguły nie czyta. Chcemy jednak mieć kartę rabatową i płynące z tego korzyści i wypełniamy tu nazwisko, tam imię, jeszcze adres, numer telefonu, adres e-mail, czasami wykształcenie, ilość dzieci itd. Ilość danych  zbierana o nas i krążąca w realu i w sieci jest niewyobrażalna.

Ostatnio na swoją skrzynkę pocztową otrzymałam informację od firmy, która profesjonalnie trudni się szukaniem danych osobowych porozrzucanych w sieci, ale z miejsc powszechnie dostępnych. Wbrew pozorom całkiem sporo pewnie takich informacji o nas można znaleźć. Firma informuje, iż posiada sprytne roboty wcale nie gorsze niż roboty firmy Google, które wyszukują w sieci dane powszechnie dostępne oraz, że dane te będą wykorzystywane w celach marketingowych tej firmy jak również, że mamy prawo złożenia sprzeciwu.

Biorąc pod uwagę skalę pozyskiwania przez firmy danych osobowych oraz ich przetwarzania na niebywałą dotąd skalę potrzeba ochrony tych danych jest potrzebą bardzo realną.

W aktualnym stanie prawnym obowiązek ochrony danych osobowych dotyczy wszystkich zarówno organów państwowych jak i osób prywatnych, tak fizycznych jak i prawnych. Warunek wszakże jest jeden, jeśli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Ustawa o ochronie danych osobowych nie dotyczy danych osobowych osób zmarłych. Nie oznacza to oczywiście, że przedsiębiorstwa pogrzebowe zwolnione są z ochrony danych osobowych swoich klientów tj. najczęściej członków rodzin tychże zmarłych osób.

Finalnie każdy przedsiębiorca czy osoba wykonująca zawód czy inna osoba zbierająca i przetwarzająca dane osobowe, tworząca bazy danych w specjalnych aplikacjach informatycznych czy tylko w tradycyjnych zeszytach, księgach, skorowidzach obowiązana jest do ochrony danych osobowych. Więcej również firmy, które na zlecenie innych firm wykonują jakiekolwiek usługi, z którymi związany jest dostęp do danych osobowych tych firm również obowiązane są do szczególnej ochrony tychże danych oraz do wypełnienia szeregu obowiązków prawnych.

Firmy zbierające i przetwarzające tysiące danych, tworzące ogromne bazy klientów są z racji tej ilości obciążone są dużym ryzykiem naruszeń w zakresie ochrony danych osobowych. Nie oznacza to jednak, że mały podmiot jest zwolniony z obowiązków w tym zakresie a wręcz przeciwnie w świetle obowiązujących przepisów ma on te same obowiązki co i duży chociaż powszechnie panuje przekonanie, że małego ustawa o ochronie danych osobowych nie dotyczy. W związku z powyższym w sieci działa mnóstwo mniejszych i większych przedsiębiorców specjalnie na kwestię ochrony danych osobowych nie zwracających czasami żadnej uwagi. Niestety konsekwencje takiej nieświadomości mogą być odczuwalne, gdy do drzwi ich internetowej firmy zapukać może nasz krajowy organ ochrony danych osobowych tj. GIODO. Bardzo często taka kontrola może nastąpić na skutek skargi nawet pojedynczego „małego” klienta.

Wiele ostatnio mówi się o kwestii ochrony danych osobowych przy okazji różnych afer, podsłuchiwania i inwigilacji nawet szefów państw, co dowodzi, że wiele w tej kwestii jest jeszcze do zrobienia. Rozporządzenie procedowane aktualnie w parlamencie europejskim ma być swoistym antidotum na „wszelkie zło” w zakresie ochrony danych osobowych. Odpowiada ono potrzebom aktualnych czasów, zwłaszcza w sferze dynamicznego rozwoju nowych technologii w przestrzeni cyfrowej i związanym z tym często problemów z przetwarzaniem danych osobowych.