Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego “Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Poradnik ABI – trzy numery wartościowej informacji

Do nabycia są już dostępne trzy numery Poradnika ABI. Do pierwszego najobszerniejszego numeru Poradnika ABI załączone są wzory najważniejszych dokumentów wymaganych od ABI takie jak plan sprawdzeń, sprawozdanie ze sprawdzenia czy rejestr zbiorów danych osobowych.

Poradniki ABI omawiają też ważne lub kontrowersyjne zagadnienia prawne z zakresu ochrony danych osobowych takie jak na przykład udostępnianie danych osobowych Policji, przetwarzanie danych pracowniczych, dozwolony monitoring pracowników i inne.

Ważną częścią Poradników ABI są też zagadnienia dotyczące reformy ochrony danych osobowych, która została zakończona  w organach UE a która wprowadzi rewolucyjne zmiany w ochronie danych osobowych we wszystkich państwach członkowskich UE. W szczególności warto śledzić te zagadnienia, które niebawem będą stanowiły punkt odniesienia dla oceny zgodności przetwarzania danych osobowych.

Kolejny numer 4 Poradnika ABI poświęcony będzie przetwarzaniu danych osobowych w internecie w szczególności zagadnieniom związanym ze świadczeniem usług drogą elektroniczną ale także dotyczących przetwarzania danych w portalach społecznościowych jak również zasady prowadzenia marketingu internetowego.

Wszystkich zainteresowanych serdecznie zapraszam do prenumeraty.

Dane wrażliwe w salonie urody

IMG_6855

Branża urody przetwarza dane osobowe coraz częściej też dane wrażliwe. Związane jest to z szerokim wachlarzem świadczonych usług w szczególności zabiegów kosmetycznych. Prawidłowe wykonanie zabiegu wymaga pozyskiwania wielu informacji dotyczących stanu zdrowia, przebytych chorób, przyjmowanych leków, stwierdzonych alergii i innych.

Informacje te są to dane osobowe uznane przez ustawę o ochronie danych osobowych za wrażliwe. Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie, gdy istnieje odpowiednie do tego podstawa prawna. W działalności salonów urody tą podstawą może być wyłącznie pisemna zgoda klienta. W każdym innym przypadku dane przetwarzane są nielegalnie i w każdej chwili GIODO może nakazać zaprzestanie przetwarzania przez salon takich danych.

Dla salonów jest to o tyle ważne, że nakaz zaprzestania przetwarzania danych wrażliwych pozbawiłby je dokumentacji związanej z prawidłowością przeprowadzanych czynności, wykonywanych zabiegów. A w przypadku sprawy sądowej salon traci dowody w sprawie najczęściej na swoją obronę.

O tych i innych ważnych kwestiach mówiliśmy podczas ostatniego szkolenia, które dla branży Beauty, które miałam przyjemność prowadzić.

Nowy numer Poradnika ABI już dostępny

Kolejny numer Poradnika ABI już jest dostępny. Tym razem poradnik został poświęcony kompleksowemu omówieniu przetwarzania danych osobowych pracowników.

Zdarza się niestety, iż administratorzy danych sądzą, że jeśli zbiór danych osobowych pracowników nie podlega zgłoszeniu to problem mają z głowy. Nic bardziej mylnego, gdyż zwolnienie ze zgłoszenia rejestracji zbioru w GIODO nie oznacza wyłączenia spod reżimu przepisów o ochronie danych osobowych.

Często zbiory danych osobowych to są ogromne bazy danych osobowych pracowników, zawierające nierzadko dane wrażliwe podlegające  szczególnej ochronie prawnej.

Dodatkowo przetwarzanie danych osobowych pracowników w związku z używaniem nowych technologii. Prawie każda firma posiada swoją witrynę internetową, często publikowane są tam dane osobowe pracowników do kontaktów, ale bywa, że i wizerunki pracowników. Bywa, że pracownikowi zostaje powierzone zadanie prowadzenie strony fanowskiej na FB. Są to sytuacje, które wymagają analizy w świetle wymagań prawa ochrony danych osobowych i odpowiedniej ich kwalifikacji w kontekście tych przepisów.

Kolejna kwestia wynikająca z braku świadomości konsekwencji dotyczy braku stosownych upoważnień pracowników do przetwarzania danych osobowych. Należy pamiętać, że udostępnianie danych osobowych osobom nieupoważnionych jest zagrożone odpowiedzialnością karną.

Dodatkowo upoważniając pracowników i odbierając od nich zobowiązanie do poufności zabezpieczamy się na przyszłość przed nielojalnością pracowników. Sytuację, w których pracownicy poprzez bezprawne rozporządzanie informacjami stanowiącymi tajemnicę przedsiębiorstwa narazili pracodawcę na wymierne szkody nie należą do rzadkości. Pracodawcy jednak zapominają, iż zaniedbania formalne uniemożliwiają im późniejsze skuteczne dochodzenie roszczeń związanych z naruszeniem tajemnicy.

Bardzo ciekawą kwestią jest prawo do kontroli pracownika podczas wykonywania pracy w szczególności w zakresie korzystania z telefonu komórkowego czy internetu w celach niezwiązanych z wykonywaną pracą. Jest to o tyle istotna kwestia, że kontrola nie spełniająca wymagań prawnych w tym zakresie naraża pracodawcę na odpowiedzialność karną, cywilną oraz administracyjną wobec pracownika.

Poradnik porusza i rozstrzyga wszystkie kwestie zasygnalizowane powyżej a także wiele innych.

W poradniku omówiona została również bardzo ciekawa instytucja nowego prawa ochrony danych osobowych, które w ramach UE doczekało się finalizacji. Chodzi o prawo do zapomnienia, które poprzez wyrok TS w sprawie przeciwko Google Spain już jest stosowane. Publikacja omawia szczegółowo to nowe prawo.

Zachęcam do lektury wszystkich zainteresowanych.

Spis treści nowego Poradnika ABI znajdziesz TUTAJ.

Podstawy przetwarzania danych osobowych – refleksja

Do napisania tego artykułu skłoniły mnie poaudytowe refleksje dotyczące stanu wiedzy osób upoważnionych do przetwarzania danych osobowych, teoretycznie więc zapoznanych z zasadami dotyczącymi przetwarzania danych osobowych.

Okazuje się, że zwykle osoby upoważnione do przetwarzania danych z reguły dysponują jakimś minimum wiedzy w zakresie obowiązku zabezpieczenia danych czy nieudostępniania ich osobom nieupoważnionym. Jednak rzadko potrafią poprawnie odpowiedzieć np. na pytanie na jakiej podstawie przetwarzane są dane osobowe w ich organizacji. Pojawiają się stwierdzenia, że na podstawie ustawy o ochronie danych osobowych lub na podstawie zgody podmiotu danych w sytuacji, gdy takiej zgody brak.

Zdaję sobie sprawę, że są to rozważania teoretyczne i wymagają podstaw wiedzy w zakresie przepisów o ochronie danych osobowych, bo przesłanki przetwarzania danych wskazane są właśnie w ustawie o ochronie danych osobowych, nie oznacza to jednak, że sama ustawa jest taką podstawą.

Piszę o tym, bo z mojej perspektywy prawnika, który specjalizuje się w prawie ochrony danych osobowych pytanie o podstawy przetwarzania danych osobowych jest kwestią zasadniczą. Wie o tym każdy ABI, który zaczyna proces sprawdzenia. Na  początku poza stwierdzeniem, że organizacja przetwarza dane osobowe należy ustalić w oparciu o jakie podstawy prawne to przetwarzanie się opiera. Następnie sprawdzamy kolejne zagadnienia.

W praktyce osoby upoważnione do przetwarzania danych osobowych mają wiedzę np. o zasadzie “czystego biurka” czy obowiązku wylogowania się z systemu, jednak nie mają pojęcia na jakiej to podstawie mają prawo do przetwarzania danych osobowych w swoich codziennych czynnościach.

W imieniu swojego pracodawcy zawierają np. setki umów, które implikują wiele czynności związanych z przetwarzaniem danych osobowych w związku z wykonaniem tejże umowy, jednak rzadko wpadają na trop, że to ta umowa jest podstawą przetwarzania danych osobowych. Obnaża to brak podstawowej wiedzy z zakresu ochrony danych osobowych. Nie dziwi mnie to  aż tak bardzo biorąc pod uwagę ogólną niską świadomość w tym obszarze.

Pragnę tylko wskazać administratorom bezpieczeństwa informacji, którzy są odpowiedzialni za zapewnianie zapoznania osób upoważnionych do przetwarzania danych z przepisami o pewnych fundamentalnych zasadach, które należy wpajać od początku, z tego powodu, że jest to wiedza elementarna, którą osoby przetwarzające dane osobowe powinny posiadać.