Zgubienie pamięci USB z danymi osobowymi

Brytyjski organ nadzoru zajmujący się m.in. kwestiami ochrony danych osobowych, po przeprowadzeniu postępowania wydał w październiku br. decyzję nakładającą na operatora lotniska Heathrow karę pieniężną w wysokości równowartości 600 tys. zł.

Sprawa, którą badał brytyjski organ, wiązała się z zagubionym pendrive’em. Jeden z niższych rangą pracowników w drodze do pracy zgubił pendrive’a. Znalazca urządzenia przejrzał jego zawartość, a następnie przekazał je redakcji jednej z gazet.

W ocenie organu operator lotniska nie wdrożył, środka organizacyjnego w postaci zapewnienia odpowiedniego przeszkolenia personelu w zakresie ochrony danych. Osoba, która zgubiła nośnik USB, nie otrzymała przeszkolenia w tym zakresie.

Kara została nałożona na administratora nie za to, że doszło do zgubienia pendrive’a, ale przede wszystkim dlatego, że nie wdrożono wystarczających środków, by zapobiec temu incydentowi.

Podobno aż 87 proc. pracowników zdarzyło się przynajmniej raz zgubić pamięć USB, na której zapisane były firmowe dane. Czym jest zagubienie nośnika z danymi osobowymi w świetle przepisów RODO. Czy należy w takiej sytuacji podjąć jakieś działania a jeśli tak to jakie spróbuję dzisiaj odpowiedzieć na te pytania.

Przypadkowe lub niezgodne z prawem utracenie danych osobowych RODO definiuje jako naruszenie bezpieczeństwa danych osobowych. Czytaj więcej

System e-WUŚ a ochrona danych osobowych

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.