Aktualności Baza wiedzy Edukacja i wsparcie Podstawowe informacje o RODO

Administrator danych i jego obowiązki

Posted on

Każdy przedsiębiorca, w tym podmiot leczniczy, gromadzi i przetwarza różnego rodzaju dane. Wśród nich są dane osobowe dotyczące osób fizycznych. Co ważniejsze, zasady przetwarzania tych danych oraz obowiązki podmiotów biorących udział w tym procesie określa Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO. Wspomniane rozporządzenie określa między innymi kto jest administratorem danych osobowych, jaka jest jego rola i obowiązki.

Administrator danych osobowych

Zgodnie z art. 4 pkt. 7 RODO administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Na potrzeby RODO stworzono także odrębną definicję przedsiębiorcy. Art. 4 ust. 18 RODO określa, że przedsiębiorcą jest osoba fizyczna lub prawna prowadząca działalność zarobkową lub handlową niezależnie od formy prawnej, w tym spółki osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą.

W praktyce powyższe definicje oznaczają, że: administratorem jest przedsiębiorca, instytucja, organizacja, podmiot publiczny i każdy kto w związku z prowadzoną działalnością posiada zbiory informacji umożliwiające identyfikację osoby fizycznej. Osoba fizyczna jest administratorem danych tylko w sytuacji, gdy prowadzi działalność gospodarczą.

Administrator danych osobowych jest podmiotem odpowiedzialnym za przetwarzane w danej organizacji dane osobowe. Należy zauważyć, że administrator może w ogóle nie mieć dostępu do danych. Może zlecić innemu podmiotowi ich zgromadzenie oraz wykonywanie różnych działań na danych. Pomimo, że fizycznie nie ma kontaktu z tymi danymi, w praktyce nic nie dzieje się bez jego wiedzy i zgody. Oznacza to, że zgodnie z definicją RODO decyduje o celach i sposobach ich przetwarzania.

Obowiązki administratora danych

Do głównych obowiązków administratora danych osobowych należą:

  • dbanie o to, aby przetwarzanie danych osobowych było zgodne z RODO,
  • uwzględnienie ochrony danych osobowych w fazie projektowania oraz domyślna ochrona danych,
  • rejestrowanie czynności przetwarzania,
  • zgłaszanie naruszenia danych osobowych, czyli incydentów,
  • zawiadamianie osób, których dane dotyczą, o naruszeniu ochrony danych osobowych,
  • wdrożenie odpowiednich środków technicznych i organizacyjnych,
  • szacowanie ryzyka dla podstawowych praw i wolności,
  • ocena skutków dla ochrony danych osobowych (DPIA),
  • informowanie o przetwarzaniu,
  • realizowanie praw osób, których dane dotyczą,
  • wyznaczenie inspektora ochrony danych w sytuacjach, gdy jest to obligatoryjne,
  • wyznaczenie swojego przedstawiciela w Unii w sytuacjach wskazanych w RODO.
Przetwarzanie danych osobowych zgodnie z RODO

Ogólne obowiązki administratora określono w art. 24 RODO. Przede wszystkim administrator ma obowiązek wdrożenia odpowiednich i skutecznych środków. Ponadto powinien być w stanie wykazać, że czynności przetwarzania są zgodne z rozporządzeniem oraz, że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. Pokrótce, administrator powinien stworzyć takie warunki przetwarzania danych osobowych, które będą zapewniać maksymalne w danym czasie gwarancje bezpiecznego przetwarzania tych danych. Sposobem na spełnienie odpowiednich warunków są:

  • procedury skonstruowane przez administratora w postaci konkretnych polityk ochrony danych,
  • korzystanie z zatwierdzonych mechanizmów certyfikacyjnych,
  • korzystanie z zatwierdzonych kodeksów postępowania.
Privacy by design i privacy by default

Administrator, aby móc wykazać przestrzeganie rozporządzenia RODO, powinien wdrożyć środki, które są zgodne z zasadą privacy by desing (uwzględnianie ochrony danych w fazie projektowania) oraz privacy by default (zastosować domyślną ochronę danych). Privacy by design oznacza obowiązek wzięcia pod uwagę ochrony danych osobowych już w początkowych fazach tworzenia danego projektu. Zasady ochrony prywatności muszą być „wbudowane” w każdy projekt zakładający przetwarzanie danych osobowych w taki sposób, aby od samego początku jego istnienia ochrona prywatności stanowiła jego część składową. W praktyce oznacza to, że już w momencie projektowania rozwiązania należy zdecydować jak będą chronione dane jego użytkowników. Środki, które można zastosować to m.in.:

  • pseudonimizacja danych,
  • minimalizacja zbieranych danych,
  • umożliwienie osobom, których dane dotyczą, dostępu do swoich danych.

Privacy by default zakłada, iż ustawienia aplikacji czy systemów przetwarzających dane domyślnie powinny udostępniać minimalną ilość informacji o użytkowniku. Poszerzenie zakresu udostępnianych danych może nastąpić jedynie na podstawie zmiany ustawień dokonanych przez samego użytkownika. Tym samym privacy by default przewiduje jak najszerszą domyślną ochronę prywatności wszystkich użytkowników danego systemu. W myśl zasady privacy by default administrator nie powinien domyślnie udostępniać danych osobowych nieokreślonej liczbie osób. Nie dotyczy to sytuacji, gdy udostępnienie odbywa się to na wyraźne żądanie osoby, której dane dotyczą. Administrator jest obowiązany wdrożyć takie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności.

Prowadzenie rejestru czynności przetwarzania

Przepisy RODO nakładają na administratora obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych. Rejestr prowadzony przez administratora powinien zawierać:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych – jeśli zasadne,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich i organizacjach międzynarodowych,
  • informację o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej,
  • planowane terminy usunięcia poszczególnych kategorii danych, jeżeli jest to możliwe,
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Rejestr czynności przetwarzania muszą prowadzić administratorzy zatrudniający powyżej 250 pracowników oraz gdy przetwarzanie:

  • może powodować wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych.
Zgłaszanie naruszeń ochrony danych osobowych

Kolejnym obowiązkiem administratora danych osobowych jest zgłaszanie naruszeń ochrony danych osobowych. Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Nie zgłaszamy naruszenia ochrony danych, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Ponadto za naruszenie należy uznać sytuację, której konsekwencją są jakiekolwiek negatywne skutki dla osoby, której dane dotyczą. W przypadku naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu, czyli Prezesowi Urzędu Ochrony Danych Osobowych. Służy do tego formularz zmieszczony na stronach UODO. Obowiązkiem administratora jest także dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym ich okoliczności, skutki oraz podjęte działania zaradcze. Pomocna w tym może okazać się stworzona przez administratora polityka zgłaszania naruszeń, którą powinien znać cały personel administratora.

Zawiadomienie o naruszeniu ochrony danych osobowych

Innym obowiązkiem jest konieczność zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. Należy to uczynić gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko dla naruszenia praw i wolności osób fizycznych. Określenie poziomu ryzyka naruszenia praw lub wolności osób fizycznych należy także do obowiązków administratora. Przy ocenie ryzyka kluczowe jest określenie prawdopodobieństw i wagi potencjalnych skutków dla osoby fizycznej. Zawiadomienie osoby, której dane dotyczą musi być napisane prostym, zrozumiałym językiem i powinno: opisać charakter naruszenia ochrony danych, wskazać dane kontaktowe inspektora ochrony danych, opisać możliwe konsekwencje naruszenia ochrony danych, opisać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu lub zminimalizowaniu jego ewentualnych negatywnych skutków. Administrator nie jest zobowiązany do zgłoszenia naruszania w sytuacji, gdy:

  • wdrożył odpowiednie techniczne i organizacyjne środki ochrony i środki te zostały zastosowane do danych osobowych, których dotyczy naruszenie,
  • zastosował następnie środki eliminujące prawdopodobieństwo wystąpienia wysokiego ryzyka naruszenia praw i wolności osoby, której dane dotyczą,
  • wymagałoby ono niewspółmiernie dużego wysiłku. Wówczas powinien zostać wydany publiczny komunikat lub zastosowany podobny środek, za pomocą którego osoby, których dane dotyczą zostaną poinformowane w skuteczny sposób.
Wdrożenie odpowiednich środków technicznych i organizacyjnych

Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych wynika z art. 32 RODO. Administrator aby wybrać adekwatne środki bezpieczeństwa musi uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Administrator posiada swobodę w wyborze środków technicznych i organizacyjnych, ponosząc jednocześnie odpowiedzialność za dokonany wybór. Wdrażając odpowiednie środki techniczne i organizacyjne, będzie musiał zapewnić właściwy stopień bezpieczeństwa danych osobowych odpowiadający przeprowadzonej analizie ryzyka. RODO wskazuje tylko przykładowe środki techniczne i organizacyjne, które mogą służyć zapewnieniu stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:

  • pseudonimizacja danych oraz szyfrowanie danych osobowych,
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania na zagrożenia,
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Szacowanie ryzyka dla podstawowych praw i wolności

Środki techniczne i organizacyjne muszą być racjonalnie dobierane na podstawie przeprowadzonej analizy ryzyka i w taki sposób, by to ryzyko maksymalnie minimalizować i sprowadzać do poziomu akceptowalnego. Wynika z tego kolejny obowiązek administratora – szacowanie ryzyka właściwego dla procesów przetwarzania oraz wdrażanie środków minimalizujących owe ryzyko. Celem przeprowadzenia procesu analizy ryzyka jest:

  • ocena naruszenia praw lub wolności osób, których dane dotyczą,
  • opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę, czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów przetwarzania,
  • ocenę, czy wdrożone środki techniczne i organizacyjne zapewniają odpowiedni poziom bezpieczeństwa,
  • przygotowanie planu w celu zarządzania ryzykiem.

Analiza ryzyka to proces dążący do poznania charakteru ryzyka oraz wskazania poziomu ryzyka, określonego za pomocą skutków i prawdopodobieństwa ich wystąpienia. Natomiast proces zarządzania ryzykiem polega na modyfikowaniu ryzyka przekraczającego akceptowalny próg.

Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych, takie jak: przypadkowe lub niezgodne z prawe zniszczenie danych osobowych, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych.

Ocena skutków dla ochrony danych

Zgodnie z przewidzianym w RODO podejściem opartym na szacowaniu ryzyka, administrator będzie w niektórych przypadkach zmuszony do przeprowadzenia oceny skutków dla ochrony danych. Nie jest to proces obowiązkowy dla każdej operacji przetwarzania. Jest on obligatoryjny w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a mianowicie:

  • działania na danych prowadzone są przy użyciu nowych technologii, użycia zautomatyzowanych procesów przetwarzania danych, w tym profilowania,
  • przetwarzanie na dużą skalę szczególnych kategorii danych (np. dane biometryczne czy dane na temat stanu zdrowia),
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

W związku z tym oceny skutków dla ochrony danych muszą dokonywać podmioty świadczące usługi medyczne. Jednak przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów i jest dokonywane przez pojedynczego lekarz czy innego pracownika służby zdrowia.

Następnie, po przeprowadzeniu oceny skutków dla ochrony danych, administrator tworzy dokument, który zawiera co najmniej:

  • systematyczny opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
  • ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą,
  • środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.

Jeśli przeprowadzona analiza skutków dla ochrony danych wykazała, że przetwarzanie powoduje wysokie ryzyko, którego administrator nie jest w stanie zminimalizować, musi on przeprowadzić konsultacje z organem nadzorczym, czyli Prezesem UODO.

Informowanie o przetwarzaniu

Innym obowiązkiem administratora jest spełnienie obowiązku informacyjnego, związanego z pozyskiwaniem danych osobowych. Zasady rzetelnego i przejrzystego przetwarzania wymagają, by osoba, której dane dotyczą, była informowana o prowadzeniu operacji przetwarzania i o jej celach. Dlatego administrator musi podać te informacje uwzględniając konkretne okoliczności i konkretny kontekst przetwarzania danych osobowych. Inne informacje jakie należy podać osobie, której dane dotyczą to:

  • czy dane podawane są profilowaniu i jakie są konsekwencje takiego profilowania,
  • czy podanie danych jest obowiązkowe i jakie są konsekwencje ich niepodania,
  • jakim odbiorcom dane będą udostępnione,
  • w miarę możliwości, przez jaki okres dane będą przetwarzane.

Osobom fizycznym trzeba uświadomić ryzyka, zasady, zabezpieczenia, prawa oraz sposoby wykonywania praw przysługujących im w związku z przetwarzaniem ich danych. Ponadto zasada przejrzystości wymaga, by informacje i komunikaty związane z przetwarzaniem danych osobowych były łatwo dostępne. Ponadto informacje te muszą być zrozumiałe oraz sformułowane jasnym i prostym językiem.

Podsumowując, wypełnianie wszystkich powyższych obowiązków przez administratora ma pomóc zapewnić mu zachowanie bezpieczeństwa danych i zapobiec przetwarzaniu niezgodnemu z RODO. Ponadto administrator musi być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Działania związane z realizacją tych obowiązków są więc korzystne zarówno dla administratora jak i osób, których dane dotyczą. Administrator wprowadzając różne procedury, polityki, prowadząc rejestry czynności przetwarzania zapewnia spełnienie zasady rozliczalności. W razie konieczności będzie mógł wykazać przed organem nadzorczym postępowanie zgodne z RODO. Dodatkowo administrator dzięki stosowaniu zasady przejrzystości oddziałuje na poczucie bezpieczeństwa i zaufanie osób, których dane dotyczą. Równocześnie monitorując możliwe ryzyka i zagrożenia oraz wprowadzając adekwatne do nich zabezpieczenia pokazuje, że ochrona osób fizycznych w związku z przetwarzaniem danych osobowych jest istotnym aspektem prowadzonej działalności.

KATEGORIE WPISÓW

.

Aktualności Baza wiedzy Bezpieczeństwo systemów informatycznych Dokumentacja medyczna w formie elektronicznej i EDM Edukacja i wsparcie Instrukcje do Aplikacji EA24 Kontrakty NFZ mMedica przez internet Nowa placówka medyczna Opieka koordynowana Planowane zmiany w mMedica Podstawowa opieka zdrowotna POZ Podstawowe informacje o RODO Programy pilotażowe i dofinansowania Przepisy prawne w ochronie zdrowia w Polsce System mMedica instrukcje i porady Zarządzanie ryzykiem Zdarzenia medyczne Zmiany w mMedica