XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Transkrypt

1 XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji Mirosława Mocydlarz-Adamcewicz Administrator Bezpieczeństwa Informacji Wielkopolskiego Centrum Onkologii Członek Stowarzyszenia Administratorów Bezpieczeństwa Informacji Poznań, r.

2 4 maja 2016 r. publikacja 25 maja 2016 r. wejście w życie Czas na dostosowanie: 2 lata Dotyczy: wszystkich szpitali działających na terenie UE 25 maja 2018 r. od tej pory nowe prawo będzie egzekwowane RODO / GDPR Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO / General Data Protection Regulation GDPR) Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,

3 Projekt ustawy o ochronie danych osobowych Najdalej idące zmiany przewidziane projektowaną ustawą: nowy organ ochrony danych osobowych, skuteczniejsze procedury dochodzenia roszczeń, certyfikacja i akredytacja ochrony danych, podejście oparte na ryzyku, warunki nakładania kar pieniężnych

4 Nowe wymagania RODO / GDPR dla szpitali 1. Obowiązek wyznaczenia Inspektora Ochrony Danych i współpracy z organem nadzorczym. 2. Prowadzenie rejestru czynności przetwarzania. 3. Rozbudowane wymagania powierzenia przetwarzania danych. 4. Zgłoszenie naruszenia bezpieczeństwa danych. 5. Zastosowanie środków technicznych i organizacyjnych. 6. Szacowanie ryzyka i ocena skutków przetwarzanych danych. 7. Prawa osób, których dane dotyczą. 8. Kary pieniężne. Fizyczne Organizacyjne Prawne Informatyczne

5 Inspektor Ochrony Danych IOD / Data Protection Officer DPO Szpital: Obligatoryjność nie Fakultatywność Administrator i podmiot przetwarzający wyznaczają IOD, zawsze gdy: a) przetwarzania dokonują organ lub podmiot publiczny, b)., c) główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych Wyznaczenie = kwalifikacje zawodowych (wiedza fachowa) + umiejętności w wypełnianiu zadań wyznaczonych w RODO Dane o stanie zdrowia Dane genetyczne Dane biometryczne TO ADMINISTRATOR / PODMIOT PRZETWARZAJĄCY MUSZĄ OCENIĆ, czy powoływana osoba rzeczywiście dysponuje kwalifikacjami zawodowymi w zakresie ochrony danych osobowych

6 Inspektor Ochrony Danych IOD / Data Protection Officer DPO podległość najwyższemu kierownictwu, włączanie we wszystkie sprawy dotyczące ochrony danych, niezależność w wykonywaniu zadań wspieranie w wypełnianiu przez niego zadań, zapewnienie zasobów niezbędnych do wykonania zadań i utrzymania wiedzy, Zadania: 1) informowanie o obowiązkach i doradzanie, 2) monitorowanie przestrzegania RODO, innych przepisów i polityk, 3) działania zwiększające świadomość, szkolenia, audyty, 4) udzielanie na żądanie zaleceń co do oceny skutków oraz monitorowanie wykonania, 5) współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

7 Inspektor Ochrony Danych IOD / Data Protection Officer DPO IOD może wykonywać inne zadania i obowiązki. zadania i obowiązki nie powodują konfliktu interesów. Dwa obowiązki ADO i Procesora: 1. Opublikowanie danych kontaktowych IOD, 2. Zawiadomienie organu nadzorczego o tych danych kontaktowych. IOD nie jest on odwoływany ani karany za wypełnianie swoich zadań ADO zobowiązany do zapewnienia i udowodnienia zgodności przetwarzania z przepisami

8 Prezes Urzędu Ochrony Danych Osobowych PUODO podlega tylko ustawie, kadencja 4 lata, max 2 kadencje, nadaje statut Urzędowi, trzech zastępców, Urząd Ochrony Danych Osobowych, Rada do Spraw Ochrony Danych Osobowych.

9 RODO rejestrowanie czynności przetwarzania Rezygnacja z obowiązku rejestracji zbiorów danych osobowych u PUODO na rzecz prowadzenia przez ADO rejestru czynności przetwarzania Rejestr: imię i nazwisko lub nazwę, dane kontaktowe administratora, współadministratorów, IOD, cele przetwarzania, opis kategorii osób i danych kategorie odbiorców, informacje o przekazaniu danych do państwa trzeciego i dokumentację zabezpieczeń, planowane terminy usunięcia poszczególnych kategorii danych, opis technicznych i organizacyjnych środków bezpieczeństwa odpowiadających ryzyku przetwarzania Wyjątek: administrator zatrudnia mniej niż 250 osób. Obowiązek istnieje (< 250 pracowników), gdy: ryzyko naruszenia praw lub wolności osób, nie ma charakteru sporadycznego, szczególne kategorie danych lub dane dotyczące wyroków skazujących i naruszeń prawa. Forma pisemna, w tym forma elektroniczna Udostępnianie na żądanie organu nadzorczego

10 RODO powierzenie przetwarzania danych osobowych UODO RODO Podstawa art. 31 art. 28 Forma umowy forma pisemna forma pisemna, w tym forma elektroniczna Elementy umowy zakres danych osobowych cel przetwarzania przedmiot czas trwania powierzenia charakter i cel przetwarzania rodzaj danych osobowych kategorie osób, których dane dotyczą warunki podpowierzenia przetwarzania danych obowiązki i prawa administratora danych obowiązki procesora Podpowierzenie brak regulacji pisemna zgoda administratora danych (szczegółowa lub ogólna)

11 RODO zgłoszenie naruszenia ochrony danych osobowych do PUODO Czerwiec 2017 r. incydent wycieku danych osobowych w szpitalu w województwie wielkopolskim. W sieci znalazły się niezabezpieczone dane dotyczące 50 tys. pacjentów placówki i ponad 600 pracowników Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłasza je organowi nadzorczemu. Zgłoszenie winno zawierać: a) charakter naruszenia, kategorie i przybliżoną liczbę osób, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie, b) imię i nazwisko oraz dane kontaktowe IOD, c) możliwe konsekwencje naruszenia ochrony danych osobowych, d) środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych. Administrator dokumentuje wszelkie naruszenia, w tym okoliczności, skutki oraz podjęte działania zaradcze.

12 RODO bezpieczeństwo przetwarzania Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający RYZYKU naruszenia praw lub wolności osób w zakresie ochrony danych osobowych pseudonimizacja i szyfrowanie, ciągłe zapewnienie poufności, integralności, dostępności i odporności systemów i usług, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularne testowanie, mierzenie i ocenianie skuteczności środków Administrator (szpital) Solidny i Rzetelny Partner

13 Informowanie i konsultowanie ryzyka Monitorowanie i przegląd ryzyka RODO szacowanie ryzyka / ocena skutków przetwarzania Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający RYZYKU naruszenia praw lub wolności osób Ustanowienie kontekstu Identyfikowanie ryzyka Analiza ryzyka Ocena ryzyka Szacowanie ryzyka Szacowanie satysfakcjonujące Szacowanie satysfakcjonujące Nie Tak Postepowanie z ryzykiem Nie Tak Akceptacja ryzyka Źródło: Norma ISO Ryzyko to wpływ niepewności na bezpieczeństwo przetwarzania Ryzyko związane z przetwarzaniem danych osobowych Ryzyko naruszenia praw lub wolności osób, których dane dotyczą Ocenę skutków przeprowadza się, gdy operacje przetwarzania stwarzają szczególne ryzyko dla praw i wolności podmiotów danych WYSOKIE RYZYKO rezydualne = konsultacja ADO z PUODO przed rozpoczęciem przetwarzania

14 RODO Prawa osób, których dane dotyczą Obowiązek informacyjny art. 13 dane zbierane od osoby, której dotyczą art. 14 dane zbierane z innego źródła tożsamość i dane kontaktowe ADO, cele przetwarzania, informacja o odbiorcach danych lub o kategoriach odbiorców, prawo do żądania dostępu do danych, sprostowania, prawo do usunięcia, ograniczenia przetwarzania lub sprzeciwu, dane kontaktowe IOD, podstawa prawna przetwarzania, prawnie uzasadniony interes realizowany przez administratora, transfer danych do państwa trzeciego, okres przechowywania danych, prawo przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie, prawo wniesienia skargi do organu nadzorczego, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym, kategorie danych osobowych, źródło pochodzenia danych osobowych,

15 RODO Prawa osób, których dane dotyczą Obowiązek informacyjny art. 13 dane zbierane od osoby, której dotyczą art. 14 dane zbierane z innego źródła zwięzła, przejrzysta, zrozumiała i łatwo dostępna forma jasny i prosty język, możliwość zastosowania znaków graficznych, na piśmie lub w inny sposób, w tym elektronicznie tożsamość i dane kontaktowe ADO, cele przetwarzania, informacja o odbiorcach danych lub o kategoriach odbiorców, prawo do żądania dostępu do danych, sprostowania, prawo do usunięcia, ograniczenia przetwarzania lub sprzeciwu, dane kontaktowe IOD, podstawa prawna przetwarzania, prawnie uzasadniony interes realizowany przez administratora, transfer danych do państwa trzeciego, okres przechowywania danych, prawo przenoszenia danych, prawo do cofnięcia zgody w dowolnym momencie, prawo wniesienia skargi do organu nadzorczego, informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym, kategorie danych osobowych, źródło pochodzenia danych osobowych, Wolne od opłat

16 RODO Prawa osób, których dane dotyczą Prawo do przenoszenia danych Osoba, której dane dotyczą, ma prawo: otrzymać w powszechnie używanym formacie, dane osobowe jej dotyczące które dostarczyła administratorowi, ma prawo przesłać te dane osobowe innemu administratorowi, może żądać, by dane osobowe zostały przekazane przez administratora bezpośrednio innemu administratorowi.

17 RODO warunki nakładania administracyjnych kar pieniężnych Każdy organ nadzorczy zapewnia, by stosowane kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Naruszenia przepisów dotyczących podlegają administracyjnej karze pieniężnej w wysokości do EUR / EUR, a w przypadku przedsiębiorstwa w wysokości do 2 % / 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Projekt UODO: maksymalna kwota dla podmiotów publicznych wynosić ma ona do 100 tysięcy złotych.

18 Wielkopolskie Centrum Onkologii w Poznaniu Mirosława Mocydlarz-Adamcewicz Administrator Bezpieczeństwa Informacji 19