RODO: pracownicy najsłabszym ogniwem w ochronie danych osobowych

Thinkstock/GettyImages
O tym na co powinni zwracać uwagę przedsiębiorcy związani z ochroną zdrowia w związku z RODO mówi nam radca prawny Michał Rytel, prezes Zarządu Centrum Danych Osobowych Sp. z o.o.
Edyta Hetmanowska 2018-05-24 14:03

25 maja przepisy RODO wchodzą w życie (Rozporządzenie o Ochronie Danych Osobowych). Czy świadczeniodawcy, usługodawcy związani z ochroną zdrowia mają się czego bać?

RODO obowiązuje od maja 2016 roku. Teraz jest termin, w którym Polska powinna dostosować się do RODO. Podmioty lecznicze, które przetwarzają dane zgodnie z nowym przepisem, powinny o nie dbać już od lat m.in. na podstawie ustawy z roku 1997 o danych osobowych. Podmioty, które w jakimkolwiek stopniu wdrażały u siebie ochronę danych osobowych na podstawie ustawy z 1997 roku, powinny płynnie przejść do nowych przepisów o RODO. Gorzej będzie z tymi podmiotami, które nie przestrzegały ustawy z 1997 roku. One będą musiały podjąć większe czynności, by się do ustawy o RODO dostosować.

RODO nakłada na podmioty przetwarzające dane osobowe szereg obowiązków. Jakie obowiązki z punktu widzenia placówek związanych z ochroną zdrowia uważa Pan za najważniejsze?

Najważniejszy jest personel, pracownicy, bo od niego zależy, jak dane osobowe są chronione. Jeżeli pracownicy są przeszkoleni i wiedzą jakich zasad powinni przestrzegać, jaka jest odpowiedzialność w przypadku naruszenia zasad, to ochrona danych jest wówczas prawidłowo przeprowadzana.

Jakie są te najważniejsze zasady, których należy przestrzegać, aby zabezpieczyć dane osobowe?

Dla mnie najważniejsze jest, by przeszkolić personel, by miał świadomość zasad ochrony danych osobowych. Druga rzecz to zapewnienie bezpieczeństwa informatycznego danych, czyli np. by serwery i kopie zapasowe, które powinny być tworzone, były w oddzielnych pomieszczeniach. By sprzęt komputerowy, którego używają pracownicy był zabezpieczony hasłem dostępu. Aby służbowe telefony komórkowe, które obecnie są mini komputerami, także zostały zabezpieczone przed dostępem osób trzecich.

W kontekście RODO mówi się bardzo dużo o karach. Jakie kary grożą za niedopełnienie obowiązków związanych z ochroną danych osobowych i ich przetwarzaniem?

Jeżeli podmiot jest dobrze przygotowany, można tych kar uniknąć. Ale, jeśli przepis stanowi, że w przypadku naruszenia danych osobowych lub niezgłoszenia tego incydentu przez pierwsze 72 godziny kara jest jednoznaczna – do 10 milionów Euro. Ustawa o ochronie danych osobowych z 8 maja wprowadza jeden wyjątek, że podmioty publiczne odpowiadają do 100 tysięcy złotych. Ze spotkań w GIODO wiem, że jest pomysł powstania taryfikatora kar np. za brak odpowiedniego zabezpieczenia czy za nie przeszkolenie kadry. Jak weszło RODO w maju 2016, to zaczął się bum – straszenie przedsiębiorców karami - 10 milionami Euro bez wyjątków. GIODO zmieniło teraz sposób informowania o RODO: „Ochrona danych osobowych” - to jest tak naprawdę cel tego rozporządzenia a nie nakładanie kar na przedsiębiorców. Jeżeli obecnie przedsiębiorca ma wdrożone już jakieś zasady ochrony danych osobowych, podejmie też pewne czynności, bo wielu z przedsiębiorców nie jest przystosowanych do ochrony danych osobowych np. przetrzymują serwery wraz z kopiami zapasowymi, to nie musi obawiać się RODO. My spotykamy się z podmiotami leczniczymi, które do tej pory nie wykonywały kopii zapasowych tego, co mają na serwerach, i trzymają dokumentację medyczną w miejscach dostępnych dla pacjenta. Uważam, że w wielu podmiotach, mimo że znane są zasady ochrony danych, wiele podstawowych zasad nie jest przestrzeganych. Jak najszybciej powinny wykonać minimalne czynności ku ochronie danych np. zamykać na stałe szafki z dokumentacją medyczną, wyeliminować wejście pacjentów w strefę takiej dokumentacji, przejrzeć swoje IT i zabezpieczyć je przed dostępem dla osób trzecich, a tak naprawdę przed utratą.

Dużo mówi się o tym, że RODO to raj dla „wymuszaczy”. Co by Pan poradził przedsiębiorcom, którzy otrzymają „wezwanie” do zapłaty w zamian za odstąpienia zgłoszenia naruszenia?

Jeśli przedsiębiorca czuje się na siłach, powinien to zgłosić do odpowiednich organów, ponieważ dla mnie jest to wymuszenie. Słyszałem o pismach do przedsiębiorców, w których nadawca informuje, że zgłosił się do niego pacjent, którego dane osobowe naruszył przedsiębiorca i prosi o zadośćuczynienie w kwocie 500 czy 1000 złotych. I wiem, że niektórzy mieli pomysły, by zakładać firmy, które natychmiast po 25 maja 2018 r. ruszą z takimi pismami do przedsiębiorców. Warto przedsiębiorców uczulić, by nie reagowali na takie wezwania.

Ochrona zdrowia to dane wrażliwe, takie, które powinny być najbardziej chronione i to najłatwiejszy obszar dla takich „wymuszaczy”, którzy wykorzystują to, że jak przedsiębiorca dostanie oficjalne pismo, wezwanie, to się po prostu przestraszy i podejmie działanie nieracjonalne. Dla mnie działaniem racjonalnym jest to, by przygotować się, niekoniecznie na 25 maja, ale w jakimś czasie podjąć działanie chroniące dane osobowe w przedsiębiorstwie.

Co zrobić, jeśli dojdzie do naruszenia danych osobowych?

RODO wprowadza obowiązek zgłoszenia naruszenia danych osobowych w ciągu pierwszych 72 godzin do urzędu. I trzeba na ten obowiązek uczulić przedsiębiorców i pracowników. Takim naruszeniem jest np. sytuacja kiedy pracownicy używają służbowych laptopów czy telefonów komórkowych, na których mamy ściągnięte pliki z danymi osobowymi, i nie mają zaszyfrowanego dostępu do tych urządzeń. Jeśli taki laptop czy komórka zostaną skradzione, to trzeba wtedy zgłosić naruszenie ochrony danych osobowych. Na pewno przedsiębiorca musi przeanalizować struktury i strefy, do których dochodzi pacjent. Bo często zdarza się, że pacjent wchodzi do pomieszczeń, gdzie dokumentacja medyczna stoi w szafie niezamykanej na klucz, w oznaczonych segregatorach, równo ustawionych. Tak jest jeszcze w wielu rejestracjach.

Bywa, że kiedy jest natłok w rejestracji pacjent stojący za rejestrującym się widzi i słyszy do jakiego lekarza się rejestruje i z jakim schorzeniem. I trzeba to tak zorganizować aby innych odsunąć od obsługiwanego pacjenta. To kwestia 1 do 1,5 metra. Można np. przykleić żółtą taśmę na podłodze, która psychologicznie zatrzymuje kolejnych pacjentów do rejestracji.

Kolejną kwestią są zabezpieczenia przeciwpożarowe. Są oddzielne przepisy regulujące to, ale warto w pomieszczeniach, gdzie są przetrzymywane dane osobowe albo zainstalować system przeciwpożarowy z czujkami, które powiadomią odpowiednie służby, albo minimalnie zabezpieczyć te pomieszczenia w gaśnice. Często bywa tak, że podmiot leczniczy jest zaopatrzony w jedną gaśnicę na korytarzu, a pracownicy nawet nie wiedzą gdzie. Moim zdaniem dobrze by było, gdyby w pomieszczeniu z danymi osobowymi taka gaśnica była i to oznaczona tak, by nie było wątpliwości gdzie ona jest.

W odwiedzanych przez nas małych placówkach bywa często, że dokumentacja przechowywana jest w jednej szafie, jako jedyny egzemplarz, bez jej kopii czy skanu. Zdarza się, że w drewnianej szafie. I na moje pytanie co by się stało, gdyby doszło do pożaru i czy, gdyby dokumentacja uległa zniszczeniu, dyrekcja placówki byłaby w stanie tę dokumentację odtworzyć, słyszę negatywną odpowiedź, że nie da się jej odtworzyć, bo to jej jedyny egzemplarz. I tym argumentem przekonaliśmy już, żeby chociaż dokumentację medyczną przechowywać w metalowej szafie, bo być może w razie pożaru uda się ją uratować, bo szafa metalowa przynajmniej na jakiś czas jest w stanie zahamować ogień.

Często wchodzimy do pomieszczeń, gdzie dokumentacja np. jest magazynowana na podłodze, a nad sufitem przechodzą rury kanalizacji. I przez 20 lat nic się nie stało, ale teraz nagle rura od kanalizacji pęknie i zacznie przepuszczać wodę. Wtedy wszystko co na podłodze zostanie zniszczone przez wodę. Zwracam więc uwagę, by dokumentację taką umieścić w szafkach z ostępem 10-20 cm nad podłogą.

Mimo dobrego przygotowania, to tak do końca przedsiębiorca nie jest w stanie się zabezpieczyć np. przed hakerami?

Jeśli zastosuje te rzeczy, o których powiedziałem, to będzie zabezpieczony. Oczywiście, nigdy nie unikniemy niespodziewanych sytuacji, bo jak mówią informatycy, jeżeli ktoś chce się włamać do systemu informatycznego, to bez względu na zabezpieczenia, zrobi to. Pewnych rzeczy jak np. wybuch pożaru związanego z np. awarią, nie jesteśmy w stanie przewidzieć. Możemy tylko pewne elementy zabezpieczyć przez stworzenie kopii zapasowej dokumentacji elektronicznej albo wkładając dokumentację papierową do szafy metalowej i zamykanej na klucz, oraz ograniczyć dostęp pacjentom do strefy, gdzie jest przechowywana dokumentacja.

PDF

Zobacz także