17. marca 2018

GDPR- ochrana osobných údajov po novom

Dňa 25.05.2018 nadobudne účinnosť nový zákon o ochrane osobných údajov. Jednou z povinností, prevádzkovateľov informačných systémov, je prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä

a) pseudonymizáciu a šifrovanie osobných údajov,
b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov

V prvom rade je potrebné uviesť, že prevádzkovatelia informačných systémov mali aj doteraz povinnosť za účelom ochrany osobných údajov prijať primerané technické a organizačné opatrenia. Zákon č. 18/2018 Z.z., ale príkladmo niektorého opatrenia vymenúva. Okrem zákonom vymenovaných opatrení ochrana osobných údajov sa zabezpečuje aj nižšie uvedenými opatreniami.

Technické opatrenia

Realizované prostriedkami fyzickej povahy:

zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia)
umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)
zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)

Ochrana pred neoprávneným prístupom a detekcia škodlivého kódu

šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát
pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza
detekcia prítomnosti škodlivého kódu – antivírusové programy,
používanie legálneho a prevádzkovateľom schváleného softvéru
ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti firewall
pravidelné testovanie online prostredia – odporúčame prostredníctvom IT spoločností

Riadenie prístupu oprávnených osôb

identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme – prihlasovanie do počítača užívateľským menom a heslom
zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému

Zálohovanie

vytváranie záloh s vopred zvolenou periodicitou
test obnovy informačného systému zo zálohy
bezpečné ukladanie záloh
likvidácia osobných údajov a dátových nosičov
bezpečné vymazanie osobných údajov z dátových nosičov

Aktualizácia operačného systému a programového aplikačného vybavenia

Organizačné opatrenia

Personálne opatrenia

poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi
vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh
určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov
vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
vzdelávanie osôb (napr. právna oblasť, oblasť informačných technológií)

Vedenie zoznamu aktív a jeho aktualizácia – aktíva sú hmotné a nehmotné objekty, ktoré sú súčasťou chráneného systému, pričom ich narušením dochádza k strate dôvernosti, dostupnosti a integrity, alebo až k strate predmetu ochrany (napr. počítač, USB disky s osobnými údajmi, zdravotná dokumentácia).

Riadenie prístupu oprávnených osôb k osobným údajom

kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)
správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)
prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
správa hesiel
vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru)

Organizácia spracúvania osobných údajov

pravidlá spracúvania osobných údajov v chránenom priestore
nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby
režim údržby a upratovania chránených priestorov

Likvidácia osobných údajov

určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)

Bezpečnostné incidenty a kontrolná činnosť

postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení
evidencia bezpečnostných incidentov a použitých riešení
identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov
postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)
postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)
kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informačnému systému)

Zákon č. 18/2018 Z.z. neukladá, aby prijaté opatrenia boli vyjadrené aj v písomnej forme. Napriek tmu odporúčame v písomnej forme prijať postupy pri riešení bezpečnostných incidentov za účelom, aby nimi boli oboznámení všetci zamestnanci. V prípade, ak máte z minulosti spracovaný bezpečnostný projekt alebo bezpečnostnú smernicu je možné použiť postupy v nich uvedené.

Aj keď poskytovatelia zdravotnej starostlivosti sú oprávnení spracúvať osobné údaje pacientov bez ich súhlasu, sú povinní poskytnúť pacientovi ako dotknutej osobe pri získavaní osobných údajov zákonom stanovené informácie – poučenie. Poučenie je potrebné pri prvom poskytnutí zdravotnej starostlivosti vyhotoviť v dvoch rovnopisoch; jedno bude odovzdané pacientovi, jedno vyhotovenie podpísané pacientom ostáva poskytovateľovi.

GDPR – ochrana osobných údajov po novom

Dňa 25. mája 2018 nadobudne účinnosť nariadenie Európskeho parlamentu a Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – GDPR). Na základe predmetného nariadenia Národná rada Slovenskej republiky koncom roka 2017 prijala nový zákon o ochrane osobných údajov, ktorý ku dňu napísania tohto článku nevyšiel v Zbierke zákonov. V nasledujúcom texte si predstavíme, ako GDPR a nový zákon o ochrane osobných údajov ovplyvní spracúvanie osobných údajov pri poskytovaní zdravotnej starostlivosti.

V mediách sa v súvislosti s GDPR veľa hovorí o prísnejších podmienkach získavania súhlasu so spracovaním osobných údajov. S týmto možno súhlasiť, avšak pre poskytovateľov zdravotnej starostlivosti sa nič nemení (vo všeobecnosti sa GDPR dotkne najmä sociálnych sietí a eshopov). Poskytovatelia zdravotnej starostlivosti sa nemusia obávať toho, že budú musieť získavať písomný súhlas pacientov na spracovanie osobných údajov, keďže súhlas na spracovanie osobných údajov sa nevyžaduje, ak spravovanie osobný údajov je nevyhnutné podľa osobitného predpisu. V tomto prípade je osobitným predpisom:

zákon č. 576/2004 Z.z., v zmysle ktorého sa súhlas dotknutej osoby (pacienta) na spracúvanie, poskytovanie a sprístupňovanie údajov zo zdravotnej dokumentácie sa za podmienok ustanovených zákon č. 576/2004 Z.z. nevyžaduje,
zákon č. 153/2013 Z.z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov,
zákon č. 578/2004 Z.z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
zákon č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Ďalšou veľmi diskutovanou témou je zavedenie povinnosti ustanoviť zodpovednú osobu. Návrh nového zákona o ochrane osobných údajov ukladá povinnosť ustanoviť zodpovednú osobu aj osobám, ktorých hlavnou činnosťou je spracúvanie údajov týkajúcich sa zdravia vo veľkom rozsahu. Zákon pojem veľký rozsah bližšie nešpecifikuje, a preto bude závisieť od konkrétnych okolností poskytovateľa zdravotnej starostlivosti (veľkosť zariadenia, počet pacientov), či bude mať povinnosť ustanoviť zodpovednú osobu. Úrad na ochranu osobných údajov Slovenskej republiky v materiáli venujúcom sa GDPR uviedol, že predmetná povinnosť sa nevzťahuje na všeobecného lekára (myslené poskytovateľa zdravotnej starostlivosti prevádzkujúceho ambulanciu všeobecného lekára), ale vzťahuje sa na nemocnice.

Pozitívnou správou je, že nový zákon upúšťa od povinnosti vypracovávania bezpečnostného projektu a bezpečnostných smerníc. Okrem toho nový zákon neukladá povinnosť viesť evidenciu informačného systému a povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov SR. Namiesto toho sa zavádza povinnosť viesť záznam o spracovateľských činnostiach Záznam sa vedie v listinnej podobe alebo elektronickej podobe a musí obsahovať:

identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený a zodpovednej osoby,
účel spracúvania osobných údajov,
opis kategórií dotknutých osôb a kategórií osobných údajov,
kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií,
označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos,
predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
všeobecný opis technických a organizačných bezpečnostných opatrení

Vzor záznamu o spracovateľských činnostiach zverejní Úradu na ochranu osobných údajov SR na svojom webovom sídle.

Zavádza sa povinnosť posúdenia vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. V prípade poskytovateľov zdravotnej starostlivosti sa povinnosť týka len tých, ktorí spracúvajú osobné údaje vo veľkom rozsahu. To znamená, že povinnosť sa nebude týkať poskytovateľov zdravotnej starostlivosti, ktorí nebudú musieť mať určenú zodpovednú osobu.

Ďalšie povinnosti poskytovateľov zdravotnej starostlivosti:

prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku spracovania osobných údajov – napr. zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania osobných údajov, zabezpečiť proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, pravidelne testovať účinnosť technických a organizačných opatrení
bez zbytočného odkladu oznámiť dotknutej osobe(pacientovi) porušenie ochrany osobných údajov,
oznámiť Úradu na ochranu osobných údajov SR porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.

Záverom upozorňujeme na potrebu zosúladenia zmlúv s osobami, ktoré v rámci činnosti pre poskytovateľa zdravotnej starostlivosti spracúvajú osobné údaje pacientov, zamestnancov alebo iných osôb v mene poskytovateľa zdravotnej starostlivosti (napr. ekonóm v rámci mzdovej agendy) so znením nového zákona o ochrane osobných údajov.

Cookie	Dĺžka trvania	Popis
cookielawinfo-checkbox-analytics	11 mesiacov	Tento súbor cookie sa nastavuje pomocou zásuvného modulu súhlasu so súbormi cookie GDPR. Súbor cookie sa používa na uloženie súhlasu používateľa so súbormi cookie v kategórii "Štatistika".
cookielawinfo-checkbox-functional	11 mesiacov	Súbor cookie je nastavený na základe súhlasu s používaním súborov cookie podľa GDPR na zaznamenanie súhlasu používateľa so súbormi cookie v kategórii "Funkčné".
cookielawinfo-checkbox-necessary	11 mesiacov	Tento súbor cookie sa nastavuje pomocou zásuvného modulu súhlasu so súbormi cookie GDPR. Súbor cookie sa používa na uloženie súhlasu používateľa so súbormi cookie v kategórii "Nevyhnutné".
cookielawinfo-checkbox-others	11 mesiacov	Tento súbor cookie sa nastavuje pomocou pluginu GDPR Cookie Consent. Súbor cookie sa používa na uloženie súhlasu používateľa so súbormi cookie v kategórii "Iné".
cookielawinfo-checkbox-performance	11 mesiacov	Tento súbor cookie sa nastavuje pomocou pluginu GDPR Cookie Consent. Súbor cookie sa používa na uloženie súhlasu používateľa so súbormi cookie v kategórii "Výkon".
viewed_cookie_policy	11 mesiacov	Súbor cookie je nastavený zásuvným modulom súhlasu s používaním súborov cookie GDPR a používa sa na uloženie informácie, či používateľ súhlasil s používaním súborov cookie. Neukladajú sa v ňom žiadne osobné údaje.

Prihlásenie

Aktuality

GDPR- ochrana osobných údajov po novom

GDPR – ochrana osobných údajov po novom

Posledné aktuality

Krst knihy- Základy diagnostiky a terapie funkčných porúch pohybového systému pre fyzioterapeutov

O výzvach, trendoch a budúcnosti fyzioterapie

Dôležitý oznam

Dotazník

29.02.2024 – Valné zhromaždenie RKF Košice