Přejít na obsah

GDPR: ochrana osobních údajů (nejen) ve zdravotnictví

zpět
1.8.2017
Sprinx Systems, a.s.
zvětšitSprinx Systems, a.s.
Autor: Sprinx Systems, a.s.

Sprinx Systems, a.s. | Autor: Sprinx Systems, a.s.

 

Globalizace a technologický rozvoj přinášejí nejen nové výzvy, ale také nová bezpečnostní rizika, mezi která patří i problematika ochrany osobních údajů. Společně s digitalizací vzrostlo také shromažďování a sdílení osobních údajů.

Různé společnosti tak mohou využívat údaje v nebývalém rozsahu, např. díky skrytým podmínkám. Současně s tím lidé stále častěji své údaje zveřejňují dobrovolně, aniž si uvědomují potenciální rizika.

Podobné informace obsahuje i šestý bod vyhlášení Úředního věstníku Evropské unie, kterým EU přijímá Nařízení o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů). Celý dokument se nazývá General Data Protection Regulation(GDPR). Jde o zásadní dokument, jenž bude mít dopad na všechny instituce, právnické osoby i podnikající fyzické osoby. Do jeho aplikace zbývá nyní necelý rok.

Co GDPR znamená v praxi?

Smyslem je chránit subjekt údajů, tedy toho, kdo poskytuje svá osobní data. GDPR hlídá, aby poskytnutí citlivých údajů bylo odvolatelné. Tedy pokud řeknete, sdělíte, poskytnete někomu své telefonní číslo, měl byste mít právo své rozhodnutí odvolat a dotyčný subjekt jej nemohl dále využívat. GDPR se zaměřuje také na ochranu dětí. Počítá ale i s jednáním dospělých, kteří poskytnou své údaje, a nemyslí v tu chvíli na možná rizika.

Pravidla GDPR jsou jednoduchá, pokud se správně podají

1. Získávání dat

S uživateli komunikujte jednoduše a srozumitelně. Pokud po nich chcete osobní údaje, sdělte jim předem, kdo jste, proč údaje zpracováváte, jak dlouho je budete zpracovávat a kdo je získá dále. V praxi to znamená, že na svém webovém formuláři budete mít jednoznačnou identifikaci vaší společnosti a informaci, proč údaje potřebujete a jak dlouho je budete ukládat. Pokud na to máte připravené systémy, můžete osobám, které vám údaje poskytují, také navrhnout budoucí možnost kontroly a editace. Od chvíle, kdy vejde nařízení v platnost, by lidé měli ke svým údajům přístup, navíc s možností poskytnout údaje i jinému zpracovateli – společnosti. Jakmile jste data získali, musíte lidem umožnit je také vymazat – v řeči GDPR – zapomenout. Výjimkou jsou pouze data, která nenaruší svobodu či možnosti přezkoumání, tzn. že některá data pro pojišťovny, finanční úřad či jiné legislativní potřeby musíte ze zákona uchovávat.

2. Varování

Pokud vám data uživatelů byla odcizena nebo se vám podařilo je ztratit a hrozí-li riziko jejich vyzrazení, je vaší povinností dotyčné osoby a úřady informovat.

3. Souhlas

Se zpracováním údajů budete muset získat jednoznačný souhlas. Pokud navíc sbíráte informace ze sociálních sítí, ověřte si věkovou hranici osob, od kterých je sbíráte. V některých případech bude potřeba rovněž souhlasu jejich rodičů. Svolení budete muset mít i k využívání dat pro přímý marketing a budte muset umožnit uživateli volbu. Když se na to podíváme z druhé strany, tak například většina elektronických obchodů uvedené pravidlo dodržuje již dnes. Pokud zpracováváte žádosti, jež vedou k uzavření právně závazné smlouvy (například žádost o půjčku, uzavření smlouvy s operátorem atd.), a využijete 
profilování (zpracováváte data o výši příjmu, nákladech, poplatcích apod.), musíte o tom vyplňujícího informovat. Navíc by v případě zamítnutí měl takový proces kontrolovat člověk (fyzická osoba) a žadatel by měl mít právo takové rozhodnutí napadnout.

4. Bezpečnost

Zvláště citlivé jsou v nařízení EU informace o zdraví, rase, sexuální orientaci, politickém smýšlení a náboženském přesvědčení, které vyžadují vysokou míru ochrany. Pokud zpracováváte informace pro někoho jiného (např. call centra nebo poskytovatele datových služeb), měli byste mít nenapadnutelnou smlouvu, kde budou uvedeny povinnosti každé ze stran. Budete-li data přenášet mimo EU, jednejte vždy podle příslušných právních opatření. To může být případ zejména veřejných cloudů, které poskytují nadnárodní společnosti. Zde je důležité, aby data zůstávala ideálně v rámci EU.

5. Koncepce

Pokud aktuálně pořizujete, vyvíjíte či v brzké době plánujete pořízení nových firemních systémů, myslete na GDPR již teď. Značně si tím zjednodušíte život. Pokud již systémy máte, je nutné zamyslet se nad
 prací s údaji ve vaší společnosti a jednat co nejdříve.

Firmám hrozí pokuty

V případě nedodržení pravidel GDPR hrozí firmám vysoké pokuty. Postup ze strany úřadů by měl být podle dostupných informací postupný. Nejprve by přišlo varování, napomenutí, pozastavení možnosti zpracovávat údaje (může být pro některé organizace likvidační) a následně až pokuty. Ty se mohou dle závažnosti pohybovat ve výši až 20 milionů euro nebo 4 % globálního ročního obratu firmy.

Pro zdravotnické informační systémy to znamená pokud možno racionalizovat (důsledně analyzovat a zdůvodnit) rozsah zpracovávaných údajů o pacientovi, určit dobu aktivního zpracování (umožnit rovněž následné omezení zpracování, tj. v podstatě archivaci) a zajistit přístup k údajům jen oprávněným osobám. Vůči pacientům bude mít pak poskytovatel zdravotnických služeb povinnost uvést, kdo a jak pacientovy údaje zpracovává, za jakým účelem a po jakou dobu, a bude se muset řídit pacientovým přáním opravit či omezit zpracování. Důležitá bude také přenositelnost údajů k jinému správci či zpracovateli bezpečným elektronickým způsobem.

Osobní údaje jsou veškeré informace vztahující se k identifikované nedo identifikovatelné osobě.

Může jít samozřejmě o jméno, pohlaví, věk, datum narození, osobní stav, občanství, IP adresu, fotografický údaj, telefonní číslo, pracovní nebo osobní adresu, e-mail, ověřovací identifikační údaje, informace o rase, etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, zdravotní stav, sexuální orientaci, trestní delikty či pravomocná odsouzení, genetické a biometrické údaje, osobní údaje dětí…

Jiří Jinger
zvětšitJiří Jinger
Autor: Sprinx Systems a.s.

Jiří Jinger | Autor: Sprinx Systems a.s.

 

Jiří Jinger

Ve Sprinxu působí od roku 2011 na pozici Head of Support Department. Jeho specializací je provoz služeb, bezpečnost a cloudová evangelizace.
Je držitelem certifikací pro bezpečnost informací (ISMS), provoz služeb (ITIL) a Microsoft Certified Professional (MCP).


Komentovat článek: GDPR: ochrana osobních údajů (nejen) ve…

*
* Pravidla diskusí - čtěte
*
 

* - údaje označené hvězdičkou jsou povinné

Komentáře

Do této diskuse prozatím nikdo nepřispěl.

přidat komentář
 
 zavřít

Váš tip

  • Jako ochranu před spamem, prosím zodpovězte následující otázku (číslicí):
  • * - položky označené hvězdičkou jsou povinné