GDPR

GDPR – ZÁSADY SPRACOVANIA A OCHRANY OSOBNÝCH ÚDAJOV

Dňa 25.05.2018 nadobudne účinnosť nový zákon o ochrane osobných údajov. Jednou z povinností, prevádzkovateľov informačných systémov, je prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä

  1. a) pseudonymizáciu a šifrovanie osobných údajov,
  2. b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
  3. c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
  4. c) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov.

V prvom rade je potrebné uviesť, že prevádzkovatelia informačných systémov mali aj doteraz povinnosť za účelom ochrany osobných údajov prijať primerané technické a organizačné opatrenia. Zákon č. 18/2018 Z.z., ale príkladmo niektorého opatrenia vymenúva. Okrem zákonom vymenovaných opatrení ochrana osobných údajov sa zabezpečuje aj nižšie uvedenými opatreniami.

Technické opatrenia

Realizované prostriedkami fyzickej povahy:

    • zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia)
    • umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
    • bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)
    • zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)

Ochrana pred neoprávneným prístupom a detekcia škodlivého kódu

    • šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát
    • pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza
    • detekcia prítomnosti škodlivého kódu – antivírusové programy,
    • používanie legálneho a prevádzkovateľom schváleného softvéru
    • ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti firewall
    • pravidelné testovanie online prostredia – odporúčame prostredníctvom IT spoločností

Riadenie prístupu oprávnených osôb

    • identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme – prihlasovanie do počítača užívateľským menom a heslom
    • zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému

Zálohovanie

    • vytváranie záloh s vopred zvolenou periodicitou
    • test obnovy informačného systému zo zálohy
    • bezpečné ukladanie záloh
    • likvidácia osobných údajov a dátových nosičov
    • bezpečné vymazanie osobných údajov z dátových nosičov

Aktualizácia operačného systému a programového aplikačného vybavenia

Organizačné opatrenia

Personálne opatrenia

    • poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi
    • vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh
    • určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov
    • vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
    • vzdelávanie osôb (napr. právna oblasť, oblasť informačných technológií)

Vedenie zoznamu aktív a jeho aktualizácia – aktíva sú hmotné a nehmotné objekty, ktoré sú súčasťou chráneného systému, pričom ich narušením dochádza k strate dôvernosti, dostupnosti a integrity, alebo až k strate predmetu ochrany (napr. počítač, USB disky s osobnými údajmi, zdravotná dokumntácia).

Riadenie prístupu oprávnených osôb k osobným údajom

    • kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)
    • správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)
    • prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
    • správa hesiel
    • vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru)

Organizácia spracúvania osobných údajov

    • pravidlá spracúvania osobných údajov v chránenom priestore
    • nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby
    • režim údržby a upratovania chránených priestorov

Likvidácia osobných údajov

    • určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)

Bezpečnostné incidenty a kontrolná činnosť

    • postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení
    • evidencia bezpečnostných incidentov a použitých riešení
    • identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov
    • postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)
    • postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)
    • kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informačnému systému)

Zákon č. 18/2018 Z.z. neukladá, aby prijaté opatrenia boli vyjadrené aj v písomnej forme. Napriek tomu boli všetci pracovníci REHABILITÁCIe – ambulancie profesora Gútha oboznámení s postupmi pri riešení bezpečnostných incidentov za účelom. Okrem toho prevádzkovateľ je povinný písomne zdokumentovať každý bezpečnostný incident. Prevádzkovateľ bude postupovať podľa Poučenia o právach dotknutej osoby uvedenom nižšie.

Poučenie o právach dotknutej osoby

 podľa zákona č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých

Prevádzkovateľ v informačnom systéme zdravotná dokumentácia pacientov spracúva osobné údaje dotknutej osoby – pacienta za účelom poskytovania zdravotnej starostlivosti. Osobnú údaje sú spracúvané bez súhlasu dotknutej osoby na právnom základe v zmysle § 13 ods. 1 písm. c) zákona č. 18/2018 Z.z. v spojitosti so:

  • zákonom č. 576/2004 Z.z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
  • zákonom č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
  • zákonom č. 581/2004 Z.z. o zdravotných poisťovniach, dohľade nad zdravotnou starostlivosťou a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
  • zákonom č. 153/2013 Z.z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Prevádzkovateľ poskytuje osobné údaje dotknutej osoby nasledovným príjemcom: zdravotná poisťovňa dotknutej osoby, iní poskytovatelia zdravotnej starostlivosti poskytujúci zdravotnú starostlivosť dotknutej osobe, Národné centrum zdravotníckych informácií, osoby vymenované v § 24 ods. 4 a § 25 ods. 1 zákona č.  576/2004 Z.z.

V zmysle § 22 ods. 2 zákona č. 576/2004 Z.z. prevádzkovateľ uchováva osobné údaje dotknutej osoby 20 rokov po smrti dotknutej osoby/20 rokov od posledného poskytnutia zdravotnej starostlivosti dotknutej osobe.

Dotknutá osoba má právo:

  1.  získať od prevádzkovateľa potvrdenie o tom, či sa spracúvajú osobné údaje, ktoré sa jej týkajú. Ak prevádzkovateľ takéto osobné údaje spracúva, dotknutá osoba má právo získať prístup k týmto osobným údajom a informácie o účele spracúvania osobných údajov; kategórii spracúvaných osobných údajov; identifikácii príjemcu alebo o kategórii príjemcu, ktorému boli alebo majú byť osobné údaje poskytnuté, najmä o príjemcovi v tretej krajine alebo o medzinárodnej organizácii, ak je to možné; dobe uchovávania osobných údajov,  ak to nie je možné, informáciu o kritériách jej určenia; práve požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby, ich vymazanie alebo obmedzenie ich spracúvania, alebo o práve namietať spracúvanie osobných údajov; práve podať návrh na začatie konania podľa § 100 zákona č. 18/2018 Z.z.; zdroji osobných údajov, ak sa osobné údaje nezískali od dotknutej osoby; existencii automatizovaného individuálneho rozhodovania vrátane profilovania podľa § 28 ods. 1 a 4 zákona č. 18/2018 Z.z.; v týchto prípadoch poskytne prevádzkovateľ dotknutej osobe informácie najmä o použitom postupe, ako aj o význame a predpokladaných dôsledkoch takého spracúvania osobných údajov pre dotknutú osobu;
  2. na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú. So zreteľom na účel spracúvania osobných údajov má dotknutá osoba právo na doplnenie neúplných osobných údajov.
  3. na to, aby prevádzkovateľ obmedzil spracúvanie osobných údajov, ak
  1. a) dotknutá osoba namieta správnosť osobných údajov, a to počas obdobia umožňujúceho prevádzkovateľovi overiť správnosť osobných údajov,
  2. b) spracúvanie osobných údajov je nezákonné a dotknutá osoba namieta vymazanie osobných údajov a žiada namiesto toho obmedzenie ich použitia,
  3. c) prevádzkovateľ už nepotrebuje osobné údaje na účel spracúvania osobných údajov, ale potrebuje ich dotknutá osoba na uplatnenie právneho nároku, alebo
  4. d) dotknutá osoba namieta spracúvanie osobných údajov podľa § 27 ods. 1 zákona č. 18/2018 Z.z., a to až do overenia, či oprávnené dôvody na strane prevádzkovateľa prevažujú nad oprávnenými dôvodmi dotknutej osoby.
  5. Podať na Úrade na ochranu osobných údajov SR návrh na začatie konania na ochranu osobných údajov podľa § 100 zákona č. 18/2018 Z.z.

Dotknutá osoba v súvislosti so spracúvaním osobných údajov v informačnom systéme zdravotná dokumentácia pacientov nemá právo na vymazanie osobných údajov, nemá právo namietať spracúvanie osobných údajov, nemá právo na prenosnosť osobných údajov.

Poskytovanie osobných údajov dotknutou osobou za účelom poskytovania zdravotnej starostlivosti je zákonnou požiadavkou. Následkom neposkytnutia osobných údajov môže byť odmietnutie poskytnutia zdravotnej starostlivosti.

1.4.2018, Anton Gúth, konateľ

Posted in OZNAMY.