• Ostatnia zmiana 27.12.2017 przez Medyk Białostocki

    Unijna ochrona danych osobowych

    25 maja 2018 roku wchodzi w życie prawo, które ma lepiej zabezpieczać dane osobowe. Jest to ogólne rozporządzenie unijne w sprawie ochrony danych osobowych (RODO), które będzie obowiązujące we wszystkich krajach Unii Europejskiej.

    Tego dnia przestaną obowiązywać w Polsce dotychczasowe przepisy o ochronie danych osobowych.

    Za nieodpowiednie zabezpieczenie danych osobowych, przyszły Urząd Ochrony Danych Osobowych może nałożyć administracyjne kary pieniężne do 100 000 zł

    Nowe rozporządzenie unijne jest dość ogólnym dokumentem i daje pewną swobodę uczelni w doborze odpowiednich zabezpieczeń chroniących dane osobowe, ale równocześnie uczelnia musi być w stanie udowodnić, że wdrożone metody są bezpieczne i adekwatne do zagrożeń i wartości posiadanych danych. Aby taki niezawodny system stworzyć i zastosować właściwe zabezpieczenia, trzeba najpierw przeprowadzić analizę ryzyka.

    Rozporządzenie wskazuje nam pewne rozwiązania, które pomogą wykazać, że uczelnia właściwie dba o dane osobowe. Jedną z takich metod wykazania należytej troski jest przyjęcie „branżowych” kodeksów postępowania. Rektorzy uczelni członkowskich Konferencji Rektorów Akademickich Uczelni Medycznych, w tym i rektor Uniwersytetu Medycznego w Białymstoku, przygotowując się do spełnienia wymogów rozporządzenia, w maju 2017 roku podpisali porozumienie dotyczące współpracy w zakresie ochrony danych osobowych i bezpieczeństwa informacji. Jednym z elementów współpracy w ramach porozumienia jest opracowanie przez Administratorów Bezpieczeństwa Informacji uczelni medycznych wstępnego projektu „Kodeksu postępowania w zakresie ochrony danych osobowych dla uczelni medycznych”. Wstępny projekt zostanie następnie skonsultowany z organem nadzorczym, i po zatwierdzeniu będzie obowiązywał uczelnie medyczne.

    Nowe przepisy wprowadzają też funkcję inspektora ochrony danych.

    Dotychczasowy administrator bezpieczeństwa informacji (pełnomocnik rektora ds. ochrony danych osobowych) stanie się inspektorem ochrony danych. Inspektor w uczelni ma za zadanie doradzać w kwestiach ochrony i monitorować prawidłowość ich przetwarzania w uczelni. Inspektor będzie też punktem kontaktowym dla osób, których dane dotyczą oraz będzie współpracował z organem nadzorczym (przyszłym Urzędem Ochrony Danych Osobowych). Na mocy nowego rozporządzenia inspektor ma być włączany w uczelni we wszystkie sprawy dotyczące przetwarzanych danych osobowych, co umożliwi realizację nowego obowiązku - tzw. ochrony danych osobowych w fazie projektowania. Zasada ta polega na ochronie danych osobowych już na etapie planowania procesu (projektu, systemu), czyli myślimy o ochronie od samego początku.

    Nowe rozporządzenie rozszerza też zakres danych wrażliwych i nazywa je szczególną kategorią, którą trzeba szczególnie chronić, bo ich przetwarzanie może powodować ryzyko dla podstawowych praw i wolności osób. Dane wrażliwe to m.in. dotyczące zdrowia, czyli wszystkie informacje o stanie zdrowia, chorobie, niepełnosprawności, ale nawet o ryzyku choroby, czy o korzystaniu z usług opieki zdrowotnej, są to też dane genetyczne i pochodzące z próbek biologicznych. Ich źródłem może być np. lekarz, pielęgniarka, szpital, ale i urządzenia medyczne, które muszą być też odpowiednio zabezpieczone. W uczelni medycznej, zarówno w pracy dydaktycznej, jak i w badaniach naukowych, mamy tych informacji wrażliwych sporo i musimy o nie szczególnie dbać.

    Rozporządzenie proponuje kilka sposobów zwiększających bezpieczeństwo szczególnie danych wrażliwych. Jest to np. pseudonimizacja oraz szyfrowanie. Pseudonimizacja to użycie w miejsce np. imienia i nazwiska, liczby, tak by nie można było już danych przypisać konkretnej osobie bez użycia dodatkowych informacji.

    Pseudonimizacja jest wskazana w przypadku badań naukowych i należy ją wprowadzać na jak najwcześniejszym etapie, jak tylko to możliwe, tak by jak najmniej osób miało dostęp do pełnych danych o osobie i mogło powiązać wyniki badań z osobą.

    W przypadku zaszyfrowania danych ryzyko ich odczytania przez osoby nieupoważnione i posłużenia się nimi (np. przy wycieku danych, czy utracie laptopa) będzie znacznie mniejsze.

    Na koniec „postraszę” karami. Za nieodpowiednie zabezpieczenie danych osobowych, przyszły Urząd Ochrony Danych Osobowych może nałożyć administracyjne kary pieniężne. Na podmioty publiczne, czyli i na uczelnię, może być nałożona kara do 100 000 zł w zależności od uchybień. Wysokość kary uzależniona jest oczywiście od tego, jakie techniczne i organizacyjne środki zabezpieczenia zastosowała uczelnia.

    W razie jakichkolwiek pytań czy wątpliwości dotyczących danych osobowych proszę o kontakt. Zamieszczam też wszelkie informacje o ochronie danych osobowych na stronie internetowej uczelni pod linkiem https://www.umb.edu.pl/struktura_organizacyjna/abi.

     

    Emilia Minasz

    Pełnomocnik rektora ds. ochrony danych osobowych

    Administrator Bezpieczeństwa Informacji (ABI),·tel. 85 7485500 emilia.minasz@umb.edu.pl

     

  • Baner miejsc na twoją reklamę.      Logotyp 60 lat UMB.      Logotyp Młody Medyk.