RODO - role w procesie przetwarzania danych

Wejście w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) stanowi wyzwanie dla podmiotów przetwarzających dane osobowe (w tym dane wrażliwe), przede wszystkim w zakresie szacowania ryzyka związanego z ich zabezpieczeniem i ochroną. Powołując się na opinie specjalistów i przyglądając się bliżej regulacjom zawartym w RODO, planowane zmiany należy postrzegać raczej jako ewolucję przepisów dotyczących ochrony danych, niż rewolucję w ich obszarze. Należy jednak podkreślić, że taki stan rzeczy nie zwalnia poszczególnych podmiotów z konieczności przeprowadzenia szczegółowej analizy ryzyka, pogłębiania wiedzy na temat ochrony danych i stałego doskonalenia procesu ich przetwarzania, w ramach prowadzonej działalności.

Przetwarzanie danych, czyli czym są dane osobowe zwykłe, a czym dane wrażliwe?

Z procesem przetwarzaniem danych, ściśle związane są dwa pojęcia: dane osobowe zwykłe i dane wrażliwe. Zarówno administrator danych jak i podmiot przetwarzający dane (o których mowa w dalszej części artykułu), realizując określone procesy biznesowe, muszą być w pełni świadomi tego jakim typem danych operują. Dzięki temu poszczególne podmioty zaangażowane w proces przetwarzania danych są w stanie przeprowadzić dokładną analizę ryzyka oraz starannie dobrać możliwie jak najlepsze środki ochrony i zabezpieczeń.

Dane osobowe zwykłe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie. Możliwość identyfikacji danej osoby stanowi szansa na określenia jej tożsamości, np. poprzez powołanie się na numer identyfikacyjny (np. PESEL) lub inne czynniki określające, m.in. jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe, itd. Przykładem danych osobowych zwykłych jest np. imię i nazwisko danej osoby.

Dane wrażliwe (inaczej sensytywne) to informacje, szczególnie ważne dla ochrony prywatności danej osoby, które z uwagi na swój charakter zasługują na dodatkową ochronę. Dane wrażliwe stanową szczególną kategorię danych osobowych zwykłych, które ujawniają specyficzne i prywatne informacje o danej osobie, m.in.: pochodzenie rasowe i etniczne, przekonania religijne i światopoglądowe, poglądy polityczne, dane biometryczne, czy dane dotyczące stanu zdrowia. Przykładem danych wrażliwych jest np. informacja o przebytych przez daną osobę chorobach.

Kto jest kim, w procesie przetwarzania danych?

Kluczowe dla zrozumienia obowiązków oraz zakresu odpowiedzialności związanego z wprowadzeniem RODO, jest właściwa identyfikacja ról poszczególnych uczestników procesu przetwarzania danych osobowych. Dzięki temu jesteśmy w stanie określić, kto w relacji placówka medyczna – dostawca oprogramowania odpowiada za określone procesy oraz na jakiej podstawie poszczególne podmioty są upoważnione do wykonywania określonych działań. W dalszej części artykułu poruszony został również temat tego, kto z uwagi na charakter i skalę danych powinien monitorować i kontrolować proces ich przetwarzania.

Administrator danych osobowych (ADO) – wg. artykułu 4 i pkt. 7 RODO – „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Główną funkcją administratora danych osobowych jest samodzielne decydowanie o celach i sposobach przetwarzania danych. W praktyce oznacza to, że odpowiedzialność związana z administracją danych pacjentów (w tym także współadministrowanie) spoczywa na placówce medycznej i zatrudnionych w niej pracownikach. Administrowanie danymi oznacza m.in. zapewnienie kontroli nad tym, jakie dane osobowe i medyczne są przechowywane i przetwarzane w placówce oraz określenie komu dane mogą być przekazywane w ramach procesu ich przetwarzania, np. poprzez ustalenie zakresu uprawnień i upoważnienia. Placówka medyczna, pełniąc rolę administratora danych pacjentów:

• określa cel przetwarzania danych (np. prowadzenie działalności leczniczej i świadczenie usług zdrowotnych),
• przetwarza szczególną kategorię danych tzw. dane wrażliwe (dane dotyczące stanu zdrowia pacjentów),
• ma prawny obowiązek prowadzenia dokumentacji medycznej i przechowywania jej przez określony czas,
• jest zobowiązana do informowania pacjentów o celu przetwarzania danych (np. przetwarzanie na cele medyczne lub marketingowe),
• ma możliwość zawarcia umowy powierzenia (np. umowy z określonym podmiotem przetwarzający dane – dostawcą określonej usługi lub systemu informatycznego).

Podmiot przetwarzający dane (procesor) – wg. artykułu 4 i pkt. 8 RODO – „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. W przypadku podmiotu przetwarzającego kluczową kwestią jest to, że przetwarzanie danych odbywa się na podstawie umowy powierzenia, która została zawarta pomiędzy administratorem danych (AOD), a podmiotem przetwarzającym (minimalna treść umowy powierzenia jest określona przez RODO i zawiera m.in. cel przetwarzania danych, rodzaj przetwarzanych danych, czas ich przetwarzania, itd.). W praktyce oznacza to, że podmiot przetwarzający dane nie staje się ich administratorem w momencie, kiedy te dane są mu powierzone. Głównym zadaniem podmiotu przetwarzającego dane jest to, aby dane były przetwarzane zgodnie z umową powierzenia, z zachowaniem odpowiedniego poziomu zabezpieczeń i ochrony danych. Tym samym jednym z wyzwań, przed którymi musi stanąć administrator danych jest wybór odpowiedniego podmiotu przetwarzającego, który gwarantuje wdrożenie odpowiednich środków techniczno-organizacyjnych (m.in. wiedza techniczna, zasoby techniczno-kadrowe, wiarygodność), spełniających wymogi związane z bezpieczeństwem i ochroną danych osobowych. Warto też wspomnieć o roli podprocesora, czyli podmiotu występującego w roli podwykonawcy określonych usług dla podmiotu przetwarzającego (procesora), np. podprocesorem może być dostawca usługi chmury obliczeniowej lub platformy do wysyłania SMS-ów, itd.

Innym ważnym organem, związanym z procesem przetwarzania danych jest Inspektor Ochrony Danych (IOD) / Data Protection Officer (DPO), który zastępuje obecnego (przed wprowadzeniem RODO) Administratora Bezpieczeństwa Informacji (ABI). W związku z tą zmianą jednostka GIODO (Generalny Inspektor Ochrony Danych Osobowych), zostanie zastąpiona instytucją PUODO (Prezesa Urzędu Ochrony Danych Osobowych). To istotna zmiana, która nakłada obowiązek wyznaczenia Inspektora Ochrony Danych w określonych przypadkach, zarówno przez administratora danych (AOD) jak i podmiot przetwarzający (procesora). Spośród przypadków, które nakazują wyznaczenie IOD należy wskazać sytuację, w której jednym z głównych obszarów działalności administratora danych (AOD) lub podmiotu przetwarzającego (procesora) jest przetwarzanie szczególnej kategorii danych (np. dotyczących stanu zdrowia) na dużą skalę (np. przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub międzynarodowym), w określonym czasie (np. obowiązek przechowywania dokumentacji medycznej przez określony czas) i zakresie (np. przechowywanie danych wrażliwych). W praktyce oznacza to, że zarówno placówka medyczna (jako administrator danych pacjenta) jak również dostawca oprogramowania (podmiot przetwarzający), z uwagi na charakter przetwarzanych danych (dane osobowe i medyczne pacjentów), skalę, czas oraz zakres ich przetwarzania, zobowiązane są do wyznaczania wewnętrznego Inspektora Ochrony Danych. Należy przy tym dodać, że powołanie IOD nie jest wymagane w przypadku indywidualnych gabinetów i praktyk lekarskich. Do najistotniejszych funkcji IOD zaliczyć należy:

• informowanie administratora danych (AOD) oraz podmiotu przetwarzającego (procesora) i podległych im pracowników o obowiązkach wynikających m.in. z RODO oraz z innych przepisów,
• udzielanie wskazówek na podstawie przeprowadzonej przez administratora i podmiot przetwarzający analizy ryzyka, w zakresie odpowiednich i skutecznych środków technicznych i organizacyjnych mających na celu zabezpieczenie danych osobowych,
• monitorowanie przestrzegania zaleceń RODO oraz innych przepisów przez administratora danych i podmiot przetwarzający,
• szkolenie pracowników po stronie administratora danych i podmiotu przetwarzającego, uczestniczących w procesie przetwarzania danych,
• przeprowadzanie audytów w organizacji, w której został powołany.

Oprócz tego osoby, których dane będą przetwarzane przez administratora lub podmiot przetwarzający będą miały prawo kontaktować się z IOD w sprawach dotyczących przetwarzania danych.

Przyglądając się bliżej procesom biznesowym realizowanym przez dostawcę oprogramowania należy przyjąć, że:

• administratorem danych pacjentów jest placówka medyczna, która określa cel przetwarzania danych osobowych i na podstawie umowy powierzenia, upoważnia do przetwarzania danych określony podmiot przetwarzający (dostawcę oprogramowania),
• podmiotem przetwarzającym dane pacjentów jest dostawca oprogramowania, który świadcząc określone usługi jest uprawniony do przetwarzania danych zgodnie z umową powierzenia, która została zawarta z administratorem danych (placówką medyczną),
• podprocesorem jest np. data center jako dostawca usługi chmury obliczeniowej (np. Oktawave lub e24cloud) lub platforma do wysyłania SMS-ów do pacjentów (np. SMSAPI) oraz inni podwykonawcy, którzy przetwarzają dane w imieniu podmiotu przetwarzającego.

Należy przy tym dodać, że podprocesor jest również podmiotem przetwarzającym dane, natomiast podmiotem zlecającym mu przetwarzanie danych nie jest administrator danych, lecz upoważniony przez administratora (na podstawie umowy powierzenia) podmiot przetwarzający (procesor).

Podsumowanie

Podmiotem decydującym o celu przetwarzania danych jest administrator danych (placówka medyczna), który ustala sposób ich przetwarzania oraz określa kto i jakie dane może przetwarzać. Jednym z głównych obowiązków administratora danych jest przestrzeganie zasad bezpieczeństwa związanych nie tylko z obsługą i korzystaniem z systemu informatycznego, ale również z ochroną danych w placówce. Tym samym administrator danych jest zobowiązany do przeprowadzenia szczegółowej analizy ryzyka i wdrożenia odpowiednich środków techniczno-organizacyjnych dotyczących m.in.: polityki bezpieczeństwa w placówce, określenia i kontroli obiegu dokumentów w placówce (np. wydruków danych medycznych i kartotek pacjentów), określenia upoważnień i uprawnień personelu w zakresie dostępu do danych medycznych, itd.

Z kolei głównym zadaniem podmiotu przetwarzającego dane (dostawcy oprogramowania) jest zapewnienie bezpieczeństwa i ochrony danych w procesie ich przetwarzania, zgodnie z celem wskazanym w umowie, jaka została zawarta z administratorem (placówką medyczną). W przypadku podmiotu przetwarzającego, przedmiotem analizy ryzyka jest z jednej strony wytwarzane oprogramowanie, a z drugiej strony realizowany zgodnie z umową proces przetwarzania danych.

Dodatkowo, zarówno administrator danych (placówka medyczna) jak i podmiot przetwarzający dane (dostawca oprogramowania), z uwagi na skalę, czas oraz zakres przetwarzanych danych, są zobowiązani do powołania wewnętrznego Inspektora Ochrony Danych (IOD), którego zadaniem jest stałe audytowanie zabezpieczeń i edukowanie pracowników w zakresie bezpieczeństwa i ochrony danych osobowych, w tym danych wrażliwych. Powołanie IOD nie jest wymagane w przypadku indywidualnych gabinetów i praktyk lekarskich.