Dňa 25.05.2018 nadobudne účinnosť nový zákon o ochrane osobných údajov. Jednou z povinností, prevádzkovateľov informačných systémov, je prijať so zreteľom na najnovšie poznatky, na náklady na vykonanie opatrení, na povahu, rozsah, kontext a účel spracúvania osobných údajov a na riziká s rôznou pravdepodobnosťou a závažnosťou pre práva fyzických osôb primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej tomuto riziku, pričom uvedené opatrenia môžu zahŕňať najmä
- a) pseudonymizáciu a šifrovanie osobných údajov,
- b) zabezpečenie trvalej dôvernosti, integrity, dostupnosti a odolnosti systémov spracúvania osobných údajov,
- c) proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu,
- d) proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania osobných údajov
V prvom rade je potrebné uviesť, že prevádzkovatelia informačných systémov mali aj doteraz povinnosť za účelom ochrany osobných údajov prijať primerané technické a organizačné opatrenia. Zákon č. 18/2018 Z.z., ale príkladmo niektorého opatrenia vymenúva. Okrem zákonom vymenovaných opatrení ochrana osobných údajov sa zabezpečuje aj nižšie uvedenými opatreniami.
Technické opatrenia
Realizované prostriedkami fyzickej povahy:
- zabezpečenie objektu pomocou mechanických zábranných prostriedkov (napr. uzamykateľné dvere, okná, mreže) a v prípade potreby aj pomocou technických zabezpečovacích prostriedkov (napr. elektrický zabezpečovací systém objektu, elektrická požiarna signalizácia)
- umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
- bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)
- zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)
Ochrana pred neoprávneným prístupom a detekcia škodlivého kódu
- šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát
- pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza
- detekcia prítomnosti škodlivého kódu – antivírusové programy,
- používanie legálneho a prevádzkovateľom schváleného softvéru
- ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti firewall
- pravidelné testovanie online prostredia – odporúčame prostredníctvom IT spoločností
Riadenie prístupu oprávnených osôb
- identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme – prihlasovanie do počítača užívateľským menom a heslom
- zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému
Zálohovanie
- vytváranie záloh s vopred zvolenou periodicitou
- test obnovy informačného systému zo zálohy
- bezpečné ukladanie záloh
- likvidácia osobných údajov a dátových nosičov
- bezpečné vymazanie osobných údajov z dátových nosičov
Aktualizácia operačného systému a programového aplikačného vybavenia
Organizačné opatrenia
Personálne opatrenia
- poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi
- vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh
- určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov
- vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
- vzdelávanie osôb (napr. právna oblasť, oblasť informačných technológií)
Vedenie zoznamu aktív a jeho aktualizácia – aktíva sú hmotné a nehmotné objekty, ktoré sú súčasťou chráneného systému, pričom ich narušením dochádza k strate dôvernosti, dostupnosti a integrity, alebo až k strate predmetu ochrany (napr. počítač, USB disky s osobnými údajmi, zdravotná dokumentácia).
Riadenie prístupu oprávnených osôb k osobným údajom
- kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)
- správa kľúčov (individuálne prideľovanie kľúčov, bezpečné uloženie rezervných kľúčov)
- prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
- správa hesiel
- vzájomné zastupovanie oprávnených osôb (napr. v prípade nehody, dočasnej pracovnej neschopnosti, ukončenia pracovného alebo obdobného pomeru)
Organizácia spracúvania osobných údajov
- pravidlá spracúvania osobných údajov v chránenom priestore
- nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby
- režim údržby a upratovania chránených priestorov
Likvidácia osobných údajov
- určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)
Bezpečnostné incidenty a kontrolná činnosť
- postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení
- evidencia bezpečnostných incidentov a použitých riešení
- identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov
- postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)
- postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)
- kontrolná činnosť prevádzkovateľa zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie (napr. pravidelné kontroly prístupov k informačnému systému)
Zákon č. 18/2018 Z.z. neukladá, aby prijaté opatrenia boli vyjadrené aj v písomnej forme. Napriek tmu odporúčame v písomnej forme prijať postupy pri riešení bezpečnostných incidentov za účelom, aby nimi boli oboznámení všetci zamestnanci. V prípade, ak máte z minulosti spracovaný bezpečnostný projekt alebo bezpečnostnú smernicu je možné použiť postupy v nich uvedené.
Aj keď poskytovatelia zdravotnej starostlivosti sú oprávnení spracúvať osobné údaje pacientov bez ich súhlasu, sú povinní poskytnúť pacientovi ako dotknutej osobe pri získavaní osobných údajov zákonom stanovené informácie – poučenie. Poučenie je potrebné pri prvom poskytnutí zdravotnej starostlivosti vyhotoviť v dvoch rovnopisoch; jedno bude odovzdané pacientovi, jedno vyhotovenie podpísané pacientom ostáva poskytovateľovi.
GDPR – ochrana osobných údajov po novom
Dňa 25. mája 2018 nadobudne účinnosť nariadenie Európskeho parlamentu a Rady EÚ o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov – GDPR). Na základe predmetného nariadenia Národná rada Slovenskej republiky koncom roka 2017 prijala nový zákon o ochrane osobných údajov, ktorý ku dňu napísania tohto článku nevyšiel v Zbierke zákonov. V nasledujúcom texte si predstavíme, ako GDPR a nový zákon o ochrane osobných údajov ovplyvní spracúvanie osobných údajov pri poskytovaní zdravotnej starostlivosti.
V mediách sa v súvislosti s GDPR veľa hovorí o prísnejších podmienkach získavania súhlasu so spracovaním osobných údajov. S týmto možno súhlasiť, avšak pre poskytovateľov zdravotnej starostlivosti sa nič nemení (vo všeobecnosti sa GDPR dotkne najmä sociálnych sietí a eshopov). Poskytovatelia zdravotnej starostlivosti sa nemusia obávať toho, že budú musieť získavať písomný súhlas pacientov na spracovanie osobných údajov, keďže súhlas na spracovanie osobných údajov sa nevyžaduje, ak spravovanie osobný údajov je nevyhnutné podľa osobitného predpisu. V tomto prípade je osobitným predpisom:
- zákon č. 576/2004 Z.z., v zmysle ktorého sa súhlas dotknutej osoby (pacienta) na spracúvanie, poskytovanie a sprístupňovanie údajov zo zdravotnej dokumentácie sa za podmienok ustanovených zákon č. 576/2004 Z.z. nevyžaduje,
- zákon č. 153/2013 Z.z. o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov,
- zákon č. 578/2004 Z.z. o poskytovateľoch zdravotnej starostlivosti, zdravotníckych pracovníkoch, stavovských organizáciách v zdravotníctve a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,
- zákon č. 362/2011 Z.z. o liekoch a zdravotníckych pomôckach a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.
Ďalšou veľmi diskutovanou témou je zavedenie povinnosti ustanoviť zodpovednú osobu. Návrh nového zákona o ochrane osobných údajov ukladá povinnosť ustanoviť zodpovednú osobu aj osobám, ktorých hlavnou činnosťou je spracúvanie údajov týkajúcich sa zdravia vo veľkom rozsahu. Zákon pojem veľký rozsah bližšie nešpecifikuje, a preto bude závisieť od konkrétnych okolností poskytovateľa zdravotnej starostlivosti (veľkosť zariadenia, počet pacientov), či bude mať povinnosť ustanoviť zodpovednú osobu. Úrad na ochranu osobných údajov Slovenskej republiky v materiáli venujúcom sa GDPR uviedol, že predmetná povinnosť sa nevzťahuje na všeobecného lekára (myslené poskytovateľa zdravotnej starostlivosti prevádzkujúceho ambulanciu všeobecného lekára), ale vzťahuje sa na nemocnice.
Pozitívnou správou je, že nový zákon upúšťa od povinnosti vypracovávania bezpečnostného projektu a bezpečnostných smerníc. Okrem toho nový zákon neukladá povinnosť viesť evidenciu informačného systému a povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov SR. Namiesto toho sa zavádza povinnosť viesť záznam o spracovateľských činnostiach Záznam sa vedie v listinnej podobe alebo elektronickej podobe a musí obsahovať:
- identifikačné údaje a kontaktné údaje prevádzkovateľa, spoločného prevádzkovateľa, zástupcu prevádzkovateľa, ak bol poverený a zodpovednej osoby,
- účel spracúvania osobných údajov,
- opis kategórií dotknutých osôb a kategórií osobných údajov,
- kategórie príjemcov vrátane príjemcu v tretej krajine alebo medzinárodnej organizácií,
- označenie tretej krajiny alebo medzinárodnej organizácie, ak prevádzkovateľ zamýšľa prenos osobných údajov do tretej krajiny alebo medzinárodnej organizácii a dokumentáciu o primeraných zárukách, ak prevádzkovateľ zamýšľa prenos,
- predpokladané lehoty na vymazanie rôznych kategórií osobných údajov,
- všeobecný opis technických a organizačných bezpečnostných opatrení
Vzor záznamu o spracovateľských činnostiach zverejní Úradu na ochranu osobných údajov SR na svojom webovom sídle.
Zavádza sa povinnosť posúdenia vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov. V prípade poskytovateľov zdravotnej starostlivosti sa povinnosť týka len tých, ktorí spracúvajú osobné údaje vo veľkom rozsahu. To znamená, že povinnosť sa nebude týkať poskytovateľov zdravotnej starostlivosti, ktorí nebudú musieť mať určenú zodpovednú osobu.
Ďalšie povinnosti poskytovateľov zdravotnej starostlivosti:
- prijať primerané technické a organizačné opatrenia na zaistenie úrovne bezpečnosti primeranej riziku spracovania osobných údajov – napr. zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania osobných údajov, zabezpečiť proces obnovy dostupnosti osobných údajov a prístup k nim v prípade fyzického incidentu alebo technického incidentu, pravidelne testovať účinnosť technických a organizačných opatrení
- bez zbytočného odkladu oznámiť dotknutej osobe(pacientovi) porušenie ochrany osobných údajov,
- oznámiť Úradu na ochranu osobných údajov SR porušenie ochrany osobných údajov do 72 hodín po tom, ako sa o ňom dozvedel; to neplatí, ak nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva fyzickej osoby.
Záverom upozorňujeme na potrebu zosúladenia zmlúv s osobami, ktoré v rámci činnosti pre poskytovateľa zdravotnej starostlivosti spracúvajú osobné údaje pacientov, zamestnancov alebo iných osôb v mene poskytovateľa zdravotnej starostlivosti (napr. ekonóm v rámci mzdovej agendy) so znením nového zákona o ochrane osobných údajov.