Zdravotnictví – Datový ochránce

Co jsou osobní údaje?

David Mol — Fri, 06 Apr 2018 12:13:24 +0000

S problematikou GDPR vznikají komplikace s pochopením celého nařízení jako takového. Mnohdy nalezneme jen strohou citaci z definice nařízení a několik málo příkladů. Spolu se podíváme detailněji, co je osobními údaji myšleno. Na závěr také uvedeme seznam osobních údajů tak, jak se s nimi nejčastěji při zpracování GDPR ve firmách setkáváme.

Podle článku 4 se osobními údaji rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Pokud jde o citlivé údaje neboli zvláštní kategorie osobních údajů, je zde situace jednodušší. Článek 9 jasně definuje, že jde o údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Příklady osobních údajů

Identifikační, adresní a platební údaje:

oslovení/pohlaví
akademický titul
jméno
příjmení
státní příslušnost
místo a stát narození
věk
datum narození
rodné číslo/popř. národní identifikátor
údaje o dokladech totožnosti
adresa trvalého nebo přechodného bydliště
doručovací nebo jiná kontaktní adresa
název firmy
sídlo podnikání
fakturační adresa
IČ/DIČ
číslo bankovního účtu
spojovací číslo SIPO

Zaměstnanecké údaje:

pracovní pozice
informace o vzdělání
informace o mzdě
informace o exekucích
informace o ZTP/P
osobní číslo
docházka
termíny dovolené
velikost oděvu/obuvi
údaje o manželce/manželovi
údaje o dětech

Elektronické a kontaktní údaje:

telefon
mobilní telefon
fax
e-mailová adresa
ID datové schránky
IP adresa
cookies
autentizační certifikáty
identifikátory v sociálních sítích a komunikačních platformách (Facebook, Skype apod.)
lokační údaje
přístupový kód

Údaje vzniklé profilováním:

údaje získané od subjektu údajů marketingovými průzkumy
údaje o využívání produktů a služeb a bonusů
údaje o typovém chování uživatele
vyhodnocení kreditního rizika
záznamy o spotřebitelské historii a plnění platebních povinností
prediktivní modely

Audio/video:

videozáznam
fotografie
záznam hlasu

Biometrické údaje (zvláštní kategorie o. ú.):

biometrický elektronický podpis
biometrické zpracování fotografie
biometrické zpracování otisku prstu
analýza hlasu
analýza osobnostních projevů

The post Co jsou osobní údaje? appeared first on Datový ochránce.

GDPR ve zdravotnictví

Pavel Šmíd — Tue, 16 May 2017 09:22:41 +0000

Máme bohaté zkušenosti s ochranou osobních údajů a implementací GDPR ve zdravotnických zařízeních. Dokážeme je tedy efektivně a rychle připravovat na soulad s nařízením o ochraně osobních údajů.

Kontaktuje nás pro nezávaznou konzultaci

Již současná právní úprava na oblast ochrany dat samozřejmě pamatuje v několika zákonech i podzákonných předpisech. Tyto řeší problematiku udělování souhlasu se zpracováním dat, definují možnosti nahlížení do zdravotnické dokumentace a stanovují okruh osob, které tak mohou činit, a dále účely zpracování dat, pro které je nutné data anonymizovat.

GDPR nově definuje, co vše spadá pod pojem „osobní údaje o zdravotním stavu“. Ve stručnosti jde o údaje o zdravotním stavu minulém, současném i budoucím (například rizika), informace poskytnuté při registraci ve zdravotnickém zařízení, výsledky vyšetření a testů, a to vše bez ohledu na způsob získání informace.

Dopad na praxi zpracování dat by měl být následující:

Nově bude nutné získat souhlas dané osoby se zpracováním údajů.
Bude nutné zrevidovat rozsah zpracovávaných údajů o pacientech, jakož i určit dobu, po jakou budou údaje aktivně zpracovávány, a dále stanovit, jak a po jakou dobu budou tyto údaje archivovány, a v neposlední řadě určit, které subjekty budou mít k těmto údajům přístup, ke kterým kategoriím údajů a v jakém rozsahu.
Pacientovi bude muset být umožněno poměrně široce se svými údaji nakládat – nahlížet do nich či umožnit jejich elektronický přenos k jinému správci (lékaři, zdravotnickému zařízení). Pacient bude oprávněn požádat o úpravu údajů vedených o své osobě, či omezit rozsah zpracování těchto údajů. Dále bude mít pacient právo požádat o kompletní výpis činností zpracování svých údajů, tedy o celistvý přehled toho, který subjekt, za jakým účelem a v jakém čase do pacientových dat nahlížel nebo je zpracovával.
Pacient bude muset být srozumitelně informován o případné skutečnosti, že došlo k porušení zabezpečení jeho dat, ať v jakémkoliv rozsahu.
Na technické úrovni bude nutné zavést vhodná opatření vedoucí ke zvýšení ochrany dat. Půjde o často zmiňovanou pseudonymizaci dat, šifrování dat, zajištění odolnosti dat a služeb, zajištění schopnosti obnovit data a pravidelné testy zavedených procesů.
Zdravotnická zařízení budou povinna vytvořit funkci pověřence pro ochranu osobních údajů. Tento pověřenec bude dohlížet na to, aby veškeré činnosti byly prováděny v souladu s pravidly a principy GDPR, a zároveň bude prostředníkem pro komunikaci mezi zdravotnickým zařízením a Úřadem pro ochranu osobních údajů (ÚOOÚ).

The post GDPR ve zdravotnictví appeared first on Datový ochránce.

Nařízení evropského parlamentu

David Mol — Sun, 14 May 2017 12:41:25 +0000

General Data Protection Regulation, zkráceně GDPR je nařízením Evropské unie, které vstoupí v účinnost 25.5.2018. Hlavní myšlenkou tohoto přímo aplikovatelného nařízení je zvýšit úroveň ochrany osobních údajů a významně posílit práva občanů Evropské unie v tomto odvětví.

Nařízení GDPR podrobně definuje, co to vlastně osobní údaje jsou a jakým způsobem je s nimi možné nakládat. Subjekt údajů, tedy osoba, jejíž osobní údaje jsou shromažďovány, musí být jasně informován o tom, jaké osobní údaje jsou shromažďovány, za jakým účelem, a musí mít možnost získat komplexní přehled o identifikaci své osoby u jednotlivých entit, které s osobními údaji nakládají. Nařízení GDPR si tak klade za cíl nejen zamezit neoprávněnému nakládání s osobními údaji, ale rovněž vytyčit jasné mantinely v moderním světě elektronických dat.

Nařízení GDPR se dotkne každého, kdo na území EU zpracovává a shromažďuje osobní údaje – ať zaměstnanců a klientů, či zákazníků a dodavatelů. Dopadat bude i na webové poskytovatele služeb, či služby, které pouze analyzují chování uživatelů na webu.

Nařízení GDPR je nahradí současný zákon č. 101/2000 Sb., o ochraně osobních údajů. Česká Republika má jako jedna z mála zemí v rámci EU zmiňovaný zákon přijatý již v současné době na poměrně dobré úrovni. O to snazší bude pro zpracovatele osobních údajů podřídit se nařízení Evropské unie – v zásadě je důležité promyslet své budoucí kroky směřující k navýšení ochrany osobních údajů a získat přehled o interních pohybech dat ve společnosti.

Mezi hlavní povinnosti, které nařízení GDPR ukládá, se řadí povinnost dostatečně informovat fyzické osoby o tom, jakým způsobem je s jejich osobními údaji nakládáno. Další povinností je například zajistit ochránit databáze s osobními údaji proti vnějším útokům, a povinnost vést záznamy o tom, kdo, kdy a jak s těmito osobními údaji nakládá.

The post Nařízení evropského parlamentu appeared first on Datový ochránce.