RODO aktualności – 09.05.2023 r.

• Prawo nie przewiduje instytucji sprzeciwu pacjenta wobec dostępu do jego dokumentacji medycznej. Część danych pacjenta w elektronicznej dokumentacji medycznej (EDM) jest udostępniona automatycznie personelowi medycznemu. W pozostałych przypadkach to zawsze pacjent sam decyduje. Tyle tylko, że system udzielania zgód przez IKP często nie jest znany ani pacjentom, ani lekarzom.
• Zgodnie z art. 35 ust. 1a ustawy o systemie informacji w ochronie zdrowia (SIOZ) to zgoda pacjenta stanowi podstawę do umożliwienia konkretnemu pracownikowi medycznemu dostępu do danych pacjenta zgromadzonych w SIM. Wyjątkiem są przypadki tzw. dostępów automatycznych, o których mowa w art. 35 ust. 1 ustawy o SIOZ.
• W pozostałych przypadkach pacjent sam decyduje o zasadach udzielania dostępu pracownikom medycznym i innym osobom do jego danych osobowych lub jednostkowych danych medycznych przetwarzanych w SIM. W tym także tych gromadzonych w ramach raportowania informacji o zdarzeniach medycznych i EDM.
• Natomiast pacjent nie może wyrazić sprzeciwu w sprawie danych udzielanych automatycznie. Polskie prawo nie przewiduje instytucji sprzeciwu wobec dostępu do dokumentacji medycznej pacjenta – zaznacza CeZ. W żadnym przypadku, niezależnie od rodzaju dokumentacji, pacjent nie ma możliwości zastrzeżenia dostępu do danych medycznych. Jednak, co warto podkreślić jeszcze raz, pacjent może decydować dla jakiego personelu medycznego zgadza się (oprócz danych automatycznych) na dostęp do jego danych osobowych lub jednostkowych danych medycznych przetwarzanych w SIM i gromadzonych w EDM.

Źródło: https://www.prawo.pl/zdrowie/edm-zgoda-pacjenta-na-dostep-do-dokumentacji,508688.html

• Jedno z ważniejszych orzeczeń sądowych dotyczących pojęcia danych osobowych w ostatnim czasie, w szczególności dla branży IT:
• WYROK SĄDU (ósma izba w składzie powiększonym) z dnia 26 kwietnia 2023 r. W sprawie T‑557/20, „SRB podnosi, że wbrew temu, co uznał EIOD, przekazanie Deloitte kodu alfanumerycznego nie doprowadziło do „pseudonimizacji” danych. Pozostały one anonimowe, ponieważ SRB nie udostępniła Deloitte informacji pozwalających na ponowną identyfikację autorów komentarzy”. W związku z tym (…) do EIOD należało zbadanie, czy przekazane Deloitte komentarze stanowiły dla niego dane osobowe. Zdaniem Sądu: ponieważ EIOD nie zbadał, czy Deloitte dysponował środkami prawnymi i wykonalnymi w praktyce umożliwiającymi mu dostęp do dodatkowych informacji niezbędnych do ponownej identyfikacji autorów uwag, EIOD nie miał podstaw, by wnioskować, że informacje przekazane Deloitte stanowią informacje odnoszące się do „możliwej do zidentyfikowania osoby fizycznej”.
• Należy zauważyć, że w takim przypadku trzeba ustalić zakres dostępu obu podmiotów i nie można automatycznie przyjmować, że każdy z nich przetwarza dane osobowe.

Żródło: https://curia.europa.eu/juris/document/document.jsf;jsessionid=6C1A4AB45272602BAE2F13385426F1CE?text=&docid=272910&pageIndex=0&doclang=PL&mode=lst&dir=&occ=first&part=1&cid=2283338

• Do Urzędu Ochrony Danych Osobowych wpłynęło zgłoszenie Urzędu Miasta Poznania w sprawie naruszenia ochrony danych osobowych. Chodzi o usługę wysyłki na wskazane przez klientów numery komunikatów np. w związku z rezerwacją wizyt w urzędzie, czy powiadomieniem o odbiorze dokumentów. Według poznańskiego magistratu za sprawą stoją cyberprzestępcy.
• Władze miasta podały, że w bazie danych, do której dostęp uzyskali cyberprzestępcy znajdowały się numery telefonów około 30 tys. osób oraz treści urzędowych komunikatów, które nie zawierały danych osobowych. Rzecznik prasowy UODO, który poinformował o wpłynięciu tego zgłoszenia podkreślił, że „istnieje wiele argumentów na prawidłowość poglądu, że numeru telefonu osoby fizycznej jest jej daną osobową”.
• Dyrektor zarządzający SerwerSMS Daniel Zawiliński poinformował PAP, że 19 kwietnia potwierdzone zostało, że w systemie miał miejsce incydent bezpieczeństwa polegający na uzyskaniu nieautoryzowanego dostępu do części danych klientów biznesowych. – W wyniku tego ataku nie stwierdziliśmy uzyskania dostępu do kont naszych klientów – podał. Miasto poinformowało w środę, że pracownik Urzędu Miasta Poznania otrzymał zawiadomienie o incydencie 20 kwietnia. Dyrektor Biura Cyfryzacji i Cyberbezpieczeństwa UMP Michał Łakomski pytany o to, dlaczego informacja do mieszkańców o incydencie została przekazana 25 kwietnia, podkreślił, że komunikat o zdarzeniu został przesłany do mieszkańców „niezwłocznie po uzyskaniu niezbędnych informacji w sprawie”.

Źródło: https://www.prawo.pl/prawo/dane-osobowe-wyciekly-z-poznanskiego-magistratu,521038.html

• Pierwszy w Polsce Instytut zajmujący się zagadnieniami ochrony danych powstał na Akademii Ekonomiczno-Humanistycznej pod patronatem i we współpracy z Urzędem Ochrony Danych Osobowych.
• Celem działań Instytutu jest zwiększenie świadomości społeczeństwa na temat prawa ochrony danych oraz propagowanie najlepszych praktyk i rozwiązań w zakresie przetwarzania i ochrony danych, poprzez badania, raporty, edukację, doradztwo i współpracę z innymi instytucjami oraz uczestnictwo w procesach tworzenia regulacji prawnych w tej dziedzinie. Instytut tworzy zespół ekspertów, praktyków oraz naukowców mających duży wpływ na powstanie i kształtowanie się systemu ochrony danych w Polsce.
• Cieszę się, że pod patronatem UODO powstała naukowa inicjatywa o takim szerokim spektrum działania w zakresie ochrony danych. Jest to kontynuacja działań edukacyjnych śp. Michała Serzyckiego. Pomimo wieloletniego funkcjonowania systemu ochrony danych w Polsce widzimy sporo wyzwań w kontekście rozwoju nowych technologii, regulacji prawnych, edukacji społeczeństwa, kształcenia i profesjonalizacji kadr zajmujących się ochroną danych czy propagowania właściwych standardów i pokazywania najlepszych praktyk w tym obszarze. Jestem przekonany, że Instytut z dużym sukcesem zaangażuje się w tę misję – powiedział Jan Nowak, Prezes UODO.
• Instytut formalnie ma zacząć funkcjonować w maju – wówczas zostanie utworzona Rada Naukowa. Władze administracyjne IPODO tworzą: Jakub Groszkowski (prezes honorowy), Monika Krasińska (dyrektor), Adam Sanocki (zastępca dyrektora) oraz Anna Dudkowska i Ewelina Janczylik-Foryś (pełniące funkcje sekretarzy IPODO).

Źródło: https://uodo.gov.pl/pl/138/2695

• Sztuczna inteligencja (AI) pozwoli na wskrzeszanie zmarłych, a konkretniej na tworzenie ich cyfrowych imitacji. To kolejne wyzwanie dla ustawodawcy, bo będzie musiał zdecydować, czy takie działanie narusza dobra osobiste lub przepisy o ochronie danych osobowych. Obecnie, z prawnego punktu widzenia, zagadnienie ochrony danych osoby zmarłej i jej prywatności pozostaje nierozwiązane.
• Wirtualne zmartwychwstanie wcale nie jest już pieśnią przyszłości – jak donoszą media, nauczenie sztucznej inteligencji zachowań zmarłej osoby, możliwe jest już na tym etapie rozwoju AI.
• Ekspert wskazuje, że, jego zdaniem, nie istnieje odpowiednik prawa do prywatności zmarłej osoby, czy jakaś inna furtka do tego rodzaju procesów. – Natomiast faktycznie w tej materii – o ile świat pójdzie w te stronę – konieczne będą odpowiednie regulacje prawne. Powstaje bowiem pytanie, kto powinien na takich dziełach zarabiać? Logika wskazywałaby przecież na spadkobierców, bo ów program korzystałby z dzieła zależnego pierwotnego twórcy – podkreśla.
• Ze względu bowiem na podmiotowy charakter prawa do prywatności i prawa do ochrony danych osobowych przyjmuje się, że wygasają one wraz ze śmiercią jednostki – podkreśla. – Większość systemów prawnych zapewnia pewne gwarancje godności zmarłych oraz ich bliskich, zwłaszcza poprzez szczegółowe określenie tego, co można, a czego nie można zrobić ze zwłokami lub chroniąc pamięć i kult zmarłego jako dobro osobiste jego najbliższych umożliwiając im w ten sposób zapamiętanie tej osoby jako dobrego, godnego człowieka. Niemniej jednak takie przepisy albo dotyczą wyłącznie fizycznych pozostałości po zmarłym, albo nie chronią bezpośrednio „cyfrowej tożsamości” samego zmarłego – tłumaczy Mateusz Kupiec, prawnik w kancelarii Traple Konarski Podrecki i Wspólnicy

Żródło: https://www.prawo.pl/prawo/cyfrowe-wskrzeszenie-przez-ai-a-rodo-i-dobra-osobiste,521078.html

• Sąd Okręgowy w Helsinkach wydał wyrok trzech miesięcy w zawieszeniu dla byłego dyrektora generalnego centrum psychoterapeutycznego, która stała się celem poważnego naruszenia danych.
• Sąd uznał byłego dyrektora generalnego Vastaamo, Ville Tapio, za winnego przestępstwa w zakresie ochrony danych, ponieważ nie spełniał wymogów ogólnego rozporządzenia o ochronie danych (RODO) w zakresie pseudonimizacji i szyfrowania danych pacjentów przetwarzanych przez centrum.
• Jesienią 2020 r. zarząd Vastaamo zwolnił Tapio w związku z naruszeniem, wkrótce po ujawnieniu, że z bazy danych skradziono bardzo wrażliwe informacje od dziesiątek tysięcy pacjentów. Informacje zawierały dokumentację pacjentów i notatki z sesji terapeutycznych. Niektóre pliki – w tym wyjątkowo osobiste materiały, w tym pamiętniki, diagnozy i informacje kontaktowe – zostały również opublikowane w sieci. Firma oraz indywidualni pacjenci i członkowie personelu otrzymali żądania zapłaty okupu, aby zapobiec wyciekowi większej ilości informacji, ale odmówili zapłaty. Przyczyną było niewłaściwe zabezpieczenie baz danych, w szczególności brak odpowiedniego szyfrowania. Firmę ukarano wówczas administracyjną karą pieniężną w wysokości €608.000.

Żródło: https://yle.fi/a/74-20027665

• EROD opublikowała przewodnik po ochronie danych, aby pomóc właścicielom małych przedsiębiorstw w osiągnięciu większej zgodności z przepisami w zakresie ochrony danych. Przewodnik ma na celu zwiększenie świadomości na temat RODO i dostarczenie MŚP praktycznych informacji na temat zgodności z RODO w przystępnym i łatwo zrozumiałym formacie.
• Andrea Jelinek powiedziała: „W tym przewodniku MŚP znajdą różne narzędzia i praktyczne wskazówki, które pomogą im zachować zgodność z RODO. Zawiera konkretne przykłady zebrane podczas naszych 5-letnich doświadczeń z RODO. „
• Przewodnik obejmuje różne aspekty RODO, od podstaw ochrony danych, po prawa osób, których dane dotyczą, naruszenia danych i wiele innych. Zawiera filmy, infografiki, interaktywne schematy blokowe i inne praktyczne materiały, które pomogą MŚP we wdrażaniu ochrony danych w praktyce. Ponadto przewodnik zawiera przegląd przydatnych materiałów opracowanych dla MŚP przez krajowe organy ochrony danych.

Żródło: https://edpb.europa.eu/news/news/2023/edpb-launches-data-protection-guide-small-business_en