Bezpieczeństwo przechowywania danych osobowych

Kontynuując analizę praw obowiązków różnych podmiotów świetle RODO, niezwykle istotnym zagadnieniem jest bezpieczeństwo przetwarzania informacji osobach fizycznych.

Szczególnie odniesieniu do prowadzonego salonu optycznego charakteru gromadzonych danych (tym tzw. danych wrażliwych) pacjentów, warto pamiętać sposobach ich przechowywania, potencjalnych zagrożeniach, ale i o możliwościach, dzięki którym ryzyko naruszeń będzie zminimalizowane.

Co do zasady, na początkowym etapie świadczenia usług administrator danych osobowych powinien zapewnić klienta (realizując tym samym obowiązek informacyjny wskazany RODO), że prowadzi wymaganą przepisami prawa dokumentację opisującą sposób przetwarzania informacji oraz zastosował odpowiednie środki techniczne organizacyjne, które zapewniają ochronę przetwarzania tych danych.

Lokalne przechowywanie danych a tzw. chmury

Tradycyjny, lokalny sposób przechowywania danych oznacza, że dane są fizycznie zlokalizowane na komputerach zakładzie optycznym poza tym zakładem nie są dostępne. Większość obowiązków realizowana jest przez właściciela przedsiębiorstwa. Alternatywą dla standardowych, dotychczasowych środków przetwarzania danych osobowych, są popularne dzisiaj chmury. Dzięki tego typu usługom przedsiębiorca nie musi się martwić infrastrukturę techniczną, zaś powinności tym związane cedowane są na operatora tej chmury.

Wyjaśniając, chmura jest zasobem danych, często powiązanym systemem informatycznym (np. sprzedażowym), udostępnionym sieci przez zewnętrznego operatora, chyba, że mówimy tzw. chmurze prywatnej, która umożliwia korzystanie serwera znajdującego się fizycznie salonie.

większości przypadków można też korzystać niej dowolnego miejsca czy urządzenia. Przykładowo, właściciel firmy, będąc na wyjeździe służbowym, może ze swojego laptopa podłączonego do Internetu używać systemu. Wówczas, przy chmurze prywatnej (odróżnieniu od zwykłej chmury) jest świadom, że łączy się ze swoim serwerem. Jednocześnie nie jest on zobowiązany do cyklicznej płatności abonamentowej, jak ma to zwykle miejsce przypadku klasycznej chmury. Co do zasady trzeba jednak opłacić jednorazowo uprzednie wdrożenie prywatnej infrastruktury (np. serwer, łącza czy sprzęt sieciowy).

drugiej strony, samo przetwarzanie informacji ramach chmury udostępnianej przez podmiot trzeci nie umożliwia pełnego nadzoru nad sposobem ich wykorzystywania. Co więcej, usługodawcy mogą mieć także wgląd ich zawartość (zwłaszcza, jeśli takie oprogramowanie jest darmowe). Oczywistym jest, że zgodnie RODO powinno unikać się takich sytuacji. Dane wrażliwe – nie tylko przypadku pacjentów – wymagają bowiem szczególnej ochrony. Warto więc wybrać rzetelnego kontrahenta omawianym zakresie lub zastanowić się nad przechowywaniem takich informacji na wewnętrznych dyskach. Operatorzy chmury zazwyczaj dbają jednak wielokrotne kopie zapasowe zabezpieczenia techniczne.

Prywatność danych opiera się na zaufaniu, że operator chmury wywiązuje się zapisów umowy nie prowadzi np. działalności konkurencyjnej względem swojego klienta. Po nagłym upadku operatora występuje też ryzyko utraty danych. Jeżeli usługodawca jest jednocześnie producentem systemu, występuje dodatkowo ryzyko braku możliwości dalszej pracy (np. wystawiania faktur, prowadzenia sprzedaży).

Jak zadbać o bezpieczeństwo danych?

dobie dzisiejszego rozwoju technologicznego właściciele pracownicy salonów optycznych powinni być świadomi zagrożeń, które może przynieść codzienność związana mediami cyfrowymi. Wystarczy wspomnieć przynajmniej kilku nich: hakerzy, wirusy komputerowe, tzw. rootkity czy pułapki socjotechniczne.

kontekście prowadzenia działalności trzeba zwrócić baczną uwagę na kwestię łączności bezprzewodowej. Gdy administrator nie skonfiguruje poprawnie urządzenia albo nie wprowadzi odpowiednich zabezpieczeń (np. postaci modułu ochronnego Wi-Fi czy dodatkowego szyfrowania sygnału), wówczas naraża się na utratę bezpieczeństwa przetwarzanych danych. Za główną metodę zapewnienia poufności przetwarzanych informacji pacjentach należy zdecydowanie przyjąć zdrowy rozsądek (zwłaszcza wobec wspomnianego wyżej phishingu).

Przemyślmy też wprowadzenie tzw. polityki haseł, która pewnej mierze może zabezpieczyć korzystanie zewnętrznych systemów. Przyjmuje się, że aby utrudnić rozszyfrowanie hasła, powinno ono być zróżnicowane (do każdego systemu musi być inne), składać się małych wielkich liter, ale także cyfr znaków. Nie używajmy prostych skojarzeń, jak nazwa salonu, adresu siedziby czy następujących po sobie liter oraz cyfr.

Regularnie aktualizujmy systemy dostępne oprogramowanie, takie jak antywirusy, zapory sieciowe (firewall) czy nawet programy, których korzystamy ramach codziennych obowiązków. tym miejscu podkreślmy, że za bezpieczeństwo trzeba płacić – bardzo rzadko zdarza się, że darmowe narzędzia gwarantują należyty stopień poufności. ramach zaś poczty e-mail kierujmy się zasadą ograniczonego zaufania, nie przekazujmy więcej danych, aniżeli jest to potrzebne.

Ufaj, ale sprawdzaj

Wybierając najlepsze rozwiązanie dla salonu optycznego warto przemyśleć kwestie związane dostępnym oprogramowaniem, jego dostawcą, także warunkami, które zapewnia on związku tytułowym bezpieczeństwem. Pamiętajmy tym, że – podobnie jak salon optyczny – ów podmiot również jest zobowiązany do wprowadzenia swojej organizacji adekwatnych procedur oraz innych środków mających zapobiegać naruszeniom.

tym zakresie można uwagę zwrócić na umowę powierzenia przetwarzania danych osobowych, która zawierana jest między salonem optycznym dostawcą oprogramowania. Określa ona m.in. obowiązki przetwarzającego (któremu powierza się dane), zakres jego odpowiedzialności oraz uprawnienia administratora – wśród nich wyróżnijmy możliwość kontroli procesu przetwarzania danych jego siedzibie czy nawet wypowiedzenie umowy dochodzenie roszczeń przypadku naruszania przepisów RODO.

 

Marcin Majchrzak


Marcin Majchrzak

Właściciel dyrektor zarządzający Kancelarii Prawnej LexForm, także adwokat kościelny. Zajmuje się szeroko pojętą pomocą prawną dla osób indywidualnych oraz przedsiębiorców, zwłaszcza zakresie prawa medycznego wyznaniowego czy ochrony danych osobowych. Obecnie doktorant na UKSW.

 

Polecamy