SP ZOZ padł ofiarą ataku hakerskiego, który doprowadził do utraty przez placówkę dostępu do danych osobowych pacjentów i personelu. Obok dolegliwości związanych z atakiem, placówkę spotkała kara w wysokości 40 tys. PLN, którą nałożył Prezes Urzędu Ochrony Danych Osobowych (UODO). Jak zatem nie popełnić podstawowych błędów, które mogą sprowadzić karę administracyjną?

Portale społecznościowe to istotne narzędzie dla współczesnego biznesu. Umożliwiają one łatwe promowanie swoich towarów i usług, a także bezpośredni kontakt z klientami. Korzystanie z tego typu rozwiązań nie jest jednak zupełnie obojętne z perspektywy zgodności z przepisami – wliczając w to regulacje dotyczące ochrony danych osobowych. Przedsiębiorca przetwarzając dane osobowe użytkowników mediów społecznościowych musi działać zgodnie z RODO, w szczególności poprzez spełnienie obowiązku informacyjnego. Sprawdźmy, na co warto zwrócić uwagę realizując ten obowiązek i tworząc politykę prywatności związaną z prowadzonymi mediami społecznościowymi.

Zarządzając zgłoszeniami naruszenia prawa od sygnalistów podmiot prawny może skorzystać ze wsparcia w postaci dedykowanej aplikacji dla sygnalistów. Program ten musi jednak spełniać wymogi wynikające z RODO i krajowej ustawy o ochronie sygnalistów. Jednym z najważniejszych jest warunek poufności. Sprawdź, jakie wymogi w zakresie ochrony danych osobowych musi spełniać platforma do obsługi zgłoszeń naruszenia prawa.

Pytanie:  Pacjent żąda udostępnienia dokumentacji medycznej, udostępniając adres swojej poczty e-mail. Niestety domena, z której pacjent korzysta, odrzuca zaszyfrowane załączniki. Czy w takiej sytuacji administrator powinien zmienić sposób szyfrowania? Czy też powinien poprosić pacjenta o skorzystanie z innej domeny e-mail?

Z uwagi na przetwarzanie danych o stanie zdrowia konsekwencje utraty nad nimi kontroli przez podmioty wykonujące działalność leczniczą (PWDL) zawsze będą poważne. Takie dane mogą bowiem nielegalnie trafić w niepowołane ręce, co może skutkować zarówno napiętnowaniem jak i przetwarzaniem informacji o stanie zdrowia w celach komercyjnych przez nieuprawnione do tego podmioty.

Dyrektywa NIS2 to nowe unijne przepisy dotyczące cyberbezpieczeństwa. Stanowi ona rewizję poprzedniej dyrektywy NIS, przyjętej w 2018 r.– biorąc pod uwagę rosnącą istotność dbania o bezpieczeństwo cyfrowe, ustawodawca unijny postanowił zmienić to, na jakie podmioty zostaną nałożone dodatkowe obowiązki, wliczając w to aktualizację tego, jak te obowiązki miałyby w ogóle wyglądać.

Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?

Od 23 maja 2024 r. obowiązuje nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności, nazywane także rozporządzeniem KRI. Ten akt prawny zastąpił uchylone rozporządzenie z dnia 12 kwietnia 2012 r. Sprawdzamy, kto podlega Krajowym Ramom Interoperacyjności i jakie obowiązki przewidują KRI w zakresie ochrony danych osobowych i cyberbezpieczeństwa.

Każdy administrator danych osobowych musi zapewnić inspektorowi ochrony danych niezależność w podejmowaniu decyzji, wykonywaniu przez niego zadań, czy prowadzenia odpowiedniej dokumentacji ODO, jak np. prowadzenia rejestru czynności przetwarzania czy zawierania umów powierzenia. Jest to szczególnie istotne dla zapewnienia maksimum bezpieczeństwa dla przetwarzanych danych w organizacji, również ze względu na cyberbezpieiczeństwo i ewentualne ataki hakerskie.

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.