24 Października 2018

Zabezpieczenie danych osobowych w aptece

W świetle RODO odpowiednie zabezpieczenie danych osobowych jest jednym z podstawowych obowiązków każdego podmiotu, który takie dane przetwarza. Dotyczy to zarówno danych zwykłych jak i tzw. danych wrażliwych, określanych przez RODO mianem „danych szczególnej kategorii”, do których należą m.in. dane medyczne. Prawidłowe zabezpieczenie danych nie jest jednak procesem prostym i nie może następować bezrefleksyjnie.  


Punktem wyjścia dla prawidłowego zabezpieczenia danych osobowych powinna być analiza prowadzonej przez administratora działalności. W ramach tej analizy należy zweryfikować jakie dane są przetwarzane, w jaki sposób i za pomocą jakich narzędzi. Ponadto, uwzględniając powyższe czynniki, należy zastanowić się, jakie zagrożenia mogą dla tych danych wystąpić oraz czy nasza apteka jest na te zagrożenia przygotowana. Zgodnie z RODO, środki ochrony danych (techniczne i organizacyjne) powinny być bowiem dobrane w taki sposób, by odpowiadały ryzyku naruszenia praw i wolności osób fizycznych, których dane są przetwarzane . W konsekwencji inne środki ochrony danych będą stosowane przez małą aptekę, a inne przez dużą aptekę zatrudniającą kilkudziesięciu pracowników i prowadzącą dodatkowo sprzedaż internetową. Ta druga, ze względu na skalę działalności, zakres przetwarzanych danych i zakres osób mających kontakt z danymi będzie zmuszona do wdrożenia większej ilości zabezpieczeń. 
Prawidłowe przeprowadzenie analizy ryzyka prowadzonej działalności wymaga zidentyfikowania wszystkich czynności przetwarzania danych realizowanych przez dany podmiot. Może tu przykładowo chodzić o zapewnienie opieki farmaceutycznej, zapewnienie dostawy leków do apteki, przetwarzanie danych w celach marketingowych, przetwarzanie danych w celu zgłoszenia pracowników do ZUS, wypłaty im wynagrodzenia czy prowadzenie monitoringu wizyjnego. Określenie tych czynności pozwoli nam ustalić zakres przetwarzanych danych i ich rodzaje oraz sposoby przetwarzania. Przykładowo, wiedząc, że przetwarzamy dane w celu zapewnienia opieki farmaceutycznej, wiemy też, czy wykorzystujemy do tego jedynie formę papierową dokumentacji, czy też dodatkowo bądź zamiennie formę elektroniczną, a jeśli tak to z jakich systemów korzystamy. To pozwoli nam z kolei przeanalizować zagrożenia, które mogą wystąpić w związku z przetwarzaniem danych. 
Biorąc pod uwagę rozwijającą się elektronizację branży medycznej i farmaceutycznej, należy zwrócić dużą uwagę na zagrożenia danych związane z użytkowanym sprzętem i oprogramowaniem. Należałoby zweryfikować, czy komputery, routery jak i inny sprzęt elektroniczny są odpowiednio zabezpieczone przed dostępem przez osoby nieupoważnione a także czy uprawnienia przyznane użytkownikom nie są nadmierne - czy każdy z użytkowników ma dostęp jedynie do tych danych, które są mu niezbędne do wykonywania obowiązków. Należałoby poddać analizie stosowane procedury w zakresie logowania, wykonywania kopii zapasowych, odzyskiwania danych, ich niszczenia, przyznawania i odbierania uprawnień dostępu poszczególnym użytkownikom. Oprócz tego, należy rozważyć zagrożenia które mogą wyniknąć z przyjętego systemu obiegu dokumentów – zarówno tych papierowych jak i elektronicznych .

Do przykładowych zagrożeń związanych z przetwarzaniem danych możemy zaliczyć:
•    przypadkowe lub niezgodne z prawem zniszczenie danych – przykładowo omyłkowe zniszczenie papierowej recepty przez personel pomocniczy, 
•    przejęcie danych przez osobę trzecią – przykładowo przejęcie danych przechowywanych w systemie teleinformatycznym przez hakera lub kradzież laptopa należącego do farmaceuty a zawierającego dane personelu hurtowni dostarczającej leki, 
•    nieuprawnione zmodyfikowanie danych – przykładowo nieumiejętne posługiwanie się komputerem przez farmaceutę w wyniku którego dochodzi do zmiany danych członka personelu hurtowni w bazie danych, 
•    nieuprawnione ujawnienie danych – przykładowo włamanie do systemu teleinformatycznego apteki i opublikowanie danych klientów w Internecie,
•    nieuprawniony dostęp do danych – przykładowo włamanie do apteki i zapoznanie się z aktami danego pracownika lub brak zabezpieczenia dokumentacji pracowników i zapoznanie się z ich treścią przez personel sprzątający,
•    utrata dostępu do danych – przykładowo brak prądu, skutkujący brakiem możliwości dostępu do serwera na którym znajdują się dane lub zainfekowanie systemu apteki oprogramowaniem typu ransomeware, które szyfruje wszystkie znajdujące się w nim dane i zgłasza żądanie zapłaty „okupu” za ich odblokowanie. 
Następnym etapem analizy będzie zastanowienie się nad tym jakie jest prawdopodobieństwo wystąpienia każdego z wyodrębnionych zagrożeń, jak również jakie mogą być skutki zmaterializowania się takiego ryzyka dla osób których dane dotyczą. Wśród przykładowych skutków można wskazać m.in. uszczerbek na zdrowiu klienta apteki, brak możliwości skorzystania przez klienta apteki z przysługujących mu praw, dyskryminację, kradzież tożsamości czy też stratę finansową. Zarówno wagę (istotność) danego zagrożenia jak i prawdopodobieństwo jego wystąpienia powinno się określić liczbowo, w zależności od przyjętej skali. Końcowym efektem działań powinno być wyliczenie ryzyka poprzez pomnożenie przyjętej wagi danego zagrożenia naruszenia praw lub wolności osoby, której dane dotyczą, przez prawdopodobieństwo urzeczywistnienia się zagrożenia. Jednocześnie, musimy określić plan postępowania z ryzykiem, ustalając, jakie ryzyko wyrażone liczbowo jesteśmy gotowi zaakceptować bez zastrzeżeń, jakie powinniśmy monitorować, a jakie musimy koniecznie ograniczyć. Przykładowo, ryzyko mieszczące się w przedziale 1-8 akceptujemy, w przedziale 9-12 monitorujemy, a w stosunku do ryzyka w przedziale powyżej 13 musimy podjąć środki zmierzającego do jego minimalizacji. 

Jeśli chodzi o środki mające na celu ograniczenie/minimalizację ryzyka, to – w zależności od okoliczności – mogą to być zarówno środki organizacyjne, jak na przykład przyjęcie odpowiednich reguł postępowania, polityk czy regulaminów oraz środki techniczne takie jak m.in. odpowiednie zabezpieczenie fizyczne miejsca, w którym przetwarzane są dane (montaż zamków w drzwiach pomieszczeń w których są przetwarzane dane osobowe i w szafach w których dane są przechowywane, montaż alarmu, monitoring pomieszczeń) czy też należyte zabezpieczenie systemów komputerowych, w tym  zakup niezbędnego sprzętu IT, instalacja odpowiedniego oprogramowania i zapewnienie jego aktualizacji, zastosowanie zabezpieczeń antywirusowych, itp. Tak jak wspominałam, dobór konkretnych rozwiązań zależeć będzie od analizy ryzyka. 
Równie istotnym elementem zapewnienia bezpieczeństwa danych osobowych jest odpowiednie przeszkolenie personelu w zakresie przepisów o ochronie danych osobowych oraz obowiązujących reguł postępowania z tymi danymi przyjętymi przez daną jednostkę. Poziom kwalifikacji pracowników oraz oferowane im szkolenia powinny być dostosowane do rodzaju wykonywanych przez nich czynności przetwarzania danych. Przykładowo osoby, które na co dzień przetwarzają dane elektronicznie, powinny przejść szkolenie pod kątem zagrożeń związanych z korzystaniem z Internetu, w tym np. w kontekście zainfekowanych załączników w poczcie e-mail czy też phishingu (podszywania się pod daną firmę, instytucję w celu wyłudzenia określonych informacji).   
W praktyce nierzadko zdarza się, że apteki mogą korzystać w ramach swojej działalności z usług podmiotów trzecich, tzw. procesorów. Może tutaj chodzić np. o dostawców oprogramowania, którzy zapewniają jednocześnie jego serwis i utrzymanie, co wiąże się z dostępem do danych klientów apteki,  czy też firmy zapewniające hosting stron internetowych i poczty email. Co istotne, dobierając partnerów do współpracy w zakresie przetwarzania danych, należy wybrać takich, którzy dają odpowiednie gwarancje przestrzegania RODO, w tym zapewniają bezpieczeństwo danych. W razie problemów administrator może bowiem ponosić odpowiedzialność za ich błędy.   
Na koniec chciałabym zwrócić uwagę, że zapewnienie odpowiedniego bezpieczeństwa danych osobowych to nie jest zadanie jednorazowe. Ważne jest bowiem, by co jakiś czas weryfikować aktualność przeprowadzonej analizy ryzyka i dopasowywać istniejące środki ochronne do zmieniającej się rzeczywistości i nowo pojawiających się zagrożeń. Natomiast przy wprowadzeniu nowych procesów przetwarzania danych (np. w związku z rozszerzeniem prowadzonej działalności), należy koniecznie wziąć pod uwagę związane z nimi zagrożenia dotyczące praw i wolności osób, których dane będą przetwarzane.

Red. Radca Prawny Ewa Kuczyńska z Kancelarii Prawnej GFP Legal
PP-MCM-POL-0153/08/2018
 

Czytaj w dziale aktualności i lifestyle:

news box image

24 Października 2018

Przyszłość opieki farmaceutycznej

news box image

22 Sierpnia 2018

Podstawy przetwarzania danych w aptece

news box image

04 Czerwca 2018

Obowiązki farmaceutów związane z RODO