Ochrona danych osobowych – nie daj się zastraszyć

„Zawsze” dokumentacja medyczna innych pacjentów leżała na biurkach w gabinetach lekarskich. A teraz ktoś przychodzi i mówi, aby to zmienić, a zmiany są trudne. Dodatkowo opowiada o GIODO, o sprawach sądowych za naruszenie dóbr, o prokuraturze. Ile razy w naszej placówce ktoś był skontrolowany? Przecież my wiemy, co to jest bezpieczeństwo.

Pacjenci owszem czasem się skarżą, ale da się ich uspokoić, więc dlaczego ktoś opowiada o jakimś mitycznym Yeti, który - co prawda ma swoją stronę i istnieje - ale w naszym mieście nikt tego nie widział. Tak to trudny kawałek chleba. Brak świadomości kadr zarządzających o zasadach broniących poszanowania ludzkiej godności, własności, bo przecież do tego służy ustawa o ochronie danych osobowych.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Przychodnia, w której pacjent może być pewien, że z jego danymi zapozna się tylko ta osoba, która musi może się czuć spokojny. Bo przecież profesjonalnie wykonana usługa, nawet jeśli wykonuje ją moja sąsiadka, zapewnia mi dochowanie przez nią poufności. Niekoniecznie cała okolica będzie wiedziała, że mam raka, rzeżączkę, czy leczę się na HIV.

Żyjemy w czasach, gdzie informacje przetwarza się szybko i masowo, co nie znaczy bezpiecznie. O prywatności i jej ochronie przyzwyczailiśmy się mówić w instytucjach, firmach, bankach, bo przecież mamy swoje prawa i nikt ich nam zabierał nie będzie. Lubimy się kłócić w rejestracjach, kiedy proszą nas o dokumenty. „A po co to, a do czego”.

Na co dzień ciężko jest mówić o prywatności i zachowaniu poufności, kiedy człowiek ma świadomość (lub nie), że w domu jego styl życia odczytują inteligentne liczniki prądu. Kiedy wyjdzie z domu, jest nagrywany przez monitoringi miejskie, prywatne, osiedlowe. Kiedy wejdzie do sklepu, jego komórka jest śledzona przez systemy służące do wyznaczania statystyk najczęściej uczęszczanych dróg.

Na podstawie zawartości naszych koszy na śmieci jestem w stanie opowiedzieć każdemu, jakie przyjmuje leki, gdzie kupuje jedzenie, ile i komu płaci za telefon, z kim koresponduje oraz na co najprawdopodobniej chorujecie. Sami nie przywiązujemy wagi do ochrony własnych informacji. Ma to zrozumieć menedżer, któremu przyjdzie w dodatku za to zapłacić?

Komuś, kto w jego imieniu zajmie się tematem ochrony danych osobowych, trzeba zapłacić. Z jego pomysłów rodzą się często zmiany, które kosztują. Tu ochrona ppoż, tam kraty, tam zamki, wymiana jakichś drzwi. I do tego ten bałagan organizacyjny. Jakieś procedury chce wprowadzać, straszy analizą ryzyk, pracownicy się skarżą, że muszą zmieniać przyzwyczajenia. Przecież jak Pani Zosia dzwoniła z współpracującej z nami firmy do Pani Alinki to Pani Alinka szybko załatwiała sprawę, dyktując przez telefon dane pracowników przysłanych na badania kontrolne w ramach medycyny pracy wraz z ich świadczeniami. Bardzo wygodne było przecież podpinanie zestawień medycznych pod FV. A teraz? Ktoś przychodzi i wywraca ten świat do góry nogami.

Ten dziwny stan ma również swoją ciemną stronę. Są tacy wśród nas – osób zajmujących się ochroną danych osobowych - którzy postanowili straszyć. Straszą w celu uzyskania własnych korzyści. Ostatnim takim głośnym przypadkiem jest e-mail, który nadal krąży po Polsce. Wysyła go Kancelaria Liberty. Mail zaczyna się od słów „Pragniemy zauważyć, że Państwa firma nie jest jeszcze zarejestrowana w GIODO...”.Cóż próżno szukać rejestracji firm w GIODO. Nie znajdziemy tam takiego rejestru. GIODO rejestruje zbiory i ABI nic więcej. Oczywiście w dalszej części znajdujemy odpowiedź, gdzie mamy szukać ratunku. To jest nieudolny szantaż i sugeruję skontaktować się z prawnikiem lub innymi menedżerami, którzy zainteresowali się tematem ochrony danych osobowych.

Rozważając tę metodę prowadzenia działań, podzieliłem je na dwa obszary: ocenę „czarnego marketingu” oraz poziom fachowości, zarówno w piśmie, jak i w mowie tego typu przedsiębiorców.

Co do „czarnego marketingu”, wypełnił on lukę, której wypełnienie przydałoby się, ale ze strony GIODO. Nagłośnienie kontroli, kar, nadużyć wprowadziłoby ten sam efekt zainteresowania tematem, co takie „straszaki” i sądzę, że przyczyniłoby się do wzmocnienia zainteresowania tematem ochrony danych osobowych. Sam osobiście „straszaków” nie poważam. Wierzę, że ludzie powinni się przekonać do ochrony danych osobowych i do tego, że jest to potrzebne. Tym bardziej, że sama ustawa nie oznacza, że danych nam przetwarzać nie wolno, a wręcz przeciwnie. Należy to jednak robić zachowując odpowiednie reguły, aby było to bezpieczne.

Natomiast fachowość takich firm jest w większości przypadków jest wręcz żadna. Nie wyobrażam sobie chronić klienta, przez wydanie mu wzoru dokumentacji do wypełnienia wraz z instrukcją, jak ma to zrobić.

To, co powinna zawierać polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym jest zapisane w rozporządzeniu. Jest to ujęte w ogólnych punktach, ponieważ każdy zakład pracy jest inny. Każdy boryka się z innymi zagrożeniami, więc nie można stosować szablonów, będąc przekonanym, że dzięki kilku stronom broszurki nazwanej „Polityką Bezpieczeństwa” spełniamy wymagania ustawy.

Dodatkowo polityka jest dokumentem, który ma żyć. Każde sprawdzenie, którego dokonuje ABI przynosi nowe wnioski i zmiany. Zanim więc po działaniu „straszaków” zdecydujemy się na wykupienie usług w wyjątkowych cenach od 50 zł w górę, które naprawdę nic nie wnoszą, skonsultujmy się z prawnikiem.

Kończąc słynna już w Polsce sprawę Kancelarii Liberty, zastanawia mnie dlaczego, mimo że mamy oficjalny komunikat GIODO, firmy wymienione na końcu tego maila wypierają się jakoby, miały z tym coś wspólnego. Sprawą zajęły się stowarzyszenia zajmujące się ochroną informacji, bo e-mail nadal krąży.