Polski Komitet Normalizacyjny |
POLSKA NORMA |
|
|
ICS 35.240.80
PN-EN 14484
miesiąc i rok publikacji
Wprowadza
EN 14484:2003, IDT
Zastępuje
PN-EN 14484:2004 (U)
Przedmowa krajowa
Niniejsza norma została opracowana przez KT nr 302 ds. Zastosowania Informatyki w Ochronie Zdrowia i zatwierdzona przez Prezesa PKN dzień, miesiąc, rok.[Author ID1: at Wed Jul 21 23:00:00 2004
]
Jest tłumaczeniem - bez jakichkolwiek zmian - angielskiej wersji normy europejskiej EN 14484:2003.
<[Author ID1: at Wed Jul 21 23:00:00 2004
]W zakresie tekstu normy europejskiej wprowadzono odsyłacze krajowe oznaczone od N1) do N2). N99)[Author ID2: at Thu Jul 22 14:00:00 2004
].>[Author ID2: at Thu Jul 22 14:00:00 2004
]
<Wprowadzona norma europejska jest zharmonizowana z dyrektywą Unii Europejskiej.>[Author ID1: at Wed Jul 21 23:00:00 2004
]
<[Author ID1: at Wed Jul 21 22:59:00 2004
]Załącznik krajowy NA [Author ID1: at Wed Jul 21 22:59:00 2004
](informacyjny[Author ID1: at Wed Jul 21 22:59:00 2004
])[Author ID1: at Wed Jul 21 22:59:00 2004
]>[Author ID0: at Thu Nov 30 00:00:00 1899
]
<[Author ID1: at Wed Jul 21 22:59:00 2004
]Odpowiedniki krajowe norm i dokumentów powołanych[Author ID1: at Wed Jul 21 22:59:00 2004
]>[Author ID1: at Wed Jul 21 22:59:00 2004
]
<Załącznik krajowy NB [Author ID1: at Wed Jul 21 23:00:00 2004
](informacyjny)>[Author ID1: at Wed Jul 21 23:00:00 2004
][Author ID0: at Thu Nov 30 00:00:00 1899
]
<Treść <ISO><IEC> : objęta modyfikacjami europejskimi>[Author ID0: at Thu Nov 30 00:00:00 1899
]
NORMA EUROPEJSKA |
EN 14484 |
EUROPEAN STANDARD |
|
NORME EUROPÉENNE |
|
EUROPÄISCHE NORM |
grudzień 2003 |
ICS 35.240.80[Author ID2: at Thu Jul 22 14:03:00 2004
]
Wersja polska
Health informatics[Author ID2: at Thu Jul 22 14:01:00 2004
]Informatyka [Author ID2: at Thu Jul 22 14:01:00 2004
]medyczna
International transfer of personal[Author ID2: at Thu Jul 22 14:02:00 2004
] health data covered by the EU data protection directive - High level security policy[Author ID2: at Thu Jul 22 14:02:00 2004
][Author ID2: at Thu Jul 22 14:02:00 2004
]
Międzynarodowy przekaz medycznych danych osobowych objętych dyrektyw[Author ID2: at Thu Jul 22 14:02:00 2004 ]ą UE dotycząc[Author ID2: at Thu Jul 22 14:02:00 2004 ]ą ochrony danych [Author ID2: at Thu Jul 22 14:02:00 2004 ]- [Author ID2: at Thu Jul 22 14:02:00 2004 ]Wysoki poziom polityki bezpieczeństwa [Author ID2: at Thu Jul 22 14:03:00 2004 ]
Health informatics - International transfer of personal health data covered by the EU data protection directive - High level security policy |
Informatique de santé - Transfer international des données personelles de santé couvertes par la directive européenne sur la protection des données personelles - Politique de sécurité de haut niveau |
Medizinische Informatik - Internationaler Austausch von unter die EU-Datenschultzrichtlinie fallenden persönlichen Gesundheitsdaten - Generelle Sicherheits-Statements |
Niniejsza norma jest polską wersją normy europejskiej EN 14484:2003. Została ona przetłumaczona przez Polski Komitet Normalizacyjny i ma ten sam status co wersje oficjalne.
Niniejsza norma europejska została przyjęta przez CEN 13 listopada 2003.
Zgodnie z Przepisami Wewnętrznymi CEN/CENELEC członkowie CEN są zobowiązani do nadania normie europejskiej statusu normy krajowej bez wprowadzania jakichkolwiek zmian. Aktualne wykazy norm krajowych, łącznie z ich danymi bibliograficznymi, można otrzymać w Centrum Zarządzania CEN lub w krajowych jednostkach normalizacyjnych będących członkami CEN.
Norma europejska została opracowana w trzech oficjalnych wersjach językowych (angielskiej, francuskiej i niemieckiej). Wersja w każdym innym języku, przetłumaczona na odpowiedzialność danego członka CEN i notyfikowana w Centrum Zarządzania CEN, ma ten sam status co wersje oficjalne.
Członkami CEN są krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Danii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Luksemburga, Malty, Niemiec, Norwegii, Portugalii, Republiki Czeskiej, Słowacji, Szwajcarii, Szwecji, Węgier, Włoch i Zjednoczonego Królestwa.
CEN
EUROPEJSKI [Author ID2: at Thu Jul 22 14:07:00 2004 ]KOMITET [Author ID2: at Thu Jul 22 14:07:00 2004 ]NORMALIZACYJNY
EUROPEAN COMMITTEE FOR STANDARDIZATION
COMITÉ [Author ID2: at Thu Jul 22 14:06:00 2004
]É[Author ID2: at Thu Jul 22 14:06:00 2004
] EUROPÉEN [Author ID2: at Thu Jul 22 14:06:00 2004
] DE [Author ID2: at Thu Jul 22 14:06:00 2004
] NORMALISATION
EUROPÄ[Author ID2: at Thu Jul 22 14:06:00 2004
]Ä[Author ID2: at Thu Jul 22 14:06:00 2004
]ISCHES [Author ID2: at Thu Jul 22 14:06:00 2004
]KOMITEE [Author ID2: at Thu Jul 22 14:07:00 2004
] FÜR [Author ID2: at Thu Jul 22 14:07:00 2004
] NORMUNG
Centrum Zarządzania: rue de Stassart 36, B-1050 Brussels[Author ID2: at Thu Jul 22 14:09:00 2004 ]
© 2003 CEN [Author ID2: at Thu Jul 22 14:10:00 2004 ]All rights of exploitation in any form and by any means reserved worldwide for CEN national Members
|
nr ref. EN 14484:2003 E |
Spis treści
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->Przedmowa...............................................................................................................................................[Author ID0: at Thu Nov 30 00:00:00 1899 ]
-->Wprowadzenie...[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->........................................................................................................................................[Author ID0: at Thu Nov 30 00:00:00 1899 ]
-->1 Zakres normy............................................................................................................................. [Author ID0: at Thu Nov 30 00:00:00 1899 ]
-->2 [Author ID1: at Wed Jul 21 23:21:00 2004 ]-->Powołania normatywne............................................................................................................[Author ID0: at Thu Nov 30 00:00:00 1899 ]
-->3 Terminy i definicje.............................................................................................[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->.........................[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]-->[Author ID1: at Wed Jul 21 23:21:00 2004 ]
Przedmowa
Niniejsza norma europejska została opracowana przez Komitet Techniczny CEN/TC 251, "Europejska Normalizacja Informatyki Medycznej"N1), którego sekretariat jest prowadzony przez SIS.
Niniejsza norma europejska powinna uzyskać status normy krajowej, przez opublikowanie identycznego tekstu lub uznanie, najpóźniej do czerwca 2004r., a normy krajowe sprzeczne z daną normą powinny być wycofane najpóźniej do czerwca 2004r.
Załącznik A ma charakter normatywny. Załączniki B i C mają charakter informacyjny.
Zgodnie z Przepisami Wewnętrznymi CEN/CENELEC do wprowadzenia niniejszej normy europejskiej są zobowiązane krajowe jednostki normalizacyjne następujących państw: Austrii, Belgii, Danii, Finlandii, Francji, Grecji, Hiszpanii, Holandii, Irlandii, Islandii, Luksemburga, Malty, Niemiec, Norwegii, Portugalii, Republiki Czeskiej, Słowacji, Szwajcarii, Szwecji, Węgier, Włoch i Zjednoczonego Królestwa.
Wprowadzenie
W związku z ochroną zdrowia, z wielu celów, do których osiągnięcia potrzebne jest gromadzenie, przechowywanie i przetwarzanie informacji o osobach fizycznych, głównymi celami są:
bezpośrednie świadczenie opieki, np. dokumentacja pacjenta;
proces administracyjny, np. rejestracja wizyt;
badania kliniczne;
statystyka.
Jakie dane są potrzebne, zależy od celu. W związku z identyfikowaniem osób, dane mogą być potrzebne, by:
umożliwiać łatwą i jednoznaczną identyfikację osoby, np. przez połączenie nazwiska, adresu, wieku, płci i numeru identyfikacyjnego;
potwierdzać, że dwa zbiory danych należą do tej samej osoby bez jej udziału, np. w celu łączenia dokumentów lub poprawy statystyki;
w celach statystycznych, ale z nastawieniem na uniemożliwienie identyfikacji jakiejkolwiek osoby.
We wszystkich tych okolicznościach dane o osobach są teraz, i coraz częściej będą w przyszłości, przekazywane ponad granicami państw lub w sposób zamierzony będą udostępniane w państwach innych niż te, w których są gromadzone albo przechowywane. Dane mogą być gromadzone w jednym państwie i przechowywane w innym, przetwarzane w trzecim, a dostępne z wielu państw lub nawet globalnie.
Kluczowym wymaganiem jest, żeby w całości takie przetwarzanie było wykonywane w sposób, zgodny z:
celami i zezwoleniami udzielonymi w odniesieniu do pierwotnego gromadzenia danych, a w szczególności;
wszystkie medyczne dane osobowe powinny być ujawniane właściwym osobom albo organizacjom w ramach tych celów i zezwoleń.
Międzynarodowe aplikacje związane z ochroną zdrowia wymagają przesyłania danych z jednego państwa do innego. Jest to oczywiste w telemedycynie lub gdy dane są przesyłane elektronicznie, na przykład w poczcie elektronicznej, albo jako plik dołączony do międzynarodowej bazy danych. Zdarza się też tak, ale oczywiście rzadziej, że baza danych w jednym państwie jest przeglądana z innego państwa, na przykład przez Internet. Taka aplikacja może wydawać się pasywną, ale przeglądanie wymaga ujawnienia danych i jest uważane za przetwarzanie. Ponadto wymaga to pobierania danych, które mogą być automatycznie umieszczane w podręcznym repozytorium i przechowywane tam aż do momentu przetwarzania, i pociąga za sobą szczególne zagrożenie bezpieczeństwa.
Zakres typów organizacji w państwach trzecich, które mogłyby być włączone do grona posiadaczy osobowych danych medycznych z państwa członkowskiego UE jest szeroki. Na przykład:
placówki ochrony zdrowia, takie jak szpitale;
przedsiębiorstwa farmaceutyczne zaangażowane w badania,
kontrahenci zdalnie obsługujący systemy ochrony zdrowia w szpitalach UE;
przedsiębiorstwa posiadające edukacyjne bazy danych zawierające, na przykład, radiologiczne obrazy z diagnozami i opisami przypadków;
przedsiębiorstwa posiadające banki dokumentów medycznych pacjentów z różnych państw.
Wszystkie aplikacje w których wymagane jest wykorzystanie medycznych danych osobowych mogą być potencjalnym źródłem zagrożenia prywatności osoby fizycznej. Zagrożenie i jego zakres zależy od:
poziomu ochrony danych, wg którego dane są chronione przed nieupoważnionym dostępem podczas przechowywania lub przesyłania;
liczby osób, które mają upoważnienie dostępu;
rodzaju przechowywanych medycznych danych osobowych;
poziomu trudności w identyfikowaniu osoby, do której danych uzyskano dostęp;
trudności w uzyskaniu nieautoryzowanego dostępu.
Gdziekolwiek dane medyczne są gromadzone, przechowywane, przetwarzane lub publikowane (włączając publikacje elektroniczne w Internecie) należy oceniać potencjalne zagrożenie prywatności i przyjąć odpowiednie środki ochronne. Zaleca się, aby jakaś forma analizy ryzyka była prowadzona, by stwierdzać wymagany poziom środków bezpieczeństwa.
Dodatkowo poza organizacjami normalizacyjnymi CEN, CENELEC, ISO i IEC istnieją trzy ważne ponadnarodowe organizacje, które przygotowały uznane międzynarodowo dokumenty dotyczące bezpieczeństwa i ochrony danych:
Unia Europejska (EU);
Organizacja Ekonomicznej Współpracy i Rozwoju (OECD);
Rada Europy;
Organizacja Narodów Zjednoczonych (UN).
Podstawowymi dokumentami tych organizacji są:
EU Data Protection Directive „on the protection of individuals with regard to the processing of personal data and free movement of that data” [1];
OECD ”Guidelines on the Protection of Privacy and Trans-border flows of Personal Data” [2];
OECD ”Guidelines for the Security of Information Systems” [3];
Council of Europe ”Convention for Protection of individuals with regard to Automatic Processing of Personal Data” Nr. 108 [4];
„Council of Europe Recommendation R(97)5 on the Protection of Medical Data” [5];
UN General Assembly ”Guidelines for the Regulation of Cmputerised Personal Data Files” [6].
Środki i zakres ochrony zapewniane osobowym danym medycznym różnią się w zależności od państwa [7]. W pewnych państwach istnieje ogólnokrajowe ustawodawstwo dotyczące prywatności, w innych uregulowania ustawodawcze mogą być na regionalnym poziomie (lub równoważnym). W pewnych państwach takie ustawodawstwo może nie istnieć, chociaż różne zawodowe kodeksy postępowania albo równoważne, prawdopodobnie będą istnieć zamiast tego lub, medyczne prawo, które nadkłada na lekarzy wykonujących zawód obowiązek ochrony poufności.
Chociaż ustawodawstwo dotyczące prywatności w różnych częściach świata może wspominać o osobowych danych medycznych, często nie ma szczególnego ustawodawstwa dotyczącego ochrony zdrowia, z wyjątkiem być może dotyczącego agencji rządowych i/lub badań medycznych.
Celem dyrektywy UE o ochronie danych (patrz tekst załącznik A) jest tworzenie jednolitych warunków ustawodawczych ochrony danych w całej Unii Europejskiej. Dyrektywa ma też zastosowanie w państwach Europejskiego Obszaru Gospodarczego, nie będących członkami Unii, na mocy Traktatu (EEA) - decyzja 83/1999 z 25 czerwca 1999. Większość państw Centralnej i Wschodniej Europy oraz Cypru, które ubiegają się o to, by stać się członkami UE, też zamierza wprowadzić ustawodawstwo zgodne z tą dyrektywą.
W dyrektywie tej dopuszcza się, by dane osobowe były przekazywane poprzez granice UE. Jednak, przekazywanie danych osobowych z państwa UE do państwa nie będącego członkiem UE jest regulowane artykułami 25 i 26.
W istocie, z zastrzeżeniem określonych „wyłączeń”, zgodnie z artykułem 25 zezwala się na przesyłanie danych osobowych do państwa trzeciego tylko wtedy, gdy to państwo trzecie „zapewnia wystarczający poziom ochrony”.
„Odpowiedniość ochrony” ma być oceniana (artykuł 25.2) w świetle wszystkich okoliczności ze zwróceniem „szczególnej uwagi” na szczególne czynniki obejmujące:
rodzaj danych;
cel i czas trwania proponowanej (-ych) operacji przetwarzania;
przepisy stosowanego prawa,
przepisy branżowe i środki bezpieczeństwa, które są stosowane,
państwo pochodzenia i państwo ostatecznego przeznaczenia.
W związku z ochroną zdrowia medyczne dane osobowe mogą być z natury swej skrajnie wrażliwe i są uznawane za takie w tej dyrektywie. Istnieją obszerne wskazówki dostępne zarówno w poszczególnych państwach, jak i na arenie międzynarodowej na temat ochrony medycznych danych osobowych (patrz załącznik B).
Jak stwierdzono powyżej, w wielu państwach istnieje mieszanina ogólnych i szczegółowych prawnych albo quasi prawnych wymagań obejmujących ochronę medycznych danych osobowych oraz zawodowe kodeksy postępowania, obejmujące aspekty etyczne oraz ochronę prywatności. Te dwa aspekty mogą nie być spójne i mogą w pewnych sytuacjach być w konflikcie. W niniejszej normie europejskiej, chociaż odnosi się ona do obu, zajęto się głównie prawnym aspektem wyprowadzanym ze wdrożenia dyrektywy o ochronie danych. Kodeksy etyczne często zawierają materiał, który pozostaje poza formalnymi wymaganiami prawnymi. Zaleca się, aby wskazówki według niniejszej normy nie zmniejszały stopnia zgodności z takimi bardziej obszernymi dokumentami. Faktycznie, zapewnianie zgodności z regułami prawa jest tylko jednym aspektem zapewniania ochrony prywatności. W związku z tym zaleca się zwrócenie uwagi na fakt, że Europejska Grupa ds. Etyki w Nauce i Nowych Technologiach [8], jest zdania, że ”zaleca się, aby dane osobowe były rozważane w ramach praw człowieka, nawet jeżeli w pewnych przypadkach mogą być one przedmiotem transakcji” i ”dopóki dane osobowe są odbiciem tożsamości osoby, nie mogą być traktowane jako całkowicie od niej odrębne”. Grupa zauważyła, że w konsekwencji ”pewne państwa traktują szczególne medyczne dane osobowe jako niezbywalne by chronić godność jednostki”. Międzynarodowe Stowarzyszenie Informatyki Medycznej jest w trakcie tworzenia i przyjmowania kodeksu etycznego osób uprawiających zawody związane z informacjami medycznymi [18].
W artykule 26 dyrektywy podano szczegóły odstępstw, zgodnie z którymi Państwo Członkowskie UE może zezwalać na przesyłanie danych osobowych do państwa trzeciego, bez odpowiedniego poziomu ochrony danych. Pełny wykaz podano w załączniku A. Odstępstwa obejmują przypadki, gdy:
osoba, której dotyczą dane, udzieli swojej jednoznacznej zgody;
konieczna jest ochrona żywotnych interesów osoby, której dotyczą dane;
„administrator danych zaleci odpowiednie zabezpieczenia dotyczące ochrony prywatnosci oraz podstawowych praw i wolności osób”; „takie działania zabezpieczające mogą w szczególności wynikać z odpowiednich warunków umów”.
Grupa robocza, ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych została utworzona na mocy artykułu 29 dyrektywy UE. Jej rozstrzygnięcia dostarczają ważnych interpretacji i ocen na temat stosowania dyrektywy.
W normie EN 14485, Health informatics - Guidance for handling personal health data in international applications in the context of the EU data protection directive [9] dostarczono ogólnych wskazówek na temat działań zalecanych do podjęcia, aby było dopuszczalne przesyłanie osobowych danych medycznych z państwa członkowskiego UE lub z innego państwa.
Te ogólne działania zawierają wskazówki dotyczące zapewniania, że takie przesłania są dopuszczalne ze względu na dyrektywę. Co prawda wskazane są działania, które zaleca się, aby organizacja z państwa niebędącego członkiem UE podjęła, by przesyłania były dopuszczalne, jednak w normie nie wyjaśniono istotnych elementów, które zaleca się, aby taka organizacja uwzględniła w swojej polityce bezpieczeństwa obejmującej te typy międzynarodowych aplikacji.
W niniejszej normie podejmuje się te aspekty i dostarcza wskazówek na temat polityki, którą zaleca się, aby organizacja w państwie niebędącym członkiem UE przyjęła, by wykazać zgodność ze środkami koniecznymi do przesyłania osobowych danych medycznych do tej organizacji z państw UE, w związku z dyrektywą UE.
Podstawą niniejszej normy jest założenie, że zaleca się, aby wszystkie organizacje przetwarzające medyczne dane osobowe w międzynarodowych aplikacjach uwzględniały w swoich politykach bezpieczeństwa, w ramach swoich obowiązków, dyrektywę UE o ochronie danych. Byłoby to ze znaczną korzyścią dla osób, których dane dotyczą, ze względu na dane medyczne obejmujące pacjentów, jeżeli wszystkie takie organizacje prowadziłyby politykę wysokiego poziomu bezpieczeństwa zgodnie z którą:
wyjaśniono by sprawy, które wyjaśniają organizacyjne oczekiwania całego personelu zaangażowanego w przetwarzanie medycznych danych osobowych w międzynarodowej aplikacji (często umieszczane w umowach zatrudnienia);
zapewniony byłby dostęp do danych na żądanie każdej osoby, której dane dotyczą;
część dokumentacji ułatwiałaby władzom nadzorczym UE rozpraszanie wątpliwości, czy organizacja stosuje się do dyrektywy;
ułatwiono by rozpraszanie wątpliwości innych ciał, związanych z organizacją w kontekście danych medycznych.
Mimo, że w dyrektywie dopuszcza się przesyłanie osobowych danych medycznych do innych państw członkowskich UE (dokładniej również do państw członkowskich EEA), niemniej jednak administratorzy danych mają obowiązek zapewniać organizacje z UE/EEA o wdrożeniu koniecznych wymagań odnośnie do przetwarzania danych. Wysoki poziom polityki bezpieczeństwa - będzie pomagać administratorom UE w:
określaniu i szacowaniu prawidłowości warunków ochrony danych dla tych właściwych danych, z którymi mają do czynienia;
demonstrowaniu innym prawidłowości ich własnych warunków.
W artykule 25 dyrektywy zakazuje się przesyłania danych osobowych do państw nie będących członkami Europejskiego Obszaru Gospodarczego, jeżeli nie mają odpowiednich warunków do ochrony danych w związku z dyrektywą. W artykule 26 podano szczegóły dopuszczalnego odstępstwa w związku z tamtym zakazem.
Organizacje UE szukające kontaktu z organizacjami w państwach nie będących członkami EEA w międzynarodowych aplikacjach wymagających osobowych danych medycznych, powinny co najmniej upewnić się, że partner z państwa nie będącego członkiem UE:
pozostaje w zgodności ze wszelkimi środkami, które będą zapewniać prawidłowość ochrony danych w kontekście dyrektywy UE (poza jedynie technicznymi aspektami bezpieczeństwa); lub
będzie zapewniać zgodność z warunkami wszelkich dostępnych odstępstw.
Wysoki poziom polityki bezpieczeństwa, która tę normę określa będzie wspierać:
organizacje z krajów UE w ustanawianiu warunków dla stron z państw nie będących członkami EEA w celu określania dopuszczalności przesyłania medycznych danych osobowych;
organizacje z państw nie będących członkami UE w stosowaniu się do wymagań dyrektywy w związku z przesyłaniem do nich medycznych danych osobowych z obszaru EEA.
1 Zakres normy
W niniejszej normie europejskiej dostarczono wskazówek na temat wysokiego poziomu polityki bezpieczeństwa organizacjom w państwach trzecich oraz ograniczono się do aspektów mających znaczenie w przypadku medycznych danych osobowych przesyłanych z państwa działającego zgodnie z dyrektywą do państw trzecich (patrz definicje).
W niniejszej normie europejskiej podano wskazówki na temat wysokiego poziomu polityki bezpieczeństwa, zalecane do przyjęcia przez organizacje z państw trzecich zaangażowane w międzynarodowych aplikacjach informatycznych, których stosowanie pociąga za sobą przesyłanie medycznych danych osób z państw członkowskich UE do państw nie będących członkami UE, w których ochrona danych jest niedostateczna w kontekście wymagań dyrektywy Unii o ochronie danych [1]. Jej celem jest wspomaganie stosowania dyrektywy UE.
W normie europejskiej nie podano autorytatywnych porad prawnych, ale zawarto wskazówki. Jeżeli stosuje się wskazówki do poszczególnych aplikacji, zaleca się poszukiwanie właściwej porady prawnej.
Podczas gdy wskazówki będą użyteczne do sformułowania wysokiego poziomu polityki bezpieczeństwa organizacji UE, w przypadku organizacji w państwach trzecich ich zakres jest ograniczony (patrz definicje).
2 Powołania normatywne
Nie mają zastosowania.
3 Terminy i definicje
Następujące terminy i definicje mają zastosowanie w niniejszej normie europejskiej. Jeśli termin jest zdefiniowany w dyrektywie UE o ochronie danych (artykuł 2), to jego definicja ma zastosowanie w niniejszej normie europejskiej. W państwach, w których dyrektywa UE nie była wdrożona, w tych warunkach mogą być używane inne normy i mogą mieć status prawny i dlatego zaleca się zachowanie uwagi w stosowaniu tej normy w tych okolicznościach.
3.1
identyfikowalna osoba
osoba, która może być zidentyfikowana, bezpośrednio albo pośrednio, w szczególności za pomocą powołania się na numer identyfikacyjny lub jeden, albo kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową albo społeczną tożsamość
3.2
państwo przestrzegające dyrektywy
państwo, którego ustawodawstwo uwzględnia wymagania dyrektywy UE dotyczącej ochrony danych i jest uznawane za takie państwo przez Komisję Europejską
3.3
administrator danych
osoba prawna albo fizyczna, urząd publiczny, agencja albo jakiekolwiek inny organ, która sama albo wspólnie z innymi określa cele i środki przetwarzania danych osobowych; jeżeli cele i środki przetwarzania są określone narodowy albo unijnym prawem lub są regulacjami, administrator danych albo określone kryterium do jego wyznaczenia może być określone w prawie narodowym albo unijnym
3.4
podmiot danych
zidentyfikowana lub możliwa do zidentyfikowania osoba fizyczna, która jest podmiotem danych osobowych
3.5
dane osobowe
dowolna informacja dotycząca zidentyfikowanej albo możliwej do zidentyfikowania osoby fizycznej
3.6
system ewidencji danych osobowych
dowolny, uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych, w którym zapewniono łatwy dostęp do danych osobowych
3.7
medyczne dane osobowe
dowolne informacje odnoszące się do zdrowia albo życia płciowego identyfikowalnej, albo możliwej do zidentyfikowania osoby fizycznej
3. 8
przetwarzanie danych osobowych
każda operacja albo zbiór operacji, dokonywanych na danych osobowych, wykonywanych za pomocą automatycznych środków (lub bez użycia takich środków). Są to operacje, takie jak: gromadzenie, rejestracja, przyjęcie lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie przez transmisję, rozpowszechnianie albo udostępnianie w inny sposób, porządkowanie albo łączenie, blokowanie, usuwanie lub niszczenie
3.9
przetwarzający
osoba prawna albo fizyczna, urząd publiczny, agencja lub dowolny inny organ, który przetwarza dane osobowe w imieniu administratora danych.
UWAGA Poniżej, w definicji 3.15, przetwarzający oznacza „osobę bezpośrednio podległą administratorowi danych albo przetwarzający jest upoważniony do przetwarzania danych”. W związku z powyższym sami użytkownicy nie są przetwarzającymi. Takie podejście wynika z zastosowania dyrektywy, np. w Wielkiej Brytanii.
3.10
odbiorca
osoba fizyczna albo prawna, urząd publiczny, agencja albo dowolne inne ciało, którym dane są ujawniane, niezależnie od tego czy jest trzecia strona czy nie; jednak władze, które mogą otrzymywać dane w ramach odpowiedzi na szczegółowe pytanie nie powinny być uważane za odbiorców
3.11
zgoda osoby, której dotyczą dane
jakiekolwiek, konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą, na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych
3.12
państwo trzecie
państwo niezwiązane prawnymi wymaganiami dyrektywy UE dotyczącej ochrony danych
3.13
trzecia strona
dowolna osoba fizyczna albo prawna, urząd publiczny, agencja lub dowolny inny podmiot, inny niż osoba, której dotyczą dane, administrator, przetwarzający i osoby, które, z bezpośredniego upoważnienia administratora danych albo przetwarzającego, przetwarzają dane
3.14
komisja
komisja UE (jeżeli w oczywisty sposób nie jest to inna instytucja)
3.15
wysoki poziom polityki bezpieczeństwa
wysoki poziom polityki bezpieczeństwa dla organizacji w państwach trzecich, które przetwarzają dane osobowe z państw członkowskich UE.
4 Skróty terminów
Używane są następujące skróty:
EEA Europejski Obszar Gospodarczy;
EU Unia Europejska;
EU dyrektywa Dyrektywa Unii Europejskiej o ochronie danych 95/46/EC [1]N2)
EU WP Grupa Robocza Unii Europejskiej ds. Ochrony Osób w zakresie przetwarzania danych osobowych ustanowionej zgodnie z artykułem 29 dyrektywy Unii Europejskiej;
HLSP Wysoki Poziom Polityki Bezpieczeństwa;
OECD Organizacja Współpracy Gospodarczej i Rozwoju;
UN Organizacja Narodów Zjednoczonych.
5 Europejska dyrektywa o ochronie danych (patrz załącznik A)
5.1 Postanowienia ogólne
Następujące wybrane wymagania dyrektywy najbardziej odnoszą się do niniejszej normy. Wymagania są streszczone. Pełnego tekstu (załącznik A) należy używać w celu przekazania ostatecznego i kompletnego znaczenia.
5.2 Cele ogólne: (artykuł 1)
W artykule 1 stwierdza się, że ”Państwa członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych” i ”nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między Państwami Członkowskimi ze względów związanych z ochroną". Zakres dyrektywy jest zatem większy niż jedynie techniczna ochrona danych. W jego wyniku państwa członkowskie nie mogą ograniczać lub zakazywać wolnego przepływu danych osobowych między państwami członkowskimi z powodu zawartych w dyrektywie przyczyn związanych z ochroną.
5.3 Zakres obowiązywania: przetwarzanie elektroniczne i nieelektroniczne (artykuł 3)
Dyrektywa ma zastosowanie do przetwarzania danych osobowych, całkowicie albo częściowo, za pomocą narzędzi automatycznych i do przetwarzania innego niż automatyczne. Dlatego ma zastosowanie zarówno do danych na papierze, jak i danych w formie elektronicznej. Zgodnie z dyrektywą zaleca się, aby stosowne kroki mające zapewnić ich bezpieczeństwa, stosować również do tych danych.
5.4 Zasady dotyczące jakości danych (artykuł 6)
Administrator danych będzie zapewniać, aby dane osobowe były:
przetwarzane rzetelnie i legalnie;
gromadzone do jednoznacznych i legalnych celów i oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem;
prawidłowe, stosowne i nienadmierne ilościowo w stosunku do celu,
prawidłowe oraz, w razie konieczności, aktualizowane;
przechowywane nie dłużej niż jest to konieczne.
5.5 Kryteria legalności (artykuł 7)
Dane osobowe mogą być przetwarzane tylko wtedy, gdy jest spełnione jedno licznych kryteriów. To obejmuje:
osobę, której dotyczą dane, by jednoznacznie wyraziła zgodę;
przetwarzanie danych jest konieczne, by chronić żywotne interesy osoby, której dane dotyczą ;
przetwarzanie jest konieczne do wykonania umowy, której stroną jest osoba, której dane dotyczą.
5.6 Szczególne kategorie przetwarzania danych, z uwzględnieniem medycznych danych osobowych (artykuł 8)
Po uwzględnieniu wyjątków jest zabronione przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia płciowego.
Tak więc medyczne dane osobowe należą do specjalnej kategorii i mogą być przetwarzane tylko wtedy, gdy jest spełniony jeden z kilku warunków. Obejmuje to przypadek, gdy:
osoba, której dane dotyczą w jednoznaczny sposób wyraziła zgodę;
przetwarzanie jest konieczne, by chronić żywotne interesy osoby, której dane dotyczą.
Jednak zakaz przetwarzania medycznych danych osobowych nie ma zastosowania, gdy przetwarzanie danych wymagane jest do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną, jak również przypadków, gdy dane są przetwarzane przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.
5.7 Informacje przekazywane osobie, której dotyczą dane (artykuł 10)
Administrator danych ma obowiązek dostarczać osobie, której dane dotyczą, niżej wymienione informacje obejmujące:
tożsamość administratora danych;
cele przetwarzania danych;
wszelkie dalsze informacje, które są potrzebne do takiego przetwarzania jak:
- odbiorca danych;
- istnienie prawa wglądu do swoich danych i ich poprawiania.
5.8 Prawo dostępu do danych (artykuł 12)
Administrator danych ma obowiązek gwarantować osobie, której dane dotyczą, prawo do:
uzyskania, bez ograniczeń, w odpowiednich odstępach czasu i bez nadmiernego opóźnienia lub kosztów:
- potwierdzenia, czy dotyczące jej dane były przetwarzane oraz informacji o wszystkich odbiorcach;
- komunikowania jej o danych podlegających przetwarzaniu oraz ich źródle;
poprawy, usunięcia lub zablokowania danych, których przetwarzanie nie spełnia warunków dyrektywy, np. są one nieścisłe.
5.9 Prawo do sprzeciwu (artykuł 14)
Osoba, której dane dotyczą powinna mieć prawo:
sprzeciwić się, z ważnych i uzasadnionych przyczyn, przetwarzaniu powiązanych z nią danych. Jeżeli sprzeciw jest usprawiedliwiony, administrator nie może dalej przetwarzać tych danych;
sprzeciwić się przetwarzaniu dotyczących jej danych osobowych, w celu bezpośredniego marketingu i powinna być zawiadamiana, zanim takie dane są po raz pierwszy wyjawiane do takich celów jakiejkolwiek trzeciej stronie.
5.10 Bezpieczeństwo przetwarzania (artykuł 17)
Administrator danych ma obowiązek:
wdrożyć odpowiednie techniczne i organizacyjne środki chroniące medyczne dane osobowe zwłaszcza wtedy, gdy przetwarzanie danych wymaga przesyłania danych w sieci. Przy podejmowaniu stosownych środków należy brać pod uwagę stan wiedzy oraz koszt ich wykonania, a także zapewnić poziom bezpieczeństwa odpowiedni do zagrożeń i rodzaju danych;
w przypadku przetwarzania danych w jego imieniu, wybrać przetwarzającego o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa i rozwiązań organizacyjnych oraz zapewnić ich stosowanie;
zapewnić, że przetwarzanie przez przetwarzającego jest określone umową albo aktem prawnym, na mocy którego przetwarzający podlega administratorowi danych i w których w szczególności postanawia się, że przetwarzający będzie działać tylko na podstawie instrukcji administratora danych. Umowa powinna być sporządzona na piśmie albo w formie równoważnej.
5.11 Środki sądowe, odpowiedzialność i sankcje (artykuły 22, 23 i 24)
każda osoba ma prawo do ochrony prawnej w związku z naruszeniem zagwarantowanych jej praw;
każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z dyrektywą przysługuje odszkodowanie od administratora danych;
każde Państwo Członkowskie ma obowiązek określić sankcje, jakie należy nałożyć w przypadku pogwałceń dyrektywy.
5.12 Organ nadzorczy (artykuły 28 i 18)
Każde Państwo Członkowskie ma obowiązek powołać niezależny organ nadzorczy z uprawnieniami dochodzeniowymi, interwencyjnymi i prawem angażowania się w postępowania sądowe. Administrator danych ma obowiązek zawiadomić organ nadzorczy przed przeprowadzeniem operacji przetwarzania danych.
Państwa Członkowskie mogą zwolnić administratorów danych z tego wymagania w pewnych okolicznościach, np., jeśli administrator danych powoła urzędnika do spraw ochrony danych osobowych odpowiedzialnego za zapewnienie, w niezależny sposób, że warunki dyrektywy są wykonywane.
5.13 Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych
(Artykuły 29 i 30)
Powyższa grupa robocza jest powoływana w wyniku stosowania dyrektywy i jej opinie dostarczają znaczących interpretacji.
5. 14 Przesyłanie danych osobowych do państw trzecich
Artykuły 25 i 26 zajmujące się tym aspektem są rozważane szczegółowo w rozdziale 6.
Wymagania dotyczące przesyłania danych osobowych do państw trzecich
6.1 Postanowienia ogólne
Poniżej następuje streszczenie wymagań dyrektywy. Pełny tekst w załączniku.
6.2 Zasady (artykuł 25)
Przekazywanie danych osobowych z Państwa Członkowskiego UE do państwa trzeciego może mieć miejsce tylko wtedy, gdy państwo trzecie zapewnia odpowiedni poziom ochrony danych.
Prawidłowość poziomu ochrony danych powinna być oceniana w świetle wszystkich okoliczności. Szczególną uwagę należy zwracać na charakter danych, cel przetwarzania i przepisy prawa, zarówno ogólne, jak i wycinkowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa opracowane w tamtym państwie.
Komisja jest upoważniana do prowadzenia pertraktacji w sprawie ochrony danych, jeśli państwo trzecie jest oceniane jako nie zapewniające odpowiedniego poziomu ochrony.
Odstępstwa obejmują standardowe warunki umowy (artykuł 26)
Przekazanie danych osobowych jest dopuszczalne pod pewnymi warunkami (odstępstwami) które obejmują następujące przypadki:
osoba, której dane dotyczą udzieliła jednoznacznie zgody;
przekazanie danych jest konieczne do wykonania umowy zawartej między osobą, której dotyczą dane i administratorem;
przekazanie danych jest konieczne, ażeby chronić żywotne interesy osoby, której dane dotyczą.
Jest też dopuszczalne, by administrator danych zalecił odpowiednie zabezpieczenia dotyczące ochrony prywatności oraz podstawowych praw i wolności osób, oraz wykonywania odpowiednich praw. Takie działania zabezpieczające mogą wynikać z odpowiednich warunków umowy. Komisja planuje przyjąć standardowe warunki umów, które zapewniają wystarczające umowne gwarancje [10], gdy odbiorcą w państwie trzecim jest przetwarzający (ale nie administrator).
6.3 Zapewnianie dopuszczalności przesyłania danych
Żadne przesyłanie medycznych danych osobowych nie może mieć miejsca z Państwa Członkowskiego UE do państwa nie będącego członkiem UE, jeżeli nie jest to dopuszczone dyrektywą w normie EN 14485, Health informatics - Guidance for handling personal health data in international applications in the context of the EU data protection directive [9], podano szczegóły i rozwiązania zapewniające, że przesyłania są dopuszczalne i zaleca się, aby była ona powoływana jako norma towarzysząca. Ta norma jest oparta na przesłance, że przesyłanie jest dopuszczalne z użyciem wszelkich środków i zajmuje się polityką bezpieczeństwa, którą organizacja z państwa trzeciego odbierająca dane powinna przyjąć, by zapewnić i wykazać zgodność z dyrektywą. Jednak, ponieważ elementy tej polityki są zależne od sposobu przesyłania danych, które były zakwalifikowane jako dopuszczalne, krótkie streszczenie jest podane poniżej, ale bez podania uzasadnienia i tła towarzyszącej normy [9].
6.4 Podstawy dopuszczalności przesyłania danych do państw trzecich
6.4.1 Postanowienia ogólne
W załączniku C przedstawiono wzór oświadczenia na jakiej podstawie, przesyłanie medycznych danych osobowych jest uważane za zgodne z dyrektywą UE o ochronie danych, z towarzyszącej normy [9]. Podano w nim zwięzłe omówienie różnych podstaw.
6.4.2 Członkowie EEA
Zgodnie z normą państwa te mogą być uważane za równoważne Państwom Członkowskim Unii Europejskiej. Państwa te uznane są jako mające odpowiednie warunki ochrony danych.
Komisja mogłaby stwierdzić, że państwo trzecie zapewnia odpowiedni poziom ochrony wynikający z jego prawa krajowego albo międzynarodowych zobowiązań, które go wprowadziły. Na przykład stwierdzono to w odniesieniu do Węgier i Szwajcarii [11], [12]. Takie państwa mogą być uważane za równoważne państwom Europejskiego Obszaru Gospodarczego i Państwom Członkowskim UE, jeśli niniejsza norma ich dotyczy.
6.4.3 Depersonalizacja danych
W dyrektywie UE zdefiniowano dane osobowe jako ”wszelkie informacje dotyczące zidentyfikowanej albo możliwej do zidentyfikowania osoby fizycznej”. Możliwa do zidentyfikowania osoba jest ”to osoba, której tożsamość można ustalić pośrednio lub bezpośrednio, szczególnie powołując się na jej numer identyfikacyjny lub jeden albo więcej szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową albo społeczną tożsamość ”.
Rozwiązaniem problemów przekazywania medycznych danych osobowych do państw trzecich jest uczynienie ich danymi nieosobowymi. Często można powoływać się na nie jako na dane przekształcane na „anonimowe”. Jednak postrzeganie „anonimowości” zmienia się. W kontekście tej normy ”anonimowość”, oznacza przekształcenie danych w nieosobowe w kontekście definicji w dyrektywie UE ”danych osobowych”.
„Możliwa do zidentyfikowania osoba” oznacza osobę, która może być zidentyfikowana ”pośrednio” w wyniku powołania się na ”jeden czynnik albo na więcej czynników charakterystycznych dla niej”. Jest jasne, że takie czynniki zawierają więcej niż tylko nazwisko i adres. Osoba, której dotyczą dane może, na przykład, być możliwa do zidentyfikowania przez związek dowolnego jednego albo więcej elementów spośród: wieku; płci; rasy; zajęcia; kodu pocztowego; grupy dochodowej; stanu fizjologicznego albo umysłowego, charakterystyki rodziny itd. Dodatkowo w związku z kilkoma aplikacjami zdrowotnymi, obrazy, np. fotografie, dokumenty dentystyczne, zdjęcia rentgenowskie albo zapisy takie jak EEG, mogą zawierać dane szczegółowe, które same albo razem z innymi danymi takimi jak specjalność lub znak firmowy organizacji ochrony zdrowia, mogą umożliwiać identyfikację osoby i przez to są danymi osobowymi.
Takie kombinacje elementów danych mogą być interpretowane jako dane osobowe, które inaczej mogły być rozważane jak czysto statystyczne. Z pomocą kodu pocztowego można bardzo efektywnie lokalizować osoby w obrębie małej grupy. Podobnie też może zdarzać się w przypadku małych liczebności, np. liczba kobiet mających trojaczki, która mogłaby by być nadzwyczaj mała nawet w przypadku wielkich obszarów geograficznych.
Tak więc interpretowanie danych nieosobowych wymaga zwrócenia uwagi ze względu na istotne szczegóły. Problem wyciągania wniosków na podstawie baz danych jest zawsze teoretycznie rozwiązywalny, dając wystarczające zasoby i dostęp do innych istotnych informacji. Jednak odpowiednia anonimowość często może być wykonywana za pomocą wstrzymywania oczywistych identyfikujących informacji i zapewnienie, że odbiorca nie chce ponownie identyfikować osób albo ujawniać „zanonimowanych” informacji szerzej niż jest to konieczne do celów, dla których było uzgodnione, że mogą być wykorzystywane.
Odpowiednio, w statystycznych informacjach dotyczących ochrony zdrowia często mogą być udostępniane zasoby i odwołania do innych ogólnie dostępnych baz danych, ujawniając tożsamość osoby. Jasne kryteria oparte na pojęciu nadmiernego nakładu pracy w stosunku do koniecznego bezpieczeństwa i wrażliwości danych powinny być stosowane do takiej statystyki. W tym kontekście artykuł 26 wstępu do dyrektywy UE stanowi, że:
„zasady ochrony danych powinny odnosić się do wszelkich informacji dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób; zaleca się wzięcie pod uwagę wszystkich sposobów, jakimi może się posłużyć administrator danych lub inna osoba w celu zidentyfikowania tej osoby, zasady ochrony nie mają zastosowania do danych, którym nadano anonimowy charakter w taki sposób, że dana osoba, której dotyczą dane nie będzie mogła być zidentyfikowana”.
Jakiekolwiek zabezpieczenie udzielane osobie, której dane dotyczą, odnoszące się do interpretowania danych jako nieosobowych, powinno ukierunkować sprawę ryzyka ujawnienia tożsamości w stosunku do poziomu starań potrzebnego, by to zrobić. Zakres i koszt niezbędnych zasobów będzie zmieniać się w miarę, jak będzie się rozwijała technika.
6.4.4 Zgoda
Przekazywanie osobowych danych medycznych do państwa trzeciego jest dopuszczalne, jeżeli ”osoba, której dane dotyczą jednoznacznie udzieliła zgody na proponowane przekazanie danych”. (Artykuł 26 (1)).
W pewnych aplikacjach, takich jak telemedycyna, otrzymanie zgody pacjenta będzie wykonalne. Jednak w przypadku pewnych aplikacji, takich jak wspólna międzynarodowa baza danych obrazów radiologicznych, razem z notatkami opisującymi przypadki, otrzymanie zgody w chwili, która może być oddalona w czasie od momentu, w którym obraz był uzyskany w innym celu, może być trudne. Jednakże zgoda udzielona w jednym celu nie jest zgodą w innym.
„Zgoda” powinna być ”udzielana swobodnie, konkretna i świadoma”. ”Jednoznaczna zgoda” powinna być podstawą wiedzy o problemach, które mogą mieć szczególne znaczenie, jeżeli te problemy mogłyby osłabiać prawa, które by otrzymano mimo braku zgody. Tak więc osoba, której dotyczą dane powinna wiedzieć nie tylko, że przesyłanie osobowych danych medycznych do państwa trzeciego jest wymagane, ale też, co to za sobą pociąga.
6.4.5 Podleganie warunkom umowy
Jeżeli administrator może ”powoływać odpowiednie gwarancje” w wyniku „odpowiednich warunków umowy”, przesyłanie medycznych danych osobowych do państwa trzeciego jest dopuszczalne. To nie jest prosta sprawa (patrz towarzysząca norma [9]). Komisja proponowała standardowe warunki [10], ale mają one zastosowanie tylko wówczas, gdy odbiorca z państwa trzeciego jest wyłącznie „przetwarzającym”. W wielu okolicznościach istnieje potrzeba, aby odbiorca mógł być lub czasami działać jak” administrator”, na własnych prawach. Na przykład dostarczenie niezależnej zawodowej porady w konsultacjach telemedycznych niemal na pewno oddaje prawa administratora danych pracownikowi medycznemu, którego to dotyczy albo jego organizacji .
Jeżeli dane należą do specjalnej kategorii, osoba, której dotyczą dane powinna być zawiadamiana przed ich przesłaniem. Medyczne dane osobowe należą do ”specjalnej kategorii”.
6.4.6 Żądanie prawidłowej ochrony danych
W kontekście dyrektywy żądanie prawidłowej ochrony danych nie jest sprawą jedynie technicznych i administracyjnych środków bezpieczeństwa. Jest ono złożone (patrz towarzysząca norma [9]) i obejmuje problemy, takie jak: prawo wglądu do swoich danych, poprawianie i blokada danych, zadośćuczynienie, sankcje i odszkodowanie.
Nawet gdy państwa mają ogólnokrajowe lub regionalne ustawodawstwo w zakresie ochrony danych i zawodowe kodeksy postępowania, to często nie zapewnia to prawidłowej ochrony. Przykładami są opinie Grupy roboczej UE na temat Australii [13] i Kanady [14].
Założenie prawidłowej ochrony może wymagać kombinacji środków, np. zgody pacjenta; warunków umowy; niezależnych badań/audytu zarządzania.
7 Polityka bezpieczeństwa w odniesieniu do państw trzecich
7.1 Wymagania
Administrator danych w Państwie Członkowskim UE może przesyłać medyczne dane osobowe do przetwarzającego albo innego administratora danych w innym państwie członkowskim UE, jest to dopuszczalne z zachowaniem warunków dyrektywy UE i przy znajomości spraw, takich jak:
prawo wglądu do swoich danych;
poprawianie i blokowanie przetwarzania;
ochrona; odpowiedzialność; sankcje; zadośćuczynienie i odszkodowanie
co jest automatycznie zagwarantowane w przypadku osoby, której dotyczą dane na mocy dyrektywy. To miałoby zastosowanie w równym stopniu do przesyłania medycznych danych osobowych do państw ocenianych przez Komisję jako mających odpowiednie warunki ochrony danych, np. państwa EEA, Szwajcaria i Węgry (patrz 6.4.1 i 6.4.2). W tych okolicznościach odpowiedzialność administratora danych jest ograniczana głównie do przedstawiania umowy, która będzie zapewniać, że przetwarzający będzie dostarczać wystarczających gwarancji pod względem technicznego bezpieczeństwa i środków organizacyjnych wpływających na przetwarzanie, i stosować się do nich (artykuł 17 (2) (3) (4)).
Jednak, gdy medyczne dane osobowe są przesyłane z Państwa Członkowskiego UE do państwa trzeciego nie uznanego przez Komisję jako oferującego odpowiedni poziom ochrony danych, obowiązki administratora danych UE są bardziej złożone. Aby takie przesyłanie było dopuszczalne, administrator ma się ”powołać się na odpowiednie gwarancje” lub działanie w granicach dozwolonego odstępstwa (Artykuł 26). Powinien zainteresować się sprawami, takimi jak
prawa wglądu do swoich danych;
poprawianie i blokowanie;
badanie skarg;
zadośćuczynienie i odszkodowanie;
nadrzędne prawa.
Wywiązanie się ze swojej odpowiedzialności za zapewnianie zgodności ze środkami, które będą podjęte przez organizacje państwa trzeciego, będzie daleko trudniejsze. Dodatkowo, dostarczając gwarancji i informacji osobom, których dotyczą dane, kiedy otrzymywanie jednoznacznej zgody będzie bardziej złożone. W tych okolicznościach administratorzy danych mogą chcieć wymagać od organizacji z państwa trzeciego, by miały jasną i zadowalającą politykę bezpieczeństwa w odniesieniu do działań z przesyłanymi danymi. W normie podano wskazówki dla organizacji z państw trzecich na temat takiej polityki. Wiele z tego, co jest objęte normą, nie może być bezpośrednio przeniesione z państwa UE do organizacji w państwach UE / EEA i w państwach ocenionych przez Komisję jako oferujące odpowiednie gwarancje ochrony danych, niemniej jednak jej istota i filozofia może być użyteczna.
7.2 Cel polityki bezpieczeństwa
Celem polityki bezpieczeństwa w przypadku organizacji z państw trzecich jest:
zapewnić zabezpieczenie danych administratorowi danych UE;
i zapewnić zabezpieczenie danych osobom, których dotyczą dane, tak żeby warunki dyrektywy UE były spełniane w organizacji z państwa trzeciego.
7.3 ”Poziom” polityki bezpieczeństwa
W niniejszej normie dostarczono wskazówek na temat wysokiego poziomu polityki bezpieczeństwa (HLSP) organizacjom z państw trzecich. W rozdziale 8 opisano, co znaczy ”wysokiego poziomu”.
8 Wysoki poziom polityki bezpieczeństwa: ujęcie ogólne
8.1 Poziomy abstrakcji w zapewnianiu bezpieczeństwa danych
Bezpieczeństwo może być rozpatrywane na czterech poziomach, jak to zdefiniowano Konsorcjum SEISMED [15]. Jest to zilustrowane na rysunku 1.
Rysunek 1.
Rysunek 1 - Poziomy abstrakcji
8.2 Zasady ogólne
Zasady ogólne wywodzą się z kultury społeczeństwa, której sprzyja otoczenie kierujące się postrzeganiem praw człowieka i prywatności. Celem dyrektywy jest ”chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności”. To, jak takie prawa są postrzegane, zmienia się w różnych częściach świata.
Dyrektywa wywodzi się z zachodnioeuropejskiej demokratycznej kultury, szczególnie tej z Państw Członkowskich UE. Przez to pochodzi ze środowisk, które są objęte europejską Konwencją o Ochronie Praw Ludzkich i Podstawowych Wolności [16].
Niniejsza norma dotyczy kierowania wysokim poziomem polityki bezpieczeństwa do ochrony medycznych danych osobowych, zgodnie z wymaganiami dyrektywy UE. Tak więc, nawet jeśli przetwarzanie takich danych jest realizowane w państwie trzecim, które może mieć inną kulturę i nie podpisało Konwencji Europejskiej, zasady ogólne kierujące polityką przetwarzania danych przesyłanych z UE powinny być tymi z UE, a nie z państwa trzeciego.
Znaczenie tego jest reprezentowane przez takie zasady jak „nadrzędność prawa”. Dyrektywa pozwala Państwom Członkowskim UE ograniczać zakres obowiązków i praw przekazywanych w dyrektywie w okolicznościach, gdy jest konieczna obrona narodowa albo publiczne bezpieczeństwo; obrona; badania przestępstw kryminalnych; ważne ekonomiczne albo finansowe interesy państwa członkowskiego. Państwa nie będące członkami UE też mogą mieć warunki prawne podobnego typu, który mogłyby pomijać jakieś organizacyjne reguły ochrony danych. Takie nadrzędne prawa mogą być różne lub bardziej obszerne niż w UE i mogą być oparte na innym widzeniu praw człowieka. Te sprawy będą wyjaśniane dla uzyskania zgody na przesyłanie i powinny być ujęte w polityce bezpieczeństwa organizacji.
8.3 Zasady o niższym stopniu złożoności
Z "zasadami" o niższym stopniu złożoności mamy do czynienia wówczas, gdy zasady ogólne są rozpatrywane w określonym krajowym albo lokalnym otoczeniu administracyjnym. Zasady rozpatrywane w ramach dyrektywy są tu przykładami.
8.4 Wytyczne
„Wytyczne” są określonymi krokami operacyjnymi, które są zalecane do wykonywania, ażeby została wypełniona określona zasada. Wskazują one na to, co będzie wykonane, by wypełnić reguły, ale nie to, jak to będzie wykonane.
8.5 Środki
Ze "środkami" mamy do czynienia wówczas, gdy wytyczne są rozpatrywane w określonym otoczeniu. Określają one szczegółowo, co powinno być wykonane, by spełnić wytyczną.
8.6 Elementy wysokiego poziomu polityki bezpieczeństwa
Wysoki poziom polityki bezpieczeństwa obejmuje dwie średnie warstwy abstrakcji, mianowicie Zasady i Wytyczne.
Dlatego HLSP powinna być oparta na zasadach ogólnych, na ich podstawie będzie uzupełniana o określone środki w ramach określonej organizacji.
Niniejsza norma dotyczy wskazówek na temat HLSP udzielanych organizacjom z państw trzecich i dlatego nie ma do czynienia ze środkami, które są wysoce zależne od organizacji. Jednak zawarto tu wskazania dotyczące środków, zalecanych do uzasadnienia wytycznych.
9 Wysoki poziom polityki bezpieczeństwa: zawartość
9.1 Pierwsza zasada: nadrzędna zasada ogólna
9.1.1 Postanowienia ogólne
HLSP powinna wyjaśniać, że nadrzędna zasada ogólna oraz medyczne dane osobowe, do których stosuje się HLSP pochodzi z UE i że zabezpieczenia danych będą zgodne z tymi, który miałyby zastosowanie w UE.
9.1.2 Pierwsza zasada , pierwsza wytyczna: podstawowe prawa i wolności
Należy odnotować, że podstawowe prawa i wolności obywateli UE są chronione:
Europejską Konwencją Ochrony Praw Człowieka i Wolności [16];
i w szczególności europejską dyrektywę o Ochronie Danych [1].
Celem HLSP powinna być ochrona tych praw w opisany sposób.
9.1.3 Pierwsza zasada, druga wytyczna: informacja o wątpliwościach
Jeżeli są jakiekolwiek wątpliwości, że takie podstawowe prawa powinny być gwarantowane, to należy upewnić się, że osoby, których dotyczą dane mogą być w pełni poinformowane i albo udzielają zgody, albo podejmują inną decyzję.
9.1.4 Uzasadnienie
Nie wszystkie państwa podpisały deklarację praw człowieka i wolności, i w związku z tym w państwie trzecim jako takie mogą obowiązywać nadrzędne prawa albo praktyki, które są niezgodne z tymi, których oczekiwaliby obywatele UE. Przykładem mogłoby być prawo władz publicznych do dostępu do dokumentów pacjentów w okolicznościach, które byłyby nie do przyjęcia w UE. Tam gdzie jest to znane, lub się to podejrzewa, osoba, której dotyczą dane ma prawo to wiedzieć i decydować, co w konsekwencji tego robić.
9.1.5 Spostrzeżenia dotyczące środków
Zaleca się, aby krótkie streszczenie praw obywateli UE i istoty dyrektywy UE były udostępnione personelowi. Zaleca się, aby obejmowało ono notatki na temat cech, które dotyczą szczegółów zarządzania ochroną danych osobowych medycznych w państwach trzecich, niewłaściwych w kontekście dyrektywy UE.
9.2 Druga zasada: wsparcie ze strony dyrektora naczelnego
9.2.1 Postanowienia ogólne
HLSP powinna być popierana przez dyrektora naczelnego organizacji i powinna być dostępna bezpłatnie na prośbę, każdej osoby, której dotyczą dane lub innego pytającego uprawnionego.
9.2.2 Druga zasada, pierwsza wytyczna: wyrównanie z miejscową praktyka
HLSP powinna być tak szeroko, jak to będzie praktyczne, wyrażana w stopniu zgodnym z ogólną polityką organizacji w zakresie ochrony danych. Jeżeli tak nie jest, należy to jasno stwierdzić.
9.2.3 Druga zasada, druga wytyczna: układ organizacyjny
Organizacja powinna ustanowić odpowiednią strukturę organizacyjną wspomagającą HLSP.
9.2.4 Druga zasada, druga wytyczna: okresowy przegląd HLSP
Należy prowadzić przeglądy HLSP w regularnych odstępach, które nie będą przekraczać dwóch lat.
9.2.5 Uzasadnienie
Jest mniej prawdopodobne, że na politykę, która nie ma wsparcia ze strony dyrektora naczelnego, uzyskana zostanie zgoda personelu i mniej prawdopodobne, że wzbudzi ona uznanie osób, których dotyczą dane. W przypadku polityk i środków, które znacząco odbiegają od ogólnej praktyki w instytucji, jest bardziej prawdopodobne wystąpienie niezgodności.
9.2.6 Spostrzeżenia dotyczące środków
Aprobata wyrażona tylko podpisem dyrektora naczelnego jest słaba: osobiście napisana przedmowa jest bardziej pożądana, a jego osobiste uwagi do tych wymagań są istotne. Dodatkowa aprobata pożądana jest przez starszy personel kliniczny, taki jak naczelny lekarz: może to być dokonywane w połączeniu ze środkami.
9.3 Trzecia zasada: dokumentowanie zastosowanych środków i przegląd
9.3.1 Postanowienia ogólne
HLSP powinna być wsparta za pomocą dokumentowania zastosowanych środków do zapewnienia zgodności z zasadami i wytycznymi oraz powinno to być rewidowane w regularnych odstępach, które nie będą dłuższe niż jeden rok.
9.3.2 Trzecia zasada, pierwsza wytyczna: informowanie personelu
Środki powinny być tak kształtowane, aby były odpowiednie dla personelu, który je otrzymuje.
9.3.3 Uzasadnienie
Personel powinien dokładnie wiedzieć, co robić a czego nie robić. Zaleca się, aby środki były tak przystosowane, by odpowiadały personelowi, od którego oczekuje się by je wdrożył np. środki odpowiednie dla personelu klinicznego mogą nie być właściwe dla personelu administracyjnego. Większość personelu może nie znać dokładnych szczegółów najbardziej technicznych środków bezpieczeństwa.
9.3.4 Spostrzeżenia dotyczące środków
Udokumentowane środki mogą w sposób użyteczny przyjmować formę zawodowych kodeksów postępowania.
9.4 Czwarta zasada: Inspektor bezpieczeństwa danych
9.4.1 Postanowienia ogólne
Należy wyznaczyć inspektora bezpieczeństwa danych, który powinien zapewniać, w niezależny sposób, zgodność z HLSP i środki, które to wspomagają.
9.4.2 Czwarta zasada, pierwsza wytyczna: Inspektor bezpieczeństwa danych a organizacja jako przetwarzający
Tam gdzie organizacja jest jedynie przetwarzającym osobowe informacje medyczne, inspektor bezpieczeństwa danych powinien zapewniać, że żadne przetwarzanie danych nie będzie prowadzone inaczej niż to jest określone przez administratora danych UE i zgodnie z umową, która powinna wpływać na jego określenie.
9.4.3 Czwarta zasada, druga wytyczna: Inspektor bezpieczeństwa danych a organizacja jako administrator
Jeżeli organizacja jest administratorem działającym na własnych prawach, powinny być respektowane ograniczenia w przetwarzaniu osobowych danych medycznych UE, powinny być one określone i uzgodnione z administratorem UE lub przesyłającym dane z UE . Inspektor bezpieczeństwa danych powinien zapewniać zgodność z nimi.
9.4.4 Czwarta zasada, trzecia wytyczna: kwalifikacje w odniesieniu do funkcji inspektora bezpieczeństwa danych
Inspektor bezpieczeństwa danych powinien być biegły i mieć doświadczenie w ochronie medycznych danych osobowych, aby wykonywać swoje obowiązki oraz powinien mieć konieczne uprawnienia przekazane przez dyrektora naczelnego albo osobę o podobnych uprawnieniach.
9.4.5 Uzasadnienie
Często organizacja z państwa trzeciego przetwarzająca medyczne dane osobowe powinna sama określać konieczny cel i Dzialania przetwarzania danych. Na przykład, w telemedycynie / telekonsultacjach odbiorca - czynny klinicysta - będzie wymagać maksymalnej dyskrecji przy naradzaniu się z innymi osobami zatrudnionymi w zawodach medycznych i dyskrecji przy przechowywaniu wyników w formie elektronicznej (właściwej) albo papierowych dokumentów pacjenta dostępnych innym upoważnionym osobom. Będzie to wymagać od osoby wykonującej zawód medyczny albo organizacji, działania jako administrator, a nie jedynie jako przetwarzający.
Inspektor bezpieczeństwa danych potrzebuje upoważnienia wydanego przez kierownictwo. Zaleca się, aby był to dyrektor naczelny, ale inni, tacy jak lekarz naczelny, też mogą wystarczyć.
9.4.6 Spostrzeżenia dotyczące środków
Inspektor bezpieczeństwa danych powinien mieć jasny zakres zadań i uprawnień do audytu i badania zgodności oraz powinno to być wyjaśnione w środkach.
9.5 Piąta zasada: zezwolenie na przetwarzanie
9.5.1 Postanowienia ogólne
Żadne przetwarzanie nie powinno być prowadzone bez uzyskania pewności, że osoba, której dane dotyczą wyraziła na nie zgodę i można je przetwarzać tylko z taką zgodą. Dane, odnoszące się do różnych osób powinny być traktowane niezależnie.
9.5.2 Piąta zasada, pierwsza wytyczna: jednoznaczna zgoda na przesyłanie danych
Należy próbować upewnić się i uzyskać właściwe zapewnienie, np. od administratora danych UE, że osoba, której dane dotyczą udzieliła ”niedwuznacznej” zgody na przekazywanie medycznych danych osobowych do organizacji w państwie trzecim.
9.5.3 Piąta zasada, druga wytyczna: jasna zgoda na przetwarzanie
Należy próbować upewnić się i uzyskać właściwe zapewnienie, np. od administratora danych UE, że osoba, której dane dotyczą dała jemu ”wyraźną” zgodę na przetwarzanie osobowych danych medycznych o sobie.
9.5.4 Piąta zasada, trzecia wytyczna: ograniczenie do uzgodnionych celów
Przetwarzanie osobowych danych medycznych powinno być ograniczone do celów, do których zgoda była udzielona. Takie cele powinny być udokumentowane.
9.5.5 Szósta zasada, czwarta wytyczna: warunkowa zgoda
Jeżeli jakakolwiek osoba, której dotyczą dane wyraża zgodę warunkowo i te warunki są przyjmowane przez organizację z państwa trzeciego, warunki zgody powinny być we właściwy sposób powiązane z osobowymi danymi medycznymi takiej osoby i powinny zostać podjęte działania do zapewnienia zgodności.
9.5.6 Szósta zasada, piąta wytyczna: przegląd informacji dotyczących zgody
Informacja dostarczana do osób, których dotyczą dane jako część procesu otrzymywania zgody powinna być ujawniana we właściwych działaniach. Taka informacja powinna być przeglądana w regularnych odstępach nie dłuższych niż jeden rok, by zapewnić, że informacja pozostaje poprawna i zaleca się, aby żadna inna informacja nie była dodawana.
9.5.7 Uzasadnienie
Dane medyczne należą do specjalnej kategorii (artykuł 8) i mają tu zastosowanie specjalne warunki. Przetwarzanie medycznych danych osobowych nie jest dopuszczalne, jeżeli osoba, której dotyczą dane nie udzieliła ”jasnej” zgody. Są pewne wyjątki. Pierwszy wyjątek ma miejsce wtedy, gdy przetwarzanie jest wymagane do celów klinicznych i jest wykonywane przez osobę wykonującą zawód medyczny albo inną osobę podlegającą krajowym prawom lub regułom ustalonym przez krajowe fachowe ciała, właściwe dla poufności zawodowej (patrz artykuł 8 dla pełnego tekstu). Jednak ten wyjątek jest wprowadzany w kontekście krajowych praw i właściwych władz UE i dlatego nie może być stosowany w państwie trzecim. Niemniej jednak jest to normalne w organizacjach działających w ochronie zdrowia w przypadku medycznych danych osobowych, które wykorzystuje fachowy personel podlegający kodeksowi etyki, który obejmuje obowiązek ochrony poufności medycznych danych osobowych. Inny wyjątek ma miejsce wtedy, gdy przetwarzanie jest konieczne, by chronić żywotne interesy osoby, której dotyczą dane, lub innej osoby, gdy osoba, której dotyczą dane jest fizycznie lub prawnie niezdolna do udzielenia zgody. Zaleca się, aby było uznane, że ten wyjątek traci ważność skoro tylko osoba, której dotyczą dane, jest zdolna udzielić swojej zgody.
Nawet gdy istnieje umowa zgodna ze standardowymi warunkami komisji [10], to dalej ona sama wyjaśnia, że gdy dane są specjalnej kategorii, która obejmuje ochronę zdrowia, konieczna jest zgoda na przenoszenie danych.
Zgoda powinna być udzielana i to jest najważniejsze w przypadku danych medycznych. Jeśli zgoda ma być udzielona, to osoby, których dane dotyczą powinny uzyskać wszystkie istotne informacje i wiele z tych informacji powinno być dostarczonych przez organizację z państwa trzeciego. Wszelkie informacje dostarczane do tego celu powinny być dokumentowane i aktualizowane. Informacje powinny obejmować takie sprawy jak:
― nadrzędne prawa albo praktyki, które pozwalają zewnętrznym władzom mieć dostęp do danych, takie jak przestrzeganie prawa lub usługi zabezpieczania, zewnętrzny kliniczny audyt albo badania;
― nieobecność etycznych kodeksów zawodowych odnoszących się do prywatności;
― środki przyjmowane, by zapewniać prawidłowość ochrony danych w okolicznościach gdy ochrona danych jest niewłaściwa w kontekście dyrektywy UE.
Jeśli organizacja nie jest przejrzysta w takich sprawach, jak na przykład nadrzędne prawa i praktyki, to ten fakt powinien być ujawniany.
9.5.8 Spostrzeżenia, dotyczące środków
Jeżeli jakiekolwiek warunki związane są ze zgodą, to powinny być odzwierciedlane w istotnych działaniach. Działania powinny zapewniać, że przetwarzanie jest ograniczone do celów, na które była udzielona zgoda.
9.6 Szósta zasada: informowanie o przetwarzaniu
9.6.1 Postanowienia ogólne
Prawa osób, których dotyczą dane, do informacji o przetwarzaniu, do gwarancji, odnośnie do jakości danych, do dostępu do swoich danych i do sprzeciwu co do ich przetwarzania, powinny być zapewnione zgodnie z dyrektywą UE (artykuły 6, 10, 11, 12 i 14).
9.6.2 Szósta zasada, pierwsza wytyczna: dokumentacja dotycząca uzgodnionego przetwarzania
Cele, dla których osoba, której dotyczą dane, zgodziła się na przetwarzania jej medycznych danych osobowych powinny być jasne i udokumentowane, i żadne przetwarzanie, które jest niezgodne z celami, nie powinno mieć miejsca.
9.6.3 Szósta zasada, druga wytyczna: jakość gromadzonych i przetwarzanych danych
Medyczne dane osobowe, które są gromadzone i przetwarzane, powinny być właściwe, mające znaczenie i nie nadmierne w stosunku do celów, na które osoba, której dotyczą dane wyraziła zgodę.
9.6.4 Szósta zasada, trzecia wytyczna: dokładność przetwarzanych danych
Powinny być podejmowane odpowiednie kroki, by zapewnić, że medyczne dane osobowe są gromadzone i rejestrowane dokładnie i, gdy jest to konieczne, aktualizowane.
9.6.5 Szósta zasada, czwarta wytyczna: polityka zachowywania i niszczenia danych
Powinna być przyjęta organizacyjna polityka zachowywania i niszczenia danych, która jest komunikowana osobom, których one dotyczą i jest zgodna z uzgodnionymi z nimi celami, obejmująca to, że medyczne dane osobowe powinny być utrzymywane do przetwarzania nie dłużej niż jest to konieczne do spełnienia uzgodnionych celów.
9.6.6 Szósta zasada, piąta wytyczna: dostęp do danych osób których one dotyczą
Powinny być przyjęte procedury do rozpoznawania próśb od osób o dostęp do ich danych i zapewnienia, że powinny one być spełniane w ustalonym czasie i bez ponoszenia nadmiernych kosztów.
9.6.7 Szósta zasada, szósta wytyczna: sprzeciw wobec przetwarzania
Osoba, której dotyczą dane powinna mieć prawo do sprzeciwu wobec przetwarzania danych o niej i tam, gdzie ten sprzeciw jest usprawiedliwiony dalsze przetwarzanie tych danych powinno być przerwane, jeżeli osoba ta tego zażąda.
9.6.8 Szósta zasada, siódma wytyczna: poprawianie, wymazywanie i blokowanie
Jeżeli osoba uważa, że jej dane są nieścisłe albo niezupełne, albo że warunki dyrektywy UE lub jakiekolwiek poręczenia udzielone przez organizację z państwa trzeciego nie są stosowane, będzie mogła mimo to pozwolić, by jej dane osobowe były poprawiane, kasowane lub blokowane. Jeżeli występuje różnica opinii dotycząca danych osobowych, która nie może być obiektywnie rozstrzygnięta, dane zgodne z poglądami osoby, której dotyczą powinny być rejestrowane i przetwarzane obok innych jej danych osobowych
9.6.9 Szósta zasada, wytyczna ósma: identyfikowanie przesyłanych danych
Wszystkie medyczne dane osobowe przesyłane do organizacji w państwie trzecim powinny być identyfikowane jako takie dane.
9.6.10 Szósta zasada, wytyczna dziewiąta: działanie po zawiadomieniu o śmierci osoby, której dotyczą dane
Po zawiadomieniu o śmierci osoby, której dotyczą dane, medyczne dane osobowe powinny być zwracane do administratora danych UE lub kasowane, jeżeli nie było jakiegoś innego rozwiązania, takiego jak archiwizowanie i blokada dalszego przetwarzania, uzgodnionego wcześniej z osobą, której dotyczą dane.
9.6.11 Szósta zasada, dziesiąta wytyczna: bezpośredni marketing
Medyczne dane osobowe nie powinny być używane do bezpośredniego marketingu bez wyraźnej zgody osoby, której dotyczą dane.
9.6.12 Szósta zasada, jedenasta wytyczna: ponowna personalizacja zdepersonalizowanych danych
Jeżeli medyczne dane osobowe są przenoszone z państwa członkowskiego UE do organizacji w państwie trzecim na podstawie tego, że są medycznymi danymi nieosobowymi (anonimowe dane: patrz sekcja 6.4.3), powinny być podjęte działania, by zapewnić, że tożsamość nie jest przypadkowo lub w sposób zamierzony ujawniana przez jakiekolwiek przetwarzanie, obejmuje to połączenia z innymi bazami danych. W takim przypadku powinna być ustalona polityka „małych liczb”.
9.6.12 Uzasadnienie
Cele, dla których osoba, której dotyczą dane udzielała zgody powinny być dokumentowane w ten sposób, by były dostępne dla dowolnego członka właściwego personelu i aby było pewne, że nie są używane do jakiegokolwiek innego celu. W placówkach ochrony zdrowia takich jak szpitale, medyczne dane osobowe mogą być rutynowo używane w przypadku audytu, statystyki, do przekazywania danych finansowych i statystycznych w celach statystycznych do państwowych albo regionalnych urzędów, do przekazywania danych do trzecich stron, w celu refundacji do publicznych urzędów ochrony zdrowia w celu sprawowania nadzoru nad zachorowaniami. Żaden z nich nie może nie być zgodny z celami, do których dane były przekazywane z UE i jeżeli nie uzyskano w inny sposób zgody osoby, której dotyczą dane, potrzebne są właściwe działania, by przeciwdziałać nieświadomemu używaniu do niewłaściwych celów.
Nie można oczekiwać, że personel będzie stosować HLSP i działania wspierające, jeżeli nie wie, że dane, które będą używane podlegają specjalnym ograniczeniom - stąd potrzeba by były one identyfikowalne jako takie dane.
Wymaganie, by medyczne dane osobowe były zachowywane nie dłużej niż jest to konieczne do celów uzgadnianych z osobą, której dotyczą dane, mogłyby powodować problemy. Państwa trzecie mogą wymagać, by zachowywać dokumenty dotyczące stanu zdrowia przez minimalny czas. Państwo trzecie może chcieć zachowywać dokumenty zawierające medyczne dane osobowe przez pewien czas do celów statystycznych, zapisu przebiegu zdarzeń i w przypadku prawnego pozwu albo skargi. Jeżeli tak jest, wtedy zgoda osoby, której dotyczą dane, do tych celów powinna być udzielana.
Trudności tego samego rodzaju mogą powstawać przy kasowaniu danych, jeżeli osoba, której one dotyczą umiera, jeżeli porozumienie, co robić w takim przypadku, nie było wcześniej uzyskane; stąd wynika potrzeba jasnej polityki utrzymywania i niszczenia danych.
Prawa osoby, której dotyczą dane do informacji na temat przetwarzanych danych jej dotyczących, będą powodować trudności, jeżeli właściwa procedura nie była zawczasu przyjęta. W szpitalu, na przykład, dane o osobie mogą być przechowywane w pewnej liczbie oddziałowych systemów i w notatkach, utrudniając odnajdowanie, jeżeli szpital nie ma zbiorczego systemu elektronicznych dokumentów pacjenta.
Podobnie, prośba o kasowanie danych nie może być wykonywana z powodu medyczno-prawnych wymagań przechowywania wszystkich danych - do audytu i badania skarg. Zaleca się, aby osoba której dotyczą dane, była zawiadamiana o tym, kiedy wyraża zgodę. Właściwym sposobem postępowania może być archiwizowanie danych i blokowanie jakiekolwiek dalszego przetwarzania poza kontrolowanym dostępem do istotnych medyczno-prawnych celów.
9.6.13 Spostrzeżenia dotyczące środków
Będą potrzebne działania, by objąć nimi proces reagowania na żądania osoby, której dotyczą dane, zapewnienia natychmiastowego dostępu i procedury w przypadku śmierci osoby, której dotyczą dane.
Działania związane z zabezpieczaniem „nieosobowych” danych będą zależeć od ryzyka. Istnieją odpowiednie techniki radzenia sobie z problemem małej liczby „wniosków” [odesłanie 15 vol. 2 s. od 272 do 277].
9.7 Siódma zasada: informacje dla osoby, której dotyczą dane
9.7.1 Postanowienia ogólne
Osoba, której dotyczą dane powinna być zawiadamiana o: tożsamości administratora danych z państwa trzeciego lub przetwarzającego, którykolwiek z nich jest aktualnie właściwy; celach przetwarzania; odbiorcach danych, co obejmuje wszelkie inne organizacje, do których jej medyczne dane osobowe mogą, lub będą, przesyłane; jej prawach do sprzeciwu wobec przetwarzania; procedurach składania skarg; arbitrażu trzeciej strony i procedurach badawczych; prawie do zadośćuczynienia i tego jak je uzyskać; każdej informacji, która może dotyczyć zgody osoby, której dotyczą dane, która w innym przypadku mogła by nie być dla niej oczywista. Dostarczane informacje powinny być dokumentowane i przechowywane.
9.7.2 Uzasadnienie
Te wymagania pochodzą bezpośrednio z artykułów dyrektywy UE. Podczas gdy za przesyłanie tej informacji do osób, których dotyczą dane może być odpowiedzialny administrator UE, dużo z tych informacji pochodzi z organizacji w państwie trzecim. W szczególności zaleca się odnotowanie, że osobie, której dotyczą dane powinny być dostarczane wszystkie informacje, które mogłyby wpłynąć na jej zgodę na przesyłanie danych. Jest to obowiązek, dlatego organizacja z państwa trzeciego powinna zastanowić się nad wszystkimi okolicznościami, które mogą dotyczyć w jakikolwiek sposób prywatności osoby, której dotyczą dane i podstawowych praw, w jakikolwiek sposób osoba, której dotyczą dane by tego nie oczekiwała.
Do kategorii odbiorców osobowych danych medycznych mogłyby należeć osoby inne niż klinicyści i osoby pracujące w ochronie zdrowia, np. administracja finansowa - do rozliczania albo personel administracyjny wprowadzający dane.
9.7.3 Spostrzeżenia dotyczące środków
Działania powinny obejmować przegląd informacji, dostarczany w regularnych odstępach, które nie powinny przekraczać jednego roku.
9.8 Ósma zasada: zakaz dalszego przesyłania danych bez uzyskania zgody
9.8.1 Postanowienia ogólne
Przesyłanie osobowych danych medycznych z organizacji w państwie trzecim do innych stron nie powinno mieć miejsca bez zgody administratora danych UE i zgody osoby, której dotyczą dane, chyba że należy chronić jej żywotne interesy lub innej osoby wtedy i tylko tak długo, jak osoba nie może w sposób fizyczny lub prawny wyrazić zgody. Jakakolwiek inna strona będąca w posiadaniu takich danych, z wyjątkiem tych przypadków, gdy posiadanie dotyczy tylko przesyłania, powinna zapewniać odpowiednią ochronę danych.
9.8.2 Ósma zasada, pierwsza wytyczna: zapewnienie ochrony w przypadku dalszego przesyłania danych
Prawidłowość ochrony danych dostarczanych przez „inną” stronę powinna być oceniana w kontekście dyrektywy UE (patrz towarzysząca norma [9]).
9.8.3 Ósma zasada, druga wytyczna: HLSP w przypadku dalszego przesyłania danych
„Inna” strona powinna stosować się do HLSP albo wdrażać HLSP, która jest zgodna z niniejszą norma.
9.8.4 Ósma zasada, trzecia wytyczna: Rejestr Ujawnień
Należy prowadzić i aktualizować Rejestr Ujawnień przesyłania danych do innych stron.
9.8.5 Uzasadnienie
Jeżeli medyczne dane osobowe są przekazywane do innych stron, osoba, której dotyczą dane będzie oczekiwać nie mniejszej ochrony danych niż była zastosowana, a dyrektywa UE wymaga tego.
Często może się zdarzać, że klinicysta może chcieć uzyskać opinię kolegi z innej instytucji. Jeżeli takie dalsze konsultacje z poszczególnym kolegami / instytucjami są stałą cechą przetwarzania, wtedy zaleca się, aby „inna” instytucja w pełni wdrożyła HSLP. Jednak jeśli porozumienie jest incydentalne i ograniczone tylko do jednej albo dwóch osób pracujących w ochronie zdrowia niższego rzędu ale jeszcze formalne, zaleca się aby porozumienia wystarczały.
W każdej sytuacji będzie wymagana zgoda osoby, której dotyczą dane. Jednak nie zawsze będzie można przewidzieć, czy inne osoby wykonujące zawód medyczny nie powinny być konsultowane. W tych okolicznościach może być potrzebna zgoda osoby, której dotyczą dane. W przypadku kategorii odbiorców, którą mógłby być inny klinicysta w innej instytucji, jeżeli jest to konieczne, by osiągnąć cele przetwarzania, na które osoba wyrażała zgodę. Nie powinno to być nadużywane i jakiekolwiek ryzyko naruszenia prywatności powinno być ujawniane.
Jeżeli „inna” strona jest, lub jest możliwe, że jest, w państwie innym niż organizacja z państwa trzeciego, wtedy liczniejsze, złożone uwarunkowania będą miały zastosowanie. Jest mało prawdopodobne, by prawidłowość ochrony danych założonej na początku dla organizacji z państwa trzeciego była możliwa do przyjęcia. Może też być przypadek, że dane mają być przesyłane z jednego regionu do innego regionu, na przykład, z różnymi prawami ochrony danych.
Spostrzeżenia dotyczące środków.
Działania powinny obejmować procedury, które będą wykonywane, jeżeli medyczne dane osobowe mają być przekazywane do innych stron.
9.9 Dziewiąta zasada: ochrona i odszkodowanie
9.9.1 Postanowienia ogólne
Osoba, której dotyczą dane, powinna mieć prawo do prawnej albo innej równoważnej ochrony przed jakimkolwiek naruszaniem jej praw i do wynagrodzenia jakichkolwiek wynikłych szkód.
9.9.2 Dziewiąta zasada, pierwsza wytyczna: badanie skarg
W przypadku osób, których dotyczą dane, powinny być udostępnione mechanizmy, dotyczące badania niezależnych skarg względem organizacji z państwa trzeciego.
9.9.3 Dziewiąta zasada, druga wytyczna: niezależny arbitraż
Powinny być udostępnione mechanizmy osobom, których dotyczą dane, umożliwiające korzystanie z niezależnego arbitrażu w przypadku nierozstrzygniętych sporów.
9.9.4 Uzasadnienie
Wymagania wynikają z artykułów 22, 23, i 24 dyrektywy UE. Będą potrzebne właściwe mechanizmy jako część ustanawiania dostatecznej ochrony danych umożliwiających dopuszczalność przenoszenia osobowych danych medycznych (patrz towarzysząca norma [9]). Mogą być one złożone, ale powinny być dokumentowane i udostępniane osobom, których dotyczą dane, w formie i języku, który będzie im umożliwiał zrozumienie, jak i w jakich okolicznościach mogą być one zainicjowane.
Udokumentowane mechanizmy powinny obejmować wszelkie konsekwencje albo ograniczenia, które mogą powstawać, jeżeli medyczne dane osobowe są przenoszone do innych stron, które powodują naruszenia prawa, takie jak konsultacje z inną osobą wykonującą zawód medyczny w innej instytucji.
9.9.5 Spostrzeżenia dotyczące środków
Działania związane z tą regułą często będą wymagać prawnego wprowadzenia. Zaleca się uwzględnianie prawa władz nadzorczych w państwach członkowskich UE do wszczęcia badania (artykuł 28).
9.10 Dziesiąta zasada: bezpieczeństwo przetwarzania
9.10.1 Wiadomości ogólne
Medyczne dane osobowe powinny być chronione przed przypadkową albo bezprawną dystrybucją, albo przypadkową utratą, zmianą i nieuprawnionym ujawnieniem, albo dostępem.
9.10.2 Dziesiąta zasada, pierwsza wytyczna: analiza ryzyka
Dzialania bezpieczeństwa powinny być adekwatne do oszacowania ryzyka.
9.10.3 Dziesiąta zasada, druga wytyczna: utajnianie podczas przesyłania
Medyczne dane osobowe przekazywane przez administratora danych z UE do organizacji z państwa trzeciego powinny być szyfrowane.
9.10.4 Dziesiąta zasada, trzecia wytyczna: dowód integralności danych i uwierzytelnianie źródła
Medyczne dane osobowe przekazywane przez administratora danych UE do organizacji w państwie trzecim powinny być objęte usługami zapewniającym bezpieczeństwo, gwarantującymi integralność danych i uwierzytelnienie źródła danych.
9.10.5 Dziesiąta zasada, czwarta wytyczna: sterowanie dostępu i uwierzytelnianie użytkownika
Powinny być efektywne kontrole dostępu do przetwarzania danych osobowych i użytkownicy systemów powinni być odpowiednio uwierzytelniani.
9.10.6 Dziesiąta zasada, piąta wytyczna: fizyczne i środowiskowe bezpieczeństwo
Powinny być przyjmowane efektywne środki bezpieczeństwa, podlegające wymaganiom świadczenia efektywnej ochrony zdrowia.
9.10.7 Dziesiąta zasada, szósta wytyczna: zarządzanie aplikacją
Wszystkie aplikacje przetwarzające przesyłane medyczne dane osobowe powinny być zarządzane przez kogoś dobrze poinformowanego i kompetentnego pod względem tych aplikacji.
9.10.8 Dziesiąta zasada, siódma wytyczna: zarządzanie siecią
Wszystkie sieci pod bezpośrednią kontrolą organizacji z państwa trzeciego i przetwarzanie przesyłanych medycznych danych osobowych powinny być zarządzane przez kogoś dobrze poinformowanego i fachowego ze względu na te sieci.
9.10.9 Dziesiąta zasada, ósma wytyczna: kontrole przeciwwirusowe
Efektywne środki kontroli przeciwwirusowej powinny być instalowane, by przeszkadzać destrukcyjnemu oprogramowaniu w naruszaniu integralności przenoszonych osobowych danych medycznych lub systemów posługujących się nimi.
9.10.10 Dziesiąta zasada, dziewiąta wytyczna: składanie raportów o naruszaniu bezpieczeństwa
Cały personel i użytkownicy systemu informacyjnego zajmujący się przenoszonymi osobowymi danymi medycznymi powinni być szkoleni w rozpoznawaniu i raportowaniu inspektorowi bezpieczeństwa danych o naruszeniach bezpieczeństwa informacji.
9.10.11 Dziesiąta zasada, dziesiąta wytyczna: biznesowe plany ciągłości
Powinny być przewidziane procedury, by przetwarzanie danych osobowych mogło być kontynuowane przez organizację w państwie trzecim, w razie awarii jego systemów przetwarzania danych.
9.10.12 Dziesiąta zasada, jedenasta wytyczna; zapis przebiegu zdarzeń
Zabezpieczony zapis przebiegu zdarzeń powinien być utrzymywany do wszystkich przesyłanych medycznych danych osobowych.
9.10.13 Dziesiąta zasada, dwunasta wytyczna: posługiwanie się szczególnie wrażliwymi danymi
Jeżeli medyczne dane osobowe są szczególnie wrażliwe, powinno być prowadzone rygorystyczne oszacowanie ryzyka i wszelkie konieczne specjalne Dzialania powinny być ściśle przestrzegane. Przykładami takich danych są osobowe dane genetyczne i dane dotyczące chorób przekazywanych drogą płciową.
9.10.14 Uzasadnienie i spostrzeżenia dotyczące środków
Uzasadnienie i spostrzeżenia dotyczące działań wiążących się z bezpieczeństwem przetwarzania są rozważane w rozdziale 10.
9.11 Jedenasta zasada: odpowiedzialność personelu i innych kontrahentów
9.11.1 Postanowienia ogólne
Cały personel i inni kontrahenci pracujący dla organizacji z państwa trzeciego przewidywani do włączenia w przetwarzanie medycznych danych osobowych przesyłanych z UE powinni być powiadamiani o ich obowiązkach i powinien być w stanie je wykonywać.
9.11.2 Jedenasta zasada, pierwsza wytyczna: zawiadamianie personelu i innych kontrahentów
Personel i inni kontrahenci uczestniczący w przetwarzaniu osobowych informacji medycznych powinni być informowani o HLSP i wyposażeni w środki umożliwiające im stosowanie się do HLSP.
9.11.3 Jedenasta zasada, druga wytyczna: instrukcja i szkolenie
Personel i inni kontrahenci uczestniczący w przetwarzaniu osobowych danych medycznych powinni być instruowani lub szkoleni odpowiednio do zakresu ich odpowiedzialności. Materiały szkoleniowe powinny być aktualizowane w regularnych odstępach nie dłuższych niż jeden rok. Szkolenie powinno być powtarzane we właściwych przedziałach czasowych.
9.11.4 Jedenasta zasada, trzecia wytyczna: umowne obowiązki personelu i kontrahenta
Zaleca się, aby obowiązki personelu i kontrahentów dotyczące stosowania się do środków wdrażania HLSP były włączane do ich umów o pracę albo do warunków umowy.
9.11.5 Uzasadnienie
Personel może skorzystać z instrukcji albo ogólnego szkolenia w zakresie ochrony danych. Jednak personel uczestniczący w pracach wymagających użycia przesyłanych osobowych danych medycznych powinien rozumieć jakiekolwiek dodatkowe albo zmienione procedury.
9.11.6 Spostrzeżenia dotyczące środków
Zaleca się, aby był przygotowany krótki wyjaśniający dokument, który może spełniać funkcje dokumentu szkoleniowego.
9.12 Dwunasta zasada: prawidłowość ochrony danych w państwie trzecim
9.12.1 Postanowienia ogólne
Wszelkie środki konieczne do zapewnienia prawidłowości ochrony danych w państwie trzecim zgodne z dyrektywą UE powinny być dokumentowane i wykonywane.
9.12.2 Uzasadnienie
W rozdziale 6 niniejszej normy podano podsumowanie środków, które mogą być przyjmowane, by zapewnić prawidłowość ochrony danych w trzecim państwie (patrz też towarzysząca norma [9]). Pewne działania mające szczególnie istotne znaczenie dla państwa trzeciego będą omawiane i mogą być przedmiotem porozumienia między państwem trzecim i Komisją UE takiego jak USA Safe Harbor Safety Principles [17].
9.12.3 Spostrzeżenia dotyczące środków
Podstawy zapewniające dostateczną ochronę danych powinny być analizowane i powinny być wprowadzone właściwe działania.
9.13 Trzynasta zasada: dodatkowe szczególne wymagania państwa członkowskiego UE
Działania powinny być wdrażane, by wziąć pod uwagę jakiekolwiek szczególne wymagania państwa członkowskiego UE związane z ochroną osobowych danych medycznych.
9.13.1 Uzasadnienie
Podczas gdy państwa członkowskie UE nie powinny ograniczać ani zakazywać wolnego przepływu osobowych danych medycznych pomiędzy państwami członkowskimi z powodów wiążących się z ochroną dostarczaną przez dyrektywę UE, sposoby, na jakie dyrektywa była wykonywana w państwach członkowskich zmieniają się. Ponadto ten obowiązek niekoniecznie rozszerza się na państwa trzecie, (chyba że Komisja UE założyła dostateczność ochrony danych). Tak więc Państwo Członkowskie może mieć szczególne wymagania dotyczące ochrony danych, mające zastosowanie w obrębie jego granic, które są dodatkowe albo rozszerzają warunki dyrektywy UE lub mogą narzucać inne albo dodatkowe wymagania tam gdzie dane mają być przesyłane do państwa trzeciego z nieodpowiednimi warunkami ochrony danych.
9.13.2 Spostrzeżenia dotyczące środków
Organizacja z państwa trzeciego powinna zasięgać informacji u administratora danych UE, czy jakiekolwiek takie szczególne wymagania istnieją, i wdrożyć właściwe działania.
10 Uzasadnienie i uwagi na temat działań wspierających dziesiątą zasadę w zakresie bezpieczeństwa przetwarzania
10.1 Postanowienia ogólne
W artykule 17 wymaga się ”właściwych środków technicznych i organizacyjnych działań”, by chronić dane przed ”przypadkowym albo bezprawnym zniszczeniem, albo przypadkową utratą, zmianą i nieupoważnionym ujawnieniem i dostępem” i ”przeciw wszystkim innym bezprawnym formom przetwarzania”. ”Bezprawne” jest rozumiane w kontekście państw członkowskich UE i dyrektywy UE.
Te wymagania są przeznaczone do stosowania tam ” w szczególności gdzie przetwarzanie wymaga przesyłania danych za pośrednictwem sieci komputerowych”.
Organizacje zajmujące się ochroną zdrowia w państwach trzecich, które posługują się osobowymi danymi medycznymi, będą miały wystarczające środki do ochrony danych. Te działania jednak powinny być analizowane, by sprawdzać, że będą one zapewniać zgodność z dyrektywą Unii Europejskiej i z wymaganiami administratora danych Unii Europejskiej.
Działania powinny ” być adekwatne do zagrożeń przedstawianych za pomocą przetwarzania i do rodzaju chronionych danych”. Co do drugiej części sformułowania powinno być uznane, że medyczne dane osobowe należą do specjalnej kategorii (artykuł 8). Aby zapewnić, że działania są adekwatne do zagrożeń, zaleca się prowadzenie formalnej analizy ryzyka.
Nie leży w zakresie niniejszej normy określanie szczegółowych działań, które powinny wspierać zasady (podrozdział 8.6). Dlatego poniższe uwagi nie powinny być przyjmowane jako pełne albo wystarczające określenie wymaganych środków administracyjnych i technicznych.
Działania powinny pozostawać do uznania administratora danych UE.
10.2 Szyfrowanie i cyfrowe podpisy w przypadku przesyłania do państwa trzeciego
Europejska Grupa ds. Etyki w Nauce i Nowych Technikach jest zdania [8], że ”względy bezpieczeństwa wymagają użycia techniki szyfrowania gdzie jest to właściwe, użytkowania zamkniętych sieci do przesyłania medycznych danych osobowych i działań organizacyjnych zapewniających bezpieczeństwo”.
„Mające wzgląd na stan sztuki i koszt jego wykonania” szyfrowanie powinno być używane do elektronicznego przesyłania medycznych danych osobowych z UE do organizacji w państwie trzecim razem z cyfrowymi podpisami w formie, w której będzie to zapewniać integralność i uwierzytelnienie.
Siła algorytmów szyfrowania powinna być adekwatna do zagrożeń i może być ograniczana krajowymi regulacjami. Pewne państwa, obejmuje to państwa członkowskie UE, mogą wymagać składania kluczy do depozytu lub prawnego dostępu do kluczy w celu przestrzegania prawa lub w celu narodowego bezpieczeństwa. Zaleca się, aby osoby, których dotyczą dane były tego świadome, jeżeli to ma zastosowanie.
10.3 Kontrola dostępu i uwierzytelnienie użytkownika
Jedyną drogą, by ktoś mógł kontrolować integralność danych osobowych przechowywanych w systemach informacyjnych, jest rzeczywisty podpis na wszystkich pozycjach danych, redagowanych i poddanych modyfikacji i do wszystkich działań zarejestrowanych i sprawdzanych w systemie. Fizyczna kontrola w warunkach czasu i miejsca może dostarczać pierwszej linii obrony, ale dowód tożsamości jest wymagany, by zapewnić, że nie dojdzie do nieupoważnionych działań. Notatki dotyczące medycznych przypadków są podpisywane z podobnych powodów.
Hasła są najczęściej używanymi formami kontrolowania dostępu i uwierzytelniania użytkownika, ale to jest najniższa forma uwierzytelniania. Może to być wykonywane dużo bardziej efektywnie w wyniku przyjęcia wymagań wg CEN ENV 12551 (patrz rozdział 2) oprócz tego bardziej efektywne karty magnetyczne i systemy biometryczne stają się dostępne i zaleca się rozważenie ich użycia. Cyfrowe podpisy mogą być również używane by zapewnić, że informacja nie była fałszowana i że osoba przesyłająca była uwierzytelniana.
10.4 Zapis przebiegu zdarzeń
Zabezpieczone zapisy przebiegu zdarzeń będą istotne, jeżeli prawa osoby, której dotyczą dane, do niezależnego badania mają być zagwarantowane. Potrzebne będą wystarczająco mocne środki, by sprzeciwić się prawnym działaniom do uzyskania odszkodowań albo zastosowania sankcji. Jeżeli tylko jest to możliwe, administrator danych powinien mieć dostęp do tych zapisów przebiegu zdarzeń.
10.5 Bezpieczeństwo fizyczne i środowiskowe
Jest wymagane, by utrzymać fizyczne bezpieczeństwo tych, którzy nie potrzebują mieć dostępu do systemów oddalonych od nich, ale też zapewnić, że działania są podejmowane, by zapobiegać, łagodzić skutki lub pozwolić powrócić do dawnego położenia w związku ze skutkami zdarzeń, takich jak: powódź, uderzenie pioruna, brak zasilania, rozbój. Będzie konieczne dla odpowiednich warunków środowiskowych zapewnienie, że systemy kontynuują pracę w granicach określonego zakresu warunków środowiskowych.
10.6 Zarządzanie aplikacjami i zarządzanie siecią
Szczegółowe wsparcie techniczne może być świadczone przez organizację zewnętrzna, ale lokalny zarząd powinien mieć dostęp do kogoś, kto zna każdy system aplikacyjny i może realizować podstawowe szkolenia, zarządzanie i usuwanie błędów. Wsparcie powinno obejmować odpowiednią dokumentację eksploatacyjną i materiały szkoleniowe. Ma to zastosowanie do aplikacji i sieci. Konfiguracja sieci i zarządzanie zaporą sieciową są istotnymi aspektami systemu bezpieczeństwa.
10.7 Wirusy
Ataki poprzez destrukcyjne oprogramowanie są jedną z najczęstszych form ataku na informacje w systemach i stronach WEB. Równie dobrze mogą doprowadzić do zaprzestania świadczenia usługi. Takie ataki mogą niszczyć lub zniekształcać medyczne dane osobowe utrzymywane przez organizację. Kontrole należy realizować nie rzadziej niż co miesiąc.
10.8 Naruszenia bezpieczeństwa
Inspektor bezpieczeństwa danych powinien mieć dostęp do materiału o aktualnych problemach bezpieczeństwa i powinien wiedzieć o pewnych kluczowych kwestiach w ramach organizacji w państwie trzecim. Jeżeli jednak, szczegóły naruszeń bezpieczeństwa w organizacji są raportowane w zcentralizowanym trybie, nikt nie będzie świadomy całości gróźb stających wobec organizację i nie będzie zdolny do rozpoczęcia zajmowania się nimi.
Wymaganie dotyczące raportowania o naruszeniach bezpieczeństwa może być w użyteczny sposób włączone do programów szkoleniowych i raportowanie na temat niegroźnych powodów. Powinno być wspierane raportowanie, co najmniej o tych naruszeniach, które będą powstawać po prostu z błędu operatora.
10.9 Plan ciągłości działania
Jest konieczne, aby organizacja była zdolna kontynuować działania takie jak diagnozowanie i leczenie pacjentów, nawet wtedy, kiedy „katastrofa” będzie zaskoczeniem ze względu jej możliwości świadczenia usług. Jeśli chodzi o potrzebę jasnego oszacowania skali katastrofy, które powinno być przyjęte i właściwe plany powinny być opracowywane, testowane i dokumentowane pod kątem użycia, jeżeli takie katastrofy będą miały miejsce. Jest za późno, by wymyślać plan, gdy powstały problemy. Zaleca się, aby skutki różnych form uszkodzeń systemu były częścią analizy ryzyka. Rozwój planu ciągłości działania jest znaczącym projektem, który zależy od przetwarzania, które jest prowadzone. Zaleca się, aby był on regularnie testowany i aktualizowany.
10.10 Posługiwanie się danymi szczególnie wrażliwymi
Zwiększające się użytkowanie genetycznej/ genomicznej informacji do diagnozowania i leczenia pacjentów, jak również do użytku policji i celów bezpieczeństwa, wymaga, by te dane były zabezpieczone przed niewłaściwym ujawnieniem. Najaktualniejsze rady na temat operowania genetycznymi danymi osobowymi są zawarte w Rekomendacji Rady Europy R (97) 5 na temat Ochrony Danych Medycznych [5]. Jednakże jest to obszar aktualnych badań.
10.11 Normy
Europejska Grupa ds. Etyki w Nauce i Nowych Technologiach [8] jest zdania, że ”nadając znaczenia bezpieczeństwu medycznych danych osobowych, zaleca się, aby europejskie normy bezpieczeństwa były przestrzegane dokądkolwiek elektroniczne przesyłanie danych umożliwiających identyfikację ma miejsce”. Wykaz odpowiednich norm jest podany w rozdziale 2. W załączniku B podano wykaz innych źródeł użytecznych informacji.
11 Medyczne dane osobowe w formie nieelektronicznej
Dyrektywa UE ma zastosowanie do medycznych danych osobowych zarówno w elektronicznej, jak i nieelektronicznej formie, takiej jak papierowa. Zgodność z istotną częścią niniejszej normy jest również wymagana w przypadku medycznych danych osobowych w formach nieelektronicznych. Na przykład, nieelektroniczne medyczne dane osobowe powinny być przekazywane z UE do organizacji w państwie trzecim w trybie oferującym odpowiednie bezpieczeństwo w stosunku do ryzyka. Może to wymagać zaplanowania specjalnych przesyłek kurierskich.
Zaleca się, aby było odnotowane, że w przypadkach nieelektronicznych medycznych danych osobowych, które mogą przybierać formy inne niż papierowa, takie jak zdjęcia rentgenowskie, zapisy EKG, próbki, i istnieje potrzeba, aby te dane miały efektywne fizyczne zabezpieczenia.
Załącznik A
(normatywny)
Dyrektywa UE o ochronie danych osobowych
Tekst dyrektywy UE o ochronie danych [1], z wyłączeniem 72 artykułów wstępnych
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Cel dyrektywy
1. Zgodnie z przepisami niniejszej dyrektywy, Państwa Członkowskie zobowiązują się chronić podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do prywatności w odniesieniu do przetwarzania danych osobowych.
2. Państwa Członkowskie nie będą ograniczać ani zakazywać swobodnego przepływu danych osobowych między Państwami Członkowskimi ze względów związanych z ochroną przewidzianą w ust. 1.
Artykuł 2
Definicje
Do celów niniejszej dyrektywy:
(a) „dane osobowe” oznacza wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej („osoby, której dane dotyczą”); osoba możliwa do zidentyfikowania, to osoba, której tożsamość można ustalić bezpośrednio lub pośrednio, szczególnie przez powołanie się na numer identyfikacyjny lub jeden bądź kilka szczególnych czynników określających jej fizyczną, fizjologiczną, umysłową, ekonomiczną, kulturową lub społeczną tożsamość;
(b) „przetwarzanie danych osobowych”(„przetwarzanie”) oznacza każdą operację lub zestaw operacji dokonywanych na danych osobowych przy pomocy środków zautomatyzowanych lub innych, jak np. gromadzenie, rejestracja, porządkowanie, przechowywanie, przyjęcie lub modyfikacja, odzyskiwanie, konsultowanie, wykorzystywanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie;
c) „zbiór danych”(„zbiór”) oznacza każdy uporządkowany zestaw danych osobowych, dostępnych według określonych kryteriów, scentralizowanych, zdecentralizowanych lub rozproszonych funkcjonalnie lub geograficznie;
d) „administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;
e) „przetwarzający” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych;
(f) „osoba trzecia” powinno oznaczać osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ nie będący osobą, której dane dotyczą, ani administratorem danych, ani przetwarzającym lub jedną z osób, które pod bezpośrednim zwierzchnictwem administratora danych lub przetwarzającego upoważnione są do przetwarzania danych;
(g) „odbierający dane” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, któremu ujawniane są dane, będący lub niebędący osobą trzecią; jednakże władze, które mogą otrzymywać dane w ramach konkretnego dochodzenia nie są uważane za odbiorcę;
(h) „zgoda osoby, której dane dotyczą” oznacza konkretne i świadome, dobrowolne wskazanie przez osobę, której dane dotyczą na to, że wyraża przyzwolenie na przetwarzanie odnoszących się do niej danych osobowych.
Artykuł 3
Zakres obowiązywania
1. Niniejsza dyrektywa stosuje się do przetwarzania danych osobowych w całości lub w części w sposób zautomatyzowany oraz innego przetwarzania danych osobowych, stanowiących część zbioru danych lub mających stanowić część zbioru danych.
2. Niniejsza dyrektywa nie ma zastosowania do przetwarzania danych osobowych:
- w ramach działalności wykraczającej poza zakres prawa Wspólnoty, jak np. dane, o których stanowi tytuł V i VI Traktatu o Unii Europejskiej, a w żadnym razie do działalności na rzecz bezpieczeństwa publicznego, obronności, bezpieczeństwa państwa (łącznie z dobrą kondycją gospodarcza państwa, gdy działalność ta dotyczy spraw związanych z bezpieczeństwem państwa) oraz działalności państwa w obszarach prawa karnego,
- przez osobę fizyczną w trakcie czynności o czysto osobistym lub domowym charakterze.
Artykuł 4
Odpowiednie prawo krajowe
1. Każde Państwo Członkowskie stosuje, w odniesieniu do przetwarzania danych osobowych, przepisy prawa krajowego przyjmowane na mocy niniejszej dyrektywy wówczas, gdy:
(a) przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium Państwa Członkowskiego; jeżeli ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku Państw Członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiązuje się z obowiązków przewidzianych w odpowiednich przepisach prawa krajowego;
(b) administrator danych nie prowadzi działalności gospodarczej na terytorium Państwa Członkowskiego, lecz w miejscu, gdzie jego prawo krajowe obowiązuje na mocy międzynarodowego prawa publicznego;
c) administrator danych nie prowadzi działalności gospodarczej na terytorium Unii i do celów przetwarzania danych osobowych wykorzystuje środki, zarówno zautomatyzowane jak i inne, znajdujące się na terytorium wymienionego Państwa Członkowskiego, o ile środki te nie są wykorzystywane wyłącznie do celów tranzytu przez terytorium Wspólnoty.
W okolicznościach określonych w ust. 1 lit. c), administrator danych musi wyznaczyć swojego przedstawiciela na terytorium tego Państwa Członkowskiego, bez uszczerbku dla postępowań sądowych, jakie mogłyby być podjęte przeciwko samemu administratorowi danych.
ROZDZIAŁ II
OGÓLNE ZASADY LEGALNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH
Artykuł 5
Państwa Członkowskie określą, w granicach przepisów zawartych w niniejszym rozdziale, bardziej szczegółowe warunki ustalania legalności przetwarzania danych osobowych.
SEKCJA 1
ZASADY DOTYCZĄCE JAKOŚCI DANYCH
Artykuł 6
1. Państwa Członkowskie zapewniają, aby dane osobowe były:
(a) przetwarzane rzetelnie i legalnie;
(b) gromadzone do określonych, jednoznacznych i legalnych celów oraz nie były poddawane dalszemu przetwarzaniu w sposób niezgodny z tym celem. Dalsze przetwarzanie danych w celach historycznych, statystycznych lub naukowych nie jest uważane za niezgodne z przepisami pod warunkiem ustanowienia przez Państwa Członkowskie odpowiednich środków zabezpieczających;
(c) prawidłowe, stosowne oraz nie nadmierne ilościowo w stosunku do celów, dla których zostały zgromadzone i/lub dalej przetworzone;
(d) prawidłowe oraz, w razie konieczności, aktualizowane; należy podjąć wszelkie uzasadnione działania, aby zapewnić usunięcie lub poprawienie nieprawidłowych lub niekompletnych danych, biorąc pod uwagę cele, dla których zostały zgromadzone lub, dla których są dalej przetwarzane;
(e) przechowywane w formie umożliwiającej identyfikację osób, których dane dotyczą przez czas nie dłuższy niż jest to konieczne do celów, dla których dane zostały zgromadzone lub dla których są dalej przetwarzane. Państwa Członkowskie ustanowią odpowiednie środki zabezpieczające dla danych przechowywanych przez dłuższe okresy dla potrzeb historycznych, statystycznych i naukowych.
2. Na administratorze danych spoczywa obowiązek zapewnienia przestrzegania przepisów ust. 1.
SEKCJA II
KRYTERIA LEGALNOŚCI PRZETWARZANIA DANYCH
Artykuł 7
Państwa Członkowskie zapewniają, że dane osobowe mogą być przetwarzane tylko wówczas, gdy:
(a) osoba, której dane dotyczą jednoznacznie wyraziła na to zgodę; lub
b) przetwarzanie danych jest konieczne dla realizacji umowy, której stroną jest osoba, której dane dotyczą lub w celu podjęcia działań na życzenie osoby, której dane dotyczą, przed zawarciem umowy; lub
(c) przetwarzanie danych jest konieczne dla wykonania zobowiązania prawnego, któremu administrator danych podlega; lub
(d) przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osób, których dane dotyczą; lub
(e) przetwarzanie danych jest konieczne dla realizacji zadania wykonywanego w interesie publicznym lub dla wykonywania władzy publicznej przekazanej administratorowi danych lub osobie trzeciej, przed którą ujawnia się dane; lub
(f) przetwarzanie danych jest konieczne dla potrzeb wynikających z uzasadnionych interesów administratora danych lub osoby trzeciej, lub osobom, którym dane są ujawniane, z wyjątkiem sytuacji, kiedy interesy takie podporządkowane są interesom związanym z podstawowymi prawami i wolnościami osoby, której dane dotyczą, które gwarantują ochronę na podstawie art. 1 ust. 1.
SEKCJA III
SZCZEGÓLNE KATEGORIE PRZETWARZANIA DANYCH
Artykuł 8
Przetwarzanie szczególnych kategorii danych
1. Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego.
2. Ust. 1 nie ma zastosowania w przypadku, gdy:
(a) osoba, której dane dotyczą, udzieliła wyraźnej zgody na ich przetwarzanie, chyba, że ustawodawstwo Państwa Członkowskiego przewiduje, że zakaz określony w ust. 1 nie może być uchylony mimo udzielonej zgody przez osobę, której dane dotyczą; lub
(b) przetwarzanie danych jest konieczne do wypełniania obowiązków i szczególnych uprawnień administratora danych w dziedzinie prawa pracy, o ile jest to dozwolone przez prawo krajowe przewidujące odpowiednie środki zabezpieczające; lub
(c) przetwarzanie danych jest konieczne dla ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby, w przypadku, gdy osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do udzielenia zgody; lub
(d) przetwarzanie danych jest dokonywane w ramach legalnej działalności wspartej odpowiednimi gwarancjami przez fundację, stowarzyszenie lub inną instytucję, nie nastawioną na osiąganie zysku, której cele mają charakter polityczny, filozoficzny, religijny lub związkowy, pod warunkiem, że przetwarzanie danych odnosi się wyłącznie do członków tej instytucji lub osób mających z nią regularny kontakt w związku z jej celami oraz, że dane nie zostaną ujawnione osobie trzeciej bez zgody osób, których dane dotyczą; lub
e) przetwarzanie dotyczy danych, które są podawane do wiadomości publicznej przez osobę, której dane dotyczą, lub jest konieczne do ustalenia, wykonania lub obrony roszczeń prawnych.
3. Ust. 1 nie powinien mieć zastosowania w przypadku, gdy przetwarzanie danych wymagane jest do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną, jak również w przypadkach, gdy dane są przetwarzane przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.
4. Pod warunkiem ustanowienia odpowiednich środków zabezpieczających, Państwa Członkowskie mogą, ze względu na istotny interes publiczny, ustalić dodatkowe wyłączenia, poza tymi, które zostały przewidziane w ust. 2, na mocy ustawy krajowej lub decyzją organu nadzorczego.
5. Przetwarzanie danych dotyczących przestępstw, wyroków skazujących lub środków bezpieczeństwa może być dokonywane jedynie pod kontrolą władz publicznych, lub też, jeżeli zgodnie z prawem krajowym ustanowiono określone środki zabezpieczające, z zachowaniem odstępstw, które Państwo Członkowskie może udzielić zgodnie z obowiązującymi przepisami prawa krajowego, zapewniając zachowanie odpowiednich zabezpieczeń. Jednak kompletny rejestr przestępstw kryminalnych może być prowadzony tylko pod kontrolą władzy publicznej. Państwa Członkowskie mogą ustanowić przepisy zobowiązujące oficjalny organ władzy do sprawowania kontroli nad przetwarzaniem danych dotyczących sankcji administracyjnych lub orzeczeń w sprawach cywilnych.
6. Odstępstwa od ust.1 przewidziane w ust. 4 i 5 powinny być notyfikowane Komisji.
7. Państwa Członkowskie określą warunki, w których może następować przetwarzanie krajowego numeru identyfikacyjnego lub innego identyfikatora ogólnego stosowania.
Artykuł 9
Przetwarzanie danych osobowych i wolność wypowiedzi
Państwa Członkowskie wprowadzają możliwość wyłączenia lub odstąpienia od przepisów niniejszego rozdziału, rozdziału IV i VI w przypadku przetwarzania danych osobowych wyłącznie w celach dziennikarskich lub w celu uzyskania wyrazu artystycznego lub literackiego jedynie wówczas, gdy jest to konieczne dla pogodzenia prawa do zachowania prywatności z przepisami dotyczącymi wolności wypowiedzi.
SEKCJA IV
PRZEKAZYWANIE INFORMACJI OSOBIE, KTÓREJ DANE DOTYCZĄ
Artykuł 10
Informacje w przypadku zbierania danych od osoby, której dane dotyczą
Państwa Członkowskie zapewniaja, aby administrator danych lub jego przedstawiciel miał obowiązek przedstawienia osobie, której dane dotyczą i od której gromadzone są dane, co najmniej następujących informacji, z wyjątkiem przypadku, kiedy informacje takie już posiada:
(a) tożsamości administratora danych i ewentualnie jego przedstawiciela;
(b) celów przetwarzania danych, do których dane są przeznaczone;
(c) wszelkich dalszych informacji, jak np.:
- odbiorcy lub kategorie odbierających dane,
tego czy odpowiedzi na pytania są obowiązkowe czy dobrowolne oraz ewentualne
konsekwencje nieudzielenia odpowiedzi,
- istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są potrzebne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
Artykuł 11
Informacje w przypadku uzyskiwania danych z innych źródeł niż osoba, której dane dotyczą
1. W przypadku, gdy dane uzyskiwane są z innych źródeł niż osoba, której dane dotyczą, Państwa Członkowskie zapewniają, aby administrator danych lub jego przedstawiciel był zobowiązany od początku gromadzenia danych osobowych lub w przypadku ujawnienia danych osobie trzeciej, nie później niż do momentu, gdy dane są ujawniane po raz pierwszy, dostarczyć osobie, której dane dotyczą, co najmniej następujące informacje, z wyjątkiem przypadku, kiedy posiada już ona takie informacje:
(a) tożsamość administratora danych i ewentualnie jego przedstawiciela;
(b) cele przetwarzania danych;
(c) wszelkie dalsze informacji, jak np.:
- kategorie potrzebnych danych,
- odbiorcy lub kategorie odbierających dane,
- istnienie prawa wglądu do swoich danych oraz ich sprostowania,
o ile takie dalsze informacje są konieczne, biorąc od uwagę szczególne okoliczności, w których dane są gromadzone, w celu zagwarantowania rzetelnego przetwarzania danych w stosunku do osoby, której dane dotyczą.
2. Ust. 1 nie ma zastosowania w przypadku, gdy, szczególnie w przypadku przetwarzania danych do celów statystycznych, historycznych lub naukowych, dostarczenie takich informacji wymagałoby niewspółmiernie dużego wysiłku lub, jeżeli gromadzenie lub ujawnianie informacji jest wyraźnie przewidziane przez prawo. W takich przypadkach Państwa Członkowskie zapewniają odpowiednie środki zabezpieczające.
SEKCJA V
PRAWO UZYSKANIA PRZEZ OSOBĘ, KTÓREJ DANE DOTYCZĄ DOSTĘPU DO DANYCH
Artykuł 12
Prawo dostępu do danych
Państwa Członkowskie zapewniają każdej osobie, której dane dotyczą prawo do uzyskania od administratora danych:
(a) bez ograniczeń, w odpowiednich odstępach czasu oraz bez nadmiernego opóźnienia lub kosztów:
- potwierdzenia, czy dotyczące jej dane są przetwarzane oraz co najmniej informacji o celach przetwarzania danych, kategoriach danych oraz odbiorcach lub kategoriach odbiorców, którym dane te są ujawniane,
- wyrażonej w zrozumiałej formie informacji o danych przechodzących przetwarzanie oraz posiadanych informacji o ich źródłach,
- wiadomości na temat zasad automatycznego przetwarzania dotyczących jej danych przynajmniej w przypadku zautomatyzowanego procesu decyzyjnego określonego w art. 15 ust. 1;
(b) odpowiednio do przypadku, poprawy, usunięcia lub zablokowania danych, których przetwarzanie jest niezgodne z przepisami niniejszej dyrektywy, szczególnie ze względu na niekompletność lub niedokładność danych;
(c) zawiadomienia osób trzecich, którym dane zostały ujawnione, o ewentualnym sprostowaniu, usunięciu lub zablokowaniu danych zgodnie z lit. b), o ile nie okaże się to niemożliwe lub nie będzie wymagało niewspółmiernie dużego wysiłku.
SEKCJA VI
WYŁĄCZENIA I OGRANICZENIA
Artykuł 13
Zwolnienia i ograniczenia
1. Państwo Członkowskie może przyjąć środki ustawodawcze w celu ograniczenia zakresu praw i obowiązków, przewidzianego w art. 6 ust. 1, art. 10, art. 11 ust. 1, art. 12 oraz 21, kiedy ograniczenie takie stanowi środek konieczny dla zabezpieczenia:
(a) bezpieczeństwa narodowego;
(b) obronności;
(c) bezpieczeństwa publicznego;
(d) działań prewencyjnych, prowadzonych czynności dochodzeniowo - śledczych i prokuratorskich w sprawach karnych lub sprawach o naruszenie zasad etyki w zawodach podlegających regulacji;
(e) ważnego interesu ekonomicznego lub finansowego Państwa Członkowskiego lub Unii Europejskiej, łącznie z kwestiami pieniężnymi, budżetowymi i podatkowymi;
(f) funkcji kontrolnych, inspekcyjnych i regulacyjnych związanych, nawet sporadycznie z wykonywaniem władzy publicznej w przypadkach wymienionych w lit. c) -e);
(g) ochrony osoby, której dane dotyczą oraz praw i wolności innych osób.
2. Z zastrzeżeniem obowiązku zapewnienia odpowiedniego stopnia ochrony prawnej, w szczególności, aby dane nie były wykorzystywane do podejmowania działań lub decyzji dotyczących konkretnych osób, Państwa Członkowskie mogą w przypadku, gdy wyraźnie nie występuje ryzyko naruszenia prywatności osoby, której dane dotyczą, ograniczyć przy pomocy środków legislacyjnych prawa przewidziane w art. 12, gdy dane są przetwarzane wyłącznie do celów badań naukowych lub przechowywane są w formie osobistej przez okres nieprzekraczający okresu koniecznego wyłącznie w celu sporządzenia statystyk.
SEKCJA VII
PRAWO SPRZECIWU PRZYSŁUGUJĄCE OSOBIE, KTÓREJ DANE DOTYCZĄ
Artykuł 14
Prawo sprzeciwu przysługujące osobie, której dane dotyczą
Państwa Członkowskie przyznają osobie, której dane dotyczą prawo:
(a) przynajmniej w przypadkach wymienionych w art. 7 lit. e) i f), w dowolnym czasie z ważnych i uzasadnionych przyczyn wynikających z jego konkretnej sytuacji, sprzeciwu co do przetwarzania dotyczących jej danych, z zastrzeżeniem odmiennych postanowień ustawodawstwa krajowego. W przypadku uzasadnionego sprzeciwu przetwarzanie danych przez administratora danych nie może już obejmować tych danych;
(b) sprzeciwu, na wniosek i bez opłaty, wobec przetwarzania dotyczących jej danych osobowych, dla potrzeb bezpośredniego obrotu, lub prawo bycia poinformowanym przed ujawnieniem danych osobowych po raz pierwszy osobom trzecim lub wykorzystaniem w ich imieniu dla potrzeb bezpośredniego obrotu, jak również wyraźnego powoływania się na prawo sprzeciwu, bez opłat, wobec ujawniania lub wykorzystywania danych.
Państwa Członkowskie podejmują konieczne działania, aby osoby, których dane dotyczą były świadome istnienia praw wymienionych w lit. b) akapit pierwszy.
Artykuł 15
Zautomatyzowane decyzje indywidualne
1. Państwa Członkowskie przyznają każdej osobie prawo do nieobjęcia jej decyzją, która wywołuje skutki prawne, które jej dotyczą lub mają na nią istotny wpływ, oraz która oparta jest wyłącznie na zautomatyzowanym przetwarzaniu danych, którego celem jest dokonanie oceny niektórych dotyczących ją aspektów o charakterze osobistym, jak np. wyniki osiągane w pracy, zdolność kredytowa, wiarygodność, sposób zachowania itp.
2. Z zastrzeżeniem przepisów innych artykułów niniejszej dyrektywy, Państwa Członkowskie zapewniają, że każda osoba będzie mogła być wyłączona z zakresu objętego decyzją określoną w ust. 1, jeżeli decyzja taka:
(a) zostanie podjęta w trakcie zawierania lub realizacji umowy, pod warunkiem, że wniosek w sprawie zawarcia lub realizacji umowy, wniesiony przez osobę, której dane dotyczą, zostanie przyjęty, lub że istnieją odpowiednie sposoby zabezpieczenia jego uzasadnionych interesów, jak np. uregulowania umożliwiające mu przedstawienie swojego punktu widzenia; lub
(b) zostanie dozwolona przez prawo, które określa również sposoby zabezpieczenia uzasadnionych interesów osoby, której dane dotyczą.
SEKCJA VIII
POUFNOŚĆ I BEZPIECZEŃSTWO PRZETWARZANIA DANYCH
Artykuł 16
Poufność przetwarzania danych
Żadna osoba działająca z upoważnienia administratora danych lub przetwarzającego, włączając samego przetwarzającego, który ma dostęp do danych osobowych nie może przetwarzać ich bez polecenia administratora danych, chyba, że wymaga tego prawo.
Artykuł 17
Bezpieczeństwo przetwarzania danych
1. Państwa Członkowskie zapewniają, aby administrator danych wprowadził odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas, gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania danych.
Uwzględniając stan wiedzy w tej dziedzinie oraz koszt realizacji, przyjęte zostaną takie środki, które zapewnią poziom bezpieczeństwa odpowiedni do zagrożeń wynikających z przetwarzania danych oraz charakteru danych objętych ochroną.
2. Państwa Członkowskie zobowiązują administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego, o wystarczających gwarancjach odnośnie do technicznych środków bezpieczeństwa oraz rozwiązań organizacyjnych, regulujących przetwarzanie danych, oraz zapewnienia stosowanie tych środków i rozwiązań.
3. Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy, których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że:
- przetwarzający działa wyłącznie na polecenie administratora danych,
- obowiązki wymienione w ust. 1, określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego.
4. Do celów zachowania dowodów, części umowy lub aktu prawnego dotyczącego ochrony danych i wymagań dotyczących środków wymienionych w ust. 1 są sporządzane na piśmie lub w innej równorzędnej formie.
SEKCJA IX
ZAWIADOMIENIE
Artykuł 18
Obowiązek zawiadamiania organu nadzorczego
1. Państwa Członkowskie zobowiązują administratora danych lub jego ewentualnego przedstawiciela do zawiadomienia organu nadzorczego, wymienionego w art. 28, przed przeprowadzeniem całościowej lub częściowej operacji automatycznego przetwarzania danych lub zestawu takich operacji mających służyć jednemu celowi lub wielu powiązanym ze sobą celów.
2. Państwa Członkowskie mogą wprowadzić uproszczenie procedury lub zwolnienie z obowiązku zawiadomienia tylko w następujących sytuacjach oraz na następujących warunkach:
- jeżeli, w przypadku kategorii operacji przetwarzania, co do których mało prawdopodobne jest, biorąc pod uwagę dane przeznaczone do przetworzenia, aby niekorzystnie wpłynęły na prawa i wolności osób, których dane dotyczą, określą cele przetwarzania danych, dane lub kategorie danych przechodzących proces przetwarzania, kategorię lub kategorie osób, których dane dotyczą, odbiorców lub kategorie odbiorców, którym dane mają być ujawnione oraz długość okresu przechowywania danych i/lub
- jeżeli administrator danych, zgodnie z dotyczącymi go przepisami krajowymi, powoła urzędnika do spraw ochrony danych osobowych, odpowiedzialnego w szczególności:
- za zapewnienie w niezależny sposób wewnętrznego stosowania przepisów prawa krajowego przyjętych na mocy niniejszej dyrektywy,
- za prowadzenie rejestru operacji przetwarzania danych wykonywanych przez administratora danych i zawierających informacje określone w art. 21 ust. 2,
zapewniając przy tym, że nie zostaną naruszone prawa i wolności osób, których dane dotyczą.
3. Państwa Członkowskie mogą ustalić, że ust. 1 nie odnosi się do przetwarzania danych, którego wyłącznym celem jest prowadzenie rejestru, który zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi ma służyć za źródło informacji dla społeczeństwa oraz który będzie przeznaczony do wglądu dla ogółu społeczeństwa lub osób wykazujących uzasadniony interes.
4. Państwa Członkowskie mogą wprowadzić zwolnienie z obowiązku zawiadamiania lub uprościć procedurę zawiadamiania w przypadku operacji przetwarzania danych określonych w art. 8 ust. 2 lit. d).
5. Państwa Członkowskie mogą postanowić, że niektóre lub wszystkie niezautomatyzowane operacje przetwarzania danych osobowych będą zgłaszane lub ustalą dla takich operacji uproszczony tryb zawiadamiania.
Artykuł 19
Treść zawiadomienia
1. Państwa Członkowskie ustalają, jakie informacje zostaną podane w zawiadomieniu. Obejmują one, co najmniej:
(a) nazwę (nazwisko) i adres administratora danych i ewentualnie jego przedstawiciela;
(b) cel lub cele przetwarzania danych;
(c) opis kategorii osób, których dane dotyczą oraz danych lub kategorii danych, które się do nich odnoszą;
(d) odbiorcę lub kategorie odbiorców, którym dane mogą być ujawnione;
(e) propozycje przekazania danych do państw trzecich;
(f) ogólny opis umożliwiający dokonanie wstępnej oceny prawidłowości uregulowań przyjętych w związku z art. 17 w celu zapewnienia bezpieczeństwa przetwarzania danych.
2. Państwa Członkowskie określą procedury w myśl, których wszelkie zmiany mające wpływ na informacje określone w ust. 1 muszą być zgłaszane organowi nadzorczemu.
Artykuł 20
Kontrola wstępna
1. Państwa Członkowskie definiują operacje przetwarzania danych mogące stwarzać określone zagrożenia dla praw i wolności osób, których dane dotyczą oraz kontrolują, czy dane te są badane przed ich rozpoczęciem.
2. Kontrole wstępne powinny być przeprowadzane przez organ nadzorczy po przyjęciu od administratora danych lub urzędnika odpowiedzialnego za ochronę danych zawiadomienia, którzy w razie wątpliwości powinni zasięgać opinii organu nadzorczego.
3. Państwa Członkowskie mogą również przeprowadzać takie kontrole w kontekście opracowywania odpowiedniego środka w parlamencie narodowym lub srodka opartego na takim rozwiązaniu legislacyjnym, które określa charakter przetwarzania danych oraz stwarza odpowiednie zabezpieczenia.
Artykuł 21
Podawanie do wiadomości publicznej operacji przetwarzania danych
1. Państwa Członkowskie podejmują odpowiednie środki, aby zapewnić podanie do wiadomości publicznej operacji przetwarzania danych.
2. Państwa Członkowskie zapewniają, aby organ nadzorczy prowadził rejestr operacji przetwarzania danych zgłoszony zgodnie z art. 18.
Rejestr zawiera, co najmniej informacje wymienione w art. 19 ust. 1 lit. a) -e).
Rejestr może być sprawdzany przez dowolną osobę.
3. Państwa Członkowskie zapewniają, w odniesieniu do operacji przetwarzania danych nie- podlegających zgłoszeniu, aby administratorzy danych lub inne instytucje powołane przez Państwa Członkowskie udostępniały przynajmniej te informacje określone w art. 19 ust. 1 lit. a)-e), w odpowiedniej formie każdej osobie na żądanie.
Państwa cCłonkowskie mogą ustalić, że przepis ten nie będzie dotyczyć przetwarzania danych, którego wyłącznym celem jest prowadzenie rejestru mającego służyć, na mocy przepisów ustawowych i wykonawczych, za źródło informacji dla ogółu społeczeństwa, otwartego dla obywateli i każdej osoby wykazującej uzasadniony interes.
ROZDZIAŁ III
ŚRODKI SĄDOWE, ODPOWIEDZIALNOŚĆ I SANKCJE
Artykuł 22
Środki sądowe
Bez uszczerbku dla wszystkich odwoławczych środków administracyjnych, które mogą być wprowadzone przez organ nadzorczy określony w art. 28, przed rozpoczęciem postępowania sądowego Państwa Członkowskie zapewnią każdej osobie prawo do korzystania ze środków prawnych w związku z naruszeniem praw zagwarantowanych jej przez przepisy krajowe dotyczące przetwarzania danych.
Artykuł 23
Odpowiedzialność
1. Państwa Członkowskie zapewniają, że każdej osobie, która poniosła szkodę wskutek niezgodnej z prawem operacji przetwarzania danych lub innej czynności niezgodnej z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą, przysługuje od administratora danych odszkodowanie za poniesioną szkodę.
2. Administrator danych może zastać zwolniony od tej odpowiedzialności w całości lub w części, jeżeli udowodni, że nie jest odpowiedzialny za zdarzenie, które spowodowało szkodę.
Artykuł 24
Sankcje
Państwa Członkowskie przyjmą odpowiednie środki w celu zapewnienia pełnej realizacji przepisów niniejszej dyrektywy oraz w szczególności określą sankcje, jakie należy nałożyć w przypadku naruszenia przepisów przyjętych zgodnie z niniejszą dyrektywą.
ROZDZIAŁ IV
PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH
Artykuł 25
Zasady
1. Państwa Członkowskie zapewniają, aby przekazywanie do państwa trzeciego danych osobowych poddawanych przetwarzaniu lub przeznaczonych do przetwarzania po ich przekazaniu mogło nastąpić tylko wówczas, gdy, niezależnie od zgodności z krajowymi przepisami przyjętymi na podstawie innych przepisów niniejszej dyrektywy, dane państwo trzecie zapewni odpowiedni stopień ochrony.
2. Odpowiedni stopień ochrony danych zapewnianej przez państwo trzecie należy oceniać w świetle wszystkich okoliczności dotyczących operacji przekazania danych lub zestawu takich operacji; szczególną uwagę zwracać się będzie na charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, państwo pochodzenia i państwo ostatecznego przeznaczenia, przepisy prawa, zarówno ogólne jak i branżowe, obowiązujące w państwie trzecim oraz przepisy zawodowe i środki bezpieczeństwa stosowane w tym państwie.
3. Państwa Członkowskie i Komisja będą informować się wzajemnie o przypadkach, kiedy uznają, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2.
4. Jeżeli Komisja stwierdzi, na podstawie procedury przewidzianej w art. 31 ust. 2, że państwo trzecie nie zapewnia odpowiedniego stopnia ochrony w znaczeniu ust. 2 niniejszego artykułu, Państwa Członkowskie podejmą konieczne środki, aby nie dopuścić do przekazania jakichkolwiek danych tego samego rodzaju do wspomnianego państwa trzeciego.
5. We właściwym czasie Komisja przystąpi do negocjacji w celu zaradzenia sytuacji stwierdzonej na podstawie ust. 4.
6. Komisja może stwierdzić, zgodnie z procedurą określoną w art. 31 ust. 2, że państwo trzecie zapewnia prawidłowy stopien ochrony w znaczeniu ust. 2 niniejszego artykułu, co wynika z jego prawa krajowego lub międzynarodowych zobowiązań, jakie państwo to przyjęło, szczególnie po zakończeniu negocjacji określonych w ust. 5, w zakresie ochrony życia prywatnego i podstawowych praw i wolności osób fizycznych.
Państwa Członkowskie podejmują środki niezbędne w celu wykonania decyzji Komisji.
Artykuł 26
Odstępstwa
1. W drodze odstępstwa od przepisów art. 25 oraz, z zastrzeżeniem odmiennych przepisów prawa krajowego dotyczącego konkretnych przypadków, Państwa Członkowskie zapewnią, że przekazanie lub przekazywanie danych osobowych do państwa trzeciego, który nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2 może nastąpić pod warunkiem, że:
(a) osoba, której dane dotyczą jednoznacznie udzieli zgody na proponowane przekazanie danych; lub
(b) przekazanie danych jest konieczne dla realizacji umowy między osobą, której dane dotyczą i administratorem danych lub dla wprowadzenia w życie ustaleń poprzedzających zawarcie umowy na wniosek osoby, której dane dotyczą; lub
(c) przekazanie danych jest konieczne dla zawarcia lub wykonania umowy zawartej między administratorem danych i osobą trzecią, w interesie osoby, której dane dotyczą, lub
(d) przekazanie danych jest konieczne lub wymagane przez prawo z ważnych względów publicznych lub w celu ustanowienia, wykonania lub obrony tytułu prawnego; lub
(e) przekazanie danych jest konieczne dla zapewnienia ochrony żywotnych interesów osoby, której dane dotyczą; lub
(f) przekazanie danych następuje z rejestru, który ma służyć, zgodnie z obowiązującymi przepisami ustawowymi lub wykonawczymi, za źródło informacji dla ogółu społeczeństwa, udostępnionego do konsultacji obywateli i każdej osoby wykazującej uzasadniony interes, o ile warunki określone przez prawo odnośnie do wglądu do takiego rejestru zostały w danym przypadku spełnione.
2. Bez uszczerbku dla ust. 1, Państwo Członkowskie może zezwolić na przekazanie lub przekazywanie danych osobowych do państwa trzeciego, które nie zapewnia odpowiedniego stopnia ochrony w znaczeniu art. 25 ust. 2, jeżeli administrator danych zaleci odpowiednie zabezpieczenia odnośnie ochrony prywatności oraz podstawowych praw i wolności osoby oraz odnośnie wykonywania odpowiednich praw; takie środki zabezpieczające mogą w szczególności wynikać z odpowiednich klauzul umownych.
3. Państwo Członkowskie powiadamia Komisję i inne Państwa Członkowskie o upoważnieniach wydanych na podstawie ust. 2.
Jeżeli Państwo Członkowskie lub Komisja zgłaszają sprzeciw w oparciu o uzasadnione przyczyny związane z ochroną prywatności oraz podstawowych praw i wolności osób fizycznych, Komisja podejmuje właściwe środki zgodnie z procedurą określoną w art. 31 ust. 2.
Państwa Członkowskie podejmą konieczne środki w celu zastosowania się do decyzji Komisji.
4. Jeżeli Komisja postanowi, zgodnie z procedurą określoną w art. 31 ust. 2, że określone klauzule umowne zapewniają odpowiednie środki zabezpieczające wymagane w ust. 2, Państwa Członkowskie podejmą konieczne środki w celu zastosowania się do decyzji Komisji.
ROZDZIAŁ V
KODEKSY POSTĘPOWANIA
Artykuł 27
1. Państwa Członkowskie i Komisja zachęcają do opracowywania kodeksów postępowania, których celem będzie usprawnienie procesu prawidłowego wprowadzania krajowych przepisów przyjętych przez Państwa Członkowskie na mocy niniejszej dyrektywy, uwzględniając szczególne cechy różnych sektorów.
2. Państwa Członkowskie umożliwiaja związkom zawodowym i innym instytucjom reprezentującym inne kategorie administratorów danych, które opracowały projekty krajowych kodeksów postępowania lub, które zamierzają dokonać zmiany lub uzupełnienia istniejących krajowych kodeksów postępowania, przedstawienie ich do zaopiniowania władzy publicznej.
Państwa Członkowskie doprowadzi do ustalenia przez wspomniany organ m.in., czy przedstawiony mu projekt jest zgodny z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą. Jeżeli wspomniany organ uzna to za stosowne, to powinien zwracać się o opinie osób, których dane dotyczą lub ich przedstawicieli.
3. Projekty kodeksów wspólnotowych, jak również zmiany i uzupełnienia istniejących kodeksów wspólnotowych mogą być przedstawione grupie roboczej określonej w art. 29. Grupa robocza powinna ustalić m.in., czy przedstawione jej projekty są zgodne z przepisami krajowymi przyjętymi zgodnie z niniejszą dyrektywą. Jeżeli wspomniany organ uzna to za stosowne, to powinien zwracać się o opinie osób, których dane dotyczą lub ich przedstawicieli. Komisja może zapewnić odpowiednie rozpowszechnienie kodeksów zatwierdzonych przez grupę roboczą.
ROZDZIAŁ VI
ORGAN NADZORCZY I GRUPA ROBOCZA DS. OCHRONY OSÓB FIZYCZNYCH W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH
Artykuł 28
Organ nadzorczy
1. Każde Państwo Członkowskie zapewni, że jeden lub więcej organów władzy publicznej będzie odpowiedzialnych za kontrolę stosowania na jego terytorium przepisów przyjętych przez Państwa Członkowskie na mocy niniejszej dyrektywy.
Organy te postępują w sposób całkowicie niezależny przy wykonywaniu powierzonych im funkcji.
2. Każde Państwo Członkowskie wprowadza obowiązek konsultowania się z organami nadzorczymi przy opracowywaniu środków administracyjnych lub przepisów dotyczących ochrony praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych.
3. Każdy organ jest w szczególności wyposażony w:
- uprawienia dochodzeniowe, jak np. prawo dostępu do danych stanowiących przedmiot operacji przetwarzania danych oraz prawo gromadzenia wszelkich informacji potrzebnych do wykonywania jego funkcji nadzorczych,
- skuteczne uprawnienia interwencyjne, jak np. prawo do wyrażania opinii przed przystąpieniem do operacji przetwarzania danych zgodnie z art. 20, oraz zapewnienia odpowiedniej publikacji swoich opinii, zarządzania blokady, usunięcia lub zniszczenia danych, nakładania czasowego lub ostatecznego zakazu przetwarzania danych, ostrzegania lub upominania administratora danych, lub też prawo kierowania sprawy do parlamentów narodowych lub innych instytucji politycznych,
- prawo pozywania w przypadku naruszenia krajowych przepisów przyjętych zgodnie z niniejszą dyrektywą lub powiadomienia organów sądowych o takim naruszeni.
Od decyzji organu nadzorczego, co, do których zgłaszane są zastrzeżenia, przysługuje odwołanie do właściwego sądu.
4. Każdy organ nadzorczy rozpatruje skargi zgłaszane przez dowolną osobę lub przez stowarzyszenie ją reprezentujące, odnośnie ochrony jej praw i wolności w zakresie przetwarzania danych osobowych. Zainteresowana osoba zostanie poinformowana o wyniku sprawy.
Każdy organ nadzorczy w szczególności rozpatruje skargi dotyczące kontroli legalności przetwarzania danych, zgłaszane przez dowolną osobę, kiedy mają zastosowanie krajowe przepisy przyjęte zgodnie z art. 13 niniejszej dyrektywy. Osoba ta zostanie w każdym przypadku poinformowana o przeprowadzeniu kontroli.
5. Każdy organ nadzorczy regularnie sporządza sprawozdanie ze swojej działalności. Sprawozdanie jest podawane do wiadomości publicznej.
6. Każdy organ nadzorczy jest właściwy, niezależnie od krajowych przepisów dotyczących danego przypadku przetwarzania danych, do wykonywania na terytorium Państwa Członkowskiego uprawnień powierzonych mu zgodnie z ust. 3. Do każdego organu można się zwrócić z żądaniem wykonania jego uprawnień przez odpowiedni organ innego Państwa Członkowskiego.
Organy nadzorcze współpracują ze sobą w zakresie koniecznym do wykonywania swoich obowiązków, zwłaszcza poprzez wymianę wszelkich przydatnych informacji.
7. Państwa Członkowskie dopilnują, aby członkowie kierownictwa i personel organu nadzorczego podlegali obowiązkowi zachowania tajemnicy zawodowej również po rozwiązaniu stosunku pracy, w odniesieniu do poufnych informacji, do których mają dostęp.
Artykuł 29
Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych
1. Niniejszym powołuje się grupę roboczą ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, zwaną dalej ”grupą roboczą”.
Ma ona charakter doradczy i działa w sposób niezależny.
2. W skład grupy roboczej wchodzą przedstawiciele organu lub organów nadzorczych, powołanych przez każde Państwo Członkowskie oraz przedstawiciela organu lub organów ustanowionych dla instytucji i organów wspólnotowych, oraz przedstawiciel Komisji.
Każdy członek grupy roboczej jest powoływany przez instytucję, organ lub organy, które reprezentuje. Jeżeli Państwo Członkowskie powoła więcej niż jeden organ nadzorczy, organy te wyznaczają wspólnego przedstawiciela. Ta sama zasada dotyczy organów utworzonych przez instytucje i organy wspólnotowe.
3. Grupa robocza podejmuje decyzje zwykłą większością głosów przedstawicieli organów nadzorczych.
4. Grupa robocza wybiera swojego przewodniczącego. Kadencja przewodniczącego trwa dwa lata. Jego mandat jest odnawialny.
5. Komisja zapewnia obsługę sekretariatu grupy roboczej.
6. Grupa robocza przyjmuje swój regulamin.
7. Grupa robocza rozważa pozycje zamieszczone w porządku dziennym przez przewodniczącego, z jego inicjatywy bądź na wniosek przedstawiciela organu nadzorczego lub na wniosek Komisji.
Artykuł 30
1. Grupa robocza :
(a) bada każdą kwestię dotyczącą stosowania krajowych środków przyjętych na mocy niniejszej dyrektywy, aby przyczynić się w ten sposób do jednolitego stosowania tych środków;
(b) przekazuje Komisji opinie na temat stopnia ochrony we Wspólnocie i w państwach trzecich;
(c) doradza Komisji w sprawie wszelkich proponowanych zmian niniejszej dyrektywy, dodatkowych lub szczególnych środków mających na celu zabezpieczenie praw i wolności osób fizycznych w zakresie przetwarzania danych osobowych oraz innych proponowanych środków unijnych dotyczących praw i wolności;
(d) wydaje opinie na temat kodeksów postępowania opracowywanych na poziomie wspólnotowym.
2. Jeżeli grupa robocza stwierdza występowanie rozbieżności między przepisami i praktyką przyjętą w poszczególnych Państwach Członkowskich, mogących wpływać na równoważność ochrony osób fizycznych w zakresie przetwarzania danych osobowych we Wspólnocie, grupa powiadamia o tym Komisję.
3. Grupa robocza może z własnej inicjatywy formułować zalecenia we wszystkich sprawach dotyczących ochrony osób fizycznych w zakresie przetwarzania danych osobowych we Wspólnocie.
4. Opinie i zalecenia grupy roboczej są przekazywane Komisji oraz komitetowi, określonemu w art. 31.
5. Komisja informuje grupę roboczą o podejmowanych działaniach w odpowiedzi na jego opinie i zalecenia. Czyni to w formie sprawozdania, które przekazywane jest również Parlamentowi Europejskiemu i Radzie. Sprawozdanie jest udostępniane opinii publicznej.
6. Grupa robocza sporządza roczne sprawozdanie na temat sytuacji dotyczącej ochrony osób fizycznych w zakresie przetwarzania danych osobowych we Wspólnocie oraz w państwach trzecich, które powinna przekazać Komisji, Parlamentowi Europejskiemu i Radzie. Sprawozdanie jest udostępniane opinii publicznej.
ROZDZIAŁ VII
WSPÓLNOTOWE ŚRODKI WYKONAWCZE
Artykuł 31
Komitet
1. Komisja wspierana jest przez komitet składający się z przedstawicieli Państw Członkowskich, na którego czele stoi przedstawiciel Komisji.
2. Przedstawiciel Komisji przedstawia komitetowi projekt środków, które należy podjąć. Komitet wydaje opinię o projekcie w terminie wyznaczonym przez przewodniczącego zależnie od pilności sprawy.
Opinia zostaje przyjęta większością głosów ustanowioną w art. 148 ust. 2 Traktatu. Głosy przedstawicieli Państw Członkowskich w komitecie są ważone w sposób określony w tym artykule. Przewodniczący nie bierze udziału w głosowaniu.
Komisja przyjmuje środki, które stosuje się niezwłocznie. Jeżeli jednak środki te nie są zgodne z opinią komitetu, Komisja niezwłocznie powiadamia o tym Radę. W takim przypadku:
- Komisja odracza stosowanie podjętych środków o trzy miesiące od daty takiego powiadomienia;
- Rada, stanowiąc większością kwalifikowaną, może podjąć inną decyzję w terminie określonym w tiret pierwsze.
PRZEPISY KOŃCOWE
Artykuł 32
1. Państwa Członkowskie wprowadzą w życie przepisy ustawowe, wykonawcze i administracyjne niezbędne do wykonania niniejszej dyrektywy nie później niż trzy lata od daty jej przyjęcia.
Wymienione środki zawierają odniesienie do niniejszej dyrektywy lub odniesienie to towarzyszy ich urzędowej publikacji. Metody dokonywania takiego odniesienia są ustanawiane przez Państwa Członkowskie.
2. Państwa Członkowskie zapewniają, aby przetwarzanie danych, będące już w toku w dniu, w którym przepisy krajowe przyjęte zgodnie z niniejszą dyrektywą weszły w życie, zostało dostosowane do tych przepisów w terminie trzech lat od wspomnianej daty.
W drodze odstępstwa od poprzedniego akapitu Państwa Członkowskie mogą wprowadzić wymóg, aby przetwarzanie danych, które są już przechowywane w ręcznych systemach ewidencji w dniu wejścia w życie krajowych przepisów przyjętych w ramach wykonania niniejszej dyrektywy zostały dostosowane do wymogów art. 6-8 niniejszej dyrektywy w ciągu 12 lat od daty ich przyjęcia. Państwa Członkowskie przyznają osobie, której dane dotyczą prawo uzyskania, na jej wniosek, w szczególności w czasie wykonywania przysługującego jej prawa dostępu, sprostowania, usunięcia lub zablokowania danych, które są niekompletne, nieprawidłowe lub przechowywane w sposób niezgodny z uzasadnionymi celami realizowanymi przez administratora danych.
3. W drodze odstępstwa od ust. 2, Państwa Członkowskie mogą ustalić, z zastrzeżeniem odpowiednich zabezpieczeń, że dane przechowywane wyłącznie dla potrzeb badań historycznych nie muszą być dostosowywane do wymogów art. 6-8 niniejszej dyrektywy.
4. Państwa Członkowskie przekażą Komisji teksty podstawowych przepisów prawa krajowego, przyjętych w dziedzinach objętych niniejszą dyrektywą.
Artykuł 33
Komisja składa Radzie i Parlamentowi Europejskiemu regularne sprawozdania, począwszy nie później niż trzy lata od daty wskazanej w art. 32 ust. 1, na temat wykonania niniejszej dyrektywy, załączając do sprawozdania, w razie potrzeby, odpowiednie propozycje zmian. Sprawozdanie jest podawane do publicznej wiadomości.
Komisja bada w szczególności stosowanie niniejszej dyrektywy w odniesieniu do przetwarzania danych dźwiękowych i obrazowych dotyczących osób fizycznych oraz przedstawia odpowiednie propozycje, jakie okażą się konieczne, biorąc pod uwagę rozwój technologii informatycznych oraz stan postępu zachodzącego w społeczeństwie informacyjnym.
Artykuł 34
Niniejsza dyrektywa skierowana jest do Państw Członkowskich.
Sporządzono w Luksemburgu, dnia 24 października 1995 r.
W imieniu Parlamentu Europejskiego
|
W imieniu Rady |
K. HÄNSCH
|
L. ATIENZA SERNA |
Przewodniczący |
Przewodniczący |
Załącznik B
(informacyjny)
Użyteczne źródła porad
B.1 Projekty dotyczące bezpieczeństwa danych w Unii Europejskiej
SEISMED Consortium, ”Towards Security in Medical Telematics", ed Barber B et al, vol 27 in Studies in Health Technology and Informatics, IOS Press, Amsterdam, 1996, ISBN 90 5199 246 7
"Data Security for Health Care” ed SEISMED Consortium, in Studies in Health Technology and Informatics, IOS Press, Amsterdam, 1996:
Management Gudelines vol I ISBN 90 5199 264 5
Technical Guidelines vol II ISBN 90 5199 265 3
User Guidelines vol III ISBN 90 5199 266 1
TrustHealth 1 and 2, EU DG XIII Fourth Framework Health Telematics Projects, HC1051 i HC 4023, 1996 - 1999
Handbook of Standards for Security and Privacy - Healthcare Deliverable 4 EU MEDSEC project, EU DG III Health Care Security and Privacy in Information Society EU DGIII, ISIS programme, 1997 - 1998
SEMRIC, Secure Electronic Medical Information Communications, EU DG III, ISIS program, 1997
B.2 CEN/ISSS
Inicjatywa dotycząca normalizacji w zakresie poufności danych w Europie (IPSE), Szkic do dyskusji, wrzesień 2001
B.3 Normy nie opracowane przez CEN
BS 7799-1, Code of Practice for Information Security Management, 1999, British Standards Institution, London
BS 7799-2, Specification for Information Security Management Systems, 1999, British Standards Institution, London
ISO/IEC 17799: 2000, Information Technology - Code of Practice for Information Security Management
ISO/IEC TR 13335, Guidelines for the Management of IT Security
Part 1: Concepts and Models
Part 2: Managing and Planning IT Security
Part 3: Techniques for the management of IT Security
"Personal Privacy Protection in Health Information Systems", Standards of Australia Committee IT/14, AS4400 -1995
"Guidelines for the Security of Information Systems", OECD, OECD/GD(92)190 Paris, November 1992
B.4 Wybrane strony web
www.cert.org CERT Co-ordination Centre, Software Engineering Institute of Carnegie Mellon University
www.oecd.org OECD
http://europa.eu.int/comm/internal_market/en/dataprot/ European Commission Data Protection
http://europa.eu.int/comm/internal_market/en/dataprot/wpdocs EU Article 29 Working Party
Załącznik C
(informacyjny)
Wzór oświadczenia
Wzór oświadczenia na jakiej podstawie, przesyłanie medycznych danych osobowych jest traktowane jako zgodne z dyrektywą Unii Europejskiej o ochronie danych.
Niżej podpisany, jako upoważniony reprezentant [NAZWA ORGANIZACJI] oświadcza, że przyczyny na podstawie których [NAZWA ORGANIZACJI] uważa, że przygotowania dotyczące ochrony danych są w niej zgodne z dyrektywą Unii Europejskiej o ochronie danych, dla celów przesyłania medycznych danych osobowych wewnątrz [IDENTYFIKATOR MIĘDZYNARODOWEJ APLIKACJI] są przedstawione poniżej.
Właściwości podstaw
|
Sprawdź wszystkie mające znaczenie ramki |
|
Wszystkie medyczne dane osobowe przed przesłaniem przekształcane są z zerowym prawdopodobieństwem zidentyfikowania jakiejkolwiek osoby w granicach rozsądnego rozmieszczenia zasobu
|
|
Organizacja znajduje się w granicach państwa, które jest członkiem EEA i które ma wdrożone środki bezpieczeństwa wymagane w dyrektywie UE o ochronie danych[Author ID2: at Thu Jul 22 10:43:00 2004 ]
|
|
Organizacja znajduje się w granicach państwa formalnie uznanego przez Komisję UE za mające odpowiednie warunki ochrony danych i która ma wdrożone wszystkie środki bezpieczeństwa wymagane w dyrektywie UE o ochronie danych [Author ID1: at Wed Jul 21 23:15:00 2004 ]
|
|
Jest zgodne z zarządzeniami formalnie zatwierdzanymi przez Komisję UE w kontekście artykułu 25.6
Organizacja w USA zgodna z aktualna wersją USA Safe Harbor Privacy Principles
Jest zgodne z zarządzeniami ogłoszonymi przez Władze Nadzorcze we właściwym państwie członkowskim UE
|
artykułu 26.1
„Zgoda udzielana przez osoby, których dotyczą dane” |
Udzielona jednoznacznie i swobod
|
artykułu 26.2
„umowne”
|
Podlega umownym wymaganiom zatwierdzanym przez administratora danych UE przekazywanymi do i zatwierdzanymi przez Władze Nadzorcze we właściwym państwie członkowskim UE
|
|
Podlega umownym wymaganiom i jest zgodne z warunkami umowy i jakimikolwiek powiązanymi wymaganiami jak jest to zaaprobowane przez Komisję UE w związku z artykułem 26.4
|
Podpis: ……….………………….
Stanowisko ……………….………….
Nazwa organizacji: ……………………….…………. Adres: ….………………………
Bibliografia
[1] "Directive 95/46/EC of the European Parliament and of the Council of Europe of 24 October 1995, on the protection of individuals with regard to the processing of personal data and on the free movement of such data", Official Journal of the European Communities, Number L281/31, 23 November 1995.
[2] "OECD” Recommendations of the Council of the OECD concerning Guidelines on the Protection of Privacy and Trans-border flows of Personal Data", OECD, 23 September 1980.
[3] "OECD” Guidelines for the Security of Information Systems", 1996, OECD Publications,
ISBN 96-64-14569-9.
[4] "Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (ETS No. 108)", Council of Europe, Strasbourg, 28 January 1981.
[5] "Council of Europe Recommendation R(97)5 on the Protection of Medical Data". Council of Europe Publishing, Strasbourg, 12 February 1997.
[6] "Guidelines for the Regulation of Computerised Personal Data Files", United Nations General Assembly, 14 December 1990.
[7] Ray Rogers and Joy Reardon, ”Barriers to a Global Information Society for Health: Recommendations for International Action, Appendices 7 to 15", Studies in Health Technology and Informatics No. 63, IOS Press, Amsterdam, February 1999.
[8] "Ethical Issues of Healthcare in the information Society", Opinion of the European Group on Ethics in Science and New Technologies to the Commission of the European Union, Number 13, 30 July 1999.
[9] EN 14485, Health informatics - Guidance for handling personal health data in international applications in the context of the EU data protection directive.
[10] Draft Commission Decision on Standard Contractual Clauses under Article 26 (4) of Directive 95/46/EC for the transfer of personal data to processors in third countries, July 2001.
[11] "Opinion 6/99 on level of personal data protection in Hungary", Working party on the Protection of Individuals with regard to the Processing of Personal Data, 7 September 1999.
[12] "Opinion 5/99 on level of protection of personal data in Switzerland", Working Party on the Protection of individuals with regard to the Processing of Personal Data", 7 June 1999.
[13] Opinion 3/2001 on the level of protection of the Australian Privacy Amendment (Private Sector) Act 2000, Article 2000, Article 29 EU Data Protection Working Party, 26 January 2001-07-30.
[14] Opinion 2/2001 on the adequacy of the Canadian Personal Information, and Electronic Documents Act, Article 29 EU Data Protection Working party, 26 January 2001.
[15] Data security for healthcare, Vol. 1 Management Guidelines, Vol. 2 Technical Guidelines, Vol. 3 User Guidelines, Edited by the SIESMED Consortium, Studies in Health Technology and informatics 31, 32, and 33, IOS Press, Amsterdam.
[16] European Convention on the Protection of Human Rights and Fundamental Freedoms, Council of Europe, Strasbourg 1951.
[17] Commission Decision of July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the Safe Harbor Privacy Principles and related Frequently Asked Questions issued by the US Department of Commerce.
[18] Professional Codes for Electronic Healthcare Record Protection: Ethical, Legal, Economic and Structural Issues, E-H Kluge, pp 85-96 in International Journal of Medical informatics, 60, 2000.
[19] “Worst Case Scenarios: the Legal Consequences”, Barber B, Vincent R and Scholes M, pp 282 - 288, Current Perspectives in Healthcare Computing 1992, ed Richards B et al, pub for British Computer Society by BJHC Weybridge, ISBN 0 948198 12 5.
[20] The CRAMM User Guide, 29 March 2001, The CCTA Risk Analysis and Management Methodology, CRAMM, software version 4.0, The CRAMM Manager, Insight Consulting Ltd, Churchfield House, 5 The Quintet, Churchfield Road, Walton on Thames, KT12 2TZ [the user guide is included with the software].
[21] Communicating Health Information in an Insecure World, ed Bakker AR, Barber B, Pellikka RT K & Treacher A, International Journal of Bio-Medical Computing, vol 43, pp 1-152, Supplement October 1996 Amsterdam.
[22] Common Security Solutions for Communicating Patient Data, ed Bakker AR, Barber B, Ishikawa K & Yamamoto K, International Journal of Bio-Medical Computing, vol 49, pp 1-137, Supplement October 1998 Amsterdam.
[23] Security of the Distributed Electronic Patient Record, ed Bakker AR, Barber B, Moehr J, International Journal of Bio-Medical Computing, Vol 60 pp 1 - 237, 2000.
[24] ENV 12388:1997, Medical informatics - Algorithm for Digital Signature Services in Health Care.
[23] ENV 12924:1996, Medical informatics - Security Categorisation and Protection for Health Care Information Systems.
[23] ENV 13608-1:2000, Health informatics - Security for health care communications - Part 1: Concepts and terminology.
[23] ENV 13608-2:2000, Health informatics - Security for health care communications - Part 2 Secure data objects.
[23] ENV 13608-3:2000, Health informatics - Security for health care communications - Part 3: Secure data channels.
[23] ENV 13729:2000, Health informatics - Secure user identification - Strong authentication using microprocessor cards.
[23] ENV 12551:2000, Health Informatics - Secure user authentication for health care - Management and security of authentication by passwords.
N1) Odsyłacz krajowy: Angielska nazwa - European Standardization of Health Informatics.
N2) Odsyłacz krajowy: Błąd w oryginale. Prawidłowy zapis: Dyrektywa Unii Europejskiej o ochronie danych 95/47/EC [1].
2
PN-EN 14484:
3
PN-EN
PROJEKT ROBOCZY[Author ID1: at Wed Jul 21 23:22:00 2004
]DO [Author ID1: at Wed Jul 21 23:22:00 2004
]ZATWIERDZENIA
EN 14484:2003
EN 14484:2003
[Author ID1: at Wed Jul 21 21:12:00 2004 ][Author ID1: at Wed Jul 21 21:12:00 2004 ]64[Author ID1: at Wed Jul 21 21:12:00 2004 ]
[Author ID1: at Wed Jul 21 21:16:00 2004 ][Author ID1: at Wed Jul 21 21:16:00 2004 ]65[Author ID1: at Wed Jul 21 21:16:00 2004 ]
© Copyright by PKN, Warszawa ... |
nr ref. PN-EN 14484 |
Wszelkie prawa autorskie zastrzeżone. Żadna część niniejszej normy nie może być zwielokrotniana jakąkolwiek techniką bez pisemnej zgody Prezesa Polskiego Komitetu Normalizacyjnego
Norma europejska EN 14484:2003 ma status Polskiej Normy
This national document is identical with EN 14484:2003 [Author ID0: at Thu Nov 30 00:00:00 1899
]
and is published with the permission of CEN;[Author ID0: at Thu Nov 30 00:00:00 1899
]
rue de Stassart, 36; B-1050 Bruxelles, Belgium.[Author ID1: at Wed Jul 21 23:23:00 2004
][Author ID0: at Thu Nov 30 00:00:00 1899
]
Niniejszy dokument krajowy jest identyczny z EN 14484:2003[Author ID0: at Thu Nov 30 00:00:00 1899
]
i jest opublikowany za zgodą CEN[Author ID1: at Wed Jul 21 23:23:00 2004
]
rue de Stassart 36 ; B-1050 Bruxelles, Belgium.[Author ID1: at Wed Jul 21 23:23:00 2004
]
Health Informatics [Author ID1: at Wed Jul 21 21:02:00 2004
]Informatyka [Author ID1: at Wed Jul 21 21:02:00 2004
]medyczna
International transfer of personal health data covered by the EU data protection directive - High level security policy[Author ID1: at Wed Jul 21 23:41:00 2004
] [Author ID1: at Wed Jul 21 23:41:00 2004
]Międzynarodowy przekaz medycznych danych osobowych
objętych dyrektyw[Author ID1: at Wed Jul 21 23:41:00 2004 ]ą UE dotycząc[Author ID1: at Wed Jul 21 23:41:00 2004 ]ą ochrony danych [Author ID1: at Wed Jul 21 23:41:00 2004 ]
Wysoki poziom polityki bezpieczeństwa [Author ID1: at Wed Jul 21 23:41:00 2004 ]
ŚRODKI
WYTYCZNE
ZASADY
ZASADY
OGÓLNE
ogólne
Wysoki poziom
Poziom abstrakcji
Nie
Nie
Nie
Nie
Nie
Nie
Nie
Nie
Nie
Nie
Wyszukiwarka
Podobne podstrony:
A Biegus projektowanie konctrukcji stalowych wg PN EN 1993 1 1 cz 1
5817 PN EN ISO IV 2007
PN EN 1990 2004 AC Podstawy projektowania konstrukcji poprawka
normy do cw I PN EN 772 15 id 7 Nieznany
Zmiany w normie PN EN 12697 6 poprawka
PN EN 1991 1 1 2004 Ap1 2010
PN EN 1991 1 7 2008
Odpór podłoża PN EN (wzory)
Proj zakladkowych poł srubowych wg PN EN (2)
PN EN 1991 2 2007 Ap1 2010
instrukcja bad makro wg pn en iso
PN EN 60099 5 1999 Ograniczniki przepięć Zasady doboru
Główne wymagania normy PN EN ISO IEC 17025
PN EN 1991 3 2009
PN EN 1990 2004 A1 Podstawy projektowania konstrukcji zmiana
PN EN 1991 1 2 2006 Ap1 2010
PN EN 1994 2 2010 Ap1 2010
więcej podobnych podstron