Prawne zagadnienia obiegu dokumentów w Opiece Zdrowia prof. n. dr hab. Dariusz Szostek Szostek Bar i Partnerzy Kancelaria Prawna dariusz.szostek@szostek-bar.pl 501-771-535

Agenda Definicje dotyczące elektronicznego obiegu dokumentu, źródła prawa polskiego oraz europejskiego. Dowód z dokumentu elektronicznego. Problem digitalizacji dokumentów Dokument elektroniczny w postępowaniu cywilnym oraz administracyjnym Dokument elektroniczny a mity dotyczące przechowywania w chmurze Obieg dokumentów a wymagania RODO

Źródła prawa Rozporządzenie nr 910/2014 z dnia 23 lipca 2014 r. w sprawie identyfikacji elektronicznej i usług zaufania w odniesieniu do transakcji elektronicznych na rynku wewnętrznym oraz uchylające dyrektywę 1999/93/WE zwane w skrócie eIDAS Rozporządzenie RODO dotyczące ochrony danych osobowych Ustawa z dnia 10 lipca 2015 r. (Dz.U. 2015 poz. 1311) o zmianie kodeksu cywilnego, kodeksu postępowania cywilnego i innych ustaw. Ustawa o systemie informacji o ochronie zdrowia kodeks postępowania administracyjnego Ustawa o dostępie do informacji publicznej Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Wejście w życie 1 lipca 2016r !!!! eIDAS

Cele Budowanie zaufania do środowiska on-line Zwiększenie zaufania do transakcji elektronicznych na rynku wewnętrzny – poprzez wspólną interakcję elektroniczną pomiędzy: obywatelami, przedsiębiorcami i organami publicznymi Tworzenie jednolitego rynku cyfrowego (Komunikat Komisji z 26 sierpnia 2010r. )

Cele Ułatwienie transgranicznego korzystania z usług on-line, ze szczególnym uwzględnieniem ułatwienia elektronicznej identyfikacji i uwierzytelnienia Wzajemne uznawania na terytorium wspólnotowym: Elektronicznej identyfikacji Dokumentów elektronicznych Podpisów elektronicznych Usług doręczeń elektronicznych Interoperacyjność usług

prof. n. dr. ha. Dariusz Szostek Nowe ujęcie dokumentu prof. n. dr. ha. Dariusz Szostek

Dokument- definicja . Rozporządzenie eIDAS Dokument elektroniczny – oznacza każdą treść przechowywaną w postaci elektronicznej, w szczególności tekst lub nagranie dźwiękowe, wizualne lub audiowizualne

Dokument definicja – kodeks cywilny Art. 77(3) k.c. Dokumentem jest nośnik informacji umożliwiający zapoznanie się z jej treścią

Utrwaloną w sposób umożliwiający zapoznanie się z jej treścią Elementy dokumentu Nośnik zawierający informację Utrwaloną w sposób umożliwiający zapoznanie się z jej treścią tradycyjny cyfrowy Tradycyjnie cyfrowo

Dokumentacja medyczna (ust. o inf. med.) Art.2 ust. 6 Elektroniczna dokumentacja medyczna- dokumenty wytworzone w postaci elektronicznej opatrzone kwalifikowanym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP

Podpis elektroniczny - skutki Art. 25 1.   Podpisowi elektronicznemu nie można odmówić skutku prawnego ani dopuszczalności jako dowodu w postępowaniu sądowym wyłącznie z tego powodu, że podpis ten ma postać elektroniczną lub że nie spełnia wymogów dla kwalifikowanych podpisów elektronicznych. 2.   Kwalifikowany podpis elektroniczny ma skutek prawny równoważny podpisowi własnoręcznemu. 3.   Kwalifikowany podpis elektroniczny oparty na kwalifikowanym certyfikacie wydanym w jednym państwie członkowskim jest uznawany za kwalifikowany podpis elektroniczny we wszystkich pozostałych państwach członkowskich.

Dokument elektroniczny Za dokument elektroniczny należy także uważać nagrania multimedialne, zawierające także obrazy, czy też dźwięk, byleby spełniały funkcję dokumentu tradycyjnego Odnośnie dokumentu elektronicznego nie ma „oryginału” i „kopii”, jest multiplikowalność, autentyczność i integralność Badanie w tym zakresie, w związku z prawdopodobnie niewystarczającą wiedzą sędziego, powinno być dokonywane przez zewnętrznego biegłego informatyka

Autentyczność i Integralność Definicja autentyczności i integralności Dyrektywa Rady 2001/115/WE Integralność - gwarancja, że dane nie zostały zmienione, lub że każda zmiana jest możliwa do zauważenia i zweryfikowania Autentyczność gwarancja pochodzenia dokumentu Różne poziomy gwarancji integralności i autentyczności

Dowód z dokumentu elektronicznego

Podział dokumentów dokument Art. 243(1) k.p.c. Przepisy niniejszego oddziału stosuje się do dokumentów zawierających tekst, umożliwiających ustalenie ich wystawców dokument Inne dokumenty (art. 308 k.p.c.) Zawierający Tekst Art.. 243(1) k.p.c. prywatny urzędowy

Dokument prywatny Art.245 k.p.c. Dokument prywatny sporządzony w formie pisemnej albo elektronicznej stanowi dowód tego, że osoba, która go podpisała złożyła oświadczenie zawarte w dokumencie

Badanie prawdziwości Art. 254 § 2(1) Sąd w razie potrzeby może wezwać wystawcę dokumentu sporządzonego w postaci elektronicznej do udostępnienia informatycznego nośnika danych, na których ten dokument został zapisany §2(2) Od obowiązku udostępnienia informatycznego nośnika danych zwolniony jest ten, kto na pytanie, czy dokument sporządzono na tym informatycznym nośniku danych lub czy pochodzi od niego, mógłby jako świadek odmówić zeznań.

§ 4 Osoba trzecia może na równi ze świadkiem żądać zwrotu wydatków koniecznych związanych ze stawiennictwem do sądu lub udostępnianiem informatycznego nośnika danych, a ponadto wynagrodzenia za utratę zarobku

Inne dokumenty Art. 308 Dowody z innych dokumentów niż wymienione w art. 243(1) w szczególności zawierające zapis obrazu, dźwięku albo obrazu i dźwięku, sąd przeprowadza, stosując odpowiednio przepisy o dowodzie z oględzin oraz o dowodzie z dokumentów

Forma elektroniczna Art. 781. [Forma elektroniczna] § 1. Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go bezpiecznym podpisem elektronicznym weryfikowanym przy pomocy ważnego kwalifikowanego certyfikatu. § 2. Oświadczenie woli złożone w formie elektronicznej jest równoważne z oświadczeniem woli złożonym w formie pisemnej, chyba że ustawa lub czynność prawna zastrzega inaczej. Art. 781 dodany ustawą z dnia 10.07.2015 r. (Dz.U. z 2015 r. poz. 1311), która wchodzi w życie 8.09.2016 r.

Forma pisemna Art. 78 § 1 Do zachowania pisemnej formy czynność prawnej wystarcza złożenie własnoręcznego podpisu na dokumencie obejmującym treść oświadczenia woli…..

Przechowywanie dokumentów w chmurze Mity

Mit 1 Zgodnie nową definicją dokumentu – nie wolno go przechowywać w chmurze

Mit 2 Nie wiadomo gdzie znajdują się fizycznie serwery

W umowach określone jest miejsce przechowywania danych Wystarczy zagwarantowanie w umowie prawa do informacji o fizycznej lokalizacji serwerów na których są lub mogą być przetwarzane dane Wystarczy wskazanie kraju miejsca położenia serwerów…. Nie jest konieczny dokładny adres Zmiana lokalizacji powinna być podana z rozsądnym wyprzedzeniem

Mit 3 Brak informacji odnośnie zabezpieczeń i bezpieczeństwa przechowywanych danych

Zabezpieczenie w umowie Prawnie zagwarantowany dostęp do dokumentacji dotyczącej zasad bezpieczeństwa oraz środków technicznych przyjmowanych w poszczególnych centrach przetwarzania danych Jest to tajemnica przedsiębiorstwa Trudno uzyskać dostęp do takich informacji

Wdrożenie i spełnianie normy ISO/IEC 27018 Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Bezpieczeństwo zasobów ludzkich Zarządzanie aktywami Kontrola dostępu Kryptografia Bezpieczeństwo fizyczne i środowiskowe

Wdrożenie i spełnianie normy ISO/IEC 27018 Zarządzanie operacyjne Komunikacja bezpieczeństwa Nabycie systemu, rozwój i utrzymanie Powiązanie z dostawcami Zarządzanie incydentami związanymi z bezpieczeństwem informacji Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania zgodność

Mit 4 Nie wiadomo kto jest podwykonawcą

Rozwiązanie Zagwarantowanie pełnej informacji o podwykonawcach i instytucjach uczestniczących w realizacji usługi w umowie Spełnienie wymogów normy ISO/IEC 27018

Mit 5 Podwykonawcy nie muszą spełniać rygorystycznych wymogów dotyczących przechowywania danych w chmurze, a co za tym idzie możliwość ich „wypłynięcia”

Rozwiązanie Zagwarantowanie w umowie, iż każdy z podwykonawców i instytucji będzie związany takimi samymi klauzulami umownymi jak dostarczyciel usług chmury Podwykonawcy powinni działać wyłącznie zgodnie z instrukcjami usługodawcy lub Spełnienie wymogów normy ISO/IEC 27018

Mit 6 Usługodawca „chmury” staje się administratorem przechowywanych danych

Rozwiązanie Odpowiednie skonstruowany zapis w umowie lub Spełnienie wymogów normy ISO/IEC 27018

Mit 7 Dostęp do danych przechowywanych w chmurze mogą mieć służby

To zależy od przepisów wewnętrznych danego państwa Zagwarantowanie informacji o zobowiązaniach usługodawcy względem organów państwa: policji, prokuratury, służb specjalnych, organów ścigania Informowanie usługobiorcy o wszelkich wnioskach dotyczących udostępnienia danych, a także o samym udostępnieniu Nie zawsze możliwe do zrealizowania

Rozwiązanie Dokładne ustalenie w umowie zasad przeszukiwania, retencji i usuwania danych dostarczanych przez usługodawcę Zagwarantowanie w umowie raportowania usługobiorcy o wszelkich incydentach bezpieczeństwa danych. Pomoc przy zwalczaniu skutków takich incydentów

Jeszcze miesiąc temu służby miałybezpośrednią, praktycznie nielimitowaną oraz natychmiastową możliwość pozyskiwania danych billingowych od operatorów telekomunikacyjnych. Być może dlatego Polska pobiła w ostatnich latach rekord wśród europejskich krajów, jeśli chodzi o liczbę wniosków dot. pozyskania danych. W lipcu 2014 roku Trybunał Konstytucyjny orzekł, że część podstaw prawnych kontroli operacyjnej w ustawie o policji i innych ustawach o służbach jest niezgodnych z konstytucją. Wyrok ten dążył do ograniczenia, a nie rozszerzenia kontroli…

Najważniejsze zmiany Obecnie nie potrzeba zgody na śledzenie osób przy użyciu GPS materiały zawierające tajemnice zawodowe (np. dziennikarskie lub adwokacje) nie muszą być natychmiastowo niszczone, podobnie jak i inne niezwiązane z przedmiotem inwigilacji, a pozyskane w jej trakcie informacje (to umożliwia tzw. “zbieranie haków”, kiedy np. w trakcie inwigilacji odkryje się niemający wpływu na przedmiot śledztwa romans inwigilowanego, albo jego orientację seksualną) Umożliwienie prowadzenia kontroli operacyjnej do 12 miesięcy, po odpowiednich zgodach sądu okręgowego, na pisemny wniosek Komendanta Głównego Policji, złożony po uzyskaniu pisemnej zgody Prokuratora Generalnego (to bardzo długi czas inwigilacji).

Mit 8 Brak odpowiedzialności dostarczyciela usługi chmury za przechowywane dane

Rozwiązanie Dokładne określenie w umowie zasad wyłączenia lub ograniczenia odpowiedzialności dostarczyciela usługi przy jej realizacji Odpowiedzialność na zasadzie ogólnej prawa cywilnego m.in. art. 415 k.c. art. 471 k.c. Odpowiedzialność na podstawie ustawy o świadczeniu usług drogą elektroniczną

Mit 9 Niemożność przeniesienia danych na własne nośniki lub do innego usługodawcy Uzależnienie od jednego usługodawcy

Rozwiązanie Odpowiednia regulacja w umowie Minimalizacja niebezpieczeństwa „przywiązania” do pojedynczego dostarczyciela usług Zapewnienie interoperacyjności i przenaszalności danych Zapewnienie „zwrotu danych” Uregulowanie w umowie kwestii dyslokacji i przeniesienia danych Uregulowanie kwestii skasowania danych (należy zapoznać się z regulacjami prawa publicznego danego kraju w zakresie retencji danych)

Mit 10 Brak regulacji prawnych dotyczących chmury

Norma ISO 27018 – główne wymagania Dane osobowe mogą być przetwarzane tylko i wyłącznie za wyrażeniem zgody przez klienta oraz wyłącznie do celów nieosobistych, oprócz sytuacji wyrażenie zgody przez klienta na tego rodzaju działanie Należy zdefiniować procesy określające: zwrot, przekazanie, zniszczenie danych osobowych Przed zakończeniem umowy należy ujawnić wszelkie podzlecenia usług przetwarzania oraz wszystkie kraje w których następuje przetwarzanie danych Każdego rodzaju naruszenie danych osobowych należy udokumentować – łącznie z ustalonymi krokami rozwiązywania problemów i możliwymi następstwami

Norma ISO 27018 – główne wymagania Naruszenie ochrony danych osobowych należy bezzwłocznie zgłosić klientowi Należy wspierać klientów w zakresie postrzegania swoich praw. Należy tak udostępniać zasoby, aby końcowi użytkownicy mogli uzyskać dostęp do swoich danych osobowych w celu ich zmiany, usunięcia lub korekcji Przekazanie danych osobowych organom ścigania wyłącznie na podstawie przepisów prawa regulujących taki obowiązek. Należy poinformować klienta, objętego takim postępowaniem o tym fakcie, o ile informacja ta nie została utajniona Usługi w chmurze należy poddać regularnym kontrolom przez osoby trzecie.

Dokumentacja medyczna a Rozporządzenie RODO Prawo do przenaszalności danych Prawo do bycia zapomnianym

Przykładowe oświadczenia w RODO zgoda umowa sprzeciw prawo do bycia zapomnianym obowiązki informacyjne

Dokument w postępowaniu administracyjnym Pełna regulacja w tym zakresie

Dziękuję za uwagę dariusz.szostek@szostek-bar.pl