Czy trzeba zbierać pisemne zgody klientów? Co z czytnikami podpisów? Czy już posiadane zgody będą nieważne?

PYTANIA DOTYCZĄCE ZGODY NA PRZETWARZANIE DANYCH

 
To chyba najczęściej pojawiające się pytania ostatnich dni. Przede wszystkim, według naszej wiedzy:
 
  1. Czy koniecznie trzeba zbierać podpisane zgody? Ustawa nie wymusza zbierania podpisanej zgody klientów na gromadzenie danych.
  2. Czy w takim razie zbierać zgody czy nie? Raczej zbierać. To trochę jak z wykupieniem ubezpieczenia. W zasadzie wystarczy powiedzieć, że rzadko to będzie potrzebne, a zgoda jest domniemana, bo klient podał sam swoje dane. Jednak w przypadku różnicy zdań może się zrobić nieprzyjemnie, a najprościej jest wyciągnąć podpisany dokument i zakończyć dyskusję.
  3. Czy oprócz zbierania podpisów coś jeszcze trzeba zrobić? Oczywiście tak. Zbieranie pisemnych zgód nie załatwia sprawy ochrony danych osobowych w firmie. Podobnie jak korzystanie z oprogramowania dostosowanego do RODO to tylko jeden z wielu elementów polityki bezpieczeństwa. A co jeszcze trzeba robić? Najlepiej udać się na całodniowe szkolenie z danych osobowych. Szkolenia takie organizowane są obecnie w każdym większym mieście, kosztują zwykle ok. 500-1000 zł, a na koniec otrzymuje się zwykle gotowy szablon dokumentacji do wypełnienia.
  4. Czy zgody w programie spełniają wymogi prawne? Spełniają wymogi obecnie obowiązującej ustawy. Według nowej ustawy informacji na zgodzie jest zdecydowanie więcej. Obecnie (27 kwietnia 2018 r.) trwają prace nad tekstem nowej zgody, która pojawi się w Klinice XP w pierwszej połowie maja wraz z nową wersją. 
  5. Czy do wszystkich klientów, którzy podpisali dotychczasową zgodę, trzeba wysłać list polecony z prośbą o ponowną zgodę na przychowywanie danych na nowych warunkach? Jeśli dotychczasowe zgody były zgodne z prawem, to nie - nadal obowiązują.
  6. Czy można stosować czytniki podpisów? Tak, ale pod określonymi warunkami.

Różni specjaliści podają różne, niejednokrotnie sprzeczne odpowiedzi na powyższe pytania. Podane informacje to wypadkowa zebranej wiedzy i własnych doświadczeń. Włożyliśmy wiele pracy w weryfikację danych, nie możemy jednak zagwarantować, że nie wkradła się jakaś pomyłka. Jeśli ktoś z Państwa dysponuje szerszą, sprawdzoną wiedzą na ten temat, prosimy o przekazanie informacji.

CZYTNIK PODPISÓW

Już napisaliśmy, że można go stosować pod pewnymi warunkami. Przede wszystkim musi rejestrować dane biometryczne, czyli czas i siłę nacisku. Oprogramowanie natomiast musi to odczytywać i przechowywać w zaszyfrowanej formie, którą później może odczytać na przykład grafolog. W Klinice XP w praktyce wygląda to tak: w momencie odczytania podpisu jest on umieszczany jako integralna część dokumentu PDF. Zarówno jako podpis graficzny, jak i niewidoczna informacja o danych biometrycznych. Plik PDF wyświetla się normalnie, grafolog jednak może go otworzyć za pomocą specjanego oprogramowania, które odczyta i wyświetli więcej informacji. Przykładowy podpis będzie wygladał tak: 

wacom sign2

Dzięki odczytaniu danych biometrycznych mamy jednak znacznie więcej informacji: kiedy podpis został złożony, na którym twardym dysku zapisano plik PDF, a przede wszystkim jak wyglądało tworzenie podpisu. Jeśli wyświetlimy punkty składowe podpisu, zauważymy, że pióro długo krążyło pomiędzy poszczególnymi literami, a w sile nacisku brak pewności kogoś, kto składa podpis po raz setny. Na tej podstawie łatwo podważyć wiarygodność podpisu, nawet jeśli sam obraz przypomina prawdziwy podpis właściciela:

wacom sign2

ZASTRZEŻENIA

  1. Osoba, która składa podpis, powinna mieć wgląd w treść dokumentu, który podpisuje. Standardowy dokument trzeba więc wydrukować i udostępnić osobie składającej podpis. Być może rozwiązaniem będzie możliwość przeglądania treści w samym czytniku, na dzisiaj jednak wydaje się to mało efektywne.
  2. Elektroniczny dokument zawierający dane osobowe musi być chroniony tak samo dobrze, jak dokumenty papierowe. Trzeba pamiętać o wykonywaniu kopii zapasowych folderu multimediów. Folder multimediów jest zwykle udostępniony dla wszystkich stanowisk, na których mamy wgląd w załączniki. Dlatego trzeba zadbać o to, aby do naszej sieci lokalnej miały dostęp wyłącznie osoby posiadające upoważnienie do przetwarzania danych.

KOSZTY, MODELE, ZAKUP I INNE PYTANIA

  1. Czy podpis złożony elektronicznie jest uznawany przez prawo? Wygląda na to, że tak. Czytniki Wacom zostały wdrożone w placówkach Poczty Polskiej oraz Alior Banku - instytucjach, gdzie odpowiedzialność za dokumenty musi być na bardzo wysokim poziomie. Warto zapoznać się z opinią prawną na ten temat: http://paperless.pl/wp-content/uploads/2017/10/Opinia-prawna-Billennium-Paperless-Signature.pdf
  2. Jakie są prawdziwe koszty, jaki model wybrać? Poza ceną czytnika nie ma dodatkowych kosztów. Warunkiem korzystania z czytnika w Klinice XP jest aktywny moduł danych osobowych, a więc dostęp do aktualizacji. Model STU-430 rejestruje dane biometryczne, a równocześnie nie jest kolorowy i nie ma dużego wyświetlacza, jest więc dość tani - kosztuje ok. 1000 zł.
  3. Czy można zamówić czytnik? Biuro Rozwiązań Informatycznych nie sprzedaje czytników Wacom. Można je kupić na przykład w DogId.
  4. Czy podpisy można pobierać tylko dla zgody na przetwarzanie danych? Nie. Czytnik można wykorzystać także do podpisu zgody na zabieg czy zgody na eutanazję. Zapotrzebowanie na różnego rodzaju podpisane elektronicznie formularze będzie na pewno wzrastać, a wraz z tym funkcjonalność programu.
  5. Czy system nie zwolni, jeśli zbierzemy wiele tysięcy zgód? Mogłoby tak się stać, gdyby wszystkie trafiały do jednego folderu multimediów. Jednak od niedawna pliki multimedialne (w tym zgody) zapisywane są w kolejnych folderach zakładanych automatycznie na kolejne miesiące.
  6. Jak łatwo odnaleźć zgodę klienta? W kartotece klientów od jakiegoś czasu jest dostępny przycisk Multimedia/Dane osobowe, gdzie możemy szybko odnaleźć zgodę klienta. Jeśli chcemy przejrzeć wszystkie zgody na przykład z danego miesiąca, wchodzimy w okno Multimedia i wybieramy Kategorię: Zgody - dane osobowe:


    multimedia zgody

7. Jak zintegrować Wacom z Kliniką XP? Nie powinno być z tym kłopotów. Przede wszystkim trzeba zainstalować sterownik do tabletu. Można go pobrać ze strony www.klinikaxp.pl, po zalogowaniu do strefy dla użytkowników. Wybieramy tu pliki do pobrania -> Narzędzie dodatkowe. Na liście znajdują się dwa sterowniki. Wybieramy dowolny z nich. W samej Klinice XP wchodzimy do menu Administrator -> Opcje -> zakładka Klienci. Tu zaznaczamy pola "Stosowany czytnik podpisów" oraz "Czytnik podpisów podpięty do tego stanowiska". W razie problemów najlepiej skontaktować się z naszym serwisem technicznym.

8. Nie mogę zainstalować sterowników Wacom. Pojawia się komunikat błędu. Korzystam z Windows 7. Co robić?  Prawdopodobnie chodzi o problem z podpisywaniem sterowników przez Windows. Problem i jego rozwiązanie zostały opisane tutaj: http://gsdt.wacom.eu/FAQ/GSDT-FAQ-SDK-Digital-Certificate.xml

9. Gdzie są przechowywane moje pliki multimedialne? Położenie folderu plików możemy określić wchodząc na zakładkę Administrator -> Opcje -> zakładka Multimedia. W polu Folder multimediów wskazujemy wspólny folder, w którym przechowywane są pliki, zwykle podzielone na foldery miesięcy. W przypadku pracy w sieci folder multimediów powinien być udostępnionym folderem w sieci, a pole Taka sama ścieżka dla wszystkich stanowisk zaznaczone.

10. Jak archiwizować multimedia? Na przykład wychodząc z programu wybieramy kolejno: Archiwizacja danych -> Więcej opcji -> Zachowaj multimedia. Zachowywane są zawsze wszystkie pliki multimedialne, dlatego archiwizacja może trwać długo, a spakowany plik zawierający multimedia może mieć wielki rozmiar (wiele GB).

  

 

Uwaga: Warunkiem korzystania z modułu ochrony danych osobowych (w tym czytnika Wacom) jest aktywny dostęp do aktualizacji i pomocy serwisowej.

Zobacz Inne pytania z zakresu ochrony danych osobowych.