RODO w gabinecie dietetycznym

RODO

Nawet 10 milionów euro kary dla dietetyka prowadzącego gabinet on-line.

Brzmi strasznie? To przeczytajcie…

Na początek mała uwaga: dla uproszczenia nie będziemy opisywać aktualnego stanu prawnego, a skupimy się na wchodzącym w maju br. RODO (Rozporządzenie o Ochronie Danych Osobowych) a w szczególności na obszarze wskazanym w tytule tego artykułu czyli gabinetach on-line.

Prowadząc gabinet dietetyczny, zbieramy różne dane osobowe od pacjentów takie jak: imię, nazwisko, adres itp., oraz dane określane jako wrażliwe, czyli dotyczące ich zdrowia, a te zgodnie z RODO podlegają szczególnej ochronie.

Gromadząc i wykorzystując dane osobowe stajemy się administratorem danych czyli osobą/firmą odpowiedzialną za przetwarzanie danych zgodnie z przepisami prawa, w tym za ich ochronę.

Co jeśli naruszymy obowiązki administratora?

I tutaj mamy te 10 mln euro kary. Oczywiście jest to stawka maksymalna i w przypadku gabinetu dietetycznego nie należy się spodziewać tak wysokiej kwoty.  Jednak kary będą zasilały budżet, więc nie warto liczyć na specjalną pobłażliwość organu nakładającego karę, w szczególności, gdy naruszenie dotyczyć będzie danych zdrowotnych.

Kara ta nakładana będzie między innymi za :

  • naruszenie obowiązków administratora danych w zakresie powierzania danych osobowych.

Co to znaczy i co ma wspólnego z gabinetem on-line?

W uproszczeniu: w momencie kiedy dane opuszczają obszar nad którym mamy kontrolę – np. nasz laptop a trafiają na serwer innej firmy, mamy do czynienia z powierzeniem danych.  Jeśli więc skorzystamy z jednego z programów wspomagających prowadzenie gabinetu dietetycznego on-line i będziemy na tej stronie wprowadzać dane osobowe naszych pacjentów, to właśnie dokonamy powierzenia danych.

Jak widać powierzając dane nadal jesteśmy za nie odpowiedzialni!

Dodatkowo ustawodawca obarczył nas odpowiedzialnością za wybór firmy, której je powierzamy. Zgodnie z art. 28 RODO powinniśmy korzystać “wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą” oraz powierzenie to “odbywa się na podstawie umowy lub innego instrumentu prawnego, które […] wiążą podmiot przetwarzający i administratora”.

Wspomniana powyżej umowa nazywana jest umową powierzenia (wg opinii prawników specjalizujących się w tym zagadnieniu może to być również regulamin, który akceptujemy przed skorzystaniem z danej usługi – warto go wtedy wydrukować).

Umowa ta powinna między innymi określać:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cele przetwarzania,
  • rodzaj danych osobowych i kategorie osób, których dane dotyczą,
  • konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien, zgodnie z decyzją administratora, zwrócić lub usunąć powierzone dane osobowe.

Jednym z ważnych zapisów, na które warto zwrócić uwagę, jest zapewnienie, by pracownicy firmy, której powierzyliśmy dane, a którzy mają do nich dostęp,  zobowiązani byli do zachowania tajemnicy lub podlegali odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Wzory takich umów możemy znaleźć w Internecie. A przed zaakceptowaniem umowy proponowanej przez firmę lub jej regulaminu warto zapytać o opinię prawnika specjalizującego się w tej dziedzinie.

Tak wygląda teoria. A praktyka?

Przejrzeliśmy regulaminy niektórych firm oferujących wsparcie dla gabinetów dietetycznych on-line. Wyniki niestety nie napawają optymizmem. Żaden z nich nie zawierał informacji, które dawałyby gwarancję przetwarzania danych zgodnie z RODO.  Zadaliśmy również pytania na kilku fanpage’ach jak firmy te zapewniają ochronę powierzonych im danych osobowych. Jedną z reakcji było…  usunięcie pytania.

Co robić jeśli mam  gabinet on-line lub chcę go założyć?

Pytać i żądać odpowiedzi – zgodnie z RODO firma, której powierzamy dane, ma obowiązek:

  • udostępnić wszelkie informacje niezbędne do wykazania, że  wypełniamy wszystkie obowiązki w zakresie powierzenia,
  • umożliwić nam lub audytorowi upoważnionemu przez nas do przeprowadzenia audytów, w tym inspekcji.

Kończąc, chcielibyśmy poruszyć jeszcze jeden temat, który może stanie się przyczynkiem do następnego artykułu lub dyskusji. RODO wprowadza kodeksy postępowania. Kodeksy są to zbiory dobrych praktyk w ochronie danych osobowych wprowadzane przez daną branżę. Mają one pomóc we wdrożeniu ich ochrony, dając wytyczne co i jak powinniśmy zrobić by prawidłowo i bezpiecznie przetwarzać dane klientów. Więc stowarzyszenia dietetyków – do dzieła!

Artykuł ten przedstawia tylko wycinek problemów z ochroną danych osobowych, z jakimi możemy spotkać się podczas prowadzenia praktyki dietetyka. Zapraszamy do zagłębienia się w temat. Trzy miesiące, które pozostały do wejścia RODO to jednocześnie dużo i mało czasu, a te wspomniane 10 mln euro kary… cóż chyba są dobrą motywacją.

Źródła:

  • Generalny Inspektor Ochrony Danych Osobowych, https://giodo.gov.pl/
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)