5/5 (4)

Nawet 10 milionów euro kary dla dietetyka prowadzącego gabinet on-line.

Brzmi strasznie? To przeczytajcie…

Na początek mała uwaga: dla uproszczenia nie będziemy opisywać aktualnego stanu prawnego, a skupimy się na wchodzącym w maju br. RODO (Rozporządzenie o Ochronie Danych Osobowych) a w szczególności na obszarze wskazanym w tytule tego artykułu czyli gabinetach on-line.

Prowadząc gabinet dietetyczny, zbieramy różne dane osobowe od pacjentów takie jak: imię, nazwisko, adres itp., oraz dane określane jako wrażliwe, czyli dotyczące ich zdrowia, a te zgodnie z RODO podlegają szczególnej ochronie.

Gromadząc i wykorzystując dane osobowe stajemy się administratorem danych czyli osobą/firmą odpowiedzialną za przetwarzanie danych zgodnie z przepisami prawa, w tym za ich ochronę.

Co jeśli naruszymy obowiązki administratora?

I tutaj mamy te 10 mln euro kary. Oczywiście jest to stawka maksymalna i w przypadku gabinetu dietetycznego nie należy się spodziewać tak wysokiej kwoty.  Jednak kary będą zasilały budżet, więc nie warto liczyć na specjalną pobłażliwość organu nakładającego karę, w szczególności, gdy naruszenie dotyczyć będzie danych zdrowotnych.

Kara ta nakładana będzie między innymi za :

  • naruszenie obowiązków administratora danych w zakresie powierzania danych osobowych.

Co to znaczy i co ma wspólnego z gabinetem on-line?

W uproszczeniu: w momencie kiedy dane opuszczają obszar nad którym mamy kontrolę – np. nasz laptop a trafiają na serwer innej firmy, mamy do czynienia z powierzeniem danych.  Jeśli więc skorzystamy z jednego z programów wspomagających prowadzenie gabinetu dietetycznego on-line i będziemy na tej stronie wprowadzać dane osobowe naszych pacjentów, to właśnie dokonamy powierzenia danych.

Przeczytaj także na dietetycy.org.pl:  Ile zjeść... aby pokryć dzienne zapotrzebowanie kaloryczne?

Jak widać powierzając dane nadal jesteśmy za nie odpowiedzialni!

Dodatkowo ustawodawca obarczył nas odpowiedzialnością za wybór firmy, której je powierzamy. Zgodnie z art. 28 RODO powinniśmy korzystać “wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą” oraz powierzenie to “odbywa się na podstawie umowy lub innego instrumentu prawnego, które […] wiążą podmiot przetwarzający i administratora”.

Wspomniana powyżej umowa nazywana jest umową powierzenia (wg opinii prawników specjalizujących się w tym zagadnieniu może to być również regulamin, który akceptujemy przed skorzystaniem z danej usługi – warto go wtedy wydrukować).

Umowa ta powinna między innymi określać:

  • przedmiot i czas trwania przetwarzania,
  • charakter i cele przetwarzania,
  • rodzaj danych osobowych i kategorie osób, których dane dotyczą,
  • konkretne zadania i obowiązki podmiotu przetwarzającego w kontekście planowanego przetwarzania oraz ryzyko naruszenia praw lub wolności osoby, której dane dotyczą.

Po zakończeniu przetwarzania w imieniu administratora podmiot przetwarzający powinien, zgodnie z decyzją administratora, zwrócić lub usunąć powierzone dane osobowe.

Jednym z ważnych zapisów, na które warto zwrócić uwagę, jest zapewnienie, by pracownicy firmy, której powierzyliśmy dane, a którzy mają do nich dostęp,  zobowiązani byli do zachowania tajemnicy lub podlegali odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy.

Wzory takich umów możemy znaleźć w Internecie. A przed zaakceptowaniem umowy proponowanej przez firmę lub jej regulaminu warto zapytać o opinię prawnika specjalizującego się w tej dziedzinie.

Przeczytaj także na dietetycy.org.pl:  Zalecana ilość błonnika u dzieci ?

Tak wygląda teoria. A praktyka?

Przejrzeliśmy regulaminy niektórych firm oferujących wsparcie dla gabinetów dietetycznych on-line. Wyniki niestety nie napawają optymizmem. Żaden z nich nie zawierał informacji, które dawałyby gwarancję przetwarzania danych zgodnie z RODO.  Zadaliśmy również pytania na kilku fanpage’ach jak firmy te zapewniają ochronę powierzonych im danych osobowych. Jedną z reakcji było…  usunięcie pytania.

Co robić jeśli mam  gabinet on-line lub chcę go założyć?

Pytać i żądać odpowiedzi – zgodnie z RODO firma, której powierzamy dane, ma obowiązek:

  • udostępnić wszelkie informacje niezbędne do wykazania, że  wypełniamy wszystkie obowiązki w zakresie powierzenia,
  • umożliwić nam lub audytorowi upoważnionemu przez nas do przeprowadzenia audytów, w tym inspekcji.

Kończąc, chcielibyśmy poruszyć jeszcze jeden temat, który może stanie się przyczynkiem do następnego artykułu lub dyskusji. RODO wprowadza kodeksy postępowania. Kodeksy są to zbiory dobrych praktyk w ochronie danych osobowych wprowadzane przez daną branżę. Mają one pomóc we wdrożeniu ich ochrony, dając wytyczne co i jak powinniśmy zrobić by prawidłowo i bezpiecznie przetwarzać dane klientów. Więc stowarzyszenia dietetyków – do dzieła!

Artykuł ten przedstawia tylko wycinek problemów z ochroną danych osobowych, z jakimi możemy spotkać się podczas prowadzenia praktyki dietetyka. Zapraszamy do zagłębienia się w temat. Trzy miesiące, które pozostały do wejścia RODO to jednocześnie dużo i mało czasu, a te wspomniane 10 mln euro kary… cóż chyba są dobrą motywacją.

Przeczytaj także na dietetycy.org.pl:  Fast Food a Depresja

Źródła:

  • Generalny Inspektor Ochrony Danych Osobowych, https://giodo.gov.pl/
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

Zostaw swoją opinię:

O autorze

Joanna i Jarosław Kulwiccy

Joanna Kulwicka - dietetyk kliniczny. Zainteresowania: terapie w otyłości, psychodietetyka, dietetyka kliniczna.Jarosław Kulwicki - informatyk, od 12 lat specjalizuje się w ochronie danych w systemach informatycznych, Inspektor Bezpieczeństwa Teleinformatycznego, dyżurny informatyk swojej żony.

Yes No