RODO w kontekście działalności aptek

R E K L A M A

autor: Piotr Kamiński
radca prawny

Na wstępie należy zaznaczyć, że RODO spowoduje, iż administratorzy danych w większym niż obecnie stopniu staną się odpowiedzialni za przetwarzanie danych osobowych zgodnie z prawem. Niezastosowanie się do nowych zasad wprowadzonych przez RODO może skutkować dotkliwymi karami pieniężnymi lub odpowiedzialnością cywilną z uwagi na to, że osoby, których dane dotyczą, będą mogły dochodzić od administratora danych lub podmiotu przetwarzającego odszkodowania za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów RODO (art. 58, art. 82-83). RODO przewiduje również nałożenie sankcji w postaci czasowego lub całkowitego ograniczenia bądź zakazu przetwarzania danych.

Audyt przygotowawczy
Przedsiębiorcy prowadzący apteki powinni dokonać szczegółowej weryfikacji dotychczasowych rozwiązań w zakresie ochrony danych osobowych i dysponować kompleksową wiedzą o już posiadanych danych osobowych. Potrzebne będzie zatem przeprowadzenie przeglądu i inwentaryzacji danych (w systemie informatycznym, na nośnikach, w segregatorach). Warto zatem dokonać swego rodzaju audytu przygotowawczego i udokumentować, jakie dane osobowe są przetwarzane w aptece, skąd pochodzą i co uprawnia do ich wykorzystywania, a także czy i komu są udostępniane oraz jak są zabezpieczane. Rzetelna analiza wszystkich operacji przetwarzania danych w aptece będzie pierwszym krokiem do prowadzenia rejestru czynności przetwarzania, który od 25 maja 2018 r. będzie obowiązkowy dla wielu podmiotów (m.in. dla tych, którzy przetwarzają dane wrażliwe – np. dane o stanie zdrowia pacjenta). Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte lub sprostowane. Taki audyt może również pomóc administratorowi danych w realizacji tzw. zasady rozliczalności, która wymaga, by każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w RODO.

Nowe obowiązki informacyjne
Już obecnie obowiązujące przepisy zobowiązują podmioty pozyskujące dane osobowe do przekazywania określonych informacji osobom, których te dane dotyczą. RODO wprowadzi natomiast zmianę polegającą na poszerzeniu zakresu informacji, jakie trzeba będzie przekazać. Administratorzy danych będą zobowiązani poinformować m.in. o okresie, przez który dane osobowe będą przetwarzane, o ewentualnym fakcie profilowania^[1] i jego skutkach (może dotyczyć np. aptek internetowych) czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Warto zatem przyjrzeć się art. 13 i 14 RODO i porównać określony w tych przepisach zakres informacji, jakie należy obowiązkowo podawać w przypadku pozyskiwania danych osobowych z zakresem dotychczas stosowanych przez administratora danych klauzul informacyjnych.

Uprawnienia osób, których dane dotyczą
RODO przewiduje szereg uprawnień dla osób, których dane dotyczą (chociaż z większości z tych uprawnień można korzystać na podstawie obowiązującej ustawy o ochronie danych osobowych):

• prawo do bycia poinformowanym o operacjach przetwarzania (art. 15),


• prawo dostępu do danych osobowych (art. 15),


• prawo do niezwłocznego sprostowania danych osobowych, które są nieprawidłowe/uzupełnienia niekompletnych danych (art. 16),


• prawo do usunięcia danych (tzw. prawo do bycia zapomnianym), np. w przypadku, gdy dane osobowe nie są już niezbędne do celów, dla których zostały zebrane (art. 17),


• prawo do ograniczenia przetwarzania danych osobowych, np. gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych (art. 18),


• prawo do przenoszenia danych, które ma zastosowanie, jeśli dane przetwarzane są w sposób zautomatyzowany na podstawie zgody lub na podstawie umowy (art. 20),


• prawo do sprzeciwu przetwarzania danych osobowych (art. 21),


• prawo do tego, by nie podlegać profilowaniu (art. 22).

Piśmiennictwo:
1. Oceny czynników osobowych osoby fizycznej dla m.in. celów sprzedażowych.

Powierzenie danych
Apteki coraz częściej decydują się na powierzanie przetwarzania danych osobowych innym podmiotom, które w ich imieniu na podstawie umowy wykonują określone operacje na danych (np. w usługach związanych z utrzymaniem strony internetowej, obsługi kadrowo-płacowej). Istotne jest w takiej sytuacji, aby nie stracić kontroli nad danymi osobowymi, a więc nie dopuścić do sytuacji, w której dane osobowe będą wykorzystywane w nieodpowiednim celu. Szczególnie ważne jest to w przypadku działalności aptecznej, gdyż mamy tu do czynienia z danymi o stanie zdrowia, które podlegają szczególnej ochronie. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, to stosownie do art. 28 RODO korzystać on może wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (np. podmiot posiadający certyfikat przyznany przez uprawnioną jednostkę certyfikacyjną oraz stosujący normy ISO w zakresie bezpieczeństwa danych osobowych). Ponadto na administratorze danych będzie spoczywał obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego^[2] – chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych oraz obowiązek zawiadomienia osoby, której dane osobowe zostały naruszone. Jeżeli apteka będzie korzystać z usług podmiotu przetwarzającego, to wówczas ten podmiot na gruncie art. 33 RODO po stwierdzeniu naruszenia ochrony danych osobowych zgłosi je administratorowi. W praktyce z uwagi na zmiany wprowadzane przez RODO dotychczas zawarte umowy w omawianym zakresie będą wymagać aneksowania.

Podsumowanie
Z przedstawionej krótkiej analizy tego obszernego zagadnienia wynika, że na administratorów danych zostanie nałożone więcej obowiązków niż dotychczas i zwiększy się ich odpowiedzialność. Z tych względów też istotne jest, aby sprawnie i prawidłowo wdrożyć nowe zasady postępowania, do czego powinno się przyczynić m.in. przeszkolenie pracowników aptek w tym zakresie.

Piśmiennictwo:
2. PUODO, który ma zastąpić GIODO, https://legislacja.rcl.gov.pl/projekt/12302950.