RODO w kontekście działalności aptek17 kwietnia 2018

shutterstock_699112831

Do 25 maja 2018 r. administratorzy danych są zobowiązani dostosować przetwarzanie danych osobowych do przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: RODO). Jakie wymogi nakłada RODO na przedsiębiorców prowadzących aptekę?

R E K L A M A
518x55-FP_MF_baner

autor: Piotr Kamiński
radca prawny

Na wstępie należy zaznaczyć, że RODO spowoduje, iż administratorzy danych w większym niż obecnie stopniu staną się odpowiedzialni za przetwarzanie danych osobowych zgodnie z prawem. Niezastosowanie się do nowych zasad wprowadzonych przez RODO może skutkować dotkliwymi karami pieniężnymi lub odpowiedzialnością cywilną z uwagi na to, że osoby, których dane dotyczą, będą mogły dochodzić od administratora danych lub podmiotu przetwarzającego odszkodowania za szkodę majątkową lub niemajątkową spowodowaną naruszeniem przepisów RODO (art. 58, art. 82-83). RODO przewiduje również nałożenie sankcji w postaci czasowego lub całkowitego ograniczenia bądź zakazu przetwarzania danych.

Audyt przygotowawczy
Przedsiębiorcy prowadzący apteki powinni dokonać szczegółowej weryfikacji dotychczasowych rozwiązań w zakresie ochrony danych osobowych i dysponować kompleksową wiedzą o już posiadanych danych osobowych. Potrzebne będzie zatem przeprowadzenie przeglądu i inwentaryzacji danych (w systemie informatycznym, na nośnikach, w segregatorach). Warto zatem dokonać swego rodzaju audytu przygotowawczego i udokumentować, jakie dane osobowe są przetwarzane w aptece, skąd pochodzą i co uprawnia do ich wykorzystywania, a także czy i komu są udostępniane oraz jak są zabezpieczane. Rzetelna analiza wszystkich operacji przetwarzania danych w aptece będzie pierwszym krokiem do prowadzenia rejestru czynności przetwarzania, który od 25 maja 2018 r. będzie obowiązkowy dla wielu podmiotów (m.in. dla tych, którzy przetwarzają dane wrażliwe – np. dane o stanie zdrowia pacjenta). Dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, muszą zostać niezwłocznie usunięte lub sprostowane. Taki audyt może również pomóc administratorowi danych w realizacji tzw. zasady rozliczalności, która wymaga, by każdy, kto przetwarza dane osobowe, był w stanie wykazać, że robi to w zgodzie z zasadami przyjętymi w RODO.

Nowe obowiązki informacyjne
Już obecnie obowiązujące przepisy zobowiązują podmioty pozyskujące dane osobowe do przekazywania określonych informacji osobom, których te dane dotyczą. RODO wprowadzi natomiast zmianę polegającą na poszerzeniu zakresu informacji, jakie trzeba będzie przekazać. Administratorzy danych będą zobowiązani poinformować m.in. o okresie, przez który dane osobowe będą przetwarzane, o ewentualnym fakcie profilowania[1] i jego skutkach (może dotyczyć np. aptek internetowych) czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Warto zatem przyjrzeć się art. 13 i 14 RODO i porównać określony w tych przepisach zakres informacji, jakie należy obowiązkowo podawać w przypadku pozyskiwania danych osobowych z zakresem dotychczas stosowanych przez administratora danych klauzul informacyjnych.

Uprawnienia osób, których dane dotyczą
RODO przewiduje szereg uprawnień dla osób, których dane dotyczą (chociaż z większości z tych uprawnień można korzystać na podstawie obowiązującej ustawy o ochronie danych osobowych):

  • prawo do bycia poinformowanym o operacjach przetwarzania (art. 15),
  • prawo dostępu do danych osobowych (art. 15),
  • prawo do niezwłocznego sprostowania danych osobowych, które są nieprawidłowe/uzupełnienia niekompletnych danych (art. 16),
  • prawo do usunięcia danych (tzw. prawo do bycia zapomnianym), np. w przypadku, gdy dane osobowe nie są już niezbędne do celów, dla których zostały zebrane (art. 17),
  • prawo do ograniczenia przetwarzania danych osobowych, np. gdy osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych (art. 18),
  • prawo do przenoszenia danych, które ma zastosowanie, jeśli dane przetwarzane są w sposób zautomatyzowany na podstawie zgody lub na podstawie umowy (art. 20),
  • prawo do sprzeciwu przetwarzania danych osobowych (art. 21),
  • prawo do tego, by nie podlegać profilowaniu (art. 22).

 

Piśmiennictwo:
1. Oceny czynników osobowych osoby fizycznej dla m.in. celów sprzedażowych.