Czy fizjoterapeuta powinien bać się RODO?
25 maja 2018 roku wchodzi w życie RODO (GDPR), czyli nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Wysokie kary straszą z każdego zakątka Internetu i ciężko oprzeć się wrażeniu, że całej sprawie towarzyszy spore zamieszanie. Dziś rozmawiamy z Panią Mecenas Pauliną Gazecką-Nettmann i oswajamy temat nowego prawa ochrony danych osobowych.
Od kilku miesięcy RODO stanowi jeden z najbardziej nośnych tematów. Wiele firm szkoleniowych i doradczych straszy konsekwencjami przekroczenia norm wysłowionych w nowym rozporządzeniu. Co to tak właściwie jest RODO i czy fizjoterapeuta powinien obawiać się zmiany przepisów?
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wchodzi w życie z dniem 25 maja 2018 roku. Ogólne rozporządzenie o ochronie danych (RODO) wskazuje na dwa główne cele przyjęcia tego aktu prawnego: realizację podstawowych praw i wolności osób fizycznych, w szczególności prawa do ochrony danych osobowych osób fizycznych oraz uregulowanie zasad i umożliwienie swobodnego przepływu danych osobowych w UE w taki sposób, by ochrona praw jednostki nie stała temu na przeszkodzie. Zmianą, na którą należy zwrócić uwagę w kontekście m.in. fizjoterapeutów jest art. 4 oraz zmiana definicji danych osobowych, zgodnie z nim dane osobowe oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Na gruncie niniejszego rozporządzenia dokument zawierający już chociażby imię i nazwisko będzie dokumentem zawierającym dane osobowe, a co za tym idzie będzie podlegał ochronie.
Do kogo jest adresowane RODO? Czy każdy fizjoterapeuta będzie musiał dostosować swoją praktykę do nowych przepisów?
Zgodnie z rozporządzeniem podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora, z kolei administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania; RODO dotyczyć będzie zatem wszystkich podmiotów, przedsiębiorstw - tak naprawdę wszystkich firm, które gromadzą i wykorzystują dane dotyczące osób fizycznych. W związku z powyższym również fizjoterapeuta, gromadzący dane swoich pacjentów będzie musiał dostosować swoją praktykę do wchodzących w życie przepisów.
W Internecie czytamy o różnych obowiązkach na gruncie rozporządzenia. O co powinien przede wszystkim zadbać administrator danych?
Ogólne rozporządzenie o ochronie danych w art. 24 ust. 1 nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z przepisami RODO. Środki powinny zostać wdrożone z uwzględnieniem:
1) charakteru, zakresu, kontekstu i celów przetwarzania,
2) ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze (powadze) zagrożenia.
Powyższe elementy powinny być więc przedmiotem analizy ze strony administratora przed podjęciem decyzji co do wdrożenia odpowiednich środków technicznych i organizacyjnych.
Mówi się często o rozszerzonym obowiązku informacyjnym na gruncie RODO. Jak powinna wyglądać zgoda na przetwarzanie danych osobowych? Czy każdy pacjent powinien ja podpisać?
Nałożony na administratora danych tzw. obowiązek informacyjny, tj. obowiązek przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania danych osobowych od osoby, której dane dotyczą reguluje art. 13 RODO. Zgodnie z normą zawartą w tym artykule Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
- Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.
Zgodnie z przedmiotowym rozporządzeniem jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyrażą zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie niniejszego rozporządzenia nie jest wiążąca. Konieczne jest zatem uzyskanie zgody na przetwarzanie danych osobowych od każdego pacjenta.
Dane medyczne stanowią informacje, które powinny być chronione w sposób szczególny. W artykułach krążących w sieci czytamy, że należy wprowadzić zabezpieczenia adekwatne do zakresu i celu przetwarzanych danych. Jakie środki ochrony informacji trzeba i warto realnie wprowadzić w gabinecie fizjoterapeutycznym?
Utworzenie rejestru czynności przetwarzania stanie się obligatoryjne. Administrator będzie musiał zamieścić w nim m.in. takie informacje jak: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz inspektora ochrony danych, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. RODO nie wskazuje środków technicznych i organizacyjnych, jakie administrator danych powinien zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. RODO stanowi jedynie, że środki, jakie administrator zobowiązany jest zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia ochrony przetwarzanych danych. Artykuł 32 ust. 1 RODO nakłada na administratora i podmiot przetwarzający obowiązek wdrożenia odpowiednich – ze względu na poziom ryzyka – środków technicznych i organizacyjnych, zapewniających właściwy stopień bezpieczeństwa przetwarzania. Artykuł 32 ust. 1 RODO wskazuje przykładowe środki techniczne i organizacyjne, które mogą służyć osiągnięciu tego celu, tj. zapewnienia stopnia bezpieczeństwa odpowiadającego ryzyku. Są nimi w szczególności:
1) pseudonimizacja i szyfrowanie danych osobowych;
2) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Należy również podkreślić, że naruszenie przepisu art. 32 RODO stanowi przesłankę do nałożenia (niższej) administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
Kim jest Inspektor Ochrony Danych? Czy w każdej firmie powinno się wskazać taką osobę?
IOD czyli Inspektor Danych Osobowych zastąpi Administratora Bezpieczeństwa Informacji. RODO nie nakładała ogólnego (powszechnego) obowiązku powołania przez administratora danych administratora bezpieczeństwa informacji. Wyznaczenie inspektora danych osobowych będzie jednak konieczne w przypadku, kiedy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10. przetwarzania dokonują organ lub podmiot publiczny. Podmioty medyczne, które przetwarzają dane dot. stanu zdrowia swoich pacjentów na dużą skalę będą zatem musiały obligatoryjnie wyznaczyć IOD. Nic nie stoi na przeszkodzie by podmiot, który nie jest zobowiązany przepisami prawa do wyznaczenia inspektora ochrony danych i nie zamierza dobrowolnie wyznaczać takiego inspektora, wyznaczył pracownika, albo zatrudnił zewnętrznego konsultanta do wypełniania zadań związanych z ochroną danych osobowych.
Czy mogę powierzyć przetwarzanie danych zewnętrznej firmie? Czy pomimo przekazania obowiązku na firmę zewnętrzną, fizjoterapeuta powinien wprowadzić we własnym zakresie pewne zabezpieczenia?
Artykuł 28 RODO reguluje znaną już instytucję powierzenia przetwarzania danych osobowych. W ramach powierzenia przetwarzania danych, tj. przetwarzania w imieniu administratora przez inny podmiot, administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Administrator powinien zatem dokonać uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone przez RODO . Jak bowiem wskazano preambule do RODO, administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.
Na pytania RSQ Physio odpowiadała Mecenas Paulina Gazecka-Nettmann z Kancelarii Brzoziewska Kędziora w Poznaniu