RODO w gabinecie dietetyka

W związku ze zbliżającym się 25.05.2018 r., wejściem RODO, czyli unijnego rozporządzenia o ochronie danych osobowych, zaprosiłam do rozmowy prawnika Wojciecha Wawrzaka z praKreacja.pl, który postara się odpowiedzieć na najbardziej nurtujące dietetyków pytania.

Anna Olech: Jako dietetyk – czy i dlaczego muszę wdrożyć w swoim gabinecie RODO?

Wojciech Wawrzak: W zasadzie odpowiedź w przypadku dietetyka nie różni się szczególnie od innych branż. W RODO chodzi o ochronę danych osobowych. Niezależnie czy jesteśmy dietetykiem, aptekarzem, dentystą, prawnikiem, mechanikiem samochodowym etc., jeżeli przetwarzamy w związku ze swoją działalnością dane osobowe, powinniśmy wywiązać się z obowiązków, jakie RODO na nas w związku z tym nakłada. Ponadto, odchodząc już od samego RODO, coraz częściej klienci zaczynają przywiązywać wagę do ochrony danych osobowych i odpowiednie podejście przedsiębiorcy do tego tematu pozwoli na budowanie pozytywnego wizerunku.

A.O.: Obowiązki wewnętrzne – od czego zacząć przygotowania?

W.W.: Od zastanowienia się, jakie dane przetwarzamy oraz w jakim celu. To zastanowienie się powinno prowadzić do stworzenia rejestru czynności przetwarzania, czyli dokumentu, w którym opiszemy wszystkie procesy przetwarzania danych osobowych. Przykładowo, stwierdzamy, że przetwarzamy dane klientów. Pośród tych danych znajduje się imię i nazwisko, wiek, adres zamieszkania, numer PESEL, numer telefonu, adres e-mail. Dane przetwarzamy w celu świadczenia usług. Nie udostępniamy ich podmiotom trzecim, ale powierzamy dostawcy systemu CRM w chmurze, z którego korzystamy. Dostęp do tego systemu zabezpieczony jest użytkownikiem i hasłem. Mamy również drugi faktor, czyli logowanie wymaga podania kodu przesyłanego w wiadomości sms. I tak dalej, i tak dalej. Diagnozujemy wszystkie czynności przetwarzania i opisujemy je jak najbardziej szczegółowo. To taki nasz bazowy dokument, który pozwoli zorientować się, jakie w ogóle dane posiadamy.

Wzór rejestru czynności przetwarzania danych osobowych, wraz z przykładem jego wypełnienia odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Co muszę zrobić, gdy powierzam dane pacjentów innym podmiotom?

W.W.: Jeżeli do danych, które zbieramy, mają dostęp, choćby potencjalny, inne podmioty, bo np. korzystamy z jakiegoś systemu on-line, w którym przetwarzane są gromadzone przez nas dane, to musimy z tym podmiotem zawrzeć umowę powierzenia. Po co? W uproszczeniu po to, by zobowiązać ten podmiot do należytego postępowania z danymi. Po to, by mieć pewność, że będzie on stosował odpowiednie środki w celu ochrony powierzonych danych, że będzie nas informował o ewentualnych naruszeniach i pomagał w realizacji uprawnień osób, których dane przetwarzamy. Taka umowa jest po prostu w naszym interesie.

Wzór wykazu powierzeń oraz wzór umowy powierzenia danych osobowych wraz z komentarzami dotyczącymi jej wypełnienia odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Jak zabezpieczyć zbierane dane osobowe? Czy potrzebuję do tego jakąś dokumentację?

W.W.: Zabezpieczyć tak, by były bezpieczne. Niby masło maślane, ale tak właśnie w uproszczeniu można opisać filozofię RODO. Rozporządzenie nie wskazuje na żadne konkretne środki. Każe nam się natomiast zastanowić, jakie występują ryzyka związane z przetwarzaniem przez nas danych i wprowadzić takie środki, które te ryzyka ograniczą. Przykładowo, jeżeli mamy dane w formie papierowej w biurze, to powinniśmy trzymać je w metalowej szafce zamykanej przynajmniej na klucz, by nikt niepowołany nie uzyskał do nich dostępu. Jeżeli mamy dane w formie elektronicznej, na dysku komputera, to ten dysk powinien podlegać szyfrowaniu. Alternatywą do szyfrowania dysku są szyfrujące klucze sprzętowe, tak jak jest to np. w przypadku oprogramowania Aliant, bez którego program się nie otworzy. Jeżeli mamy dane w systemie on-line, to wprowadzić silne hasło, a najlepiej drugi faktor (np. kod sms). Dokumentacja nie jest tutaj najważniejsza. Najważniejsze to wdrożyć realnie te środki, a dopiero potem je spisać. Papier przyjmie wszystko, ale nie o to chodzi. Dążymy do realnej ochrony danych osobowych, a nie do pustych słów na papierze.

Posiadanie polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi od 25.05.2018 r. nie będzie bezwzględnie konieczne, ale ich posiadanie zawsze będzie dobrą praktyką i dowodem dołożenia należytej staranności w zakresie ochrony danych osobowych.

Wzór polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi wraz z komentarzami dotyczącymi ich wypełnienia odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Ewidencjonowanie i zgłaszanie naruszeń – jak do tego podejść?

W.W.: W pierwszej kolejności musimy zastanowić się, w jaki sposób dowiemy się o naruszeniu. Przykładowo, jeżeli zgubimy pendrive z danymi osobowymi, to sprawa jest prosta i ewidentna – wiemy o tym od razu. Ale co, gdy pendrive zgubi pracownik i nie powiadomi nas o tym? Odpowiedzialność spada na nas. Dlatego musimy przeszkolić wszystkie osoby, które przetwarzają dane w zakresie postępowania z danymi osobowymi i pouczyć m.in. o konieczności zgłaszania nam wszelkich sytuacji, kiedy mamy do czynienia z naruszeniem ochrony danych osobowych. W przypadku podmiotów przetwarzających dane, które im powierzyliśmy ponownie ujawnia się znaczenie umowy powierzenia – musimy w umowie wprowadzić obowiązek procesu informowania nas o wszelkich incydentach naruszenia ochrony danych osobowych. Jeżeli już zadbamy o to, by mieć wiedzę o wszelkich naruszeniach, to następnie musimy wypracować jakąś procedurę ich ewidencjonowania, np. w formie tabeli. Dobrze jest również spisywać z każdego incydentu raport, który będzie zawierał szczegóły dotyczące zdiagnozowanego naruszenia. No i na koniec postępowania musimy przewidzieć jakąś procedurę zgłaszania naruszeń organowi nadzorczemu oraz mechanizmu dokonywania oceny, czy konieczne jest poinformowanie również osoby, której dane wyciekły.

Wzór upoważnienia do przetwarzania danych osobowych (dla zatrudnionych pracowników), ewidencja osób upoważnionych, karta szkolenia, dekalog ochrony danych osobowych, ewidencja incydentów naruszeń ochrony danych osobowych oraz raport z naruszenia ochrony danych osobowych wraz z komentarzami dotyczącymi ich wypełnienia odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Czy potrzebuję przeprowadzić ocenę skutków przetwarzania danych?

W.W.: W przypadku dietetyków działających indywidualnie i nieprzetwarzających danych na dużą skalę, taka ocena nie będzie obowiązkowa. Jednak w sytuacji, w której np. jesteśmy dużą placówką i przetwarzamy dane pacjentów na dużą skalę, ocena będzie już obowiązkowa. Generalnie, kwestia konieczności przeprowadzenia oceny podlega różnym interpretacjom. Polecam lekturę tego materiału: https://www.giodo.gov.pl/pl/1520281/10430.

A.O.: Jak traktuje RODO dane wrażliwe? Czy będzie można je nadal zbierać po wprowadzeniu RODO?

W.W.: Tak, dane wrażliwe nadal będzie można zbierać, ale wtedy, gdy spełniona będzie jedna z przesłanek z art. 9 ust. 2 RODO. Najłatwiejszą do zastosowania przesłanką jest w tym przypadku zgoda pacjenta, co oznacza, że warto od każdego pacjenta odebrać na piśmie zgodę na przetwarzanie danych wrażliwych.

A.O.: RODO i obowiązek informacyjny – co to takiego?

W.W.: RODO kładzie nacisk na to, by osoby, których dane przetwarzamy, miały komplet informacji o tym, kto przetwarza ich dane, w jakim celu, przez jakiś czas i jakie uprawnienia mają te osoby w związku z przetwarzaniem ich danych. W związku z tym, mamy w RODO przepisy, które przewidują, jakie konkretnie informacje mamy przekazać użytkownikowi. Nie będę ich tutaj przytaczał, bo wystarczy zajrzeć do samego rozporządzenia – art. 13 i 14 RODO.

Wytyczne dotyczące obowiązku informacyjnego oraz wytyczne dotyczące formularza zamówienia wraz z przykładową klauzulą informacyjną oraz komentarzami odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Pacjentów (w tym dzieci) przyjmuję stacjonarnie – w jaki sposób realizować obowiązek informacyjny?

W.W.: Najłatwiej będzie w formie papierowej. Czyli każdemu pacjentowi wydajemy dokument realizujący obowiązek informacyjny.

A.O.: W przypadku pozyskiwania pacjentów on-line – sytuacja wygląda podobnie?

W.W.: Obowiązek informacyjny powinien być realizowany przy pozyskiwaniu danych. Oznacza to, że w przypadku, gdy dane zbieramy on-line, to powinniśmy zrealizować go już na tym etapie, np. tworząc politykę prywatności, którą użytkownik będzie akceptował w trakcie rejestracji on-line.

A.O.: Jak mogłaby brzmieć przykładowa klauzula informacyjna związana ze zgodą na przetwarzanie danych pacjentów?

W.W.: Czym innym jest klauzula informacyjna, a czym innym zgoda na przetwarzanie danych. Klauzulę informacyjną budujemy na podstawie art. 13 RODO – w przypadku pozyskiwania danych od osoby, której dane dotyczą. W tym zakresie odsyłam właśnie do tego przepisu, który pozwoli krok po kroku skonstruować klauzulę informacyjną. Natomiast gdy chodzi o zgodę, to na przetwarzanie w celu świadczenia usługi zgody mieć nie trzeba, tutaj wystarczającą podstawą jest sama umowa o świadczenie usługi, zawierana choćby w formie ustnej.

A.O.: Czy tę samą klauzulę mogę wykorzystać do wysyłki mailingu lub SMS-ingu?

W.W.: O ile, na przetwarzanie danych, w celu realizacji usługi, zgody mieć nie trzeba, o tyle na działania marketingowe już tak. Zaleca się, by odbierać oddzielną zgodę na każdy kanał komunikacji. Przykładowo: wyrażam zgodę na przetwarzanie moich danych osobowych (imię oraz adres e-mail) w celu przesyłania mi za pośrednictwem poczty elektronicznej informacji o nowościach, promocjach i usługach XYZ Sp. z o.o. z siedzibą w Poznaniu.

Wytyczne dotyczące newslettera i bazy mailingowej wraz z przykładową klauzulą informacyjną oraz przykładowymi zgodami odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Jak długo muszę przechowywać dokumentację z danymi osobowymi pacjentów?

W.W.: Nie znam szczególnych regulacji dotyczących branży dietetycznej, nie wiem nawet, czy takowe są, czy jest jakiś prawny obowiązek przechowywania dokumentacji dietetycznej. Jeżeli takowego nie ma, to przechowujemy tak długo, jak długo jest to uzasadnione celem. Opracowujemy jakąś politykę retencji danych i przewidujemy np., że jeżeli pacjent nie zjawi się przez okres 2 lat, to usuwamy jego dokumentację. Pod warunkiem oczywiście, że nie ma jakiejś szczególnej regulacji co do okresu koniecznego przechowywania dokumentacji dietetyka.

A.O.: Po co mi Polityka Prywatności na mojej stronie www?

W.W.: Polityka prywatności to sposób na realizację obowiązku informacyjnego. Zawieramy tam wszelkie informacje, jakie RODO nakazuje nam przekazać osobie, której dane zbieramy. Ponadto, w polityce prywatności jest również miejsce na opis stosowanych plików cookies w ramach naszej witryny.

Wzór polityki prywatności i plików cookies wraz z komentarzami dotyczącymi jej wypełnienia odnajdziesz w Pakiecie RODO dla dietetyków, dostępnym tutaj.

A.O.: Czy Pana zdaniem dietetyk powinien mieć certyfikat SSL?

W.W.: Tak, jeżeli na stronie znajdują się formularze, za pośrednictwem których użytkownik przekazuje nam dane osobowe, to powinniśmy wykupić dla domeny certyfikat SSL. Przykładowo Google Chrome od wersji 68, która ukaże się w lipcu tego roku, strony bez ssl będą oznaczane jako niezabezpieczone (ang. not secure), o czym Google poinformował na swoim blogu.

A.O.: Czy otrzymam wsparcie od RODO? Czy planowany kodeks branżowy dla sektora ochrony zdrowia obejmie dietetyków?

W.W.: RODO to tylko akt prawny, żadnego wsparcie nie daje poza swoim tekstem. Kodeksy branżowe zapewne będą powstawać sukcesywnie, ale na ten moment to kwestia przyszłości. RODO rozpoczyna być stosowane od 25.05.2018 r., więc trochę czasu pewnie upłynie, zanim poszczególne branże będą cieszyć się z kodeksów dobrych praktyk.