Studenci na salach szpitalnych, podczas zabiegów medycznych to w szpitalach akademickich codzienność. Z jednej strony to dobrze, bo młodzież poznaje zawód w praktyce a z drugiej związane jest  uczestniczeniem w procesie leczenia osób, których udział nie jest w tym procesie niezbędny. Dodatkowo udział grupy studentów podczas udzielania świadczeń medycznych może krępować pacjenta czyli negatywnie wpływać na sferę jego prywatności.

Przepisy, które umożliwiały przekazywanie informacji o pacjencie, jeśli było to niezbędne dla praktycznej nauki zawodów lub celów naukowych, zostały uchylone. Unormowanie to miało zastosowanie np. w placówkach zajmujących się działalnością dydaktyczną (szpitale kliniczne wyższych uczelni medycznych) oraz dla potrzeb przygotowywania prac naukowych.

W okresie obowiązywania omawianej regulacji wskazywano, iż uchylenie tajemnicy w zakresie kształcenia powinno być poprzedzone poinformowaniem chorego, przyjmowanego do takiej placówki, że w związku z jej dydaktyczną działalnością może dojść do naruszenia sfery jego prywatności. Z kolei udostępnianie danych na potrzeby naukowe warunkowane było w literaturze ich anonimizacją.

Aktualnie brak wyraźnej podstawy uprawniającej do uchylenia tajemnicy w omawianych przypadkach. Uchylenie tej regulacji w praktyce przysparza wielu problemów. Niekiedy nie można dokonać anonimizacji tych informacji.Poza tym, w niektórych przypadkach niezbędne jest również zaprezentowanie wizerunku pacjenta np. jeśli posiada on zmiany chorobowe na twarzy. Całkowita anonimizacja w takich sytuacjach wydaje się niemożliwa.

Stąd też trzeba będzie poszukiwać innej podstawy ujawnienia tajemnicy. Przede wszystkim, konieczne będzie każdorazowe wyjednanie zgody pacjenta, który zgodnie z prawem może upoważnić lekarza do takiego naruszenia chronionej jego sfery.

Szkolenie ABI 3-4 sierpnia Warszawa

Ilość odwiedzin mojego bloga bije rekordy. Najwięcej odsłon mają strony z poradnikiem oraz dotyczące szkoleń. Wiele osób zamawia bezpłatny poradnik ABI. To wszystko oznacza, że 30 czerwca zbliża się wielkimi krokami i data ta traktowana jest bardzo poważnie w szczególności przez ABI.

Mimo, iż nowe przepisy dotyczą wszystkich administratorów danych, przełomowe regulacje odnoszą się przede wszystkim do administratorów bezpieczeństwa informacji czyli ABI. W związku z tym ABI dotychczasowi ale i nowo powołani szukają informacji dotyczących nowych przepisów i ich interpretacji. Szukają też szczegółowych informacji odnośnie ochrony i przetwarzania danych osobowych, gdyż za chwilę będzie od nie wymagana wiedza ekspercka.

Poziom wiedzy ABI jest bardzo różny od najwyższej po zupełnie przeciętną czy początkujacą. Jednakże prawo wymaga, aby poziom ten był w miarę wyrównany, gdyż stawia wszystkim ABI te same wymagania i nakłada takie same obowiązki i wszyscy tak samo będą rozliczani z ich wykonywania.

W odpowiedzi na palącą potrzebę podnoszenia wiedzy w zakresie ochorny danych osobowych zapraszam wszystkich zainteresowanych na szkolenie ABI w Warszawie, 3-4 sierpnia 2015 r. z możliwością wyboru opcji szkolenia dla początkujących oraz zaawansowanych.

Szkolenie jest niezbędne przede wszystkim dla początkujących, którzy bez rzetelnych podstaw nie mają szans, aby sprostać obowiązkom wynikającym z nowych regulacji prawnych. Szkolenie, które na konkretnych przykładach przybliża nie zawsze łatwą materię prawną będzie również pożyteczne dla ABI zaawansowanych.

W przypadku, jeśli administrator danych nie zdecydował się na powołanie ABI w świetle prawa sam będzie zobowiązany do ich wykonywania. W praktyce administrator danych z reguły deleguje  takie zadania na innych pracowników, którzy nie mając statusu ABI będą jednak odpowiedzialni za obszar ochrony danych osobowych w jednostce. Do tych osób również kierowane jest moje szkolenie, gdyż są to tak naprawdę z małymi wyjątkami indentyczne obowiązki.

Zapraszam na szkolenie. Zapisy przyjmuję drogą elektroniczną na adres kancelaria@przetwarzaniedanych.pl., również szczegółowy program osobom zainteresowanym szkoleniem przesyłam drogą mailową.

Większość z nas doskonale pamięta karty gorączkowe zawieszone na poręczach szpitalnych łóżek, na których widniały dane osobowe pacjenta a także dane medyczne dotyczące postawionej diagnozy czy stosowanego leczenia. Na kartach widniał również wykres z pomiarem temperatury.

Generalny Inspektor Danych Osobowych wydał sygnalizację, iż uwidacznianie danych medycznych na powszechnie dostępnej karcie gorączkowej jest niezgodne z obowiązującymi przepisami i zalecał zmianę praktyki w tym zakresie.

Jednym z podstawowych praw pacjenta i odpowiadającym mu obowiązkiem lekarza jest zachowanie w tajemnicy informacji o chorym, które lekarz powziął w związku z wykonywaniem zawodu.

Obowiązek tajemnicy zawodowej związany jest także z ochroną prywatności pacjenta. Przyjmuje się bowiem, że informacje dotyczące zdrowia i choroby należą do sfery tzw. prywatności, która stanowi jedno z dóbr osobistych.

Na straży ochrony tych dóbr stoją przepisy Konstytucji RP oraz przepisy prawa cywilnego dotyczące ochrony dóbr osobistych. Uznaje się, iż prywatność obejmuje m.in. informacje o stanie zdrowia. Tylko pacjent jest uprawniony do zdecydowania, czy chce ujawnienia określonych informacji. Lekarz zatem nie może dokonać za niego takiego rozstrzygnięcia. Jest tym bardziej istotne, że dane medyczne zostały zaliczone do tzw. danych wrażliwych (sensytywnych), o których mowa w przepisach ustawy o ochronie danych osobowych.

Rozpowszechnienie informacji o stanie zdrowia może wyrządzić osobie szczególnie dotkliwą krzywdę, dlatego względem takich informacji została wprowadzona silniejsza ochrona .

W ustawie o prawach pacjenta  i Rzeczniku Praw Pacjenta ustawodawca potraktował zachowanie tajemnicy lekarskiej jako podstawowe prawo pacjenta. Przepisy te mają zastosowanie nie tylko w stosunku do lekarzy, ale również do innych pracowników medycznych, udzielających świadczeń zdrowotnych (np. pielęgniarek, położonych, diagnostów laboratoryjnych, farmaceutów).

Z uwagi na obowiązującą tajemnicę lekarską oraz prawo pacjentów do prywatności ujawnianie danych medycznych na karatach gorączkowych nie powinno mieć miejsca. GIODO zalecał wdrażanie innych rozwiązań niż karty gorączkowe zawieszone na łóżkach pacjentów. Za ostateczność uznał odwracanie karty gorączkowej na drugą, niezapisaną stronę.

Jak widać respektowanie prywatności pacjenta oraz tajemnicy lekarskiej  dalekie jest od ideału. Poszanowanie tych praw wymaga bowiem zmiany świadomości społecznej w zakresie rangi prawa pacjenta do prywatności i tajemnicy lekarskiej. Dotyczy to samych lekarzy i personelu medycznego, ale i samych pacjentów, którzy powinni być świadomi swoich praw i domagać się ich przestrzegania.

ABI muszisz się szkolić

W ostatnim artykule pisałam o nowym ABI, którego nie znamy. ABI w nowym wydaniu to niezależny, kompetenty specjalista dbający o całokształ zagadnień dotyczących ochrony danych osobowych w firmie.

Nowy ABI to ekspert i wymaga wiedzy eksperckiej.

Tymczasem pospolitość skrzeczy. Przepisy sobie a rzeczywistość sobie. Wielu dotychczasowych ABI nie posiada odpowiedniej wiedzy. Stwierdzam to z przykrością na podstawie osobistych kontaktów i obserwacji. Wyłączam niektóre firmy, profesjonalnie świadczące usługi konsultigowe zakresie ochrony danych osobowych. Jednak ABI wewnątrz firm często mają bardzo pobieżną wiedzę w zakresie ochrony danych osobowych, daleką od wymaganego poziomu eksperckiego.

Sytuacja taka ma miejsce nie z ich winy. Z reguły zatrudniani byli na zupełnie innych stanowiskach. Jak wielokrotnie pisałam ABI dotychczas z reguły był takim złem koniecznym. Jeśli już musiał być to z łapanki nominowano panią kadrową, księgową czy kogoś z działu informatyki.

Bardzo często tym ludziom pracodawca nie zapewniał odpowiednich szkoleń zapewniających odpowiednią wiedzę. Bywają chlubne wyjątki to jasne. W aktualnym stanie prawnym dotychczasowi ABI czyli panie księgowe, kadrowe, informatycy  z reguły będą kontynuować misję ABI w swojej firmie.

Jednak jak już pisałam, sytuacja zmieniła się diametralnie. Nowy ABI jest dokłądnie uregulowany. Wiemy kim jest i czego możemy od niego wymagać. Z tą wiedzą związana też będzie odpowiednio większa odpowiedzialność ABI. Adminsitrator danych, który powołuje ABI w swojej organizacji będzie miał prawo wskazać ABI jako osobę odpowiedzialną za ten obszar w swojej organizacji.

Nowy ABI powołany i zarejestrowany będzie podlegał też kontroli zewnętrznej GIODO a brak odpowiedniej wiedzy jest warunkiem rejestracji oraz może być powodem wykreślenia z rejestru. GIODO oczekuje, że ABI, który zostanie zarejestrowany sprawnie przeprowadzi kontrolę w firmie na jego wniosek. Podczas takiej kontroli brak odpowiedniej wiedzy u ABI będzie nie do ukrycia. Jedno zdanie może obnażyć brak odpowiedniej wiedzy.

Jeśli już zostałeś powołany do pełnienia funkcji ABI a nie czujesz się ekspertem musisz domagać się od swojego pracodawcy szkoleń. Pracodawca ma obowiązek zapewnić ABI środki niezbędne do należytego pełnienia funkcji ABI a jednym z takich środków będzie zapewnienie szkolenia. Bez nich nigdy nie osiągniesz wymaganej wiedzy eksperckiej. Dziedzina ochrony danych osbowych nie należy do najłatwiejszych, dlatego wymaga gruntownej edukacji.

Jeśli jesteś informatykiem, księgową, kadrową lub piastujesz inne stanowisko w firmie nie masz obowiązku być ekspertem w zakresie ochrony danych osbowych. Jesteś specjalistą w zakresie swoich zadań, znasz się na kadrach, rozliczeniach finansowych czy systemach informatycznych i wiesz na czym ta praca polega. Wiesz również, iż masz odpwiednią wiedzę i doświadczenie, aby zajmować te stanowiska i świadczyć tego rodzaju pracę.

Dodatkowe zajęcia ABI to nie może być jakaś kula u nogi czy piąte koło, gdyż finalnie może stanąć kością w gardle, czego oczywiście Ci nie życzę. Każda praca wymga wiedzy, z każdą pracą związana jest odpwiedzialność a dodatkowo jeśli nasza praca i my personalnie jesteśmy zgłąszani do urzędu jako eksperci z danej dziedziny to po prostu musimy nimi być.

Bodźcem do napisania tego artykułu był telefon jednego wewnętrznego ABI, który zadał mi pytanie kto w spółce z ograniczoną odpowiedzialnością jest administratorem danych osobowych. Takich pytań ABI nie może stawiać.

ABI jakiego nie znamy

„Jak kontrolować przetwarzanie danych osobowych przez ABI.”

Frazy o treści dokładnie takiej jak w tytule są wpisywane do wyszukiwarek. Oznacza to, że mnożą się kolejne pytania dotyczące funcjonowania nowego ABI. Bowiem podniesienie rangi ABI przez wyznaczenie katalogu zadań, zapewnienie niezależności, wyposażenie w środki prawne to jedno. Inną kwestią jest to, że przepisy właściwie nie wymagają, aby ABI legitymował się konkretnymi kwalifikacjami na przykład był prawnikiem czy informatykiem, miał certyfikaty czy inne dokumenty potwierdzające jego kompetencje.

W stanie prawnym sprzed nowelizacji, gdy przepisy poświęcały regulacji ABI w sumie jedno zdanie, jego kwalifikacje nie miały aż tak wielkiego znaczenia. Sam ABI w organizacji nie był specjalnie na świeczniku a jego wybór był zupełnie odformalizowany, no poza samym obowiązkiem jego powołania.

Aktualnie oblicze ABI przechodzi totalną metamorfozę. I nie ma znaczenia fakt, że profesjonalnie świadczące usługę ABI firmy wykonywały już wcześniej większość zadań w zakresie i w sposób określony w nowych przepisach. Metamorfoza ABI jest niekwestionowana w świetle prawa.

W stanie prawnym sprzed nowelizacji instytucji ABI przepisy prawne poświęcały jedno zdanie. W aktulanym stanie prawnym jest to cały rozdział w ustawie oraz trzy rozporządzenia wykonawcze. I tak rozbudowana regulacja prawna kładzie podwaliny moim zdaniem pod rozwój bardzo ważnej w organizacji funcji.

Większość firm w zakresie ochrony danych osobowych oczywiście śpi i nie jest w ogóle świadoma, że coś się zmienia. Inne wiedzą, że coś się zmienia, ale nie są świadome jakie ma to dla nich znaczenie i niechętnie zajmują się tematem. Nieliczne tylko już wiedzą, że wkracza nowe.

I taka jest prawda. Wkracza zupełnie nowy ABI, w nowym prawnym uniformie, uzbrojony w narzędzia służące do wykonywania jego funkcji.

Jednak od takiego ABI można i trzeba dużo wymagać. Taki ABI będzie wobec administratora odpowiedzialny za zapewnianie zgodności przetwarzania danych osobowych z prawem. Administrator w szczególności od zewnętrzengo ABI ma prawo wymagać nie tylko potwierdzenia kompetencji, ale też i odpowiedniej polisy OC związanej z wykonywaną działalnością. Napiszę o tym jeszcze szerzej, gdyż ta fraza również jest wpisywana w wyszukiwarkę na moim blogu.

Reasumując jak kontrolować czy ABI właściwie wypełnia swoje obowiązki. Najpierw należy wybrać odpowiednią osobę, firmę. Poprosić o potwierdzenie wykształcenia, doświadczenia, rekomendacje, ukończone szkolenia, kursy, certyfikaty.

W aktualnym stanie prawnym oraz w przeddzień wprowadzenia w życie unijnego rozporządzenia w sprawie ochrony danych osobowych ABI nie może być osobą przypadkową. Z funkcją ABI bowiem związana będzie większa niż dotychczas odpowiedzialność. Dodatkowo w momencie wejścia w życie rozporządzenia a wraz z nim kar pieniężnych, kwestia odpowiedzialności ABI za powierzone w ramach funkcji zadania stanie się z pewnością ważnym zagadnieniem prawnym.

Czy wspólnota mieszkaniowa przetwarzająca dane osobowe właścicieli lokali zawartych w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych jest administratorem danych osobowych i stosuje się do niej wymagania przepisów ochrony danych osobowych.

Odpowiedź brzmi, tak wspólnota mieszkaniowa jest administratorem danych osobowych i stosuje się do niej wymagania przepisów ochrony danych osobowych z wszelkimi konsekwencjami prawnymi.

Wspólnota mieszkaniowa, którą stanowi ogół właścicieli lokali wchodzących w skład określonej nieruchomości jest administratorem danych dotyczących tych osób i obowiązana jest stosować takie środki techniczne i organizacyjne, które zapewniają ochronę przetwarzania danych osobowych.

W szczególności wspólnota jest zobowiązana zabezpieczyć dane, które przetwarza przed ich udostępnieniem osobom niepożądanym, zabraniem przez osobę nieuprawnioną, przetworzeniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zmienieniem.

Stwierdzenie nieprawidłowości w zakresie wypełniania obowiązków związanych z legalnym przetwarzaniem danych osobowych, stwarza podstawę do nałożenia na administratora danych (wspólnotę mieszkaniową) decyzji nakazującej usunięcie tych uchybień. Wspólnota mieszkaniowa jako administrator danych osobowych będzie odpowiedzialna za przetwarzanie zgodne z prawem nawet, jeśli administrator danych powierzył innemu podmiotowi przetwarzanie tych danych.

Podmiot, któremu administrator powierzył przetwarzanie danych osobowych na podstawie umowy powierzenia (np.zarządca)  będzie odpowiadał za przetwarzanie niezgodne z tą umową.

Podmiotem, któremu wspólnota najczęściej powierza przetwarzanie danych osobowych jest zarządca nieruchomości, który na podstawie zawartej ze wspólnotą umowy zarządza nieruchomością. Wykonując obowiązki związane z wykonywaniem umowy, zarządca niewątpliwie przetwarza dane osobowe.

Zarząd Wspólnoty podpisując umowę z zarządcą powinien zadbać o zabezpieczenie w umowie kwestii przetwarzania danych osobowych w umowie zawartej z zarządcą.

Spis właścicieli lokali tworzących wspólnotę i wielkości przypadających im udziałów w nieruchomości wspólnej, spis osób wynajmujących dodatkowe miejsca parkingowe na nieruchomości wspólnej zawarte w rejestrach czy innych zbiorach ewidencyjnych, zgromadzone następnie w teczce czy segregatorze stanowią zbiór danych w rozumieniu przepisów o ochronie danych osobowych.

Reasumując każda wspólnota jest administratorem danych osobowych i ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych. W przypadku powierzenia zarządu nieruchomością firmie zewnętrznej wspólnota jako administrator danych osobowych powinna zadbać, aby zarządca jako przetwarzający  w związku z wykonywaniem zleconych mu czynności respektował przepisy o ochronie danych osobowych.

Pogoda jest podła nie ma co do tego wątpliwości. Przychodnie pełne pacjentów, przeziębienia górą. Parę dni temu na tej właśnie fali z chorobą udałam się do lekarza. Siedzę i grzecznie czekam.

Drzwi się otwierają i lewym uchem dobiega mnie coś, w co w pierwszej chwili nie mogłam uwierzyć. „Proszę poprosić panią Malicką”. W ułamkach  sekund doszło do mnie, że oto lekarz pacjentce wychodzącej z jego gabinetu polecił poprosić kolejnego pacjenta  po nazwisku i że chodzi o mnie.

Niestety słuch mnie nie mylił. Pacjentka, która wychodziła z gabinetu zapytała czy nazywam się tak jak się nazywam i przekazała, że jestem proszona do gabinetu.

Włos się na głowie jeży, bo to naprawdę jest elementarz. Nie każdy a raczej mało kto będąc u lekarza a bywamy u lekarzy różnych specjalności chce, aby na cały korytarz wzywano go po nazwisko. GIODO wielokrotnie się na ten temat wypowiadał, iż przychodnie i lekarze powinni czuwać, aby dane osobowe pacjentów nie były udostępniane osobom postronnym, zwłaszcza podczas rejestracji czy wywoływania do gabinetu. Stąd praktykowane wzywanie po numerkach na przykład.

Jednak sytuacja, w której lekarz prosi pacjenta wychodzącego z gabinetu o zawołanie siedzącego przed gabinetem pana Nowaka, Kowalskiego czy Iksińskiego jest naprawde niedopuszczalna.

Sytuacja ta obrazuje tylko na jakim poziomie świadomości jesteśmy z ochroną danych osobowych, na jakim poziomie wiedzy w tym zakresie są lekarze, którzy przetwarzają dane wrażliwe, te szczególnie chronione.

Sytuacja z pewnością ulegnie zmianie w momencie wejścia w życie procedowanego w organach UE rozporządzenia w sprawie ochrony danych osobowych. Edukacja w tej materii pewnie dopiero wówczas nabierze piorunującego tempa i sytuacji takich, jak opisana w niniejszym wpisie  nie będzie. Przyczynią się do tego kary pieniężne, które za naruszenia przepisów ochrony danych osobowych rozporządzenie przewiduje.

„Wielki brat” pracodawca…

Aktualnie praktyką coraz bardzie powszechną staje się wszelkiego rodzaju śledzenie. Śledzą nas w internecie, na ulicach miast, śledzą w pracy.

Wchodzisz do biura kamera rejestruje. Idziesz korytarzem podąża za Tobą. Siadasz przy biurku odpalasz komputer wielki brat pracodawca razem z Tobą ogląda internet. Niestety nie jest to przesadzone. Tak wygląda bowiem nasza codzienna rzeczywistość. Czasami pracownicy wiedzą jakie czynności monitorujące ich czas pracy są podejmowane przez pracodawcę a często niestety nie są im ujawniane jakiekolwiek zasady takiego monitorowania.

Co na to prawo. W wyroku Trybunału Praw Człowieka w sprawie Copland przeciwko Zjednoczonemu Królestwu Trybunał stwierdził, iż rozmowy telefoniczne z pracy, e-maile i użtkowanie Internetu są objete terminami „życie prywatne” i tajemnica korespondencji”.

Oznacza to, że monitoring pracowników w miejscu pracy musi spełniać wymogi zgodności z prawem także prawem ochrony danych osobowych.

Najważniejsza konkluzja jest taka, że pracownicy powinni mieć świadomość, że są poddani monitoringowi a pracodawca powinien szczegółowo określić zasady monitoringu i zapoznać z nimi pracowników a pracownicy powinni potwierdzić fakt zapozonania się z nimi podpisaniem stosownego oświadczenia.

Powyższe zasady monitorowania pracowników zostały potwierdzone przez polskie orzecznictwo sądowe w tym Naczelny Sąd Administracyjny w wydanym w roku ubiegłym orzeczeniu dotyczącym omawianej kwestii.

Reasumując pracodawca nie powinien i nie może śledzić nas bez uprzedzenia.

Wielokrotnie na łamach tego bloga podkreślałam, iż w świetle ostatniej nowelizacji OchrDanOsobU powołanie ABI stało się uprawnieniem a nie jak dotychczas obowiązkiem administratora danych.

W związku z powyższym to podmiot odpowiedzialny za przetwarzanie danych osobowych w świetle prawa czyli admisnitrator danych, którym jest spółka, urząd, spółdzielna, fundacja czy inne, podejmują decyzję o powołaniu lub nie ABI.

Czy administrator danych jest w stanie przeżyć bez ABI. Powiem żartobliwie, że w sumie jest to możliwe tylko co to za życie. W mojej ocenie bowiem zdecydowana większość firm nie będzie w stanie podołać obowiązkom zwłaszcza w ich nowej postaci.

W przypadku, gdy ABI formalnie nie zostanie powołany to wyznaczenie osoby lub osób, które będą temat danych osobowych w organizacji koordynować jest niezbędne. Osoby takie również nie powinny być przypadkowe i pozyskane z tzw. „łapanki”. Jeśli miałaby to być takie osoby to w sumie można sobie temat ochrony danych osobowych odpuścić w ogóle wpisąc go w ryzyko ewentualnych konsekwencji w przypadku kontroli GIODO.

Nie można się bowiem łudzić, że osoby w firmie, które nigdy wcześniej nie zajmowały się tematyką ochrony danych osobowych lub mają o niej bardzo powierzchowną wiedzę podołają obowiązkom wynikającym z przepisów prawnych w szczególności w świetle ostatniej nowelizacji. Kierownictwo organizacji powinno mieć tego swiadomość i zapewnić takim osobom odpowiednią pomoc czy w postaci dodatkowych szkoleń, czy konsultacji.

Z moich obserwacji wynika, iż w dalszym ciągu temat ochrony danych osobowych jest traktowany bardzo po macoszemu przez odpowiedzialne podmioty. Zasadą jest, aby się tematem nie zajmować rzynajmniej do czasu, gdy nie będzie zagrożenia karami finansowymi.

Skutek jest taki, że spotykam w firmach uchwały powołujące pracownika działu informatyki na administratora danych osobowych. Włos się jeży to mało powiedziane.

Na koniec trzeba powiedzieć, że tematyka związana z przepisami o ochronie danych osobowych nie jest łatwa. Wymaga sporej wiedzy teoretycznej ale jeszcze większej praktycznej. Nieprawdą jest, że można ten temat opanować łatwo, bez wysiłku i kosztów.

W przypadku, gdy administrator danych nie powoła ABI, wówczas on sam wykonuje obowiązki, które ustawa przyisuje kompetencjom ABI. Obowiązków w związku z nowelizacją przybyło a nie ubyło. Podołanie tym obowiązkom wymaga wiedzy profesjonalnej.

Do kierownictwa firmy oczywiście należy decyzja jak te obowiązki będą wykonywane. Jednak nie należy zapominać, iz mimo braku (jeszcze) dotkliwych kar finansowych obowiązują przepisy karne w przypadku łamania przepisów ochrony danych osobowych.

W mojej ocenie jeszcze bardziej dotkliwe są inne konsekwencje. Trudno wyobrazić sobie firmę, która nie buduje bazy danych osobowych. Wartościowa baza danych osobowych klientów jest dla każdego przedsiębiorcy nieocenioną wartością a czasami w ogóle podstawą biznesu.

W przypadku, gdy na poziomie np. zbierania danych osobowych popełniane są podstawowe błędy może się okazać, że baza nie jest legalna. Na skutek kontroli GIDO (jeden niezadowolony klient) może dojść do decyzji nakazującej przywrócenie stanu zgodnego z prawem.

I jesli na przykład dla pozyskanych danych osobowych nie mamy odpowiednich zgód na przetwarzanie danych osobowych to tak naprawdę mamy bazę, która nie jest legalna. Wsteczne zebranie po latach takich zgód to zadanie prawie nie do wykonania.

Możemy latami nie zajmować się danymi osobowymi, lecz na wskutek takiej opieszałości pewne uchybienia mogą pociągnąć zmiany nieodwracalne w skutkach i bolesne również finansowo, które dopadną nas po latach.

W szczególności Ci wszyscy przedsiębiorcy, którzy budują bazy klientów w celach marketinowych lub tacy, którzy w celach zawodowych przetwarzają duże ilości danych osobowych w systemach informatycznych powinni mieć to na uwadze.

Wszystkich zainteresowanych pogłębieniem lub usystematyzowaniem wiedzy w zakresie ochrony danych osobowych oraz przygotowaniem do pełnienia funkcji ABI i wypełnianiem obowiązków zgodnie z najnowszymi przepisami zapraszam na szkolenie 3-4 sierpnia do Warszawy. Więcej na:

http://przetwarzaniedanych.pl/szkolenie-abi-3-4-sierpnia-warszawa/

 

Sprawa dotyczy znango portalu znanylekarz.pl, na którym wystawiane są opinie o pracy lekarzy. Portal zapewnia równiez możiwość umawiania wizyt za jego pośrednictwem.  Lekarz, o którym na portalu zostały zamieszczone opinie bez jego zgody złożył wniosek do GIODO o nakazanie właścicielowi portalu zaprzestania przetwarzania jego danych osobowych.

GIODO odmówił uwzględnienia wniosku. Uznał, iż podstawą przetwarzania danych osobowych będzie usprawiedliwiony interes administratora danych a prawa i wolności lekarza nie zostały naruszone. GIODO uznał też, iż Spółka działa w interesie publicznym umożliwiając zapoznanie się z opiniami na temat lekarzy.

Sprawa znalazła finał przed wojewódzkim sądem administracyjnym a następnie z inicjatywy GIODO przez NSA. Wyrok NSA jest świeży i został wydany w kwietniu tego roku.  Na jego podstawie GIODO będzie zmuszony raz jeszcze zbadać sprawę oraz ustalić stan faktyczny a następnie dokonać odpowiedniej kwalifikacji prawnej.

Czy przetwarzanie danych osobowych lekarzy bez ich wiedzy i zgody na portalu o charakterze komercyjnym jest dopuszczalne w świetle przepisów ochrony danych osobowych. Czy przesłanka usprawiedliwionego interesu administratora uzasadniona wykonywaniem zawodu zaufania publicznego może być podstawą tego przetwarzania. Na to i inne pytania GIODO jeszcze raz będzie musiał odpowiedzieć pochylając się tym razem chyba bardziej wnikliwie nad sporną kwestią.

Osobiście jestem zdziwiona oceną prawną GIODO w tej sprawie zwłaszcza, że w innych sprawach, w których dane osobowe są pozyskiwane z publicznie dostępnych rejestrów a następnie wykorzystywane do celów komercyjnych GIODO z całą konsekwencją wymagał spełnienia wszystkich wymogów przepisów ochrony danych osobowych.

Nie umniejszam idei funckjonowania takiego portalu jak znanylekarz.pl czy innych mu podobnych, jednakże uważam, iż argumentacja GIODO jest w tym przypadku zupełnie nieprzekonywująca. Fakt, że lekarz wykonuje zawód zaufania publicznego nie oznacza, że dane osobowe dotyczące jego osoby mogą być przetwarzane w komercyjnych portalach internetowych mimo jego wyraźnego sprzeciwu. Jest to w mojej ocenie niedopuszczalne i nie znajduje podstaw prawnych a argumentacja GIODO w tej sprawie nie przekonuje.

Na szczęście sądy tak WSA jak i NSA były zgodne, że GIODO nie ustalił czy właściciel portalu zapewnia należytą ochronę danych osobowych jako administrator, już choćby w zakresie obowiązków informacyjnych wymienionych w przepisach ustawy o chronie danych osobowych.

Rzeczą organu będzie zatem ponowne rozpatrzenie sprawy w jej całokształcie z uwzględnieniem powyższych wskazań i procedury administracyjnej.