Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czytaj więcej

RODO – Udostępnianie danych kontaktowych

Udostępnianie danych kontaktowych osób fizycznych to aktualnie szeroko komentowane zagadnienie prawne, ale też istotna kwestia praktyczna. Zawieranie bowiem umów i związana z tym potrzeba udostępniania danych kontaktowych jest codziennością niemal każdej firmy.

Jak zatem rozstrzygnąć kwestię danych kontaktowych. Czy należy z pełnymi konsekwencjami stosować RODO, czy może jednak RODO przewiduje dla przetwarzania tych danych jakieś specjalne wyjątki.

Jak na razie niestety kwestia ta pozostaje nierozstrzygnięta, mimo postulatów płynących od doktryny prawniczej włacznie z odpowiednią zmianą przepisów prawnych.

Motyw 14 preambuły RODO wyłącza stosowanie rozporządzenia do danych kontaktowych osób prawnych. Aktualnie Ministerstwo Cyfryzacji stoi na stanowisku, że  obejmuje to dane kontaktowe osób figurujących w KRS.

Doktryna prawnicza sugeruje, aby wyłączeniem objąć także dane kontaktowe  pełnomocników i innych osob, ktore firma wskazuje np. w umowach jako osoby kontaktowe, co chyba byłoby najwłaściwyszym rozwiązaniem tej sytuacji.

Na ten moment jednak dane kontaktowe inne niż dane kontaktowe osób prawnych wskazane w KRS nie są objęte wyłączeniem spod reżimu RODO, co wiąże się z realizacją wszystkich obowiązków wynikających z rozporządzenia związanych z przetwarzaniem danych kontaktowych osób fizycznych min. wykonywania obowiązków informacyjnych.

O udostępnianiu danych przeczytasz również w innym moim artykule, który znajdziesz Tutaj.

RODO w małym salonie kosmetycznym

Czy RODO dotyczy branży kosmetycznej, czy właściciel salonu kosmetycznego jest administratorem w rozumieniu RODO. Czy przetwarzanie danych klientek w salonie kosmetycznym może być ryzykowne z punktu widzenia nowej regulacji. Te i inne pytania stawiają sobie aktualnie właściciele salonów kosmetycznych, fryzjerskich i w ogóle branża beauty.

Wielokrotnie pisałam, że RODO nie przewiduje ogólnych wyłączeń spod swojego reżimu, na przykład dla niektórych branż, sektorów, czy małych firm. RODO dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych w związku z prowadzoną działalnością zawodową, zarobkową, statutową. Zatem RODO w salonie kosmetycznym jak najbardziej będzie miało zastosowanie.

RODO na pewno dotyczy salonów kosmetycznych, fryzjerskich o ile zbierają dane o swoich klientach, przetwarzają te dane czyli wykonują jakiekolwiek operacje na danych np. korzystają z dedykowanych dla salonów programów informatycznych.

Program informatyczny wykorzystywany w pracy salonu kosmetycznego z pewnością umożliwia przetwarzanie danych osobowych klientów. Wykorzystywane programy najczęściej służą właśnie do obsługi klientów.

Czytaj więcej

Jak informować zgodnie z RODO

Jak informować zgodnie z RODO, jak wykonać obowiązki informacyjne to pytanie zadaje sobie każdy administrator a odpowiedź niestety nie zawsze jest łatwa i oczywista.

Wiadomo, że osoby, których dane dotyczą, aby mogły korzystać z przysługujących im w świetle RODO rozlicznych praw, muszą o nich wiedzieć. Obowiązki informacyjne z RODO skorelowane są zatem z prawem do informacji osób, których dane są przetwarzane.

Przekazywanie informacji podmiotom danych i komunikacja z nimi w poszczególnych przypadkach jest zróżnicowana a środowisko przetwarzania danych często determinuje sposoby przekazania informacji.

Jak zatem informować, aby wypełnić obowiązki informacyjne zgodnie z RODO i dostarczyć osobom, których dane są przetwarzane niezbędnych informacji o szczegółach przetwarzania danych osobowych.

Czytaj więcej

Wdrażanie RODO – aktualizacja zgód marketingowych

Wdrażanie RODO osięgnęło punkt kuluminacyjny. Do 25 maja zostało kilka dni. Niestety w pośpiechu zdarzają się czasami falstraty,  na które należy uważać. Dzisiaj opowiem o jednej takiej sytuacji ku przestrodze. Otrzymałam właśnie od kolejngo sklepu internetowego, w którym czasami kupuję wiadmość z prośbą “zaktualizuj swoje dane i pozostań na dłużej”. Ok. myślę chodzi o o aktualizację zgód marketingowych i czytam dalej.

Czytaj więcej

Rejestr przetwarzania dla małych i średnich firm

Zgodnie z RODO firmy zatrudniające mniej niż 250 osób zwolnione są z prowadzenia rejestru przetwarzania danych osobowych, za które odpowiadają. Jednakże od tej ogólnej zasady RODO przewiduje wyjątki.

Zwolnienie z obowiązku prowadzenia rejestru przetwarzania zgodnie z RODO nie będzie miało zastosowania gdy:

  • przetwarzanie może powodować ryzyko naruszenia praw i wolności
  • przetwarzanie nie ma charakteru sporadycznego
  • przetwarzanie obejmuje szczególne kategorie danych osobowych lub dane dotyczące wyroków skazujących i czynów zabronionych.

Przepis na tyle niejasny, że Grupa Rrobocza art. 29, na skutek zgłaszanych wątpliwości, przeanalizowała obowiązek prowadzenia rejestru przetwarzania oraz wyjątki od niego i wydała  stosowne wytyczne.

Czytaj więcej