Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

Czytaj więcej

Osoby fizyczne prowadzące działalność gospodarczą pod ochroną RODO

Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą w polskim porządku prawnym miała różne oblicza od wyłączenia tych danych spod reżimu ustawy po całkowitą ich ochronę.

Wiele osób zastanawia się jak ta kwestia będzie wyglądała w świetle RODO w szczególności, iż RODO wyraźnie wyłącza osoby prawne. Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych.

Osoby fizyczne prowadzące działalność gospodarczą w polskim porządku prawnym nie są osobami prawnymi. Według wyjaśnienia tej kwestii przez KE “jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”

Taka też była interpretacja krajowa po wykreśleniu art. 39 b ustawy o swobodzie działalności gospodarczej, który regulował zakres podlegania osób fizycznych prowadzących działalność pod reżim ustawy o ochronie danych osobowych. Komisja potwierdziła tę interpretację.

Wracamy więc do sytuacji, w której dane osobowe osób fizycznych prowadzących działalność podlegają w całości pod RODO

Outsourcing IT w sektorze zdrowia

Na ten właśnie temat napisałam artykuł dla Gazety Dolnśląskiej Izby Lekarskiej “Medium”. Cały test znajdziecie  tutaj: Artykuł_Medium.

Dla zainteresowanych tematyką ochrony danych w branży medycznej sporo cennej wiedzy, bowiem większa część lutowego wydania “Medium” została poświęcona ochronie danych medycznych w tym danych osobowych.

Zapraszam do lektury.

Co z tym telemarketingiem

Po koniec 2014 r. weszła w życie ustawa o prawach konsumenta zawierająca szereg szczegółowych regulacji dotyczących handlu elektronicznego w szczególności zawierania umów na odległość. Ustawą został znowelizowany art. 172 Prawa Telekomunikacyjnego. Przepis, którego interpretacja od samego początku wzbudzała i ciągle wzbudza wiele kontrowersji.

Pomijając genezę i intencje, nie do końca czytelne, które przyświecały ustawodawcy przy nowelizacji tego przepisu okazało się szybko, że przepis wbrew tym intencjom życie przyniosło wiele wątpliwości w jego stosowaniu.

Zgodnie z tym przepisem zakazane jest używanie automatycznych systemów wywołujących i telekomunikacyjnych urządzeń końcowych w celu marketingu bez uprzedniej zgody abonenta lub użytkownika końcowego.

Marketing bezpośredni służy przede wszystkim reklamie produktów i usług przedsiębiorcy. Jak wskazał Naczelny Sąd Administracyjny reklama to poszerzenie wiedzy przyszłych nabywców o towarach w celu zachęcenia ich do nabywania towarów od tego właśnie, a nie innego podmiotu gospodarczego. (…)

Okazuje się, że telekomunikacyjnym urządzeniem końcowym może być każde urządzenie podpięte do sieci a więc komputer, tablet, telefon itd. Dodatkowo przepis swoim zakresem podmiotowym obejmuje także firmy tj. podmioty prawne prowadzące działalność gospodarczą, które nie są osobami fizycznymi.

Jest to rozszerzenie zakresu podmiotowego w stosunku do zakazu przesyłania niezmówionej informacji handlowej środkami komunikacji elektronicznej regulowanego ustawą o świadczeniu usług drogą elektroniczną (uśude).

Niestety oznacza to również, że przesyłanie informacji handlowych środkami komunikacji elektronicznej do firm będzie również objęte zakazem wynikającym z omawianego przepisu art. 172 Prawa Telekomunikacyjnego.

Jak żyć?

Regulatorzy UKE, GIODO i UOKiK ostrzą sobie zęby dolewając oliwy do ognia bardzo rygorystycznymi interpretacjami. Przykładowo Prezes UKE w marcu b.r. popełnił interpretację w świetle której zakazane już również wykonywanie kontaktów w celu zapytania o zgodę na kontakt marketingowy użytkownika końcowego czy abonenta.

Świat biznesu w szczególności ten, którego biznes w głównej mierze opiera się na działalności telemarketingowej jest wzburzony i nie ukrywa tego wzburzenia wobec regulatorów. Wypełnienie wytycznych urzędów zobowiązuje podmioty do posiadania uprzedniej zgody, wyklucza kontakt w celu zapytania o zgodę, co do nie dawna było szeroko praktykowane na bazie art. 10 uśude.

Dodatkowo sprostanie obowiązkom i interpretacjom zobowiązuje do zbierania kilku odrębnych zgód od podmiotu danych, co powoduje tylko dodatkowe wystraszenie podmiotu danych i finalnie zniechęcenie do udzielania jakiejkolwiek zgody zwłaszcza, że nie do końca wiadomo jak one powinny brzmieć.

Na bazie tych wszystkich wątpliwości i rozterek powstał komitet składający się z przedstawicieli GIODO, UKE oraz UOKiK, którego celem będzie wypracowanie sensownego konsensusu tak, aby respektując prawo umożliwić też działalność biznesową. Zobaczymy co z tego wyniknie.

 

 

Umowa zawierana na odległość Cz I

Nowe prawo konsumenckie określa min. zasady i tryb zawierania z konsumentem umów na odległość. O tym, jak taka umowa jest rozumiana pisałam we wcześniejszym wpisie https://przetwarzaniedanych.pl/umowa-zawierana-na-odleglosc-w-swietle-nowego-prawa-konsumenckiego/.

Umowy zawierane na odległość bardzo często zawierane są za pośrednictwem specjalnych witryn sprzedażowych, w których system informatyczny krok za krokiem prowadzi klienta przez proces zmierzający do złożenia zamówienia i do zawarcia umowy. Umowy zawierane na odległość mogą też być zawierane też w prostszy sposób, na przykład przy użyciu poczty elektronicznej poprzez wymianę wiadomości elektronicznych zawierających oświadczenia woli stron w tym zakresie.

Nowe prawo konsumenckie stanowi, iż już w momencie wyrażenia przez konsumenta woli związania się umową przedsiębiorca musi wykonać obowiązki informacyjne.

Jest to cały szereg obowiązków szczegółowo wymienionych w ustawie, które powinny być wypełnione w  fazie przedkontraktowej, czyli jeszcze przed zawarciem umowy. Ma to oczywiście na celu poinformowanie klienta przed zawarciem umowy o zasadach i trybie zawierania umowy na odległość.

Informacje mają być przekazane konsumentowi w sposób jasny i zrozumiały, odpowiadający rodzajowi środka porozumiewania się na odległość.  W przypadku zawierania umów przy użyciu poczty elektronicznej informacje powinny zostać przekazane pocztą elektroniczną.

Przy okazji warto wspomnieć, iż po stronie przedsiębiorcy istnieje obowiązek takiej organizacji sposobu zawierania umowy za pomocą środków komunikacji elektronicznej, aby konsument w momencie składania zamówienia wyraźnie potwierdził, że wie, iż zamówienie pociąga za sobą obowiązek zapłaty.

Przy zawieraniu umów przez pocztę elektroniczną konieczne będzie złożenie przez konsumenta w treści korespondencji oświadczenia wiedzy odnośnie obowiązku zapłaty wraz z zamówieniem.

Niespełnienie wyżej opisanych wymagań skutkuje niezwarciem umowy. Jest to bardzo poważna konsekwencja, dlatego każdy przedsiębiorca zawierający umowy na odległość przy użyciu środków komunikacji elektronicznej, przed wejściem w życie nowego prawa konsumenckiego powinien zrewidować swoją organizację sprzedaży na odległość z uwzględnieniem nowych wymagań.

Ciąg dalszy obowiązków w zakresie zawierania umów na odległość przy użyciu komunikacji elektronicznej nastąpi….

 

Ustawa o prawach konsumenta tuż tuż

25 grudnia wchodzi w życie ustawa o prawach konsumenta. Akt prawny, który wprowadza sporo istotnych zmian, które w ogromnej części dotyczą przedsiębiorców internetowych i handlu elektronicznego.

Ustawa wdrażając regulacje dyrektywy unijnej w sprawie praw konsumenta ma na celu podniesienie standardów w zakresie ochrony konsumenta nabywającego towary i usługi przez internet.

Kluczowe znaczenie w omawianych regulacjach ma przestrzeganie obowiązków informacyjnych przez przedsiębiorców. Ma to przyczynić  się do zdobycia większego zaufania przez konsumentów, a co za tym idzie do wzrostu całego rynku handlu elektronicznego. Takie są idee przyświecające wprowadzeniu omawianych przepisów.

Przedsiębiorców jednak czeka wdrożenie nowych zasad dotyczących obsługi klientów, zawierania umów, informowania. Nowa regulacja w tym zakresie jest bardzo bogata i może stanowić nie lada wyzwanie dla nie jednego przedsiębiorcy internetowego.