Porady dla lekarzy
Realizacja obowiązku informacyjnego RODO przez podmioty medyczne – na czym polega?
Na czym polega obowiązek informacyjny administratora danych osobowych? Jakie przepisy regulują kwestie związane z zasadami realizacji obowiązku informacyjnego RODO? W jaki sposób może być on realizowany w realiach funkcjonowania podmiotów medycznych? Poznaj odpowiedzi już teraz.
Obowiązki nakładane na administratorów danych osobowych
Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE nakładają na administratorów danych osobowych określone obowiązki.
Jednym z nich jest obowiązek informacyjny. Polega on na przekazywaniu określonych prawem informacji. W tej kwestii skupimy uwagę na przepisach art. 13 i 14 ww. Rozporządzenia RODO. Zasygnalizować jednak należy fakt, iż również pozostałe przepisy ww. aktu zawierają w sobie przepisy nakładające na administratorów danych osobowych obowiązek przekazywania określonych informacji w określonym trybie, jak np. art. 15 Rozporządzenia RODO.
Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą
Zgodnie z art. 13 Rozporządzenia RODO, jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator danych osobowych podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) Rozporządzenia RODO;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora danych osobowych dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) Rozporządzenia RODO lub art. 9 ust. 2 lit. a) Rozporządzenia RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
W sytuacji, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami, administrator danych osobowych zwolniony jest z obowiązku jego realizacji.
Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą
Zgodnie z art. 14 Rozporządzenia RODO, jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje osobie, której dane dotyczą, następujące informacje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania, do których mają posłużyć dane osobowe, oraz podstawę prawną przetwarzania;
- kategorie odnośnych danych osobowych;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych odbiorcy w państwie trzecim lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych;
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) Rozporządzenia RODO;
- informacje o prawie do żądania od administratora danych osobowych dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) Rozporządzenia RODO lub art. 9 ust. 2 lit. a) Rozporządzenia RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia RODO, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Informacje, o jakich mowa w art. 14 Rozporządzenia RODO, administrator danych osobowych podaje w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych, a jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą lub jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
W sytuacji, gdy osoba, której dane dotyczą, dysponuje już tymi informacjami, administrator danych osobowych zwolniony jest z obowiązku jego realizacji. Administrator danych osobowych zwolniony jest także z realizacji obowiązku informacyjnego, gdy udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 89 ust. 1 Rozporządzenia RODO, lub o ile realizacja obowiązku informacyjnego może uniemożliwić lub poważnie utrudnić realizację celów takiego przetwarzania.
W takich przypadkach administrator podejmuje odpowiednie środki, by chronić prawa i wolności oraz prawnie uzasadnione interesy osoby, której dane dotyczą, w tym udostępnia informacje publicznie. Obowiązek został także wyłączony w sytuacji, kiedy pozyskiwanie lub ujawnianie danych jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator danych osobowych przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą lub w sytuacji, kiedy dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Klauzule Informacyjne RODO
Rzetelnie działający administrator danych osobowych, realizujący swoją podstawową działalność w obszarze udzielania świadczeń zdrowotnych, przy wsparciu zatrudnianego personelu oraz Inspektora Ochrony Danych, przygotowuje dokumentację, opisującą zasady przetwarzania danych osobowych, uwzględniając swoją własną specyfikę.
Przy przygotowywaniu dokumentu będącego Rejestrem Czynności Przetwarzania Danych w rzeczywistości gromadzone są wszystkie dane, które posłużą następnie do przygotowania stosowanych tzw. Klauzul Informacyjnych RODO. Przy ich wykorzystaniu administrator danych osobowych będzie realizował swoje obowiązki informacyjne. Warto jest zatem przygotować ww. dokument z należytą starannością i dokładnością.
Kara administracyjna za brak realizacji obowiązku informacyjnego RODO
Zgodnie z art. 83 ust. 5 lit b) Rozporządzenia RODO naruszenia przepisów dotyczących praw osób, których dane dotyczą, o których mowa w art. od 12 do 22 Rozporządzenia RODO – czyli także naruszenie obowiązków, o jakich mowa w art. 13 i 14 Rozporządzenia RODO – podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Dodatkowa odpowiedzialność odszkodowawcza
Co bardzo istotne i o czym również administratorzy danych osobowych powinni pamiętać, to fakt, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora danych osobowych lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
Autor: mgr Dominik Spałek