fbpx
22 Wrzesień, 2019
Warszawa
22 ° C
Do góry
Image Alt

SC Beauty Magazine

1208425_woman_using_computer.jpg

Nieznajomość przepisów może Cię słono kosztować!

Dobrze stworzone karty pacjenta zawierają zarówno dane adresowe, pozwalające nam na szybki kontakt z klientem, jak również informacje dotyczące stanu zdrowia, wskazań i ewentualnych przeciwwskazań do zabiegów. Nie są to ogólnie dostępne informacje, którymi możemy dowolnie rozporządzać. Zarówno zapisy dotyczące miejsca zamieszkania jak i przebytych chorób, jeśli dostana się w niepowołane ręce mogą przysporzyć naszym klientom wielu problemów. Źle przechowywane dane klientów mogą stać się łakomym kąskiem dla złodziejów, natomiast informacje o problemach zdrowotnych, mogą wpłynąć na opinie innych ludzi o naszym kliencie.

Wyobraźmy sobie sytuację, że nasza klientka jest zarażona groźnym wirusem i przy pierwszej wizycie przekazuje nam tą informacje. My jako dobrze wykształceni i wyposażeni specjaliści podejmujemy się wykonywania zabiegów i odnotowujemy ten fakt w jej karcie pacjenta, aby wszyscy pozostali pracownicy podejmowali należyte środki ostrożności bez krępowania klientki kłopotliwymi pytaniami. Pewnego dnia ktoś włamuje się do naszego komputera, w którym przechowujemy dane pacjentów i publikuje je w interneie. Pracodawca naszej klientki przypadkiem dowiaduje się o jej chorobie i zwalnia ją z pracy. Kto jest winien tej sytuacji? Przede wszystkim: MY!

Przytoczona sytuacja jest oczywiście mało prawdopodobna, nie można jednak zakładać, że wszystko, co mało prawdopodobne jest niegodne uwagi. Bagatelizowanie kwestii zabezpieczania przechowywanych danych jest tym bardziej niewskazane, że istnieją przepisy jasno regulujące te kwestie.

Niewiele osób tak naprawdę zdaje sobie sprawę z tego, że prowadząc gabinet posługujący się kartami pacjenta, ma dostęp do dużej ilości szczególnie wrażliwych informacji. Co więcej już praktycznie nikt nie myśli o tym, że sprawy te są jasno uregulowane odpowiednią ustawą, której postanowień należy bezwzględnie przestrzegać.

Postanowiłam pochylić się nad tym tematem, zasięgnąć opinii specjalistów i ostatecznie wyjaśnić, jakie są obowiązki właścicieli gabinetów kosmetycznych w zakresie ochrony danych osobowych przechowywanych w formie kart pacjenta lub kart klienta.

1208425_woman_using_computer.jpgJak mówi Pani Małgorzata Kałużyńska ? Jasak, dyrektor Zespołu Rzecznika Prasowego Generalnego Inspektora Ochrony Danych Osobowych, z punktu widzenia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych każdy podmiot (np. salon kosmetyczny), który decyduje o celach i środkach przetwarzania danych osobowych jest ich administratorem. W związku z tym ma on spełniać wskazane w ww. ustawie obowiązki, aby wykorzystywane przez niego dane osobowe były bezpieczne i aby każda osoba, której dane dotyczą, mogła korzystać ze swoich uprawnień, jakie jej przysługują.

Brzmi to dość zawile, ale z grubsza chodzi o to, że dysponując danymi naszych klientów, zostaliśmy przez wspomnianą ustawę nazwani ich administratorami i w związku z tym powinniśmy stosować się do zaleceń, jakie nakłada na nas Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zalecenia te dotyczą głównie sposobów ochrony danych i informowania naszych klientów o różnych działaniach w tym zakresie.

Podstawowym, ale nie jedynym, obowiązkiem każdego administratora danych jest wskazanie podstawy prawnej do legalnego wykorzystywania danych osobowych. Ustawa wymienia je w art. 23 ust. 1 pkt 1-5. Może to być przykładowo zgoda osoby, której dane dotyczą (pkt 1). Jeśli natomiast administrator danych wykorzystuje nie tylko dane tzw. zwykłe (takie jak: imiona, nazwiska, adresy, czy nr PESEL), ale dodatkowo np. dane o stanie zdrowia, czyli tzw. szczególnie chronione (art. 27 ust. 1 ustawy) wskazanie przez niego podstawy do ich przetwarzania jest bardziej obwarowane. Przykładowo zgoda osoby, której dane szczególnie chronione dotyczą, ma być pisemna ? tłumaczy Małgorzata Kałużyńska ? Jasak.

1163837_rack_servers.jpgJeśli sięgniemy po pełną listę powodów, dla których możemy zbierać i gromadzić dane naszych klientów, to ustawa zezwala nam na to gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba, że chodzi o usunięcie dotyczących jej danych,
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Powyższa lista, jak informowała nas rzecznik GIODO dotyczy ?zwykłych? danych. My jednak pytając np. o przebyte choroby zbieramy dane szczególnie chronione. Wracając do omawianej ustawy i przywołanego przez Panią rzecznik art. 27, tutaj faktycznie głównym ze spoczywających na nas obowiązków jest uzyskanie pisemnej zgody klienta.

Pani Małgorzata Kałużyńska ? Jasak wyjaśnia dalsze powinności wynikające z gromadzenia danych klientów: dodatkowym obowiązkiem administratora danych jest poinformowanie każdej osoby, od której dane gromadzi, o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, dobrowolności albo obowiązku (i przepisu prawa, z którego on wynika) podania danych oraz o prawie dostępu do tych danych. Powinien także wskazać, komu dane te zostaną przekazane, o ile ma taki zamiar.
Administrator danych jest także zobowiązany zapewnić, aby zbierane przez niego dane osobowe były merytorycznie poprawne oraz adekwatne (niezbędne) dla celów ich przetwarzania. Adekwatność danych oznacza, że gromadzone i wykorzystywane powinny być tylko te dane, które są konieczne dla określonego celu. Dane nie powinny być też wykorzystywane do innych celów, niż wskazane pierwotnie. Przykładowo, jeśli osoba, której dane dotyczą wyraża zgodę na wykorzystywanie jej danych osobowych w celu korzystania z usług kosmetycznych (np. zakładu kosmetycznego), to administrator ten nie może przetwarzać tych danych w innych celach, jak chociażby promowania usług i produktów innych firm kosmetycznych (chyba, że uzyska na to wcześniej zgodę osoby, której dane miałyby być w tym celu wykorzystywane).

1196954_cddvd.jpgNa administratorze danych spoczywa również, wynikający z art. 40 ustawy, obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Nie dotyczy to jednak administratorów tych danych, które ustawa o ochronie danych osobowych zwalnia z tego obowiązku (art. 43 ust. 1 pkt 1-11). Przykładowo z obowiązku zgłoszenia do rejestracji zbioru zwolnieni są pracodawcy przetwarzający dane swoich pracowników, czy administratorzy przetwarzający dane tylko w celu wstawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Zgłoszenia zbioru danych osobowych do rejestracji GIODO należy dokonać poprzez wypełnienie urzędowego formularza zgłoszenia, którego wzór określa załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Do przedstawienia innych dokumentów, które mogą mieć znaczenie w procesie rejestracji, administrator może zostać wezwany jako strona postępowania administracyjnego, prowadzonego w celu rejestracji zgłoszonego zbioru. Zgłaszając zbiór do rejestracji można skorzystać z platformy e-GIODO dostępnej na stronie internetowej www.giodo.gov.pl. Zawiera ona wytyczne potrzebne do wypełnienia formularza rejestracyjnego.

Wiele osób pewnie teraz przeciera oczy ze zdziwienia, dlaczego mają obowiązek zgłaszać do jakiegoś urzędu fakt robienia notatek z przebiegu odchudzania pani Krysi?Wprawdzie, może sam fakt mierzenia obwodu uda, nie jest jakimś niezwykle poważnym zbiorem danych, ale jeśli widnieje tam telefon wspomnianej pani i notatka o nadciśnieniu, to już niestety mamy obowiązek zgłosić fakt przechowywania takich informacji. Aby przekonać niedowiarków przytoczę wspomniane przez Panią dyrektor punkty ustawy zwalniające nas z obowiązku zgłaszania zbioru do rejestracji.

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

  • objętych tajemnicą państwową ze względu na obronność lub bezpieczeństwo państwa, ochronę życia i zdrowia ludzi, mienia lub bezpieczeństwa i porządku publicznego, lub tych które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym oraz przetwarzanych przez Generalnego Inspektora Informacji Finansowej, a także przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej;
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych,
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Zgłoszenie zbioru danych do rejestru musi być powiązane z odpowiednim ich zabezpieczeniem. Zobaczmy, co na ten temat mówi dyrektor Zespołu Rzecznika Prasowego Generalnego Inspektora Ochrony Danych Osobowych.

1282932_untitled.jpgUstawa o ochronie danych osobowych zobowiązuje każdego administratora danych do dbałości o dane osobowe, a przepisy jej rozdziału 5 określają ogólne zasady ich zabezpieczania. Zgodnie z jej art. 36 ust. 1, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, zmianą, utratą, czy zniszczeniem. Wymogi dotyczące zabezpieczenia danych odnoszą się zarówno do danych przetwarzanych w sposób tradycyjny, jak i do danych przetwarzanych w systemach informatycznych. Zastosowane rodzaje zabezpieczeń składają się na tzw. politykę bezpieczeństwa, która powinna zostać udokumentowana (opisana) przez administratora danych. Natomiast zastosowane zabezpieczenia w systemie informatycznym służącym do przetwarzania danych osobowych administrator danych powinien opisać w specjalnej dokumentacji zwanej instrukcją zarządzania systemem informatycznym. Ponadto, każdy administrator ma obowiązek upoważnić na piśmie każdą osobę przetwarzającą dane osobowe i odnotować ten fakt w prowadzonej ewidencji osób upoważnionych do przetwarzania danych. Zatem do obowiązkowej dokumentacji związanej z przetwarzaniem danych osobowych, jakie ma posiadać każdy administrator danych należy także ewidencja osób upoważnionych do przetwarzania danych osobowych.

Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi danych osobowych, gdyż to on najlepiej wie, w jakim środowisku przetwarza dane osobowe i jakie mogą wystąpić w nim zagrożenia. Odgórne narzucanie takich, a nie innych rozwiązań zapewniających bezpieczeństwo przetwarzanym danym byłoby zbyt daleko idącą ingerencją w działalność każdego administratora danych.

Dowiadując się o nakładanych na nas obowiązkach, możemy przypuszczać, że za ich niedopełnienie zostanie na nas nałożona jakaś kara. Zobaczmy więc, co grozi nam za nieprzestrzeganie przepisów Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych?

Za nieprzestrzeganie zasad ochrony danych osobowych ustawa o ochronie danych osobowych przewiduje odpowiedzialność karną (art. 49 ? art. 54). Przykładowo, za niewłaściwe zabezpieczenie danych osobowych, czego konsekwencją jest ich zabranie przez osobę nieuprawnioną lub ich uszkodzenie, czy zniszczenie, grozi grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku. Takie same kary ustawa przewiduje za niezgłoszenie zbioru do rejestracji.

GIODO w ramach swoich kompetencji przeprowadza kontrole pod względem przestrzegania zasad ochrony danych osobowych. Inspektorzy GIODO dokonując kontroli przetwarzania danych osobowych sprawdzają m.in., czy istnieje podstawa prawna do przetwarzania danych, czy dane zostały prawidłowo zabezpieczone, czy dane nie są przekazywane innym, nieuprawnionym podmiotom ? informuje Pani Małgorzata Kałużyńska ? Jasak.

Warto jeszcze dodać, że w celu wykonania opisanych w ustawie zadań, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, mają prawo do:

  • wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą,
  • żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego,
  • wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii,
  • przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych,
  • zlecać sporządzanie ekspertyz i opinii.

1222867_usb_flash_drive_1.jpgJak widać powszechne przekonanie, ze prowadzenie firmy wymaga znajomości przepisów regulujących absolutnie wszystko i w tym wypadku okazuje się mieć wiele wspólnego z rzeczywistością. Regulacje prawne maja jednak to do siebie, ze pomimo iż są uciążliwe i często wydają się być niepotrzebne, to zostały stworzone żeby nas chronić.

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych chroni zarówno nas, jak i naszych klientów. Przestrzeganie przepisów gwarantuje nam unikniecie przykrych konsekwencji prawnych wynikających z dostania się danych w niepowołane ręce, natomiast naszym klientom gwarantuje pewność i poczucie bezpieczeństwa.

Ustawa o ochronie danych osobowych wraz z rozporządzeniami: