Obowiązki zakładu optycznego w świetle RODO

Na łamach magazynu „Optyk Polski” podejmowaliśmy już tematykę ochrony danych osobowych („Optyk Polski nr 44).

Skupiliśmy szczególną uwagę na istotnych zagadnieniach wynikających w sposób ogólny z tzw. RODO. Poruszyliśmy także kwestię ochrony danych osobowych w miejscu pracy, uwzględniając jednocześnie uprawnienia pracowników.

Po zapoznaniu się z powyżej wspomnianymi elementami wprowadzającymi warto dokonać szczegółowej analizy procesów przetwarzania danych osobowych w podmiotach, które nas zwłaszcza interesują – zakładach optycznych. Niniejszy wpis będzie też stanowił wstęp do kolejnych rozważań, które będą modułowo podejmowały problematykę, także w ujęciu praktycznym.

Przetwarzanie informacji a obowiązki administratora

Administrator danych osobowych nie stanowi nowej instytucji prawnej; znany był już w ramach poprzednio obowiązującego porządku prawnego w tym zakresie. Odnosząc się jednak do RODO, zgodnie z art. 4
pkt. 7, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (naturalnie na podstawie zasad, o których mowa poniżej). Z przepisu rozporządzenia wynika więc, że podstawową cechą administratora jest możliwość ustalania przez niego celów oraz sposobów przetwarzania informacji o osobach fizycznych. Celem mogącym być realizowanym w ramach zakładu optycznego mogą być chociażby prowadzenie i przechowywanie dokumentacji medycznej (jako podmiot leczniczy), weryfikacja danych pacjenta, prowadzenie ksiąg rachunkowych, rozpatrywanie reklamacji czy prowadzenie komunikacji telefonicznej z tym pacjentem.
Każdy z podmiotów prowadzących proces przetwarzania danych osobowych, w tym w ramach świadczenia usług zdrowotnych, powinien przede wszystkim zadbać o prawidłową realizację uprawnień osób fizycznych (np. pacjentów) – są one określone wprost w RODO. Wśród nich wyróżniamy m.in. prawo do informacji i dostępu do danych osobowych czy do ich ograniczenia. Ponadto warto zwrócić uwagę na uniwersalne zasady, zgodnie z którymi takie przetwarzanie powinno się odbywać.
Są to reguły:
a) zgodności z prawem, rzetelności
i przejrzystości,
b) ograniczenia celu,
c) minimalizacji danych,
d) merytorycznej poprawności,
e) ograniczenia przechowywania,
f) integralności i poufności,
g) rozliczalności.
Przykładowo, zasada przejrzystości wymaga, by wszelkie dane powiązane z przetwarzaniem tych danych osobowych były łatwo dostępne i zrozumiałe oraz sformułowane jasnym i prostym językiem. Jest to częściowo związane z prawem osób fizycznych do informacji. W zakładach optycznych (ale też w innych podmiotach) realizacja tego prawa następuje poprzez przedkładanie odpowiednich formularzy czy tzw. polityk prywatności.
Na podstawie RODO można stwierdzić, że jest to możliwie przystępna forma informowania klientów o tym, kto dokładnie dokonuje operacji na danych osobowych, jakie są cele i podstawy prawne przetwarzania tych danych, czy ile wynosi docelowy termin, do którego będą one w posiadaniu owego podmiotu. Ich dalszego uszczegółowienia podejmiemy się w kolejnych artykułach traktujących o RODO w zakładzie optycznym.

Podstawa prawna przetwarzania danych w zakładzie optycznym

W sytuacji, gdy dochodzi do konieczności dokonywania operacji na tzw. danych wrażliwych (a zatem m.in. danych genetycznych, danych biometrycznych lub w ogóle dotyczących zdrowia), co do zasady wyróżnia się dobrowolnie udzieloną zgodę jako podstawę prawną przetwarzania, przy czym zgoda ta musi być aktywna, i nie może wiązać się z milczącą akceptacją.
Uzyskiwanie odrębnych zgód na udzielanie świadczeń w zakładzie optycznym nie musi być jednak wymagane, bowiem zastosowanie będzie miał art. 9 ust. 2 lit. h RODO. Stanowi on, że można dane wrażliwe przetwarzać wówczas, gdy jest ono „niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej (…)”. Z przepisu wynika, że czynności zmierzające do wyleczenia pacjenta z dolegliwości zdrowotnych mają swoje uzasadnienie i odrębną podstawę prawną – nie ma więc potrzeby uzyskiwania kolejnej zgody na ten proces.
Konieczność taka pojawi się dopiero wówczas, gdy ów cel się zmieni, bądź pojawi się kolejny (np. zakład optyczny chciałby zgromadzić adresy e-mail swoich pacjentów celem wysyłki newsletterów). Aby przetwarzanie danych osobowych następowało w zgodzie z RODO, należy podjąć się analizy dostępnych środków i postanowić, jaka podstawa będzie najbardziej adekwatna w nowych okolicznościach.


Marcin Majchrzak

Właściciel i dyrektor zarządzający Kancelarii Prawnej LexForm, zajmującej się szeroko pojętą pomocą prawną dla osób indywidualnych oraz przedsiębiorców, zwłaszcza w zakresie prawa własności intelektualnej, prawa medycznego oraz turystycznego, gałęzi wyznaniowej, a także ochrony danych osobowych i e-commerce.

www.lexform.pl


W kolejnych artykułach cyklu będziemy szczegółowo analizować zagadnienia dotyczące ochrony danych osobowych w salonie optycznym w kontekście:
1. Potencjalnych zagrożeń i zapobiegania im.
2. Szyfrowania danych.
3. Poziomu zabezpieczeń infrastruktury informatycznej.

Polecamy