Już zaledwie 9 dni pozostało dla wszystkich przedsiębiorców – również tych z branży medycznej – na opracowanie i wdrożenie w ich firmach rozwiązań realizujących założenia RODO.
Odważę się stwierdzić, że w chwili obecnej nie ma przedsiębiorcy, który nie słyszałby o RODO. Nowe zasady ochrony danych osobowych od początku bieżącego roku wywołały burzliwe dyskusje wśród przedsiębiorców wszystkich branży – także wśród lekarzy i innych przedstawicieli zawodów medycznych i około medycznych. W swojej pracy staram się być na bieżąco z tematami najbardziej nurtującymi moich potencjalnych klientów, dlatego na stale śledzę branżowe fora internetowe, na których takie problemy są poruszane. W ostatnim czasie większość dyskusji przedsiębiorcy poświęcają RODO. Wniosek z tych obserwacji jest jeden – RODO straszy, niczym legendarna Czarna Wołga.
Najczęściej zadawanym pytaniem z jakim spotkałem się dotychczas w zakresie RODO to”czy RODO dotyczy również mnie/mojej firmy/mojego gabinetu?”. Odpowiedź na to pytanie jest bardzo prosta – RODO dotyczy każdego, kto przetwarza dane osobowe. A pamiętać należy, że przetwarzaniem jest każda operacja wykonywana na danych osobowych – również ich gromadzenie, katalogowanie, wprowadzanie do książki adresowej, programu obsługującego pocztę elektroniczną, czy bazę danych. Otrzymując od pacjenta jego dane personalne lub adres email od kontrahenta, zaczynamy przetwarzać jego dane osobowe, stając się ich Administratorami. Wówczas, osoba, która przekazała nam swoje dane osobowe, musi mieć świadomość w jakim celu oraz w jakim zakresie jego dane będą przez nas przetwarzane. Konkludując można stwierdzić, że pracując z ludźmi nie jesteśmy w stanie uniknąć przetwarzania danych osobowych (np. naszych pracowników), a zatem również w stosunku do nas zastosowanie znajdują przepisy RODO.
RODO, czyli Rozporządzenie o ochronie danych osobowych zaczyna obowiązywać od 25 maja 2018 r. i do tego czasu należy wdrożyć rozwiązania w zakresie ochrony danych osobowych. RODO straszy przede wszystkim karami i rzekomo nowymi rozwiązaniami. Dlaczego rzekomo? Uważna lektura nowo wprowadzonych przepisów o ochronie danych osobowych oraz dotychczas obowiązujących, prowadzi do wniosku, że aż tak wiele się nie zmienia w zakresie ochrony danych osobowych. Przede wszystkim RODO stawia na transparentność i bezpieczeństwo.
Najważniejszą moich zdaniem zmianą jaką wprost artykułuje RODO, to obowiązek wprowadzenia jasnych i zrozumiałych zasad przetwarzania danych osobowych. Każdy z nas spotkał się z obszernymi i skomplikowanymi dokumentami zatytułowanymi „Polityka prywatności”, których akceptacja wymagana była do korzystania np. z serwisów internetowych. Mało kto pokusił się o zapoznanie z tymi zasadami, albowiem z góry zakładaliśmy, że i tak niewiele z tego zrozumiemy. Po czasie z kolei okazywało się, że nasze dane osobowe udostępnione zostały rzeszy innych podmiotów, w efekcie czego zasypywani jesteśmy ofertami i newsletterami. Niekiedy rezygnacja z otrzymywania takich wiadomości była po prostu drogą przez mękę. Inaczej ma być po 25 maja. Zgodnie z RODO zasady przetwarzania danych mają być proste i zrozumiałe dla przeciętnego odbiorcy. Dodatkowo, w przypadku ewentualnych skarg, czy kontroli to Administrator musi wykazać, że jego zasady przetwarzania danych osobowych były łatwo dostępne i zrozumiałe dla odbiorców, dzięki czemu każdy z nich znał lub mógł poznać przysługujące mu uprawnienia w związku z przetwarzaniem jego danych osobowych. Dodatkowo, w przypadku, gdy chcemy skorzystać z prawa „do bycia zapomnianym” (usunięcia naszych danych osobowych), Administrator na nasze żądanie zobowiązany jest poinformować o tym wszystkie podmioty, którym nasze dane osobowe przekazał.
W przeciwieństwie do dotychczasowych przepisów, brak będzie obowiązku zgłaszania przetwarzania danych osobowych do organów kontrolnych (tak jak było to w przypadku GIODO). Przepisy RODO nie określają czynności jakie należy podjąć w zakresie bezpieczeństwa, a jedynie określają efekt jaki ma być osiągnięty – czyli dane mają być po prostu bezpieczne. Innymi słowy, na Administratorze ciąży obowiązek podjęcia ODPOWIEDNICH działań mających na celu zabezpieczenie danych osobowych. Każdy Administrator winien dobrać sposoby zabezpieczenia właściwe dla prowadzonej działalności oraz sposobu i zakresu przetwarzania danych osobowych. Inne działania należałoby w drożyć w przypadku firm zajmujących się działalnością e-commerce, a inne w przypadku gabinetu lekarskiego.
Nie. Na wprowadzenie polityki RODO w gabinecie lekarskim lub każdej innej firmie nie jest za późno. Kancelaria adwokacka doświadczona w opracowywaniu dokumentów dostosowanych do wymogów RODO nie powinna mieć problemów z przygotowaniem rozwiązań wymaganych w naszej firmie. Ze swojej strony radziłbym unikać tzw. „gotowców” dostępnych w internecie. Pamiętajmy, że tego rodzaju dokumenty mają charakter uniwersalny – mają mieć zastosowanie do każdego rodzaju działalności, a nie konkretnie prowadzonej przez nas. Tym samym, takie dokumenty mogą nie uwzględniać specyfiki konkretnej branży czy modelu firmy, ani nie przeszkolą naszej kadry w zakresie nowych zasad ochrony danych osobowych – co z całą pewnością uczyni kancelaria przygotowująca zasady ochrony danych osobowych na potrzeby konkretnego przedsiębiorcy.
Adwokat Michał Gajda
Kancelaria Adwokacka w Szczecinie
Adw. Michał Gajda, absolwent Uniwersytetu Szczecińskiego, Pomorskiego Uniwersytetu Medycznego oraz Uniwersytetu Jagiellońskiego. Ukończył studia podyplomowe z prawa medycznego oraz prawa karnego skarbowego i gospodarczego. W swojej codziennej praktyce zajmuje się obroną w sprawach karnych, w tym o przestępstwa typowo kryminalne, przestępstwa gospodarcze i skarbowe, a także prowadzi obronę lekarzy w sprawach o w tym tzw. błędy medyczne. Jako specjalista od prawa medycznego, reprezentuje podmioty lecznicze z całej Polski, prowadzi szkolenia dla medyków, jest wykładowcą Pomorskiego Uniwersytetu Medycznego, a także uczestniczy w pracach Rady Ekspertów Parlamentarnego Zespołu ds. Medycyny Estetycznej.
