RODO w branży beauty&med – jak stosować by nie dać się złapać -cz.I

RODO, czyli Rozporządzenie o Ochronie Danych Osobowych¹ stanowi rozporządzenie unijne zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Mimo, iż obowiązuje od 25 maja 2018 roku, to dla wielu przedsiębiorców nadal pozostaje tajemniczym aktem prawnym – śmiem twierdzić, że nawet dla tych, którzy RODO już wdrożyli.

Co prawda wiemy, że mamy chronić dane osobowe. Wiemy, że dane chronić powinniśmy na wielu płaszczyznach – właściwie na każdej związanej z przepływem danych osobowych – klientów, pacjentów, pracowników oraz (z pewnymi wyjątkami) również kontrahentów.

Problem w tym, że gabinety nie zawsze wiedzą jak to robić – głównie przez mętlik związany z nadinterpretacją przepisów, abnegactwo, bądź nieprawidłowy dobór podmiotu dokonującego wdrożenia.

Ten ostatni przypadek jest najbardziej bolesny, ponieważ mimo poczynionych nakładów finansowych na rzecz ochrony danych, administrator nadal pozostaje bez prawidłowej ochrony (w konsekwencji nadal pozostaje odpowiedzialny, chyba, że w umowie z wdrażającym zapewni sobie możliwość dochodzenia kary umownej, bądź odszkodowania za poniesioną stratę).

Dlatego podstawą sukcesu jest dobór podmiotu wdrażającego, który nie tylko oferuje niskie stawki, ale przede wszystkim może poszczycić się doświadczeniem w obrębie branży beauty. To istotny czynnik, bowiem brak wyspecjalizowanej branżowej wiedzy utrudnia prawidłowy dobór narzędzi ochrony, co skutkuje tworzeniem sztucznych konstrukcji prawnych oraz utrudnia funkcjonowanie prowadzonego biznesu.

Aspekt ochrony danych jest niezwykle szeroki – właściciele, jako administratorzy danych, mają chronić dane osobowe niemal wszędzie – w zgodzie na wykonanie zabiegu, w formularzu kontaktowym na www, przy rejestracji, w aktach osobowych pracownika, przy korzystaniu z usług IT, call center, monitoringu, etc. Wszędzie tam, gdzie pojawia się przysłowiowy „Kowalski” oraz jednoosobowy przedsiębiorca „Nowak”.

Sporo tego, a i to nie koniec. Do tego wszystkiego dochodzi bolączka związana z wzmożoną ochroną „danych szczególnego rodzaju”. Można rzec danych „szczególnej troski” stanowiących wszechobecne w branży estetycznej dane o stanie zdrowia. Kontrola sektorowa wyznaczona przez Prezesa Urzędu Ochrony Danych Osobowych („PUDO”, dawne „GIODO”) na rok 2019 r. nieubłagalnie wskazują na takie terminy „telemarketing”, „podmioty udzielające świadczeń medycznych”, „zatrudnienie” (…) – co więc robić, aby oswoić przysłowiowego smoka i nie dać się wpleść w RODEOwe szaleństwo?

O tym jak przestać się bać i zacząć stosować zasadę „Privcy by design”

Każdy administrator danych powinien zdać sobie sprawę z tego, że RODO nie stanowi jednorazowej inwestycji. Mimo, iż sam audyt oraz wdrożenie nowych zasad jest najbardziej obciążające pod kątem czasowym oraz finansowym, to prawidłowa ochrona danych osobowych stanowi ciąg przemyślanych działań mających stanowić spójny system ochrony danych osobowych.

Z uwagi na to, że nowa ustawa o ochronie danych osobowych weszła w życie 10 maja 2018 roku, organ nadzorczy na bieżąco wydaje nowe interpretacje przepisów, które również należy dostosować się do realiów prowadzonej działalności gospodarczej. Warto pamiętać, że założony system ochrony danych – czy to w gabinecie, klinice, przychodni, salonie beauty – nie musi być skomplikowany, natomiast powinien być kompatybilny i przemyślany. Dokumentacja² „ma żyć”, co oznacza, że każdy nowy proces, każdy nowy zbiór danych powinien zostać objęty pełną ochroną (aktualizacja dokumentacji będzie brana pod uwagę w razie kontroli).

Co oznacza nowy proces ? Np. założenie monitoringu w obrębie stanowiska pracy czy przy wejściu do budynku. Będzie to również chęć wykorzystania wizerunku osoby poddającej się zabiegowi w inny sposób aniżeli służący celom dokumentacyjnym.

To właśnie w takich sytuacjach należy pamiętać o wypełnieniu tzw. obowiązku informacyjnego – niezbędnego do każdej podstawy przetwarzania danych wymaganej przez RODO.

Obowiązek informacyjny art. 13 RODO – podstawa do świętego spokoju

Przetwarzając dane w oparciu o przepis prawa – pamiętajmy – nie musimy pozyskiwać żadnej dodatkowej zgody. Model ochrony danych osobowych powinien być dostosowany do celu przetwarzania jakiemu służy, a jeżeli cel ten wynika z mocy prawa, bądź też jest podstawą do realizacji umowy – wtenczas zgoda na przetwarzanie danych zaczyna być zbędna.

Generalnie odeszło się od modelu nadmiernego uzyskiwania zgody, gdzie za czasów ustawy z 1997 r. kojarzyło się jako jedyna – słuszna i pewna drogą do legalizacji przetwarzania danych.

PATRYCJA LUBIENIECKA

1^ (ang. General Data Protection Regulation, GDPR)

2^ Przez dokumentację RODO rozumie się dokumentację będącą efektem wdrożenia oraz skanującą procesy przetwarzania danych osobowych w danej organizacji. Rodzaj dokumentacji zależy od procesów przetwarzania czy kategorii danych (inaczej chroni się dane o stanie zdrowia, inaczej dane zwykłe) – składają się na nią, m.in. dokonanie analizy ryzyka, ocena skutków dla ochrony danych (DPiA), prowadzenie rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania.