RODO będzie obowiązywać w Polsce bezpośrednio, zaś nowe przepisy krajowe w zakresie ochrony danych osobowych, które obecnie są na etapie konsultacji, będą stanowić uzupełnienie regulacji unijnej w wybranych obszarach.

RODO wprowadza, w szczególności, rozszerzony obowiązek informacyjny względem osób, których dane będą zbierane, nowe procedury w zakresie ochrony danych, np. obowiązek notyfikacji naruszeń organowi nadzorczemu, oraz nowe wymogi związane z dokumentowaniem czynności przetwarzania danych. Pomimo iż zniesiony zostanie obowiązek zgłaszania zbiorów danych do rejestracji przez GIODO, summa summarum na administratorów danych nałożonych zostanie znacznie więcej obowiązków niż dotychczas i zwiększy się zakres ich odpowiedzialności.

Czasu na dostosowanie działalności firmy do standardów wynikających z RODO jest coraz mniej, a za uchybienia we wdrożeniu i przestrzeganiu nowych regulacji prawnych grozić będą przedsiębiorcom wysokie kary pieniężne. RODO przewiduje także sankcję w postaci czasowego lub całkowitego ograniczenia lub zakazu przetwarzania danych.

Niniejszy artykuł ma na celu wskazanie wybranych tematów związanych z przetwarzaniem danych osobowych, które powinny znaleźć się w obszarze zainteresowania przedsiębiorcy prowadzącego aptekę, jednak w żadnym wypadku nie wyczerpuje zakresu zmian, jakie należy wprowadzić w celu dostosowania działalności apteki do przepisów RODO.

Przegląd danych osobowych, które apteka posiada obecnie

W celu prawidłowego wdrożenia RODO, przedsiębiorca prowadzący aptekę powinien przede wszystkim dysponować pełną i aktualną wiedzą w zakresie danych osobowych, które już posiada. W związku z tym, pierwszą czynnością powinno być dokonanie starannego przeglądu i inwentaryzacji danych, które są przetwarzane w aptece na chwilę obecną.

Dotyczy to zarówno dokumentów papierowych (np. w teczkach, segregatorach), jak i danych przetwarzanych w systemie informatycznym

Wyjaśnić należy, że przez przetwarzanie danych osobowych rozumie się każdą operację na danych osobowych, w tym także ich przechowywanie i archiwizowanie. Oznacza to, że w aptece mogą być w dalszym ciągu przetwarzane dane osobowe, choćby od dawna nie były one potrzebne do realizacji celów, dla których zostały zebrane. Aby przetwarzanie danych osobowych było zgodne z prawem, administrator danych powinien działać na podstawie zgody od osoby, której dane dotyczą, albo w granicach ustawowej podstawy przetwarzania danych. W praktyce działalności aptecznej zdecydowana większość danych osobowych, w tym dane osobowe klientów umieszczone na receptach i dane osobowe pracowników, jest przetwarzana na podstawie przepisu prawa.

Dotychczas, katalog takich ustawowych podstaw przetwarzania danych był określony w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Akt ten zostanie jednak wkrótce uchylony, a podstawy dopuszczalnego przetwarzania danych osobowych będzie odtąd regulować RODO. W tym kontekście, zalecane jest dokonanie weryfikacji, czy wszystkie wykonywane w aptece operacje przetwarzania danych osobowych mieścić się będą w granicach wyznaczonych przez RODO.

Jeżeli w wyniku przeprowadzenia przeglądu i inwentaryzacji danych osobowych oraz operacji i ich przetwarzania, okaże się, że cele, dla których te dane osobowe zostały zebrane, zostały już zrealizowane, a jednocześnie nie zachodzi ważna podstawa prawna uzasadniająca ich dalsze przetwarzanie (np. obowiązek przechowywania dokumentacji pracowniczej po ustaniu zatrudnienia), to powinny one zostać trwale usunięte lub skuteczne zanonimizowane. Dalsze przetwarzanie tych danych po dniu 25 maja 2018 r. będzie stanowić naruszenie RODO.

Warto podkreślić, że w unijnym rozporządzeniu dużą wagę przywiązuje się do zapewnienia, aby dane osobowe nie były przetwarzane dłużej niż jest to obiektywnie uzasadnione.

Rzetelna realizacja rozszerzonego obowiązku informacyjnego będzie szczególnie istotna w przypadku aptek internetowych, które umożliwiają składanie zamówień na odległość, a także zbierają więcej danych osobowych swoich klientów niż apteki stacjonarne.

Uprawnienia osób, których dane dotyczą

Po dniu 25 maja 2018 r. każda osoba, której dane dotyczą, zyska szeroki katalog uprawnień względem administratora danych.

Przykładowo, osoba taką będzie mogła wystąpić nie tylko o informację, czy jej dane są przetwarzane przez konkretnego administratora i uzyskać dostęp do danych jej dotyczących, ale także do otrzymania kopii jej danych osobowych podlegających przetwarzaniu.

Także na etapie właściwego przetwarzania danych (po ich zebraniu) i niezależnie od obowiązku informacyjnego, który powinien zostać zrealizowany przez administratora podczas pozyskiwania danych, osoba, której dane dotyczą, będzie uprawniona do uzyskania szczegółowych informacji związanych z przetwarzaniem jej danych, w tym, w miarę możliwości, informacji o planowanym okresie przechowywania danych osobowych, a gdy nie będzie to możliwe, o kryteriach ustalania tego okresu.

Przepisy RODO wprowadzają także instytucję tzw. prawa do bycia zapomnianym. Zgodnie z art. 17 RODO, jest to prawo żądania osoby, której dane dotyczą do usunięcia danych osobowych jej dotyczących w określonych przypadkach, m.in. gdy dane nie są już niezbędne do celów, w których zostały zebrane. Po otrzymaniu takiego żądania, podmiot prowadzący aptekę będzie zobowiązany dokonać, bez zbędnej zwłoki, oceny czy zachodzi podstawa prawna ich dalszego przetwarzania. Jeżeli takiej podstawy nie będzie, odnośne dane osobowe powinny zostać usunięte.

Ponieważ, jak wskazano wyżej, większość danych osobowych przetwarzane jest przez aptekę na podstawie przepisów prawa, wskazane byłoby ustalenie, w odniesieniu do każdej kategorii danych, okresu ich przetwarzania, jaki wynika z obowiązujących przepisów. Realizacja prawa osoby, której dane dotyczą, skutkująca usunięciem jej danych, może w niektórych przypadkach stanowić naruszenie obowiązku administratora wynikającego z przepisów odrębnych.

Dokonanie przeglądu i inwentaryzacji danych osobowych, o których była już mowa, umożliwi aptece szybszą i skuteczniejszą realizację praw osoby, której dane dotyczą, na wypadek skierowania przez nią żądania udostępnienia kopii jej danych osobowych podlegających przetwarzaniu.

Umowy powierzenia przetwarzania danych osobowych

Większość podmiotów gospodarczych korzysta w jednym lub kilku obszarach swojej działalności z usług innych podmiotów, na zasadzie outsourcingu. W wielu przypadkach wiąże się to z powierzeniem przetwarzania danych osobowych innemu podmiotowi, np. w celu świadczenia na rzecz administratora danych usług hostingowych (utrzymanie strony internetowej lub serwera poczty elektronicznej), obsługi kadrowo-płacowej lub usług biura rachunkowego.

W przypadku działalności aptecznej, korzystanie z outsourcingu i odpowiedni wybór usługodawcy powinny wiązać się z daleko posuniętą ostrożnością i starannością, ponieważ w ramach swojej podstawowej działalności przetwarzane są dane o stanie zdrowia pacjentów, które należą do tzw. danych sensytywnych, podlegających szczególnej ochronie. Udostępnienie tych danych podmiotom nieuprawnionym, może wiązać się z odpowiedzialnością regulowaną nie tylko w RODO, ale także w odrębnych przepisach.

Przepisy RODO stawiają bardziej restrykcyjne wymagania w zakresie powierzenia przetwarzania danych innemu podmiotowi (tzw. procesorowi) niż dotychczasowe krajowe regulacje. W szczególności, administrator danych będzie mógł korzystać wyłącznie z usług takich podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.

Fakt spełniania przez wybranego procesora powyższych warunków może być uwiarygodniony poprzez stosowanie zatwierdzonego kodeksu postępowania dla danej branży lub posiadanie certyfikatu przyznanego przez uprawnioną jednostkę certyfikującą, zaś dodatkowym atutem – stosowanie odpowiednich norm ISO w zakresie bezpieczeństwa danych.

Ponadto, administrator danych powinien wybrać takiego procesora, który będzie pomagał mu m.in. w zakresie zgłaszania przypadków naruszeń ochrony danych osobowych do organu nadzorczego (dotychczasowy GIODO zostanie zastąpiony przez PUODO) oraz zawiadamiania o przypadkach naruszenia ochrony danych bezpośrednio osób, których dane dotyczą. Są to dwie nowe procedury wprowadzane przez RODO, do których także powinna się przygotować apteka.

Ponieważ RODO wprowadza wiele nowych, obligatoryjnych elementów umowy powierzenia przetwarzania danych osobowych, należy przyjąć, że w zasadzie każda tego rodzaju umowa, która była zawarta jeszcze pod rządami ustawy o ochronie danych osobowych i nie uwzględniała standardów RODO, powinna zostać aneksowana.

Nowe procedury i wymogi, o których była mowa na wstępie, także wiążą się z koniecznością opracowania stosownej dokumentacji, wdrożenia nowych zasad postępowania, a także przeszkolenia pracowników apteki.