RODO nie trzeba się bać, a jedynie znać zagrożenia i zabezpieczyć się


RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych przypomina momentami casus krzywizny banana. Prowadzący niewielkie gabinety zabiegów estetycznych momentami z przestrachem rozważali czy będą w stanie sprostać stawianym przed nimi niebawem wymaganiom.

    RODO nie trzeba się bać, lecz wiedzieć czego ono od nas wymaga i zrobić ile to możliwe, aby ocenić ryzyko i zabezpieczyć się przed wyciekiem danych. Nie można całkowicie wyeliminować możliwości wycieku danych – uspokaja mecenas Mikołaj Śniatała.

    Nowe, jednolite dla całej Unii Europejskiej przepisy, które mają wymóc na wszystkich przedsiębiorcach wyższy poziom ochrony danych osobowych – wchodzące w życie  25 maja br. – wprowadzają wiele nowych, rewolucyjnych mechanizmów, które wymagają odpowiednich przygotowań. I do tej daty wszystkie podmioty, które podlegają przepisom RODO muszą być gotowe do ich stosowania, bo nie będzie już żadnego okresu wprowadzającego.

    Dlatego Instytut Praktyki Zabiegów Estetycznych (IPZE) wraz m.in. z Dermatic.pl prowadzą cykl wykładów i warsztatów dla prowadzących gabinety zabiegowe z udziałem prawników specjalizujących się w tematyce działalności przedsiębiorstw, a w szczególności ochrony danych osobowych. Dysponowanie danymi o stanie zdrowia, a więc danymi wrażliwymi, stawia przed nimi szczególne wymagania.

Trzeba je wypełnić, aby nie narazić się na kary i odpowiedzialność, które teraz będą już bardzo bolesne.

    Przepisom RODO podlegać będzie każdy przedsiębiorca, który prowadzi działalność w UE w jakiejkolwiek formie prawnej, również prowadzący 1-osobową działalność gospodarczą. Nie ma przy tym znaczenia narodowość osób, których dane osobowe są przetwarzane, ani to, gdzie są przetwarzane dane osobowe (gdzie znajdują się serwery, np. poza obszarem UE).

RODO znajdzie zastosowanie nawet wtedy, kiedy podmioty spoza UE oferują swoje towary lub usługi osobom przebywającym w Unii.

    Na ten moment RODO znajdzie zastosowanie w całości. Ustawodawca musi  znowelizować ponad 200 ustaw w taki sposób, aby zapewniając ochronę danych osobowych zgodnie z wymogami rozporządzenia RODO, ograniczyć jego stosowanie tam gdzie to jest absolutnie niezbędne.

Wiemy, że mają zostać przyjęte kodeksy branżowe, których celem będzie wskazanie dobrych praktyk ochrony danych osobowych w danej branży  – podkreśla mecenas Śniatała.

Czym są dane osobowe?

    Są to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (dane firmy nie podlegają ochronie). Mamy dane osobowe zwykłe oraz dane osobowe zaliczające się do szczególnych kategorii danych (dane wrażliwe).

Do tych drugich zaliczamy m.in. dane dotyczące zdrowia, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, itd. W gabinetach zabiegów estetycznych dysponujemy danymi obu kategorii, stąd konieczność dodatkowej ochrony.

    RODO stosuje się do przetwarzania danych osobowych: zbierania, przechowywania, usuwania, opracowywania, czy udostępniania i ma na celu ograniczyć proceder sprzedawania ich.

Przedsiębiorca przetwarzający dane osobowe, może to robić jako jeden z trzech kategorii podmiotów: administrator danych osobowych (podmiot, który jest np. pracodawcą oraz dostawcą towarów i usług), współadministrator danych osobowych (np. osoba pracująca w gabinecie i wykonująca zabiegi estetyczne w ramach własnej działalności gospodarczej) oraz podmiot przetwarzający dane na zlecenie.

W gabinetach zabiegowych są to prawie zawsze usługi księgowe. Wówczas udostępnianie danych klientów musi być poparte stosowną umową powierzenia, a ich zabezpieczenie analogiczne jak u przedsiębiorcy gromadzącego je. Pracownicy administratora powinni posiadać stosowne upoważnienie do przetwarzania danych osobowych.

    Za naruszenie RODO przewiduje szeroki katalog sankcji, które obecnie są już bardzo dotkliwe. Przede wszystkim sankcje administracyjne – możliwość nakładania kar bez uprzedniego ostrzeżenia ze strony organu nawet do wysokości 20.000.000 euro lub do 4 proc. całkowitego rocznego światowego obrotu przedsiębiorcy z poprzedniego roku obrotowego (zastosowanie ma kwota wyższa).

Prawo krajowe może wprowadzić też dodatkowe sankcje administracyjne, a także sankcje karne. Dodatkowo, każda osoba, która poniosła szkodę w wyniku naruszenia RODO, może żądać zapłaty odszkodowania na gruncie kodeksu cywilnego (np. z tytułu ochrony jej dóbr osobistych).

Jak przygotować się do RODO?

    Każda firma, w tym także gabinety zabiegów estetycznych, powinna przeanalizować jakie dane oraz w jakim celu zbiera (pracownicy, kontrahenci, etc.) i sprawdzić co trzeba zmienić w tej praktyce oraz systemach informatycznych przed 25 maja 2018 r.

Filozofia polega na ocenie ryzyka oraz na zasadzie rozliczalności w ochronie danych.  Każdy administrator będzie musiał samodzielnie zdecydować jakie zabezpieczenia, dokumentację i procedury przetwarzania danych wdrożyć oraz wykazać, że przestrzega prawo.

    Pierwszym krokiem przed godziną 0 powinien być audyt przygotowawczy z udokumentowaną analizą: jakie dane osobowe są przetwarzane, skąd pochodzą (RODO chroni przede wszystkim dane osób fizycznych; dane firm ze stron – nie), co uprawnia do ich wykorzystywania, czy i komu są udostępniane (księgowość np. ma uprawnienie dopóki wykonuje nasze zlecenie), jak są zabezpieczane (RODO jest neutralne technologicznie).

    W ocenie ryzyka naruszenia praw i wolności osób, których dane są przetwarzane należy wziąć pod uwagę kontekst dla oceny ryzyka, opis i identyfikację wymagań prawnych i techniczno-organizacyjnych, szacowanie i ocenę ryzyka, postępowanie z ryzykiem.

Aby móc wdrożyć RODO musimy ustalić zasady gromadzenia danych, dokonać zmian w systemach informatycznych, w procesach HR, procesach obsługi klientów, zasadach przekazywania danych na zewnątrz oraz stworzyć wzory dokumentów do stosowania po 25 maja 2018 r.

    Rozporządzenie nie mówi w jaki sposób mamy te przygotowania przeprowadzić. Z jednej strony pozostawia więc nam swobodę w dokonaniu oceny ryzyka i wyborze sposobów i środków zabezpieczeń danych. Z drugiej jednak strony zasada rozliczalności mówi niezbicie – przedsiębiorco udowodnij!

Że zaktualizowano wszystkie przetwarzane dane i uporządkowano dokumentację oraz procedury przetwarzania danych, że wdrożono efektywne polityki i procedury przetwarzania danych, że realizuje się założenia przyjętych polityk i procedur.

Nowe obowiązki

    Ogólne rozporządzenie o ochronie danych nakłada na przedsiębiorców szereg nowych obowiązków. Podkreśla np. konieczność realizacji obowiązku informacyjnego.

Wymagać się będzie, by wszelkie informacje kierowane do osób, których dane dotyczą, były formułowane jasnym i prostym językiem, by były zwięzłe i zrozumiałe.  Należy na bieżąco śledzić prawodawstwo oraz tzw. soft law (wytyczne Grupy Roboczej 29). Dodatkowo zmianie ulegnie rozporządzenia o e-prywatności.

    Administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane, o ewentualnym fakcie profilowania i jego konsekwencjach, czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony.

Należy właściwie wskazać podstawę prawną przetwarzania danych i ich nie dublować. Każda osoba, która zgody udziela powinna to robić dobrowolnie, świadomie i wobec konkretnie oznaczonego celu lub tych samych celów. Każda osoba musi mieć pewność komu i na co wyraża zgodę.

    Dokumenty z rekrutacji kandydatów do pracy, których teraz nie przyjęłam chciałabym pozostawić, bo może za kilka miesięcy będę zainteresowana przyjęciem danej osoby – interesowała się jedna z uczestniczek szkolenia.

    Powinno się uwzględnić ten fakt już przy rozpoczęciu rekrutacji. Należy odpowiednio poinformować kandydatów o tym zamiarze oraz  uzyskać zgodę kandydatów na dłuższy okres przechowywania ich danych osobowych niż będzie trwała aktualnie prowadzona rekrutacja, a także uzyskać zgodę na powtórne użycie danych osobowych przy kolejnym naborze – odpowiada adwokat Śniatała.

    Zgody mogą być wyrażane w dowolnej formie, jednakże podczas kontroli trzeba wykazać, że się je odebrało. W tym celu można skorzystać z elektronicznych banków oświadczeń woli, takich jak aplikacja Umownik.pl; a zestaw  pozostałych dokumentów potrzebnych do wdrożenia RODO przygotowuje dla swych klientów Dermatic.pl.

    Nie trzeba odbierać zgody na przetwarzanie danych jeśli jest to niezbędne do wykonania umowy, do wypełnienia obowiązku prawnego ciążącego na administratorze np. związanego z prowadzeniem ksiąg rachunkowych oraz do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.

    Przetwarzanie danych, na które wymagana jest zgoda trwa dopóty, dopóki zgoda nie zostanie odwołana. Należy pamiętać, że dalsze przetwarzanie danych osobowych jest możliwe, a nawet konieczne przez okres odpowiadający okresowi przedawnienia roszczeń wynikających z danego stosunku prawnego. Uzasadnione jest to interesem administratora danych osobowych.

    Każda osoba powinna mieć kontrolę nad dotyczącymi jej danymi osobowymi, niezależnie od tego kto i w jakim celu te dane przetwarza. Ogólne rozporządzenie o ochronie danych przyznaje więc szereg uprawnień podmiotom danych: prawo do bycia poinformowanym o operacjach przetwarzania, prawo dostępu, do sprostowania/uzupełnienia danych, do usunięcia danych (prawo do bycia zapomnianym), do przenoszenia danych, do sprzeciwu oraz prawo do tego, by nie podlegać profilowaniu.

    Z drugiej strony na administratorze ciąży obowiązek szerokiego informowania klientów co się dzieje z ich danymi osobowymi.

    Relacje służbowe i zakresy odpowiedzialności w odniesieniu do danych osobowych w branży zabiegów estetycznych bywają powiązane z różnymi formami działalności. Bowiem większe gabinety, czy kliniki powierzają wykonywanie zabiegów osobom pracującym w ramach samozatrudnienia, czyli mającym zarejestrowaną własną działalność gospodarczą. W takiej sytuacji dysponentem danych klientów jest nie tylko administrator (podmiot prowadzący gabinety), ale także podwykonawca.

    Wówczas z podwykonawcą, a także z osobą zatrudnioną na umowę zlecenie podmiot prowadzący gabinet powinien zawrzeć umowę o powierzenie danych osobowych – zaznacza dr Jarosław Greser specjalizujący się w tej tematyce. I w takiej sytuacji każdy z podmiotów wprowadza RODO we własnym zakresie. Zaś w razie wydostania się danych na zewnątrz brane jest pod uwagę z czyjej winy to się stało. Jednakże zakres odpowiedzialności jest różny.

    Jeżeli winnym jest podwykonawca albo osoba wykonująca zabiegi na podstawie umowy zlecenia, wówczas odpowiadają oni całym swoim majątkiem (tak jak administrator). Pracownik odpowiada materialnie do wysokości 3-krotnego miesięcznego wynagrodzenia – dodaje adwokat Michał Trzecki. – Jednakże podwykonawca nie powinien mieć więcej obowiązków niż administrator.

Analiza ryzyka

    Każdy, kto przetwarza dane osobowe, musi więc odpowiednio je zabezpieczyć, tak by uniemożliwić ich nieuprawnione udostępnienie. Środki techniczne i organizacyjne do zabezpieczenia danych wynikają z analizy ryzyka. Należy wziąć pod uwagę: charakter, zakres, kontekst i cele przetwarzania, ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, stan wiedzy technicznej, czy koszt wdrażania.

    Jakie są przykładowe środki ochrony danych:

  1. Pseudonimizacja i szyfrowanie danych osobowych
  2. Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania
  3. Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
  4. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania
  5.     Brak środków finansowych w firmie nie usprawiedliwia nie wdrożenia RODO. RODO jest kosztowne dla przetwarzających duże liczby danych.

    Dobór adekwatnych środków wynika z analizy ryzyka. Jej sporządzenie jest obowiązkiem administratora, jednakże RODO nie daje wskazówek co do metody jej sporządzenia. Natomiast zgodnie z zasadą rozliczalności wybraną lub stworzoną metodologię trzeba uzasadnić – radzi Jarosław Greser.

    Od momentu wejścia w życie RODO zostanie uchylone rozporządzenia ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Obecnie nie będzie przepisów wykonawczych. Trzeba będzie wykazać, że stosujemy środki zabezpieczające, jest hasło według standardu i jak często będzie zmieniane, ile razy w roku – dodaje mecenas Trzecki.

    Najczęstsze przyczyny naruszenia przepisów o ochronie danych osobowych to:

  1. Brak dokumentacji z zakresu ochrony danych osobowych
  2. Zaniedbania w przedmiocie nadawania upoważnień pracownikom, których praca związana jest z przetwarzaniem danych osobowych
  3. Niewystarczające zabezpieczenia systemów informatycznych
  4. Przetwarzanie danych na prywatnym sprzęcie
  5. Przekazywanie przez telefon danych osobowych nieznanym rozmówcom
  6. „Wynoszenie” dokumentów zawierających dane osobowe poza miejsce, na którym powinny być przetwarzane

    Proszę o krytyczne podejście do  przedsiębiorców oferujących certyfikaty zaświadczające o wdrożeniu RODO. Na ten moment nie ma podmiotów uprawnionych do wydawania certyfikatów, o których mowa w  rozporządzeniu, a zakup oferowanych obecnie przez nieuczciwych sprzedawców certyfikatów w żadnej mierze nie uchroni Państwa przed odpowiedzialnością za nieprzestrzeganie przepisów RODO.

Wdrożyć RODO w gabinecie zabiegów estetycznych można na własną rękę korzystając z wiedzy nabytej na szkoleniach.

Chcąc być spokojniejszym co do prawidłowości wdrożenia lub chcąc po prostu zaoszczędzić swój czas, rekomenduję zwrócić się z prośbą o pomoc do wyspecjalizowanych w tej tematyce adwokatów – uświadamia mecenas Mikołaj Śniatała.

Proszę pamiętać, że zgodnie z zasadą rozliczalności, stosowaną w RODO, duży nacisk kładzie się na prawidłowe udokumentowanie wdrożenia wytycznych rozporządzenia oraz bieżącego prawidłowego przetwarzania danych osobowych i spełnienie wymogów.

Okaże się ,,w praniu”, czyli wielkość krzywizny banana

    Jak będzie działać RODO w praktyce, dopiero się okaże. Niektóre wymogi wydają się oczywiste, bo z jakichś powodów są wprowadzane. Inne zdają się przypominać słynny przed laty przepis unijny o wielkości krzywizny banana.

    Zacznijmy od sposobu umawiania klientów. Przebiega ono online, telefonicznie, osobiście, bądź przez osobę trzecią. Jeśli klientem jest osoba poniżej 18 roku życia, to za niego decyduje opiekun prawny.

    No i mamy pierwszą kwestię. Jak kontaktować się w sprawie zabiegu z osobą, którą zapisała i powierzyła numer telefonu osoba trzecia?

    To musi być uwzględnione w analizie ryzyka, wobec klienta umówionego przez osobę trzecią mamy dodatkowy obowiązek informacyjny. Jednorazowo można wykonać taki telefon… I ten kontakt można uznać jako minimum ryzyka – wyjaśniają prawnicy. Ale ich zdaniem teraz wykonujący zabiegi nie będą mieć prawa wysyłania do klientów sms-ów przypominających o terminie zabiegu, co dziś jest powszechną praktyką.

    Obecnie w znacznie większym stopniu należy przestrzegać anonimowości klientów gabinetów. Po pierwsze więc nie możemy już kart umówionych pacjentów wykładać zbiorowo na biurku, lecz trzymać w niewidocznym dla innych miejscu. Tu zalecana jest polityka czystego biurka.

    Także kalendarz, w którym zapisujemy umówione wizyty, musi być odpowiednio zabezpieczony. Z całą pewnością nie możemy nosić go ze sobą w torbie, aby przypadkiem nie dostał się w cudze ręce.

    Nie wolno nam także wywoływać klientów w poczekalni po nazwisku. Może być to numer w rejestracji, samo imię, albo umówiona godzina. Jednakże życie jest bardziej skomplikowane.

    A co jeśli klient ma rzadko spotykane, a zatem łatwo identyfikujące imię? Co nam grozi, jeśli w ten sposób go wywołamy? – pytają uczestniczki szkolenia.

    I to jest między innymi właśnie to ryzyko, na które się narażamy – odpowiada Jarosław Greser. – Ludzie mogą to wykorzystywać jako narzędzie do generowania sporów. A wysokość odszkodowań z tytułu naruszenia dóbr osobistych ma tendencję zwyżkową.

    Kolejne pytanie – co się stanie jeśli były pracownik zechce wykorzystać dane kontaktowe naszych klientów po zakończeniu z nami stosunku pracy?

    Wykorzystanie danych naszych klientów przez byłego pracownika dla celów własnej działalności gospodarczej należy w pierwszej kolejności ocenić jako czyn nieuczciwej konkurencji, w tego typu sprawach można skutecznie egzekwować swoje interesy na podstawie przepisów ustawy o zwalczaniu nieuczciwej konkurencji – odpowiada mecenas Śniatała.

    Numery telefonów klientów pracownik może posiadać jedynie w aparacie służbowym, który zwraca po ustaniu stosunku zatrudnienia.

    Co robić gdy zginie taki telefon? Zabezpieczeniem jest szyfrowanie, cyfryzacja, możliwość zablokowania go. I to należy zapisać w analizie – odpowiadają prawnicy.

    Chodzi o to, aby przedsiębiorca miał dane osobowe, chronił je, a w  razie wycieku informował o tym klientów i organ kontrolny – wyjaśniają dalej. UODO przygotuje wzory jak informować klientów o wycieku danych.

    Kolejna sprawa, w której mogą uczestniczyć nasi klienci lub kontrahenci, to akcje promocyjne, czy rekrutacja pracowników. Mamy zatem bazę kontaktów i zaznaczamy wówczas, że akcja promocyjna trwa od-do, albo od dnia X.Y. do czasu wycofania zgody.

    Trzeba tego bardzo przestrzegać, bo tu będą łatwe pieniądze, ludzie będą wykorzystywać sytuacje. Dlatego trzeba mieć zabezpieczenia – podkreśla mecenas Trzecki. – Można wyobrazić sobie, że taki naciągacz utworzy na facebooku grupę osób, których dane były przetwarzane i nie zostały po akcji usunięte i będą wnoszone pozwy zbiorowe.

Także donosy – naciągacz powie ,,zapłać, a my nie zawiadomimy UODO”.

    – Także z portalami, na których właściciele gabinetów zabiegów estetycznych prowadzą określone akcje promocyjne związane z ujawnieniem tożsamości uczestników trzeba mieć stosowne umowy – dodaje dr Greser.

    Wszystkie zgody udzielone do 25 maja przez naszych klientów są ważne! Ale w dotychczasowych nie było informacji o prawie do usunięcia danych, więc trzeba to uzupełnić.

Powinno się umożliwić złożyć sprzeciw co do przetwarzania danych osobowych  w formie oświadczenia woli równej formie udzielonej uprzednio zgody na przetwarzanie danych osobowych – nie można utrudniać złożenia sprzeciwu poprzez wymagania wyższej formy, dopuszczalne jest natomiast łagodzenie tych wymogów w relacji do udzielenia zgody.

Zachęcamy do zaplanowania audytu własnej firmy w kontekście RODO  (link>http://dermatic.com.pl/rodo-starterpack-audyt-twojego-gabinetu.html

Barbara Kwiecińska-Kielczyk