|

Przepisy Ogólnego rozporządzenia o ochronie danych (RODO) a obowiązki aptek ogólnodostępnych w zakresie przetwarzania danych osobowych – wybrane zagadnienia

Akt ten stosowany będzie bezpośrednio, bez potrzeby implementowani go do polskiego porządku prawnego, co oznacza, że nie muszą być wydawane polskie ustawy lub rozporządzenia wykonawcze.  Ponadto, zgodnie z art. 91 ust. 3 Konstytucji RP, „jeżeli wynika to z ratyfikowanej przez Rzeczpospolitą Polską umowy konstytuującej organizację międzynarodową, prawo przez nią stanowione jest stosowane bezpośrednio, mając pierwszeństwo w przypadku kolizji z ustawami”. W konsekwencji, przepisy Ogólnego rozporządzenia o ochronie danych mają pierwszeństwo stosowania w przypadku kolizji z polskimi ustawami. RODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych (vide art. 2 ust. 1 RODO).

Omawiając znaczenie RODO dla aptek ogólnodostępnych wyjaśnić należy na wstępie podstawowe pojęcia, które zawarte są w tym akcie normatywnym. Przede wszystkim wskazać należy, że zgodnie z art. 4 pkt 1 RODO, „dane osobowe” to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. „Możliwa do zidentyfikowania osoba fizyczna” to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

„Przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO).

W myśl definicji z art. 4 pkt 7 RODO, „administrator” to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z przytoczonych norm prawnych wynika, że administratorem w rozumieniu RODO jest podmiot prowadzący aptekę ogólnodostępną, a nie kierownik apteki, farmaceuta czy też technik farmaceutyczny. 

Problematyka ochrony danych osobowych nie jest oczywiście nowa, tak więc istnieją już obecnie liczne akty normatywne określające zakres danych osobowych, jakie mogą być przetwarzane w aptekach oraz sposób ich przetwarzania. Podstawowe znaczenie w tym zakresie powinna mieć ustawa z dnia 6 września 2001 r. Prawo farmaceutyczne (t.j. Dz.U. z 2017, poz. 2211, z późn. zm.), zwana dalej „Prawem farmaceutycznym” lub „Pr. farm.”, jednakże szczegółowa analiza jej przepisów prowadzi do wniosku, że ustawodawca w sposób szczątkowy i pośredni reguluje zakres i zasady przetwarzania danych osobowych w aptekach ogólnodostępnych.

Ustalenie zakresu danych przetwarzanych przez apteki oraz sposobu ich przetwarzania wymaga wykładni kilku przepisów Prawa farmaceutycznego, w tym przede wszystkim określających zadania i obowiązki apteki. Stosownie do art.  86 ust. 1 i 2 Pr. farm., apteka jest placówką ochrony zdrowia publicznego, w której osoby uprawnione świadczą
w szczególności usługi farmaceutyczne, obejmujące m. in. wydawanie produktów leczniczych i wyrobów medycznych, określonych w odrębnych przepisach oraz sporządzanie leków recepturowych na podstawie recepty, a także sporządzenie leków aptecznych. Produkty lecznicze, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne są wydawane z apteki ogólnodostępnej przez farmaceutę lub technika farmaceutycznego w ramach jego uprawnień zawodowych:

1) na podstawie recepty;

2) bez recepty;

3) na podstawie zapotrzebowania podmiotu wykonującego działalność leczniczą, zwanego dalej „zapotrzebowaniem” (vide art. 96 ust. 1 Pr. farm.).

Z powyższego wynika, że podmiot prowadzący aptekę, w ramach apteki, musi przetwarzać, co najmniej dane zawarte na receptach i zapotrzebowaniach. Z pewnością wydanie leków wymaga wykorzystania danych zawartych na recepcie i zapotrzebowaniu w celu ustalenia, jakie leki i w jakiej ilości mają być wydane, a w przypadku recepty – osoby, dla której leki są przeznaczone. W tym miejscU należy podkreślić, że recepta zawiera także dane, które w myśl art. 4 pkt 15 RODO klasyfikowane są jako „dane dotyczące zdrowia”, a więc dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.

Zakres danych przetwarzanych w aptece w związku z realizacją recept i zapotrzebowań określają m. in. następujące przepisy Prawa farmaceutycznego: art. 96a ust. 1 (wszystkie recepty), art. 96a ust. 1a (recepty transgraniczne), art. 96a ust. 8 (recepty na leki refundowane) oraz art. 96 ust. 2 (zapotrzebowanie). Po wykorzystaniu danych apteka zobowiązana jest przechowywać recepty i zapotrzebowania przez czas określony w Prawie farmaceutycznym [1].

Poza ogólnymi regulacjami w Prawie farmaceutycznym, apteki, które realizują recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego oraz wyroby medyczne zobowiązane są realizować obowiązki dotyczące danych osobowych, określone w ustawie z dnia 12 maja 2011 r. o refundacji leków, środków spożywczych specjalnego przeznaczenia żywieniowego oraz wyrobów medycznych (t.j. Dz.U. z 2017, poz. 1844, z późn. zm.), zwanej dalej „ustawą refundacyjną” lub „u. ref.”.

Zgodnie z art.  43 ust. 1 pkt 2 i 7 ustawy refundacyjnej, apteka w celu realizacji świadczeń objętych umową na realizację recept ma obowiązek: „gromadzić i przekazywać Funduszowi, rzetelne i zgodne ze stanem faktycznym na dzień przekazania, informacje zawarte w treści poszczególnych zrealizowanych recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego, wyroby medyczne” oraz „przechowywać recepty na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego, wyroby medyczne wraz z otaksowaniem przez okres 5 lat, liczonych od zakończenia roku kalendarzowego, w którym nastąpiła refundacja”. Apteki zobowiązane są gromadzić informacje zawierające dane o obrocie lekami, środkami spożywczymi specjalnego przeznaczenia żywieniowego, wyrobami medycznymi objętymi refundacją, wynikające ze zrealizowanych recept wystawionych przez osobę uprawnioną (vide art. 45 ust. 1 u. ref.). Dane są gromadzone i przechowywane w formie elektronicznej oraz przekazywane w formie komunikatów elektronicznych, oddziałowi wojewódzkiemu Funduszu, właściwemu ze względu na siedzibę apteki. Komunikaty te są przekazywane w formacie zgodnym ze wzorem zamieszczonym w Biuletynie Informacji Publicznej ministra właściwego do spraw zdrowia (art. 45 ust. 2 u. ref.). Zakres gromadzonych przez apteki i przekazywanych oddziałowi wojewódzkiemu Funduszu informacji zawierających dane o obrocie lekami, środkami spożywczymi specjalnego przeznaczenia żywieniowego, wyrobami medycznymi objętymi refundacją, wynikające ze zrealizowanych recept wystawionych przez osobę uprawnioną, określa art. 45a u. ref.

Dodatkowo, w §2 ust. 2 „Ogólnych warunków umów na wydawanie refundowanego leku, środka spożywczego specjalnego przeznaczenia żywieniowego oraz wyrobu medycznego na receptę”, stanowiących załącznik nr 1 do rozporządzenia Ministra Zdrowia z dnia 8 grudnia 2011 r. w sprawie ogólnych warunków umów na realizację recept oraz ramowego wzoru umowy na realizację recept (Dz.U. z 2013, poz. 364), podmiot prowadzący aptekę jest odpowiedzialny za zapewnienie odpowiednich warunków zabezpieczających recepty i dokumenty związane z ich otaksowaniem oraz inną dokumentację związaną z obrotem lekami, środkami spożywczymi specjalnego przeznaczenia żywieniowego oraz wyrobami medycznymi, wydanymi na podstawie recepty, przed zniszczeniem, utratą lub kradzieżą oraz dostępem osób nieupoważnionych, a także w sposób umożliwiający ich udostępnianie bez zbędnej zwłoki, zgodnie z przepisami o ochronie danych osobowych.

Mając na uwadze istniejący kontekst normatywny rozważyć należy, które przepisy RODO dotyczyć będą aptek ogólnodostępnych po dniu 25 maja 2018 r.

RODO przewiduje w art. 5 następujące „Zasady dotyczące przetwarzania danych osobowych”:

  • zasada zgodności z prawem, rzetelności i przejrzystości – dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  • zasada ograniczenia celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
  • zasada minimalizacji danych – dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  • zasada prawidłowości – dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
  • zasada ograniczenia przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;
  • zasada integralności i poufności – dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Podmiot prowadzący aptekę, jako administrator w rozumieniu RODO, jest odpowiedzialny za przestrzeganie ww. zasad i musi być w stanie wykazać ich przestrzeganie (zasada rozliczalności).

Odnośnie zasady zgodności z prawem wskazać należy, że przetwarzanie danych jest zgodne z prawem, jeżeli odbywa się na podstawie zgody osoby, której dane dotyczą, lub na innej uzasadnionej podstawie przewidzianej prawem, tj. w RODO albo w innym akcie prawnym UE lub w prawie państwa członkowskiego, o których mowa w RODO.

Zgodnie z art. 6 ust. 1 lit. c RODO, przetwarzanie jest zgodne z prawem w przypadku, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze. Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Wystarczające jest, gdy norma prawna stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator. W motywach RODO przyjmuje się, że prawo UE lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w RODO dotyczące zgodności przetwarzania
z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania.

W tym kontekście uznać należy, że przetwarzanie danych przez podmiot prowadzący aptekę jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze, tzn. obowiązku realizacji podstawowych zadań apteki, w tym wydawania leków na podstawie recept i zapotrzebowań.

Jak już zaznaczono, dane osobowe przetwarzane przez apteki obejmują „dane dotyczące zdrowia”. Zgodnie z art. 9 ust. 1 RODO – co do zasady – zabrania się przetwarzania danych dotyczących zdrowia. Wyjątki, gdy zakaz ten nie ma zastosowania określa art. 9 ust. 2 RODO. W pierwszej kolejności rozważyć należy normę z art. 9 ust. 2 lit. h RPDO, zgodnie z którą zakaz przetwarzania „danych dotyczących zdrowia” nie ma zastosowania, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w art. 9 ust. 3 RODO.

Zakładając, że apteka przetwarza „dane dotyczące zdrowia” w celu leczenia pacjenta, to wyjaśnienia wymaga drugi warunek zastosowania omawianego wyjątku, tzn. wymóg z art. 9 ust. 3 RODO, że „dane dotyczące zdrowia” mogą być przetwarzane, jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.

Powstaje w tym kontekście pytanie, czy farmaceuci, technicy farmaceutyczny, właściciel apteki są osobami podlegającymi obowiązkowi zachowania tajemnicy zawodowej. Zgodnie z motywem 41. RODO, w przypadku gdy w RODO jest mowa o podstawie prawnej lub akcie prawnym, niekoniecznie wymaga to przyjęcia aktu prawnego przez parlament, z zastrzeżeniem wymogów wynikających z porządku konstytucyjnego danego państwa członkowskiego. Taka podstawa prawna lub taki akt prawny powinny być jasne i precyzyjne, a ich zastosowanie przewidywalne dla osób im podlegających – jak wymaga tego orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej i Europejskiego Trybunału Praw Człowieka.

Zgodnie z art. 21 pkt 2 ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich (t.j. Dz.U. z 2016, poz. 1496, z późn. zm.), zwanej dalej „u.i.a.”, członkowie samorządu aptekarskiego, a więc – co do zasady – farmaceuci wykonujący swój zawód są obowiązani „zachować w tajemnicy wiadomości dotyczące zdrowia pacjenta, uzyskane w związku z wykonywaniem zawodu”. Ponadto, stosownie do art. 10 Kodeksu Etyki Aptekarza Rzeczypospolitej Polskiej, stanowiącego załącznik do uchwały Nr VI/25/2012 VI Krajowego Zjazdu Aptekarzy z dnia 22 stycznia 2012 r. w sprawie przyjęcia Kodeksu Etyki Aptekarza Rzeczypospolitej Polskiej, „aptekarz zachowuje w tajemnicy wszystko, o czym dowiedział się w trakcie lub w związku z wykonywaniem czynności zawodowych. Zwolnienie z tajemnicy zawodowej może nastąpić jedynie w przypadkach określonych prawem”. W myśl art. 21 pkt 1 u.i.a., członkowie samorządu aptekarskiego są zobowiązani „przestrzegać zasad etyki i deontologii zawodowej”.

Powyższe prowadzi, do wniosku, że przetwarzanie przez podmiot prowadzący aptekę, w ramach apteki, „danych dotyczących zdrowia” przez farmaceutów w trakcie wykonywania zawodu stanowi wyjątek od generalnego zakazu ich przetwarzania.

RODO wprowadza szereg nowych obowiązków informacyjnych dla administratora, przy czym rozróżnia przypadki, gdy:

  • administrator zbiera dane od osoby, której dane dotyczą;
  • administrator pozyskuje dane osobowe w sposób inny niż od osoby, której dane dotyczą.

W tym miejscu – z uwagi na rygory dotyczące objętości artykułu – opisane zostaną obowiązki administratora dotyczące standardowej sytuacji, gdy pacjent przedstawia do realizacji receptę zawierającą dane dotyczące jego zdrowia.

We wskazanym przypadku, administrator podczas pozyskiwania danych osobowych podaje osobie przedstawiającej receptę wszystkie następujące informacje:

  • swoją tożsamość i dane kontaktowe;
  • gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  • cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  • informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, sprostowania, usunięcia lub ograniczenia przetwarzania tych danych;
  • informację o prawie do przenoszenia danych;
  • informację o prawie wniesienia skargi do organu nadzorczego;
  • informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

Dodatkowe informacje muszą być udzielone, gdy administrator zamierza przekazać dane osobowe do państwa trzeciego lub organizacji międzynarodowej [2]. Jeżeli przetwarzanie odbywa się na podstawie zgody osoby, której dane dotyczą lub w sposób zautomatyzowany należy udzielić dodatkowych informacji. [3]

Informacja o „celach przetwarzania danych osobowych” oraz o „podstawie prawnej przetwarzania” zawierać musi konkretny cel lub cele, które uzasadniać będą przetwarzanie danych. Nawiązując do wcześniejszych rozważań wskazać należy, że w przypadku danych przetwarzanych w aptece, a objętych receptami lub zapotrzebowaniami, jako cele można wskazać:

  • przetwarzanie w celu wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzanie w celu leczenia.

Informacja o „podstawie prawnej przetwarzania” musi zawierać wskazanie konkretnego przepisu RODO, a w odniesieniu do celu w postaci „wypełnienia obowiązku prawnego ciążącego na administratorze”, także właściwego przepisu prawa UE lub prawa państwa członkowskiego lub przepisów ustanowionych przez właściwe organy krajowe.

Informacja o odbiorcach danych osobowych lub o kategoriach odbiorców” uwzględniać musi definicję „odbiorcy”, zawartej w art. 4 pkt 9 RODO, zgodnie z którą jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Tak więc podmiot prowadzący ma obowiązek poinformowania pacjenta o każdej osobie lub podmiocie, któremu dane będą ujawnione. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, w przypadku aptek będą to w szczególności organy Państwowej Inspekcji Farmaceutycznej, nie są jednak uznawane za odbiorców. Przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania.

Informacja o „okresie, przez który dane osobowe będą przechowywane” musi być zgodna z obowiązującymi w tym zakresie przepisami.

„Informacja o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą” odnosi się do prawa, którego treść została określona w art. 15 RODO. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz szczegółowo określonych informacji [4]:

„Informacja o prawie sprostowania danych” dotyczy prawa z art. 16 RODO, zgodnie z którym osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia.

„Informacja o prawie usunięcia” dotyczy „prawa do bycia zapomnianym” unormowanego w art. 17 RODO [5].

„Informacja o prawie ograniczenia przetwarzania danych” to informacja o prawie, o którym mowa w art. 18 RODO [6].

„Informacja o prawie wniesienia skargi do organu nadzorczego” dotyczy instytucji ochronnej z art. 77 RODO. Prawodawca europejski przyjął, że każda osoba, której dane dotyczą, ma prawo wnieść skargę do organu nadzorczego, w szczególności w państwie członkowskim swojego zwykłego pobytu, swojego miejsca pracy lub miejsca popełnienia domniemanego naruszenia, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza niniejsze rozporządzenie. Organ nadzorczy, do którego wniesiono skargę, informuje skarżącego o postępach i efektach rozpatrywania skargi, w tym o możliwości skorzystania z sądowego środka ochrony prawnej na mocy art. 78 RODO.

Ostania informacja, której należy udzielić, czyli „informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych”, w przypadku realizacji recept lub zapotrzebowań nie budzi większych wątpliwości. Podanie danych osobowych zawartych na tych dokumentach jest wymogiem ustawowym, osoba, której dane dotyczą, jest zobowiązana do ich podania,
a konsekwencją niepodania danych jest brak możliwości otrzymania leku. 

Podmiot prowadzący aptekę, jako administrator w rozumieniu RODO, ma obowiązek podjąć odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem udzielić osobie, której dane dotyczą, wszelkich ww. informacji. Ponadto, zobowiązany jest w tej samej formie i tym samym językiem prowadzić wszelką komunikację z osobą, której dane dotyczą, w zakresie: prawa do uzyskania dostępu do danych (art. 15), prawa do sprostowania danych (art. 16), prawa do usunięcia danych – prawa do bycia zapomnianym (art. 17), prawa do ograniczenia przetwarzania (art. 18), zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych (art. 34).

Informacji udziela się na piśmie lub w inny sposób, w tym w stosownych przypadkach – elektronicznie.

Jeżeli osoba, której dane dotyczą tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Przy czym należy pamiętać, że to na administratorze spoczywa obowiązek udowodnienia, że takie informacje zostały udzielone.

Administrator ułatwia osobie, której dane dotyczą, wykonanie ww. praw przysługujących jej na mocy art. 15-22 RODO.

Podmiot prowadzący aptekę, jako administrator, bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15-22 RODO.

W razie potrzeby termin ten można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. W terminie miesiąca od otrzymania żądania administrator informuje osobę, której dane dotyczą o takim przedłużeniu terminu, z podaniem przyczyn opóźnienia. Jeżeli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy.

Jeżeli administrator nie podejmuje działań w związku z żądaniem osoby, której dane dotyczą, to niezwłocznie – najpóźniej w terminie miesiąca od otrzymania żądania – informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem.

Powyższe informacje, komunikacja i działania podejmowane przez administratora na podstawie art. 15-22 i 34 RODO, są wolne od opłat. Jeżeli jednak żądania osoby, której dane dotyczą, są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, administrator może:

  • pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań; albo
  • odmówić podjęcia działań w związku z żądaniem.

Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na administratorze.

Jeżeli administrator ma uzasadnione wątpliwości, co do tożsamości osoby fizycznej składającej ww. żądanie, o którym mowa w art. 15-21 RODO, może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości osoby, której dane dotyczą.

Podmiot prowadzący aptekę, jako administrator w rozumieniu RODO, zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać. Przy ustalaniu odpowiednich środków należy uwzględnić: charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, ww. środki mogą obejmować wdrożenie przez administratora odpowiednich polityk ochrony danych.

Istotne znaczenie ma norma zawarta w art. 29 RODO, zgodnie z którą podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo UE lub prawo państwa członkowskiego. W myśl art. 32 ust. 4 RODO, administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo unii lub prawo państwa członkowskiego.

Osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego to osoba, która działa w ramach danego podmiotu, tzn. pracownicy i inne osoby przetwarzające dane.

Administrator może powierzyć przetwarzanie danych innemu podmiotowi. Zgodnie z art. 4 pkt 8 RODO, „podmiot przetwarzający” to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, może on korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.

Przetwarzanie danych osobowych przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu UE lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny musi zawierać szereg postanowień szczegółowo określonych w art. 28 ust. 3 RODO[7].

Umowa lub inny akt prawny, o których mowa wyżej, mają formę pisemną, w tym formę elektroniczną.

Kolejny obowiązek nałożony przez RODO na administratora polega na rejestrowaniu czynności przetwarzania. Każdy administrator prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza się szczegółowo określone elementy[8].

Rejestry mają formę pisemną lub formę elektroniczną.

Administrator udostępnia rejestr na żądanie organu nadzorczego.

Obowiązek prowadzenia rejestru nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Wydaje się, że apteki nie są objęte wyjątkiem zezwalającym na niestosowanie obowiązku prowadzenia ww. rejestru, ponieważ przetwarzają szczególną kategorię danych osobowych, o której mowa w art. 9 ust. 1 RODO, tj. dane dotyczące zdrowia.

Uchylona przez RODO dyrektywa 95/46/WE przewidywała ogólny obowiązek zawiadamiania organów nadzorczych o przetwarzaniu danych osobowych. Obowiązek ten powodował obciążenia administracyjne i finansowe i nie zawsze przyczyniał się do poprawy ochrony danych osobowych. Dlatego RODO znosi te powszechne, ogólne obowiązki zawiadamiania i zastępuje je procedurami i mechanizmami koncentrującymi się w zamian na tych rodzajach operacji przetwarzania, które ze względu na swój charakter, zakres, kontekst i cele mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Administrator ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Administrator musi uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

W przypadku naruszenia ochrony danych osobowych:

  • administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu;
  • podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi;
  • administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze (dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania ww. obowiązków);
  • jeżeli naruszenie to może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o takim naruszeniu osobę, której dane dotyczą.

Bardzo duże kontrowersje budzi stosowanie do aptek ogólnodostępnych przepisu art. 35 RODO. Norma ta stanowi, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

Stosownie do art. 35 ust. 2 lit. b RODO „Ocena skutków dla ochrony danych” jest wymagana w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO.

W odniesieniu do aptek należy rozstrzygnąć, czy przetwarzają one na dużą skalę szczególną kategorię danych osobowych, tj. danych dotyczących zdrowia.

RODO nie zawiera definicji „przetwarzania na dużą skalę”. Istotne wskazówki zawarte są jednakże w motywie 91. RODO, zgodnie z którym obowiązek dokonania „Oceny skutków dla ochrony danych” powinien mieć zastosowanie do operacji przetwarzania o dużej skali, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko, na przykład (ze względu na swój szczególny charakter) gdy zgodnie ze stanem wiedzy technicznej stosowana jest na dużą skalę nowa technologia.

W motywie 91. RODO wskazuje się, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa.

Mając na uwadze powyższe regulacje jest wysoce wątpliwe, czy obowiązek przygotowania „Oceny skutków dla ochrony danych” dotyczy małych aptek, w szczególności tych, w których farmaceuta jest równocześnie właścicielem apteki i jedynym pracownikiem. Nie oznacza to, że większe apteki, zatrudniające kilka osób przetwarzają dane dotyczące zdrowia na dużą skalę. Z pewnością nie można w takich przypadkach mówić
o przetwarzaniu danych dotyczących zdrowia
na szczeblu regionalnym, krajowym lub ponadnarodowym. Co do sieci aptek wydaje się, że taki obowiązek będzie aktualny.

W analizowanym zakresie kluczowe znaczenie ma – moim zdaniem – przepis art. 35 ust. 10 RODO, stanowiący, że obowiązek dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych nie ma zastosowania, gdy spełnione są łącznie następujące przesłanki:

  • przetwarzanie dokonywane jest na mocy art. 6 ust. 1 lit. c (przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze) lub e (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) RODO;
  • ma podstawę prawną w prawie UE lub w prawie państwa członkowskiego, któremu podlega administrator;
  • prawo, o którym mowa w pkt 2, reguluje daną operację przetwarzania lub zestaw operacji;
  • oceny skutków dla ochrony danych dokonano już w ramach oceny skutków regulacji w związku z przyjęciem tej podstawy prawnej;
  • brak w prawie państwa członkowskiego wymogu dokonania oceny skutków dla ochrony danych przed podjęciem czynności przetwarzania.

Niewątpliwie wszystkie dane osobowe przetwarzane w aptece, niebędące danymi dotyczącym zdrowia, przetwarzane są na podstawie art. 6 ust. 2 lit. c RODO oraz odpowiednich ww. przepisów polskiego prawa, co w konsekwencji stawia pod znakiem zapytania konieczność dokonywania w tym zakresie „Oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych”.

Jakkolwiek dane dotyczące zdrowia przetwarzana są na podstawie tych samych przepisów, jednakże, aby wyłączony był zakaz ich przetwarzania z art. 9 ust. 1 RODO, konieczne jest spełnienie jednego z warunków z art. 9 ust. 2 RODO.

Aby przyjąć, że obowiązek dokonania „Oceny skutków dla ochrony danych” dotyczy konkretnej apteki należy ustalić, czy przetwarza ona „dane dotyczące zdrowia” na dużą skalę.

Zgodnie z „Wytycznymi dotyczącymi inspektorów ochrony danych (DPO)”, przyjętymi w dniu 13 grudnia 2016 r. (ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.), nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Nie wyklucza to sytuacji, w której, wraz z rozwojem praktyki ukształtują się standardy, które umożliwiałyby bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania. Grupa Robocza Art. 29 zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

– liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;

– zakres przetwarzanych danych osobowych;

– okres, przez jaki dane są przetwarzane;

– zakres geograficzny przetwarzania danych osobowych [9].

W art. 37 RODO ustanowiono obowiązek wyznaczenia inspektora ochrony danych. Przepis ten stanowi, że administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

Podmiot prowadzący aptekę będzie miał obowiązek wyznaczenia inspektora ochrony danych, gdy ustalone zostanie, że główna działalność podmiotu prowadzącego aptekę polega na przetwarzaniu na dużą skalę danych dotyczących zdrowia. Zgodnie z motywem 97. RODO, jeżeli główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, to w monitorowaniu wewnętrznego przestrzegania RODO administrator powinien być wspomagany przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych.

W sektorze prywatnym przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności.

Zgodnie z „Wytycznymi dotyczącymi inspektorów ochrony danych (DPO)”, przyjętymi w dniu 13 grudnia 2016 r. (ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.) „główna działalność administratora”, o której mowa w art. 37 ust. 1 lit. b i c RODO zawiera zwrot „główna działalność administratora lub podmiotu przetwarzającego”. Zgodnie z motywem 97. rozporządzenia przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Tak więc „główną działalnością” będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora albo podmiotu przetwarzającego dane. „Głównej działalności” nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną administratora lub podmiotu przetwarzającego. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez  przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania DPO. Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać DPO. Z drugiej strony wszystkie podmioty, spółki i inne organizacje prowadzą określone działania wspierające, np. prowadząc listę płac albo korzystając ze standardowej obsługi IT. Są to przykłady niezbędnych działań wspierających prowadzenie działalności głównej. Mimo że działania te są konieczne lub niezbędne, zazwyczaj uznawane są za raczej za działania dodatkowe niż za główną działalność. 

W Rozdziale VIII RODO określono środki ochrony prawnej, odpowiedzialność i sankcje. Zgodnie z art. 82 ust. 1 RODO, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora odszkodowanie za poniesioną szkodę. Administrator zostanie zwolniony z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa polskiego.

Ogólne warunki nakładania administracyjnych kar pieniężnych zostały określone w art. 83 RODO. Podstawowa zasada, która ma kierować się organ nadzorczy to obowiązek zapewnienia, aby stosowane administracyjne kary pieniężne, w każdym indywidualnym przypadku były:

1) skuteczne;

2) proporcjonalne;

3) odstraszające.

Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku. Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na szereg szczegółowych okoliczności wymienionych w art. 83 ust. 2 RODO. [10]

Naruszenia przepisów dotyczących obowiązków administratora, o których mowa w art. 8, 11, 25 -39 oraz 42 i 43 RODO, podlegają administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Naruszenia m. in. przepisów dotyczących:

1) podstawowych zasad przetwarzania, w tym warunków zgody, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9;

2) praw osób, których dane dotyczą, o których mowa w art. 12-22;

podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Niniejsze opracowanie porusza jedynie wybrane, najważniejsze zagadnienia z zakresu stosowania RODO. Z pewnością pełen obraz regulacji w omawianym zakresie uzyskać będzie można dopiero po wejściu w życie polskich przepisów prawa, wydanych w związku z wejściem w życie RODO.                                     

Radca Prawny Krzysztof Baka

Koordynator Biura Prawnego NIA

 

Przypisy:

[1] Art. 96d ust. 9d Pr. farm.

Apteka przechowuje recepty przez okres 5 lat, licząc od zakończenia roku kalendarzowego, w którym:

1) nastąpiła refundacja – w przypadku recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego lub wyroby medyczne;

2) zostały one realizowane – w przypadku recept innych niż określone w pkt 1.

Art. 96d ust. 9e Pr. farm.

Recepty w postaci elektronicznej są przechowywane w SIM przez okres co najmniej 5 lat, licząc od zakończenia roku kalendarzowego, w którym:

1) nastąpiła refundacja – w przypadku recept na refundowane leki, środki spożywcze specjalnego przeznaczenia żywieniowego lub wyroby medyczne;

2) zostały zrealizowane – w przypadku recept innych niż określone w pkt 1.

Art. 96 ust. 2d zd. drugie

Zapotrzebowania przechowuje się przez okres 5 lat, licząc od dnia 1 stycznia roku następującego po roku, w którym zapotrzebowanie zostało wystawione.

[2] Art. 13 ust. 1 lit. f RODO – Administrator podaje informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

[3] Art. 13 ust. 2 lit. c i f RODO – jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – Administrator podaje informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem; Administrator podaje informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

[4] Art. 15

  1. Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:

a) cele przetwarzania;

b) kategorie odnośnych danych osobowych;

c) informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

d) w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

e) informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

f) informacje o prawie wniesienia skargi do organu nadzorczego;

g) jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

h) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

2. Jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej, osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich zabezpieczeniach, o których mowa w art. 46, związanych z przekazaniem.

3. Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

4. Prawo do uzyskania kopii, o której mowa w ust. 3, nie może niekorzystnie wpływać na prawa i wolności innych.

[5] Art. 17. 1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:

a. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

b. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;

c. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;

d. dane osobowe były przetwarzane niezgodnie z prawem;

e. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;

f. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

2. Jeżeli administrator upublicznił dane osobowe, a na mocy ust. 1 ma obowiązek usunąć te dane osobowe, to – biorąc pod uwagę dostępną technologię i koszt realizacji – podejmuje rozsądne działania, w tym środki techniczne, by poinformować administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych, kopie tych danych osobowych lub ich replikacje.

3. Ust. 1 i 2 nie mają zastosowania, w zakresie w jakim przetwarzanie jest niezbędne:

a. do korzystania z prawa do wolności wypowiedzi i informacji;

b. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c. z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d. do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e. do ustalenia, dochodzenia lub obrony roszczeń.

[6] Art. 18. 1. Osoba, której dane dotyczą, ma prawo żądania od administratora ograniczenia przetwarzania w następujących przypadkach:

a) osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;

b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;

d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

2. Jeżeli na mocy ust. 1 przetwarzanie zostało ograniczone, takie dane osobowe można przetwarzać, z wyjątkiem przechowywania, wyłącznie za zgodą osoby, której dane dotyczą, lub w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej lub prawnej, lub z uwagi na ważne względy interesu publicznego Unii lub państwa członkowskiego.

3. Przed uchyleniem ograniczenia przetwarzania administrator informuje o tym osobę, której dane dotyczą, która żądała ograniczenia na mocy ust. 1.

[7] Art. 28. 3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

[8] Art. 30. 1. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

[9] Do przykładów „przetwarzania na dużą skalę” zaliczyć można:

– Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;

– Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem ‘kart miejskich’;

– Przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;

– Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;

– Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;

– Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:

– Przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza;

– Przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

[10] Art. 83 ust. 2.

Administracyjne kary pieniężne nakłada się, zależnie od okoliczności każdego indywidualnego przypadku, oprócz lub zamiast środków, o których mowa w art. 58 ust. 2 lit. a)-h) oraz j). Decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca się w każdym indywidualnym przypadku należytą uwagę na:

a) charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;

b) umyślny lub nieumyślny charakter naruszenia;

c) działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;

d) stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;

e) wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;

f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;

g) kategorie danych osobowych, których dotyczyło naruszenie;

h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;

i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;

j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz

k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Podobne wpisy