Obowiązek poinformowania osób, których dane dotyczą to jedno z najważniejszych zadań każdego administratora danych osobowych (ADO). Co powinna zawierać informacja o przetwarzaniu zostało już omówione. Ale to tylko teoria. Praktyka pokazuje, że ADO mają ogromne problemy z właściwie skonstrumowaną wiadomością kierowaną do osób, których dane dotyczą.

Administratorzy danych nie wiedzą, jak poprawnie zrealizować obowiązek informacyjny

Obowiązek informacyjny, a w zasadnie jego teoretyczna część została już na naszym portalu omówiona. W rzeczywistości obowiązki informacyjne tworzone przez zobowiązane do tego podmioty, zawierają sporo błędów. Przeanalizowaliśmy dokumentację dotyczącą RODO dostarczaną nam, jako odbiorcom i postanowiliśmy omawiać ciekawe przypadki w praktyce. Oczywiście dane przedsiębiorców będą zamazane. Nie chcemy wystawiać ich na publiczną chłostę, ponieważ błędna dokumentacja to nie zawsze ich wina.

Praktyczne omówienie, rzeczywistych błędów ułatwi opracowanie właściwej treści obowiązku wynikającego z art. 13 i 14 Ogólnego rozporządzenia o ochronie danych osobowych RODO. Przedstawimy w nich nie tylko i wyłącznie treść klauzul, ale zostaną one krok po kroku omówione. Dzięki temu czytelnicy zobaczą na przykładach, jak powinna wyglądać dokumentacja z RODO.

Informacja o przetwarzaniu danych osobowych w praktyce

Informacje o przetwarzaniu danych osobowych oraz treści zgód na wykorzystanie danych biją po oczach. Na każdym kroku jesteśmy zasypywani kolejnymi treściami. Administratorzy danych boją się skarg, kontroli z Urzędu Ochrony Danych Osobowych oraz finansowych kar RODO. Nie ma co się dziwić, skoro coraz cześciej słyszymy, że egzekwowanie przestrzegania przepisów o ochronie danych osobowych dzieje się naprawdę. Niestety, większość administratorów danych nie zdaje sobie sprawy, że bezmyślne przekazywanie informacji dotyczących przetarzania danych osobowych niesie ryzyko wprowadzenia osób, których dane dotyczą w błąd, a co za tym idzie narażenie siebie na kontrolę z UODO i coraz częsciej karę. Można podać dużo przykładów, gdzie właśnie urzędy ochrony danych osobowych w całej Europie właśnie za takie błędy ukarały administratorów.

Teoria, której często administratorzy nie rozumieją może nie wystarczyć w poprawnym skonstruowaniu dokumentacji dotyczącej przetwarzania danych osobowych, dlatego zdecydowaliśmy, że będziemy wskazywać błędy na konkretnych przykładach.

Ochrona danych osobowych w gabinetach lekarzy weterynarii – czyli kogel mogel i galimatias w jednym


Na pierwszy „ogień” zaprezentujemy  kwiatki, jakie zobaczyliśmy przy okazji jednej z wizyt u lekarza weterynarii. Dlaczego właśnie ta dziedzina? Ponieważ to ona zainspirowała nas do utworzenia tej serii.

Oczywiście nie każdy gabinet musi posiadać inspektora ochrony danych (IOD), czy osobę przynajmniej trochę znającą się na RODO. Problem w tym, że gabinety weterynaryjne swoją działalność prowadzą w oparciu o zewnętrznie rozwiązania. Wykupują one system informatyczny dedykowany specjalnie do ich działalności.  W ramach dostarczanych usług informatycznych klienci, a więc lekarze weterynarii oraz gabinety podlegające pod spółki prawa handlowego, otrzymują rozwiązania niezbędne do prowadzenia działalności leczniczej zwierząt w XXI w. Oprócz tego od maja 2018 r. wprowadzono opcję automatycznego wygenerowania klauzur informacyjnych dotyczących przetwarzania danych osobowych  i dokumentacji spełniającej wymagania RODO.

I właśnie z tym spełnieniem wymagań jest… tak nie do końca. Lekarze weterynarii, płacą za produkt i stosują się do wymagań RODO w dobrzej wierze, a otrzymują dokumentację, która m.in. powołuje się na przepisy ustawy o ochronie danych osobowych… z 1997 r. (sic!). Przepisy te są nieaktualne od maja 2018 r., jednak nie przeszkadza to profesjonalnym podmiotom aby sprzedawać tak przygotowany produkt, właściwie niezwierający żadnej wartości merytorycznej.

Nasz wywód nie ma na celu negowania lekarzy weterynarii. Oni działają w dobrej wierze i trwają w przekonaniu, że profesjonalny podmiot w ramach dostarczanej im dokumentacji posiada wiedzę na temat RODO.

Analiza informacji o przetwarzaniu danych osobowych krok po kroku

Punkty 1 i 2 – nie budzą wątpliwości co do ich treści

Punkt 3 i 4 – jeśli podstawą przetwarzania jest zgoda to dlaczego w punkt 9 odnosi się do przepisów prawa farmaceutycznego?

Lekarze weterynarii posiadają uprawnienia do wypisywania recept, podobnie jak lekarze powszechni. Recepty realizowane są przez opiekunów pupili w powszechnych aptekach. W związku z tym dane właścicieli zwierząt przetwarzane są na podstawie ustawy prawo farmaceutyczne. To w jej treści należy doszukiwać się czasu przetwarzania danych.

Czym innym jest przetwarzanie danych osobowych opiekunów w celu realizacji usługi weterynaryjnej, a czym innym w celu realizacji recepty. Nie w każdym przypadku, podobnie jak u ludzi, będzie wystawiona recepta. Tutaj występuje umowa, a nie zgoda, jakby to wynikało z treści klauzur.

Dodatkowo „nieokreślony czas” przetwarzania. To sformułowanie już woła o pomstę do nieba. Przecież w założeniach reformy ochrony danych osobowych było, aby m.in. wykluczyć takie sformułowania. Jeśli podstawą jest umowa to wykładaną będą przepisy kodeksu cywilnego oraz podatkowe. Czyli maksymalnie 5 lat.

Punkt 5 – RODO nie pozwala na przenoszenie danych jeśli ich przetwarzanie odbywa się na podstawie przepisu prawa. Tak więc dane przetwarzane w celu realizacji recepty nie będą mogły zostać przeniesione.

Co innego dane przetwarzane w celu realizacji umowy, te mogą być przenoszone (art. 20 ust. 1 pkt a RODO).

Kolejna kwestia to organ nadzorczy. Znaczy jaki to jest organ? Powinna zostać wskazana pełna nazwa organu, a więc Prezes Ochrony Danych Osobowych, wraz z adresem siedziby.

Punkt 6 – które dane? Te w celu wypisania recepty, czy obsługi klienta? W omawianym przypadku przetwarzanie odbywa się w dwóch niezależnych od siebie celach. Dodatkowo brak podmiotów państwowych, jak np. Inspekcja Farmaceutyczna.

I na koniec smaczek… Ankieta zgody, powołująca się na przepisy ustawy z 1997 r. Nie dość, że przetwarzanie danych nie odbywa się tak naprawdę na podstawie zgody, to dodatkowo formularz powołuje się na nieistniejące od trzech lat przepisy. To już pozostawimy bez komentarza…

Czy dobrze informuję osoby, których dane posiadam?

Jak widać, w krótkiej informacji o przetwarzaniu danych osobowych może zawierać się sporo błędów. Niestety, bardzo często ufamy, że dokumentacja RODO, którą zakupiliśmy od specjalistów jest wystarczająca. Sprzedawcy obiecują nam, że zakupienie takiego pakietu pozwoli nam być zgodnym z przepisami. Tak nie jest. Każdy przypadek jest inny i wymaga indywidualnego podejścia. Trzeba się zastanowić, które informacje spełniamy w kontekście przetwarzania konkretnych danych w konretnej sytuacji.

Masz problem ze skonstruowaniem właściwej informacji o przetwarzaniu danych osobowych? Chcesz mieć pewność, że właściwie spełniasz obowiązek informacyjny wynikający z RODO? Skontakuj się z nami. Pomożemy.