APZ.PL - Dietetyka w Praktyce. Rozwój i Innowacje
kontakt@apz.pl +48 733 125 125

Blog

RODO - co musi wiedzieć dietetyk?

Ostatnio szerokim echem odbiła się pierwsza kara w wysokości ok. 1 mln złotych nałożona przez Prezesa Urzędu Ochrony Danych Osobowych na jedną z firm działających na terenie Polski. Jak widać RODO nie warto ignorować, bez względu czy jest się firmą handlującą danymi osobowymi, warsztatem samochodowym, salonem kosmetycznym czy... gabinetem dietetycznym. 

Większość dietetyków podeszło do tematu RODO mówiąc w uproszczeniu - "na luzie", twierdząc, że to w praktyce raczej mało ich dotyczy.  Oczywiście trzeba wydawać niby jakieś „zgody” do podpisywania pacjentom, ale na ogół na tym zadanie się kończy. Tymczasem od momentu wejścia RODO do Polski, temat ten nieustannie ewoluuje i wymaga nieustannego aktualizowania procedur. Przez te kilka ostatnich miesięcy mnóstwo spraw się zmieniło, weszły nowe rozporządzenia i obostrzenia. Dietetycy są w tej niefortunnej sytuacji, że dodatkowo przetwarzają dane szczególnie wrażliwe, na ochronę których kładzie się szczególny nacisk. 

W takim razie co powinien zrobić dietetyk, by jego działalność spełniała wymogi RODO?

Niestety, nie wystarczy jedynie podpisanie zgody na przetwarzanie danych przez pacjenta. Dietetyk, jako Administrator danych swoich pacjentów powinien wiedzieć, że jest to tylko jeden z wielu elementów, o które powinien zadbać, aby przetwarzać dane zgodnie z obowiązującymi przepisami. Zbieranie od pacjentów pisemnej zgody na przetwarzanie danych nie jest akurat najistotniejsze. Jest znacznie więcej tematów o które należy zadbać prowadząc gabinet dietetyczny. Obok przygotowania odpowiednich zgód oraz klauzul informacyjnych dla klientów jak również ew. kontrahentów i pracowników, dietetyk powinien posiadać również szczegółowo opracowaną Politykę Ochrony Danych Osobowych która obejmuje wykaz następujących dokumentów: 

  • wykaz pomieszczeń 
  • rejestr czynności przetwarzania danych 
  • rejestr kategorii czynności przetwarzania danych Podmiotu przetwarzającego
  • dokumentacja naruszenia ochrony danych osobowych
  • upoważnienie do przetwarzania Danych Osobowych wraz z klauzulą poufności
  • ewidencja osób upoważnionych do przetwarzania Danych Osobowych
  • analiza ryzyka
  • ocena skutków przetwarzania danych osobowych

A to wszystko niestety zajmuje dziesiątki stron dokumentów, które powinny być indywidualnie dopasowane pod działalność dietetyka i przygotowane na poczet ewentualnej kontroli, która nie jest aż tak nierealna jak nam się powszechnie wydaje. 

Strona internetowa

Obok spraw związanych z ochroną danych osobowych w gabinecie dietetycznym, dietetyk powinien również zapewnić odpowiednie bezpieczeństwo prawne swojej stronie internetowej. Analiza prawna większości stron internetowych wykazuje, że większość nie spełnia nawet podstawowych standardów RODO w szczególności zasady ograniczenia celów oraz zasady minimalizacji danych. Mimo że, błędy wynikają najczęściej z niewiedzy Administratorów to narażają ich na różne konsekwencje prawne i kary. Warto zwracać uwagę, by każda strona internetowa zawierała prawidłowo przygotowany, indywidualny Regulamin, Politykę Prywatności czy Politykę plików cookies. Na stronie internetowej Dietetyk-Administrator zobowiązany jest poinformować Użytkowników w sposób jasny i zrozumiały o swoich danych identyfikujących, w szczególności: nazwie i adresie siedziby przedsiębiorstwa, organie który zarejestrował działalność Administratora oraz numerze wpisu, adresie e-mail oraz numerze telefonu.   Dokumenty powinny zostać umieszczone na stronie internetowej czytelną czcionką (barwa i rozmiar powinny  umożliwiać swobodne odczytanie dokumentów).  Treść dokumentów powinna znajdować się na oddzielnych podstronach dla każdego dokumentu z osobna.  Użytkownik powinien mieć możliwość skopiowania dokumentu poprzez zaznaczenie jego treści (Ctrl+A) oraz skopiowanie (Ctrl + C).  Użytkownik powinien mieć również możliwość wydrukowania dokumentów z poziomu przeglądarki internetowej. 

Jeżeli dietetyk zbiera na swojej stronie poprzez odpowiednie formularze dane osobowe użytkowników (maile, numery telefonów, itp.) zobowiązany jest umieszczać odpowiednie klauzule i zgody wynikające również z krajowych przepisów o Prawie telekomunikacyjnym. Użytkownik po ich przeczytaniu i akceptacji warunków Polityki Prywatności musi mieć swobodę w złożeniu oświadczenia woli klientów o zgodzie na przetwarzanie ich danych. Przy klauzuli powinno znajdować się pole, które użytkownik powinien odznaczyć jako potwierdzenie akceptacji klauzuli. Należy pamiętać, że niedopuszczalne jest , aby użytkownik mógł wysłać formularz bez odznaczenia klauzuli obowiązkowej.  Nazwa poszczególnych dokumentów zawarta w klauzulach powinna być aktywnym linkiem kierującym Użytkownika bezpośrednio do podstrony, której dokument dotyczy – Regulaminu lub Polityki prywatności.   

Wizyty On-line

To kolejny niezwykle istotny temat na który powinni zwracać uwagę dietetycy wobec przepisów RODO. W przypadku składania zamówienia przez klientów na na program żywieniowy drogą internetową nie jest konieczne odbieranie odrębnej zgody na przetwarzanie danych osobowych, pod warunkiem, że klient zaakceptuje regulamin (zawrze umowę drogą elektroniczną), w przeciwnym razie, nie ma podstawy do przetwarzania jego danych osobowych. Dane osobowe mogą być przetwarzane wyłącznie w celu realizacji zamówienia. W przypadku przetwarzania danych osobowych w innym celu np. przesyłania informacji o naszych usługach, wydarzeniach, promocjach drogą elektroniczną należy odebrać kolejną zgodę.

Newsletter

W tym przypadku również istnieje cały ogrom uchybień. Po 25 maja 2018 r. nie jest możliwym przetwarzanie danych osobowych w innym celu niż wynika to z zawartej umowy (akceptacji regulaminu, odbywania oraz kontynuacji wizyt etc.). Aby przesyłać materiały (gazetki, promocje, newsy) drogą elektroniczną lub przetwarzać dane osobowe w celach marketingowych, koniecznym jest odebranie odrębnych zgód!  

 Pliki Cookies

Dietetyk posiadający własną stronę internetową musi również zadbać o pewne funkcje techniczne. Jedną z nich są pliki cookies. Przy każdych „pierwszych” odwiedzinach Użytkownika strony powinna pojawić się informacja w postaci widocznego apelu o wykorzystywaniu plików cookies.  Treść apelu powinna być czytelna i widoczna dla Użytkownika i możliwa do wyłączenia poprzez przycisk „Akceptuję”lub „X”. W treści apelu powinien znajdować się aktywny link do Polityki plików cookies.   

Podsumowując RODO, widać, że nie jest to zagadnienie proste do samodzielnego przygotowania. Wiele firm na wdrożenie przepisów RODO, opracowanie i aktualizowanie dokumentacji wydaje ogromne pieniądze. Nie jest to bowiem ani łatwe ani szybkie. W przypadku naszej sieci, przygotowanie pełnej dokumentacji dla każdego z naszych dietetyków trwało kilka miesięcy. Jednak same opracowanie i wdrożenie dokumentacji i tak nie rozwiązuje problemu, gdyż przepisy nieustannie ewoluują i wymagają  wprowadzania kolejnych zmian i korekt. 

Warto też pamiętać, że ważne są nie tylko procedury i dokumenty ale przede wszystkim ludzkie i zdroworozsądkowe podejście do tematu ochrony danych osobowych, jak np. „czyste biurko”, nie pozostawianie dokumentów, zapisów, badań klientów w postronnych miejscach, pamiętanie o wylogowaniu komputera, itp. Bo to nie tyle brak kompletnych dokumentów ale przede wszystkim skargi klientów mogą być przyczyną naszych kłopotów. A jak wiadomo klienci są w tym temacie coraz bardziej świadomi. 

03 kwietnia, 2019
Kategoria: Artykuł
Zobacz

Twój komentarz

Copyright 2024 © APZ.PL Sp. z o.o.