Dodano: 16.08.2019, Kategorie: Gabinet
RODO – kara za nadgorliwość
Grecki urząd ochrony danych (HDPA) nałożył grzywnę na markę PWC (globalna sieć przedsiębiorstw świadczących usługi księgowe, audytorskie i doradcze). Grzywna w wysokości 150 000 euro została nałożona z powodu nieprawidłowości w przetwarzaniu danych osobowych pracowników.
Pracownicy greckiego PWC byli zobowiązani do wyrażenia zgody na przetwarzanie ich danych osobowych. RODO nie zawsze wymaga zbierania zgód, m. in. zgody są niepotrzebne w sytuacji, gdy przetwarzanie danych osobowych wynika z prawnego obowiązku, co ma miejsce w przypadku danych pracowników.
Grecki urząd ochrony danych uznał, że pobieranie zgód nie było potrzebne i mogło stanowić praktykę dyskryminacyjną (pracownicy, którzy odmawiali podpisania zgody, co jest zgodne z RODO, mogli nie zostać przyjęci do pracy). Ponadto zbieranie zgód mogło zostać uznane za brak właściwego wdrożenia RODO (pracownicy PWC powinni wiedzieć, że zbieranie zgód nie jest zgodne z RODO).
Jak wynika z badań przeprowadzonych przez RODONET niemalże 30% ankietowanych praktyk medycznych wciąż zbiera zgody pacjentów na przetwarzanie ich danych osobowych. Podstawę prawną przetwarzania tych danych stanowi art. 9 ust. 2 lit. h RODO, w którym czytamy, że dozwolone jest przetwarzanie, które jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (gdy danymi operuje osoba objęta tajemnicą zawodową, pozostałe osoby muszą posiadać upoważnienie do przetwarzania lub umowę powierzenia).
Wykorzystanie zgody często jest uważane za dodatkowe zabezpieczenie w przypadku kontroli przez organ nadzorczy. Kara nałożona w Grecji pokazuje, że zbieranie niepotrzebnych zgód może być uznane jako postępowanie niezgodne z RODO.
Przetwarzanie danych osobowych w oparciu o nieprawidłową podstawę prawną (czyli zbieranie zgód od pacjentów) prowadzi do złamania zasady legalności. Nieznajomość podstaw prawnych oraz brak udokumentowania, na jakiej podstawie przetwarzamy dane osobowe pacjentów, prowadzi do niedostosowania praktyki do spełnienia zasady rozliczalności. Administrator danych osobowych jest osobą, która powinna wykazać w dokumentacji dotyczącej RODO (polityka bezpieczeństwa danych osobowych), że zbieranie zgód pacjentów w przypadku świadczenia usług zdrowotnych jest niezasadne, wskazując przy tym odpowiedni artykuł. Co więcej, nadmierne zbieranie zgód pacjentów jest sprzeczne z zasadą przejrzystości i obowiązkiem informacyjnym. Każdy osoba korzystająca ze świadczeń medycznych powinna zostać poinformowana o przysługujących jej prawach, a także o tym kto i w jakim celu przetwarza jej dane osobowe. Wyrażając zgodę (zarówno ustną, jak i pisemną) na diagnostykę czy leczenie pacjent wyraża jednocześnie zgodę na przetwarzanie danych osobowych przez placówkę, gdyż są one niezbędne do realizacji tego świadczenia. Podanie danych osobowych jest dobrowolne, jednak ich niepodanie uniemożliwi świadczenie usług zdrowotnych.
Podczas szkoleń przeprowadzonych przez ekspertów RODONET wielu uczestników (pracowników służby zdrowia) przyznało się do nadmiernego gromadzenia zgód pacjentów na przetwarzanie danych osobowych. Należy pamiętać, że zgoda jest ostatecznością i przed jej pobieraniem każdy Administrator powinien przeanalizować, czy nie ma innej przesłanki prawnej umożliwiającej przetwarzanie danych osobowych.
Autor:
Sylwia Miezio, rodonet@rodonet.pl, tel. 698101878
Zdjęcie: Fotolia