Dołącz do czytelników
Brak wyników

W gabinecie dietetyka

5 czerwca 2019

NR 1 (Luty 2019)

Przetwarzanie danych klienta przez dietetyków w świetle RODO

0 119

W swojej pracy dietetycy na co dzień mają do czynienia z dużą ilością danych osobowych. Przetwarzane są dane klientów niezbędne do zawarcia umowy, takie jak imię, nazwisko, adres, adres e-mail, numer telefonu. Ponadto, aby ułożyć dietę odpowiednią dla danego klienta, dietetyk musi przeprowadzić szczegółowy wywiad, uzyskując m.in. informacje na temat stanu zdrowia klienta. Aby nie narazić się na zarzut naruszenia przepisów o ochronie danych, warto zapoznać się z podstawowymi regułami dotyczącymi ich przetwarzania wprowadzonymi przepisami RODO [1] i ustawy o ochronie danych osobowych [2]. 

Czy każdy dietetyk musi stosować przepisy RODO?

Przepisy RODO stosuje się do wszystkich osób prowadzących działalność gospodarczą, niezależnie od branży, w której działają, oraz skali prowadzonej działalności. Dlatego reguły wprowadzone przez RODO będą dotyczyć zarówno dietetyków prowadzących jednoosobową działalność, jak i dużych firm. Kluczowe jest jednak rozróżnienie roli, jaką mogą odgrywać dietetycy (administratorów lub podmiotów przetwarzających dane z upoważnienia administratora), bo od tego będzie zależeć zarówno konkretyzacja obowiązków, jak i zakres odpowiedzialności danego dietetyka. 

Dietetyk jako administrator

Jeśli dietetyk prowadzi jednoosobową działalność gospodarczą, zostanie uznany za administratora danych. 

Za administratora uważa się bowiem podmiot decydujący o celach i sposobach przetwarzania danych [3]. W takim przypadku dietetyk będzie zobowiązany do spełnienia wszystkich wymagań nałożonych przez przepisy – zarówno co do odpowiedniego zabezpieczenia danych, prowadzenia dokumentacji, odpowiadania na żądania osób, których dane dotyczą, jak i spełnienia obowiązków informacyjnych względem ww. osób. 

Dietetyk jako podmiot przetwarzający dane z upoważnienia administratora

Inaczej będzie jednak, jeśli dietetyk jest zatrudniony na podstawie umowy o pracę, np. w szpitalu czy przychodni. Wtedy nie decyduje już o sposobie postępowania z danymi, bowiem musi wykonywać polecenia swojego pracodawcy. Dlatego to pracodawca będzie uznany za administratora danych i to on będzie ponosił całkowitą odpowiedzialność względem osób trzecich za prawidłowość ich przetwarzania. Dietetyk będzie jedynie zobowiązany do wykonywania poleceń pracodawcy i stosowania się do istniejących w miejscu pracy regulaminów i polityk. Jego odpowiedzialność względem osób trzecich będzie ograniczona i będzie odpowiadać jedynie za szkody wyrządzone pracodawcy. Oczywiście nie dotyczy to sytuacji, w której dietetyk z winy umyślnej doprowadzi do wycieku danych lub innego rodzaju szkód. Również osoby zatrudnione na podstawie umów cywilnoprawnych, jeśli rzeczywiście wykonują one swoje obowiązki w sposób tożsamy z osobami zatrudnionymi na podstawie umów o pracę, będą uważane za osoby przetwarzające dane z upoważnienia zleceniodawcy. W konsekwencji ich obowiązki w zakresie ochrony danych ograniczą się do przestrzegania reguł przyjętych w danym miejscu pracy. 

Na jakiej podstawie przetwarzać dane i czy zawsze wymagana jest zgoda klienta?

Częstą praktyką jest opieranie przetwarzania danych jedynie na przesłance zgody klienta. Nie jest to prawidłowa praktyka, zaś RODO wymienia szereg innych podstaw, na które można się powołać. W przypadku umowy zawieranej z klientem można powołać się na niezbędność do wykonania umowy (z zastrzeżeniem, że chodzi jedynie o dane niezbędne do jej wykonania). Artykuł 6 ust. 1 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy [4]. Można więc zbierać dane takie, jak imię, nazwisko, adres czy numer NIP, a także dane kontaktowe – numer telefonu lub e-mail. Ponieważ niektóre przepisy wymagają przechowywania dokumentów przez określony czas (np. pięć lat w przypadku dokumentacji podatkowej), podstawą przetwarzania będzie niezbędność do wypełnienia obowiązku prawnego ciążącego na administratorze. Artykuł 6 ust. 1 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: c) RODO: Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze [5]. Jeśli dietetyk prowadzi stronę internetową, na której zbiera informacje o użytkownikach (wystarczy adres IP) lub chce wysyłać klientom informacje handlowe pocztą, podstawą przetwarzania może być uzasadniony interes administratora. Artykuł 6 ust. 1 RODO: Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków: f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub osobę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem [6]. Z kolei zgodę należałoby pobrać w przypadku wysyłki informacji handlowych mailowo, SMS-em lub telefonicznie. Wynika to jednak nie tyle z RODO, co z przepisów ustawy o świadczeniu usług drogą elektroniczną i ustawy Prawo telekomunikacyjne, które zabraniają przesyłania informacji handlowych bez zgody danej osoby [7]. Przykładowa zgoda mogłaby wyglądać następująco: Wyrażam zgodę na otrzymywanie od x (wpisać nazwę firmy) informacji marketingowych na wskazany poniżej adres e-mail. 

Wśród danych przetwarzanych przez dietetyków znajdą się tzw. dane szczególnej kategorii – dane dotyczące zdrowia. Będą to przykładowo informacje o przebytych chorobach, alergiach, przyjmowanych lekach. W stosunku do tych danych stosuje się szczególne regulacje – istnieje domyślny zakaz ich...

Artykuł jest dostępny dla zalogowanych użytkowników w ramach Otwartego Dostępu.

Załóż konto lub zaloguj się.
Czekają na Ciebie bezpłatne artykuły pokazowe z wybranych numerów czasopisma.
Załóż konto Zaloguj się

Przypisy