Jakie znaczenie dla branży Life Sciences ma pierwsza kara za nieprzestrzeganie RODO?

Decyzja Prezesa Urzędu Ochrony Danych Osobowych o nałożeniu pierwszej kary pieniężnej za niedopełnienie obowiązku informacyjnego[1] wywołała ożywioną dyskusję. Dyskusję uzasadnioną, gdyż niezależnie od dalszych losów decyzji (stronie ukaranej przysługuje prawo wniesienia skargi do sądu administracyjnego, co wstrzymuje wykonanie decyzji), przyznać trzeba, że Urząd w sposób szczególny zwraca uwagę na prawidłową realizację obowiązku informacyjnego.

O czym zatem powinny pamiętać podmioty z branży Life Sciences wypełniając obowiązek informacyjny?

Na początku warto przypomnieć, że RODO przewiduje spełnienie obowiązku informacyjnego zarówno w przypadku, gdy dane osobowe są zbierane bezpośrednio od osoby, której dane dotyczą, jak i kiedy danych osobowych nie pozyskano od tej osoby. Zakres podawanych przez administratora danych pozostaje w obu przypadkach praktycznie tożsamy. W przypadku wtórnego gromadzenia danych osobowych administrator ma dodatkowo obowiązek wskazania źródła pochodzenia danych.

Wypełnienie obowiązku informacyjnego może być realizowane na różne sposoby. Ważne, aby była to informacja przekazana w zwięzłej, przejrzystej, zrozumiałej oraz łatwo dostępnej formie. W związku z zasadą rozliczalności istotna jest, np. poprzez archiwizację plików i dokumentów, możliwość wykazania, że obowiązek informacyjny został faktycznie zrealizowany. Realizacja tego obowiązku ma bowiem wpływać na lepszą orientację, co się dzieje z naszymi danymi oraz umożliwiać łatwiejsze korzystanie z przysługujących nam praw, w tym lepszą kontrolę nad zakresem danych, które są przetwarzane.

W przypadku branży Life Sciences szczególne znaczenia ma ochrona tzw. danych osobowych „wrażliwych”. Dlatego tak istotne znaczenie ma przykładowo spełnienie obowiązku informacyjnego w związku ze zgłaszaniem zdarzeń niepożądanych w ramach systemu nadzoru nad bezpieczeństwem stosowania produktów leczniczych.

Zwrócić warto również uwagę na wyjątki od zasady realizacji obowiązku informacyjnego.

Pierwszy to sytuacja, gdy podmiot wykonujący działalność leczniczą wchodzi w posiadanie danych osobowych pacjenta na potrzeby realizacji celów zdrowotnych przetwarzania. W takiej sytuacji podmiot taki nie musi realizować wobec pacjenta obowiązku informacyjnego. Pozwala na to wyłączenie z art. 14 ust. 5 lit c RODO, tj. sytuacja, gdy pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem UE lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą. Taka okoliczność może wystąpić np. w przypadku udostępniania przez pracodawcę danych osobowych pracownika za jego zgodą podmiotowi leczniczemu, który ma objąć go prywatną opieką medyczną. Jeżeli jednak podmiot leczniczy będzie przetwarzał dane osobowe w oparciu o inne cele i podstawy prawne przetwarzania (np. własne cele marketingowe na podstawie zgody), powinien spełnić obowiązek informacyjny.

Podobnie będzie w przypadku, w którym podmiot wykonujący działalność leczniczą wchodzi w posiadanie danych osobowych przedstawicieli ustawowych, osób upoważnionych do dostępu do dokumentacji medycznej pacjenta lub zasięgania informacji o jego stanie zdrowia lub też innych osób wskazanych przez pacjenta w związku z udzielaniem mu świadczeń zdrowotnych i utrwalonych w dokumentacji medycznej. W oparciu wspomniany wyżej art. 14 ust. 5 lit c lub art. 14 ust. 5 lit. d RODO (tj. dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie UE lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy), brak jest wymogu realizacji obowiązku informacyjnego względem tych osób.

Niezależnie od powyższego pamiętać należy o identyfikacji podstaw prawnych i celów przetwarzania danych osobowych, wypełnianiu obowiązku informacyjnego zgodnie z art. 13 i 14 RODO, a także zagwarantowaniu realizacji praw wynikających z RODO osobom, których dane przetwarza Państwa firma.

Prawidłowa realizacja obowiązków wynikających z RODO jest istotna również z uwagi na zaplanowane w tym roku przez Urząd kontrole sektorowe obejmujące podmioty udzielające świadczeń zdrowotnych.

[1] Decyzja Prezesa Urzędu Ochrony Danych Osobowych nr ZSPR.421.3.2018, treść decyzji dostępna jest pod adresem:  https://uodo.gov.pl/pl/324/787


Autor:  Roksana Strubel –  prawnik
Kancelaria KONDRAT i Partnerzy – biuro@kondrat.pl

Źródło zdjęcia: https://pixabay.com/pl