Jak poprawnie przetwarzać dane wrażliwe?
Ważne szczególnie dla firm z branży medycznej, kosmetycznej, edukacyjnej
!Pamiętaj!
zgodnie z DOMNIEMANIEM WINY
w prawie ochrony danych -
firmy przetwarzające dane nie zapłacą kary tylko,
jeśli udowodnią, że zrobiły wszystko aby poprawnie chronić dane
Dane szczególnych kategorii (tzw. dane wrażliwe) to dane osobowe ujawniające:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- dane genetyczne,
- dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej,
- dane dotyczące zdrowia,
- dotyczące seksualności lub orientacji seksualnej osoby.
Przetwarzanie danych wrażliwych jest dozwolone tylko w szczególnych przypadkach i pociąga za sobą bardziej restrykcyjne obowiązki administratora.
Dodatkowe restrykcje, o których będzie mowa dotyczą również danych osobowych dotyczących wyroków skazujących i naruszeń prawa i powiązanych z nimi środków bezpieczeństwa nałożonych na osobę.
Kiedy można przetwarzać dane wrażliwe
Co do zasady przetwarzanie danych wrażliwych jest możliwe tylko i wyłącznie, kiedy
– osoba, której dane dotyczą wyraziła na to zgodę; lub
– kiedy żadnym innym sposobem nie można osiągnąć ważnych dla ogółu (np. ochrona bezpieczeństwa) lub jednostki (np. ochrona zdrowia) celów.
Prawo ochrony danych osobowych opisało te cele w następujący sposób:
- niezbędne dla celów sądowych i ustawowych
- niezbędne do sprawowania wymiaru sprawiedliwości;
- niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
- niezbędne do ochrony dzieci i osób zagrożonych;
- przetwarzanie dotyczy danych osobowych będące już w domenie publicznej (oczywiście upublicznione);
- niezbędne do roszczeń prawnych;
- niezbędne, gdy sąd działa w ramach swoich uprawnień sądowych;
- niezbędne w celu zapobiegania oszustwom;
oraz
- niezbędne do celów archiwalnych, badawczych lub statystycznych.
Jakie firmy to dotyczy?
Dane wrażliwe przede wszystkim przetwarzają instytucje rządowe i publiczne, ale także: wszystkie szpitale, przychodnie, gabinety medyczne, laboratoria, masażyści, fizjoterapeuci, dietetycy i firmy oferujące katering dietetyczny, restauracje, kosmetyczki zajmujące się prostszymi zabiegami estetycznymi, apteki, firmy transportujące chorych oraz dostarczające leki, firmy zajmujące się opieką nad osobami starszymi oraz dziećmi, szkoły, partie, związki zawodowe, kościoły, firmy zapewniające różnego rodzaju serwis dla osób, które odbyły karę pozbawienia wolności, prawnicy, agencje pracy, doradcy finansowi i kredytowi, a często też firma zupełnie nie związana ze służbą zdrowia, czy polityką, ale zwyczajnie zbierająca od pracowników informacje o tym, czy przynależą oni do któregoś ze związków zawodowych.
Jakie obowiązki masz przetwarzając dane wrażliwe?
Po pierwsze musisz być w stanie wykazać, że przetwarzanie to jest bezwzględnie konieczne i spełnia jeden z warunków opisanych powyżej.
Po drugie przetwarzanie danych wrażliwych zobowiązuje Cię do przeprowadzenia tzw. analizy ryzyka “Data Protection Impact Assessment”.
Za pomocą tego dokumentu powinieneś być w stanie ocenić poziom ryzyka związany z przetwarzaniem danych wrażliwych, skalę przetwarzanych danych a także czy obejmuje Cię obowiązek wyznaczenia Inspektora Danych Osobowych – Data Protection Officer (DPO), czyli osoby, która jestem ekspertem w dziedzinie danych osobowych i w Twojej firmie nadzoruje i doradza stosowanie RODO/UK GDPR.
Obowiązek ten bezwględnie został nałożony na podmioty publiczne, a co do firm – uzależniony został od ilości przetwarzanych danych.
Jeśli przetwarzasz dane wrażliwe w skali dużej – obowiązek ten Cię dotyczy, jeśli w małej skali – nie masz tego obowiązku.
Przepisy nie precyzują pojęcia dużej skali, przyjmuje się jednak, że pojedyńczy gabinet lekarski przetwarza dane osobowe w skali małej, ale już podwójny i większe firmy – należy zaliczyć do skali objętej obowiązkiem posiadania DPO.
Na stronie ICO – możesz za pomocą udzielenia odpowiedzi na podstawowe pytania o Twojej organizacji uzyskać podpowiedź – czy ten obowiązek Cię dotyczy.
Po trzecie – powinieneś opracować szczególnie restrykcyjne procedury ochrony danych wrażliwych w firmie (“Sensitive Data Policy”), powierzyć je wyłącznie upoważnionym i przeszkolonym pod kątem przetwarzania danych osobowych pracowników.
Po czwarte – zadbaj o szkolenie dla pracowników. Powinni oni wiedzieć jak stosować przepisy ochrony danych osobowych w praktyce.
Po piąte – jako że najczęstszą przyczyną naruszenia ochrony danych osobowych jest czynnik ludzki – przemyśl obieg danych osobowych w Twojej firmie. Postaraj się rozdzielić obowiązki w ten sposób, aby tylko przeszkoleni i upoważnieni do przetwarzania danych pracownicy – brali udział w przetwarzaniu danych osobowych.
I wreszcie po szóste – Twoja firma najprawdopodobniej musi mieć Data Protection Licence – jeśli prowadzisz w ją w Wielkiej Brytanii. Jakiego rodzaju firmy ten obowiązek dotyczy – możesz sprawdzić na stronie ICO, lub w naszym artykule na ten temat.
Kim jest Data Protection Officer –
Inspektor Danych Oosbowych?
- pomoc i doradztwo w monitorowaniu poprawności stosowania prawa ochrony danych osobowych
- udzielanie porad dotyczących ocen skutków dla ochrony danych (DPIA)
- działają jako punkt kontaktowy dla osób, których dane dotyczą,
- oraz instytucji nadzorującej – ICO Information Commissioner’s Office w UK, w Polsce – Urząd Ochrony Danych Osobowych.
Jego dane kontaktowe: imię i nazwisko oraz co najmniej e-mail kontakt musi być również ujawniony w Twojej Polityce Prywatności, wewnętrznych rejestrach oraz zgłoszony do ICO, gdzie będzie widoczny w publicznym rejestrze jako Twój DPO przy Twojej “Data Protection Licence”.
Jeśli chciałbyś powierzyć nam funkcję DPO w Twojej firmie – oto co w ramach tej usługi będziemy wykonywać:
- powiadamiać Cię o wszelkich zmianach prawnych w tematyce GDPR / UK GDPR,
- prowadzić rejestr czynności przetwarzania (“Record of processing activities“) zgodnie z wymogami art. 30 GDPR,
- udzielać nielimitowanych porad online i telefonicznie,
- regularnie (1 do roku) dokonywać audytu Twojej firmy,
- wprowadzać wymagane prawem zmiany dokumentacji,
- reprezentować Cię wobec ICO (w tym w postępowaniu w sprawie naruszeń) oraz podmiotów danych osobowych (Data Subject Access Request).
Kliknij w przycisk DPO – aby poznać szczegóły naszej oferty
!Pamiętaj!
że w razie naruszenia RODO/UK GDPR w Twojej firmie -
masz tylko 72 godziny na poprawną reakcję
a w przypadku firm telekomunikacyjnych -
jedynie 24 godziny
Kara za nie wyznaczenie Data Protection Officer
Jeśli jesteś zobligowany przepisami aby w swojej działalności wyznaczyć DPO i tego nie zrobisz – możesz zostać ukarany finansowo.
Maksymalna wielkość kary za naruszenie RODO / UK GDPR wynisi w Wielkiej Brytanii: £17.5 miliona lub 4% Twojego rocznego obrotu – którakolwiek z tych wartości jest wyższa.
W praktyce jednak choć wiele podmiotów zostało ukaranych za to naruszenie – najwyższa orzeczona do tej pory – w EU – kara za nie wyznaczenie DPO wbrew istniejącemu obowiązkowi to 75.000 Euro (przez włoski odpowiednik ICO i UODO).