Podmioty wykonujące działalność leczniczą przetwarzają (zgodnie z obowiązującą na dzień zakończenia prac autorów nad artykułem ustawą o ochronie danych osobowych) dane dotyczące m.in. „stanu zdrowia, kodu genetycznego, nałogów lub życia seksual-nego” [Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz. U. z 2016 r., poz. 922]. Ogólne rozporządzenie (RODO) określa te kategorie danych jako dane wraż-liwe i rozszerza ich katalog o dane biometryczne. Zgodnie z art. 9, pkt. 1 RODO „Zabra-nia się przetwarza„Zabra-nia danych osobowych ujaw„Zabra-niających pochodzenie rasowe lub etnicz-ne, poglądy polityczetnicz-ne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycz-nych w celu jednoznacznego zidentyfikowania osoby fizycznej lub dabiometrycz-nych dotyczących
· Dane dotyczące zdrowia to dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające infor-macje o stanie jej zdrowia.
· Dane genetyczne to dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej [RODO, http://eur-lex.europa.eu/legal-content/PL/ TXT/PDF/?uri=CELEX:32016R0679&from=PL, dostęp: 15.12.2017.]
RODO określa warunki, jakie będą musiały spełnić podmioty przetwarzające dane osobowe. Najważniejsze zmiany zostały przedstawione w tabeli (zob. tabela 1).
Tabela 1. Wykaz zmian wprowadzanych przez RODO
Zmiana Opis
Rozszerzone prawa osób, których dane dotyczą
Wzmocnione prawo do dostępu do swoich danych (art. 15), prawo do sprostowania danych (art. 16), prawo do „bycia zapomnianym” (art. 17), prawo do sprzeciwu wobec przetwarzania danych (art. 21), prawo do zakazania marketingu bezpośredniego z wy-korzystaniem danych osobowych (art. 22), prawo do przenoszenia danych (art. 20)
Inspektor ochrony danych (IOD)
Sekcja 4. RODO dotyczy wyznaczania obowiązków i zadań Inspektora Ochrony Da-nych (IOD). W art. 37 podano sytuacje, w których konieczne jest powołanie IOD. In-spektor Ochrony Danych musi posiadać odpowiednie kompetencje: wiedzę na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności potrzebne do wypeł-nienia zadań IOD
Obowiązek infor-macyjny i zgody na przetwarzanie danych
W RODO rozszerzono zakres obowiązku informacyjnego (art. 13) o okres, przez który dane osobowe będą przechowywane, informacje o prawie wniesienia skargi do orga-nu nadzorczego oraz podstawę prawną przetwarzania danych. Ponadto wprowadzo-no wprowadzo-nowe, i uzupełniowprowadzo-no istniejące, zasady uzyskiwania zgód na przetwarzanie danych osobowych (art. 7– 8)
Obowiązek zgła-szania naruszeń ochrony danych
Zgodnie z art. 33 ust. 1 w przypadku naruszenia ochrony danych osobowych admini-strator ma obowiązek w ciągu 72 godzin zgłosić ten fakt właściwemu organowi nad-zorczemu. Wyjątkiem jest sytuacja, w której naruszenie to nie skutkowało ryzykiem ruszenia praw lub wolności osób fizycznych. W przypadku zgłoszenia po terminie, na-leży wyjaśnić przyczynę opóźnienia. Ponadto art. 34 nakłada obowiązek poinformo-wania osoby, której dane dotyczą o zaistnieniu naruszenia ochrony jej danych oso-bowych
Administracyjne kary pieniężne
Rozporządzenie RODO przewiduje możliwość nakładania i egzekwowania przez organ nadzorczy administracyjnych kar pieniężnych za naruszenie zapisów rozporządzenia w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa (art. 83)
Bezpośrednia od-powiedzialność
Zgodnie z rozporządzeniem podmiot przetwarzający dane osobowe (osoba fizycz-na lub prawfizycz-na, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora) będzie ponosić bezpośrednią odpowiedzial-ność za naruszenie zapisów rozporządzenia, włączając w to ryzyko otrzymania kary pieniężnej za naruszenie zapisów RODO
Zasada privacy by design
i privacy by de-fault
Obie zasady zostały wprowadzone przez art. 25 RODO. Zasada privacy by design na-kłada obowiązek na administratora, aby już w fazie projektowania systemu służą-cego do przetwarzania danych i następnie jego użytkowania, wdrożył odpowied-nie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych takich, jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń tak, by spełnić wymo-gi rozporządzenia oraz chronić prawa osób, których dane dotyczą. Zasada privacy by default dotyczy wdrażania takich środków technicznych i organizacyjnych, aby do-myślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne do osią-gnięcia każdego konkretnego celu przetwarzania
Ocena skutków dla ochrony danych
Art. 35 wprowadza nowy mechanizm oceny wpływu przetwarzania danych osobo-wych na prywatność osób, których dane dotyczą (Privacy Impact Assessment). W myśl tej zasady, administrator przed rozpoczęciem przetwarzania danych dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Taka ocena powinna zawierać: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, ocenę, czy operacje przetwarzania są niezbędne oraz propor-cjonalne w stosunku do celów; ocenę ryzyka naruszenia praw lub wolności osób, któ-rych dane dotyczą oraz środki planowane w celu zaradzenia ryzyku
Ograniczenia w zakresie profi-lowania
Zgodnie z definicją zawartą w rozporządzeniu „profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzy-staniu danych osobowych do oceny niektórych czynników osobowych osoby fizycz-nej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zain-teresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”. RODO wprowadza ograniczenia w stosunku do profilowania: obowiązek otrzymania zgo-dy na profilowanie oraz informowania o profilowaniu, konieczność akceptacji braku zgody na profilowanie (art. 22)
Źródło: opracowanie własne na podstawie: [RODO, http://eur-lex.europa.eu/legal-content/PL/TXT/ PDF/?uri=CELEX:32016R0679&from=PL, dostęp: 15.12.2017., Czarnuch 2017, PWC 2017, BSI 2017, Tikkinen-Piri, Rohunen, Markkula 2018, ss. 134–153, Gellert 2018, ss. 279–288, O’Connor, Rowan, Lynch i in. 2017, ss. 653–658, Romanou 2018, ss. 99–110].
Zgodnie z art. 40 RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja UE zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO – z uwzględnieniem specyfiki róż-nych sektorów dokonujących przetwarzania daróż-nych oraz szczególróż-nych potrzeb mikro-przedsiębiorstw oraz małych i średnich mikro-przedsiębiorstw. Wyżej wymienione podmio-ty zachęcają również w art. 42 rozporządzenia do ustanawiania mechanizmów cerpodmio-ty-