KOMUNIKAT PRAWNIKA WIELKOPOLSKIEJ OKRĘGOWEJ IZBY APTEKARSKIEJ W SPRAWIE RODO

KOMUNIKAT PRAWNIKA WIELKOPOLSKIEJ OKRĘGOWEJ IZBY APTEKARSKIEJ W SPRAWIE RODO

W związku z funkcjonowaniem RODO pragnę zwrócić szczególną uwagę na właściwe stosowanie wewnętrznych regulacji w Państwa firmach dotyczących ochrony danych osobowych. Proszę pamiętać o aktualizacji ryzyk związanych z zabezpieczeniem danych osobowych szczególnie w przypadku wystąpienia naruszenia ochrony danych np. włamanie do lokalu apteki lub włamanie elektroniczne. W każdym przypadku należy zaktualizować posiadane procedury pod kątem wystąpienia nowych ryzyk oraz powiadomić Prezesa Urzędu Ochrony Danych Osobowych o możliwości niepowołanego dostępu do zbioru danych prowadzonych przez firmę. Zgodnie z interpretacją zawartą na stronach internetowych UODO:

 „w przypadku wykrycia przez administratora naruszenia ochrony danych osobowych konieczne jest, aby w pierwszej kolejności dokonana została analiza pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych.’’

Jeżeli w wyniku przeprowadzonego badania okaże się, że nie ma prawdopodobieństwa wystąpienia ryzyka naruszenia praw i wolności osób fizycznych, administrator zwolniony jest z obowiązku powiadamiania organu nadzorczego o naruszeniu. Jednakże pamiętać trzeba, że organ nadzorczy będzie mógł zwrócić się do administratora o uzasadnienie decyzji o niezgłaszaniu naruszenia, w związku z tym, wnioski z przeprowadzonej analizy należy udokumentować w wewnętrznej ewidencji naruszeń.

Ryzyko naruszenia praw i wolności osób fizycznych jest obecne, kiedy naruszenie może skutkować fizyczną, materialną lub niematerialną szkodą dla osób fizycznych, których dane naruszono. Szkodami takimi są np. dyskryminacja, kradzież tożsamości lub oszustwo dotyczące tożsamości, nadużycia finansowe, straty finansowe, nieuprawnione cofnięcie pseudonimizacji , utrata poufności danych osobowych chronionych tajemnicą zawodową, naruszenie dobrego imienia lub inne znaczące skutki gospodarcze lub społeczne dla danej osoby fizycznej. Jeżeli naruszenie dotyczy danych osobowych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych lub danych genetycznych, dotyczących zdrowia lub życia seksualnego, należy uznać, że występuje duże prawdopodobieństwo takiej szkody.”

W przypadku danych osobowych gromadzonych przez apteki praktycznie zawsze wystąpi szkoda w przypadku nielegalnego udostępnienia danych osobowych, gdyż dane zawarte na recepcie są danymi wrażliwymi.

 Z tego też względu praktykowane ciągle wysyłanie np. recept do hurtowni w celu udowodnienia zapotrzebowania na konkretny lek  może odbywać się tylko i wyłącznie poprzez zanonimizowanie recepty, czyli pozostawienie tylko takich informacji, które nie zawierają danych osobowych – czyli recepty bez imienia, nazwiska, PESEL, dokładny adres zamieszkania itp.

Inny przykład – następuje włamanie do apteki i kradzież m.in. komputerów. Na komputerach zapisane są dane osobowe oraz loginy do systemów informatycznych. W takim przypadku należy oprócz zawiadomienia Policji, dokonać analizy pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych oraz powiadomić Prezesa UODO o możliwym nielegalnym dostępie do danych osobowych, zweryfikować procedurę bezpieczeństwa tak aby zminimalizować ryzyko kradzieży np. przechowywanie danych osobowych w tzw. chmurze.

Pojawiły się również pierwszy przypadki „fałszywych” kontroli UODO. Z uwagi na powyższe proszę zawsze weryfikować tożsamość kontrolera dzwoniąc pod numer 22 531-07-71 (numer Urzędu Ochrony Danych Osobowych).

Brak powiadomienia prezesa UODO przez administratora danych osobowych w sytuacji naruszenia ochrony danych osobowych może skutkować nałożeniem sankcji w postaci kary pieniężnej ale również wszczęciem postępowania karnego, administracyjnego i dyscyplinarnego.

r.pr. Marcin Józefiak

Prawnik Wielkopolskiej Okręgowej Izby Aptekarskiej