Klauzule informacyjne
Informacja dotycząca nagrywania rozmów telefonicznych
Informacja dotycząca przetwarzania danych osobowych Pacjentów w Onkolmed Lecznica Onkologiczna s.c.
Co to jest RODO?
„RODO”, zwane także „GDPR” lub „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Rozporządzenie zaczęło obowiązywać bezpośrednio w krajowych porządkach prawnych od 25 maja 2018 r. Rozporządzenie wiąże wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą.
Rozporządzenie wprowadza szereg zmian oraz rozszerza zakres obowiązków administratorów oraz podmiotów przetwarzających dane. Celem nowych przepisów jest również wyposażenie osób fizycznych oraz organów nadzorujących w skuteczne narzędzia reagowania na naruszenia Rozporządzenia. Bardzo istotną dla przedsiębiorców kwestią jest też określenie maksymalnego poziomu kar za naruszenia przepisów, które to kary mogą sięgnąć nawet 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorcy z roku obrotowego poprzedzającego naruszenie.
Po co chroni się dane osobowe?
Odpowiedź na to pytanie jest prostsza niż może się wydawać. Przede wszystkim warto chronić dane osobowe w celu ograniczenia ryzyka ich utraty na rzecz osób trudniących się przestępstwami polegającymi na używaniu skradzionych danych osobowych do celów przestępczych. Pewnie większość z osób czytających ten artykuł dokonywało zakupów z wykorzystaniem sklepu internetowego lub innej platformy transakcyjnej. Większość z tych osób przy podawaniu danych przy rejestracji lub płatności wychodziło z założenia, że skoro sklep ten funkcjonuje to pewnie chroni moje dane należycie i właściwie na tym kończyły się rozważania dotyczące ochrony danych osobowych. Warto jednak przyjrzeć się bliżej temu zagadnieniu. Wyobraźmy sobie sytuacje, że użytkownik wierzy na słowo podmiotowi wykorzystującemu jego dane w internecie i nie ma żadnych przepisów prawnych regulujących tę materię. Jak łatwo zauważyć brak regulacji powodowałby stan ogromnej niepewności co do zabezpieczenia danych osobowych użytkowników internetu. Dzięki przepisom mającym za przedmiot dane osobowe Podmioty przetwarzające dane wiedzą w jaki sposób muszą postępować z konkretnymi danymi w zależności od ich wykorzystania. W tym miejscu koniecznym jest nawiązanie do RODO, którego zadaniem jest zabezpieczenia danych osobowych w sposób adekwatny do technologii wykorzystywanych w dzisiejszych czasach do operacji na danych. Innymi słowy w razie braku RODO i innych dotychczasowych przepisów regulujących przetwarzanie danych osobowych nasze dane w łatwy sposób mogłyby stać się przedmiotem działań przestępców.
Jakie ma obowiązki administrator danych?
Administrator jest zobowiązany do podjęcia określonych działań, aby jak najbardziej zminimalizować ryzyko naruszenia ochrony danych osobowych. Przepisy RODO nie określają szczegółowo, jakie działania powinien podjąć administrator. Przepisy wskazują jednak, że powinien on zabezpieczyć przetwarzane dane. Najważniejszym elementem całego szeregu czynności jest szybkość działania, zarówno wobec osób fizycznych, których dane dotyczą, jak i organu nadzorczego.
Gdy dojdzie do naruszenia danych osobowych, RODO przewiduje dla administratora następujące obowiązki:
- wprowadzenie procedur umożliwiających stwierdzenie i ocenę pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych,
- zgłoszenie incydentu organowi nadzorczemu,
- powiadomienie o naruszeniu osób, których dane dotyczą,
- prowadzenie wewnętrznej ewidencji incydentów,
- podejmowanie działań przeciwdziałających skutkom naruszeń oraz zapobieganie im.
Jakie prawa przysłuhują osobom których te dane dotyczą?
- Doprecyzowanie i wzmocnienie praw
RODO kładzie szczególny nacisk na to, aby osoby, których dane są przetwarzane, miały większy dostęp do informacji na temat podejmowanych przez administratorów działań. Osoby mają też mieć większą kontrolę nad danymi, które przekazują ADO. Kwestię tę poruszono już w preambule do unijnego rozporządzenia, gdzie mowa jest o tym, iż skuteczna ochrona danych osobowych w Unii Europejskiej zależy głównie od tego, jak bardzo wzmocnione oraz doprecyzowane zostaną prawa osób, których dane dotyczą. - Prawo dostępu do danych
Prawo to zostało uregulowane w artykule 15 RODO – osoby, których dane dotyczą mają możliwość uzyskania od ADO informacji, czy ich dane są przetwarzane i w jakim zakresie - Dodatkowo osoba taka może żądać od administratora uzyskania dostępu do tych danych oraz — jeśli zajdzie taka potrzeba — uzyskania ich kopii. Kopia ta powinna zostać wydana bezpłatnie za pierwszym razem, przy kolejnych prośbach może zostać nałożona na wnioskującego rozsądna opłata, wynikająca np. z kosztów administracyjnych.
- Prawo do sprostowanie danych
Artykuł 16 RODO dotyczy prawa do poprawiania danych osoby, której one dotyczą. Jeśli są one nieprawidłowe lub niekompletne osoba może żądać od administratora ich sprostowania. - Prawo do bycia zapomnianym
Osoby, których dane są przetwarzane mają prawo do ich usunięcia — zwane również “prawem do bycia zapomnianym”, opisane w artykule 17 RODO. W przypadku wystąpienia pewnych okoliczności osoba może żądać od administratora usunięcia niektórych danych na swój temat, bądź całego ich zbioru. Proces usuwania powinien być przeprowadzony bez zbędnej zwłoki.
Przesłanki usunięcia danych to między innymi:
- brak podstawy prawnej do przetwarzania danych (np. cofnięcie zgody na ich wykorzystywanie);
- zebrane dane nie są już potrzebne do celów, w których zostały one zgromadzone;
- dane zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego;
- wniesienie sprzeciwu przez osobę, której dane dotyczą (więcej o prawie sprzeciwu w dalszej części tekstu);
- dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
Istnieją również sytuacje, które sprawiają, że osoby, których dane dotyczą nie mogą skorzystać z prawa do usunięcia danych osobowych. Mowa tu o przypadkach, kiedy przetwarzanie jest niezbędne:
- w celu korzystania z prawa do wolności wypowiedzi i informacji;
- do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;
- w celu profilaktyki zdrowotnej (np. medycyna pracy, czy zapewnienie opieki zdrowotnej) ;
- do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych;
- do ustalenia, dochodzenia lub obrony roszczeń.
- Prawo do ograniczenia przetwarzania danych
RODO przewiduje także możliwość wniesienia o ograniczenie przetwarzania danych. Okoliczności, w jakich osoba, której dane dotyczą może z tego prawa skorzystać wymienione są w art. 18 RODO: kiedy zgromadzone dane są nieprawidłowe — ograniczenie ich przetwarzania następuje do momentu, kiedy zostaną one poprawione; w momencie, kiedy nie ma podstawy prawnej do przetwarzania danych; kiedy nie są one potrzebne administratorowi danych osobowych, jednak potrzebuje ich osoba, do której one należą; w przypadku kiedy osoba, której dane dotyczą zgłosiła sprzeciw wobec przetwarzania danych — ograniczenie obowiązuje do momentu ustalenia, czy sprzeciw ten jest podstawny. - Prawo do przenoszenia danych
W artykule 20 RODO wprowadzone zostało kolejne prawo osób, których dane dotyczą — prawo do ich przenoszenia pomiędzy różnymi podmiotami (administratorami). Jeśli prośba taka zostanie wystosowana, administrator ma obowiązek przekazać osobie komplet zgromadzonych danych na jej temat w formie, która będzie możliwa do odczytania. Osoba, której dane dotyczą może później bez przeszkód przekazać te informacje innemu administratorowi. - Prawo do sprzeciwu oraz do niepodleganiu decyzji opartych na zautomatyzowanym przetwarzaniu
Na podstawie przepisu znajdującego się w artykule 21 RODO, osoby, których dane dotyczą mają prawo nie zgodzić się na to, aby ich dane były wykorzystywane do celów „podejmowania decyzji opartych na zautomatyzowanym przetwarzaniu”” – np. profilowania, które powodują skutek prawny dla osoby. Administrator w takim przypadku nie ma prawa do przetwarzania danych, pod warunkiem, że nie będą istniały inne ważne podstawy prawne do przetwarzania danych osobowych.
Wyjątek stanowi sytuacja, kiedy to przeprowadzenie profilowania jest wymagane w celu prawidłowego zawarcia bądź wykonania umowy – wtedy osoba, której dane dotyczą nie ma prawa do sprzeciwu wobec takiego przetwarzania
Ograniczenie praw osób, których dane są przetwarzane
RODO zakłada, że prawa osób, których dane dotyczą mogą być ograniczone w szczególnych przypadkach, np.:
- konieczność zapewnienia bezpieczeństwa narodowego lub publicznego;
- zapobieganie przestępczości;
- realizacja świadczeń zdrowotnych;
- konieczność zapewnienia niezależności sądów;
- kiedy prawa osób, których dane dotyczą, utrudniają wypełnienie celów gospodarczych lub finansowych państwa członkowskiego lub Unii Europejskiej.
Wszystkie akty prawne, które w jakikolwiek sposób ograniczają prawa osób, których dane dotyczą, powinny szczegółowo informować o tym, dlaczego wprowadzone zostało dane ograniczenie.
Kontakt
Administrator danych: ado@onkolmed.pl
Inspektor ochrony danych: iod@onkolmed.pl