Czym jest RODO i dlaczego go potrzebujesz w swoim gabinecie

Zastanawiasz się, czy wdrożenie RODO w Twoim gabinecie/w Twojej praktyce jest koniecznie?

Otóż, tak, jest to konieczne. Dlaczego? Po pierwsze – obowiązek wdrożenia RODO wynika z Rozporządzenia o Ochronie Danych Osobowych, inaczej również GDPR od angielskiej nazwy General Data Protection Regulation. Przepisy Rozporządzenia obowiązują od 25 maja 2018 roku w całej Unii Europejskiej i są stosowane bezpośrednio. Zatem regulacje tam opisane dotyczą Ciebie bezpośrednio, o ile przetwarzasz dane osobowe, a gwarantuję Ci, że przetwarzasz. Skąd to wiem? Ponieważ zgodnie z definicją zawartą we wskazanym wyżej Rozporządzeniu „przetwarzanie” to:

o   zbieranie informacji, np. zapisywanie w notatniku,

o   przechowywanie,

o   przeglądanie,

o   ujawniane poprzez przesłanie,

o   pobieranie,

o   modyfikowanie,

o   a nawet niszczenie, np. usuwanie dokumentacji.

Kiedy dostajesz maila z zapytaniem od klienta/pacjenta – przeprowadzasz operację na jego danych osobowych vel. przetwarzasz.  W zasadzie każdy kontakt z danymi osobowymi powinien wzbudzać czujność psychoterapeuty/ psychologa/ mentora/ coacha.

Po drugie – za niewypełnianie obowiązków wynikających z RODO ponosisz odpowiedzialność na zasadzie domniemania winy. Oznacza to, że jako administrator danych jesteś z założenia „winny” i musisz sam wykazać swoją niewinność.

Po trzecie i najważniejsze – tworzysz ze swoimi klientami/pacjentami relację opartą na zaufaniu, zatem zapewnienie bezpieczeństwa ich danych osobowych, stanowi o Tobie jako profesjonaliście.

Przekazuję Ci pakiet dokumentacji RODO z opisem procedur i instrukcją do samodzielnego wdrożenia RODO w Twoim gabinecie/Twojej praktyce.

RODO - Podstawowe pojęcia

Przejdźmy do najważniejszych pojęć i aspektów związanych z RODO:

-      Administrator Danych Osobowych - najprościej rzecz ujmując, jeśli prowadzisz działalność gospodarczą/nirejestrowaną to właśnie Ty, gdyż odpowiadasz za przetwarzanie danych osobowych w Twojej firmie i decydujesz o celach przetwarzania czyli o tym, w dlaczego zbierasz, przechowujesz dane określonej osoby.

-      Klauzule informacyjne - czemu są tak ważne? - ponieważ jako Administrator Danych jesteś zobowiązany/a poinformować Twoich Klientów, Kontrahentów, Subskrybentów, że przetwarzasz ich dane, na jakiej podstawie i w jakim celu. Brak spełnienia tego obowiązku naraża Cię na karę za nieprzestrzeganie przepisów RODO.

-      Co to są i po co są Umowy Powierzenia? - prowadząc działalność nie jesteś w stanie wykonywać wszelkich czynności samodzielnie, na pewno korzystasz z biura księgowego, hostingu, czy choćby specjalisty ds. BHP. Podmioty te zyskują dostęp do danych osobowych, które przetwarzasz. Dostęp ten nie może się odbywać bez podstawy, a podstawą takiego dostępu jest Umowa Powierzenia Przetwarzania Danych. Zobowiązany/a jesteś zawrzeć stosowne umowy, z każdym zewnętrznym podmiotem, który wykonuje jakiekolwiek operacje na danych osobowych, które Ty zebrałe/aś.

-      Kto to Inspektor Ochrony Danych Osobowych i czy powinno się go powołać? - Inspektor Ochrony Danych Osobowych ma za zadanie zapewniać legalne przetwarzanie danych osobowych w Twojej firmie, powinieneś go powołać np. jeśli przetwarzasz dane szczególnej kategorii (np. o zdrowiu, poglądach politycznych) na dużą skalę. Nawet, jeśli nie jesteś prawnie zobowiązany do powołania IOD-a, warto rozważyć włączenie osoby posiadającej odpowiednie kwalifikacje do swojej działalności, zwłaszcza, jeśli Twoich klientów można liczyć w tysiącach. Ale przy małych biznesach to nie jest obowiązkowe.

-      Czy musisz prowadzić rejestry? - tak, przede wszystkim Rejestr Czynności Przetwarzania, w którym zmapujesz wszelkie procesy, które zachodzą w Twojej firmie, a dotyczą czynności na danych osobowych. Myślę, że to stanie się bardziej jasne, jak zajrzyj do tego dokumentu.;)

Rejestr kategorii przetwarzania zobowiązana/y jesteś prowadzić, jeśli zawarłe/aś umowy powierzenia przetwarzania danych osobowych, ale z Tobą, w roli podmiotu przetwarzającego. Żeby zrozumieć podam Ci przykład z mojego podwórka. Mam klientów, którzy się do mnie sami zgłaszają - przetwarzam wtedy ich dane osobowe. Ale czasem przychodzą do mnie klienci z danymi osobowymi ich klientów (np. na potrzeby umów czy pojawiających się sporów). Wtedy ja przyjmuję rolę podmiotu przetwarzającego i to jest sytuacja, która wymaga od mnie prowadzenia takiego rejestru. Nie masz takich Umów? Nie przetwarzasz danych osobowych na zlecenie podmiotów zewnętrznych? W takim razie nie musisz prowadzić rejestru kategorii przetwarzania.

Niezależnie od powyższych dwóch rejestrów, dla zachowania przejrzystości warto, żebyś prowadził/a rejestr upoważnień, których udzieliłe/aś do przetwarzania danych - czyli dokumentów, które uprawniają Twoich pracowników/podwykonawców do wykonywania operacji na danych osobowych.