Audyt i wdrożenie RODO w sieci przetwarzającej dane wrażliwemaj - lipiec 2018

Dostosowanie do wymogów RODO/GDPR jest skomplikowanym procesem, z którym wiele podmiotów nie jest w stanie sobie poradzić bez specjalistycznej pomocy. Sytuacja komplikuje się dodatkowo, gdy mamy do czynienia z danymi wrażliwymi, jak miało to miejsce w przypadku spółki Depilacja.pl. Z jakimi trudnościami trzeba liczyć się podczas procesu wdrażania RODO/GDPR i jak wyglądała współpraca kancelarii ze spółką Depilacja.pl?

Czym są dane dotyczące zdrowia i jak z nimi postępować?

Zgodnie z art. 4 pkt 15 ogólnego rozporządzenia o ochronie danych (RODO), dane dotyczące zdrowia to dane osobowe ujawniające stan zdrowia fizycznego lub psychicznego osoby fizycznej oraz usług opieki zdrowotnej, z których korzysta. Do danych takich należą informacje o osobie fizycznej zbierane w trakcie procesu rejestracji lub świadczenia usług opieki zdrowotnej, takie jak:

  • numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania jej do celów zdrowotnych;

  • informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;

  • wszelkie informacje o przebytych chorobach, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym

Źródłem takich danych może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Szczególne kategorie danych osobowych zasługujące na większą ochronę powinny być przetwarzane do celów zdrowotnych wyłącznie w przypadkach, gdy jest to niezbędne do realizacji tych celów z korzyścią dla osób fizycznych i ogółu społeczeństwa. Co do zasady ich przetwarzanie wymaga powołania Inspektora Ochrony Danych Osobowych. Szczególną uwagę trzeba zwrócić również na formularz zgody pacjenta na przetwarzanie danych osobowych, który należy dostosować do definicji zgody i warunków jej wyrażania zamieszczonych w RODO.

RODO w spółce Depilacja.pl

Działająca od trzech lat Depilacja.pl jest największą w Polsce siecią salonów depilacji laserowej. Swoje usługi spółka oferuje w salonach w 20 miastach w całym kraju, rozwija się również za granicą – pierwsze salony funkcjonują już w Wielkiej Brytanii i Brazylii. Prawnicy Kancelarii uczestniczyli w procesie wdrożenia RODO/GDPR w spółce zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Nasze działania objęły audyt prawny, wdrożenie dokumentacji ochrony danych oraz pełnienie funkcji inspektora ochrony danych osobowych w spółce. W tym celu wykonaliśmy między innymi:

  • audyt dokumentacji ochrony danych osobowych i określenie podstaw prawnych przetwarzania, z uwzględnieniem danych dotyczących szczególnych kategorii (w zakresie danych dotyczących zdrowia w celu świadczenia kompleksowych usług depilacji laserowej, udzielania porad i konsultacji kosmetycznych oraz prowadzenia akt osobowych);

  • przeprowadzenie inwentaryzacji czynności przetwarzania;

  • analizę zasad retencji i usuwania danych;

  • analizę sposobów reagowania na incydenty;

  • analizę sposobów interakcji z osobami i sposobów realizacji praw osób, których dane dotyczą;

  • analizę realizacji obowiązku konsultacji z organem nadzoru;

  • analizę obszarów podatnych na zagrożenia wraz z identyfikacją i klasyfikacją powiązanego potencjalnego ryzyka;

  • badanie obszarów mających wpływ na zachowanie dostępności, integralności i poufności;

  • przygotowanie i wdrożenie polityki bezpieczeństwa ochrony danych osobowych;

  • przygotowanie i wdrożenie procesów reagowania na incydenty dotyczące ochrony danych osobowych;

  • przygotowanie i wdrożenie procesów reagowania na zgłoszenia od osób, których dane dotyczą;

  • przygotowanie i wdrożenie rejestru czynności przetwarzania danych oraz procedur służących utrzymaniu aktualności rejestru;

  • przygotowanie i wdrożenie rejestru kategorii czynności przetwarzania danych oraz procedur służących utrzymaniu aktualności rejestru;

  • przygotowanie i wdrożenie umów powierzenia przetwarzania danych wraz rekomendacjami dotyczącymi ich stosowania oraz monitorowania ich przestrzegania;

  • upoważnień do przetwarzania danych osobowych i oświadczeń o zaznajomieniu się z wdrożonymi procedurami;
  • przygotowanie i wdrożenie klauzul zgody i obowiązków informacyjnych wraz z rekomendacjami dotyczącymi ich stosowania;

  • przygotowanie rekomendacji dotyczących środków zabezpieczenia danych, konieczności dokonania pseudonimizacji, szyfrowania danych itp.;

  • przygotowanie aktów wdrożeniowych dokumentacji ochrony danych osobowych (zarządzenia, uchwały itp.), jak również wszelkich innych dokumentów, uznanych podczas audytu za niezbędne;

  • wyznaczenie i outsourcing inspektora ochrony danych osobowych celem nadzorowania i przestrzegania przepisów RODO/GDPR;

  • sporządzanie opinii prawnych, rekomendacji lub innych opracowań w zakresie ochrony danych osobowych.

Kancelaria na co dzień świadczy bieżącą obsługę prawną spółki, w związku z czym brała czynny udział w każdym z powyższych etapów.

Skontaktuj się