Xevin Consulting - Blog Blog

Wiele razy spotkałem się z pytaniami czy zgoda na przetwarzanie danych może stanowić część np. regulaminu czy umowy. Warto się zatem przyjrzeć jak ta kwestia została uregulowana w ustawie o ochronie danych osobowych.

Przede wszystkim wspomniana ustawa definiuje w swym art. 7 pkt. 5 czym jest zgoda. Dla przypomnienia, w myśl wskazanego tu przepisu, przez zgodę “rozumie się oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści”. Z punktu widzenia niniejszego wpisu istotna jest druga część cytowanego fragmentu.

O co w tym chodzi? Otóż zamysłem ustawodawcy było zapobieżenie takim sytuacjom, które powodowałyby że zachodzić będzie wątpliwość co do tego kto, w jakim zakresie, a także w jakim celu może przetwarzać dane. Należy tu podkreślić, że zamysł ten nie będzie spełniony, jeśli oświadczenie o zgodzie będzie stanowiło odesłanie do treści innych dokumentów, w tym zwłaszcza regulaminów lub umów. Zostało to wyraźnie stwierdzone w orzecznictwie NSA, a zwłaszcza w wyroku z dnia 4 kwietnia 2003 r. (wyrok ten można pobrać ze strony GIODO z tego miejsca). NSA stoi na stanowisku, że klauzula zgody powinna stanowić wyodrębnione oświadczenie spośród innych postanowień umowy/regulaminu, tak aby osoba zainteresowana miała możliwość wyrażenie bądź odmówienia zgody na przetwarzanie danych. Podobnie nie jest dopuszczalne stwierdzenie, że podpisanie umowy jest jednoznaczne z wyrażeniem zgody na przetwarzanie danych np. w celach przesyłania informacji handlowych.

A zatem pamiętajmy o tym, by zgody na przetwarzanie danych wyodrębniać z innych dokumentów tak by istniała możliwość podjęcia decyzji o tym, czy godzimy się przetwarzanie czy też takiej zgody nie udzielamy.

W dzisiejszym wpisie kontynuuję tematykę ochrony danych osobowych w działalności firm i instytucji medycznych/farmaceutycznych, którą zapoczątkowałem rozważaniami na temat wymogów stawianych sponsorom badań medycznych.

Tym razem chciałbym przyjrzeć się przepisowi zawartemu w § 60 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania, który określa wymogi jakie muszą być spełnione przy przechowywaniu dokumentacji medycznej.

Na początku należy zaznaczyć, że wymieniony wyżej przepis odnosi się tylko do dokumentacji prowadzonej w postaci elektronicznej. Zgodnie z nim dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki:

• zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
• jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
• są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie dokumentacji prowadzonej w postaci  elektronicznej wymaga w  szczególności:

• systematycznego dokonywania analizy zagrożeń,
• opracowania i stosowania procedur zabezpieczania  dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
• stosowania środków bezpieczeństwa adekwatnych do zagrożeń,
• bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów

Z powyższej krótkiej analizy wynika, że administrator danych (np. ZOZ) przetwarzający dane zawarte w dokumentacji medycznej musi, oprócz dopełnienia obowiązków przewidzianych w ustawie o ochronie danych osobowych i jej aktach wykonawczych, spełnić jeszcze wymogi zawarte w przepisie szczególnym, jakim jest wskazane na początku tej notki rozporządzenie.

Jakiś czas temu pisałem o dokumentach, które musi posiadać każdy administrator danych, by spełniał wszelkie wymogi wskazane w ustawie o ochronie danych osobowych oraz w jej aktach wykonawczych. Tym razem chciałbym opowiedzieć o pewnym przepisie szczególnym, który ma zastosowanie do firm prowadzących badania kliniczne, czyli do tzw. sponsorów badań klinicznych. Regulacja, o której myślę została zawarta w §13 rozporządzenia Ministra Zdrowia z dnia 11 marca 2005 r. w sprawie szczegółowych wymagań Dobrej Praktyki Klinicznej.

Tak jak napisałem na wstępie, przepis ten będzie miał zastosowanie do sponsora badań klinicznych. To jednak nie jedyne ograniczenie. Otóż dodatkowo obowiązki przewidziane w ww. paragrafie odnoszą się tylko gdy do przetwarzania danych uzyskanych w trakcie badań klinicznych wykorzystywany jest system informatyczny. W praktyce zatem będzie miało to miejsce prawie zawsze, bo do tej pory nie spotkałem się jeszcze z sytuacją, w której dane uzyskiwane w trakcie badań nie byłyby przetwarzane w takim systemie.

Czas zatem zobaczyć o jakich obowiązkach tu mowa. Otóż zgodnie z ww. regulacją sponsor badań klinicznych musi zapewniać:

• Pisemną instrukcję stosowania informatycznego systemu przechowywania danych
• Udokumentowanie, że informatyczny system przechowywania danych został wprowadzony po dokonaniu oceny jego bezpieczeństwa i funkcjonalności
• Dostęp do informatycznego systemu przechowywania danych i zmiany danych w taki sposób, aby możliwa była wsteczna weryfikacja zmian danych
• Listę osób upoważnionych do wprowadzania zmian w bazie danych oraz uniemożliwienie dostępu do danych osobom nieupoważnionym
• System tworzenia zapasowych kopii zgromadzonych danych
• Kodowanie danych w czasie ich wprowadzania i przetwarzania w badaniach klinicznych prowadzonych metodą ślepej próby
• W przypadku gdy zgromadzone dane ulegną przetworzeniu - możliwość porównania danych przetworzonych z danymi oryginalnymi

Jak widać, przytoczony przeze mnie wyżej przepis rozszerza listę niezbędnych dokumentów (oraz innych obowiązków, zwłaszcza odnoszących się do systemu informatycznego), którymi musi legitymować się administrator danych, jeżeli jest nim właśnie sponsor badań klinicznych.

Przy okazji realizacji jednego z projektów miałem okazję dość szczegółowo zapoznać się z portalem pobieraczek.pl, o którym od dłuższego czasu jest dość głośno w Internecie. Akurat wczoraj w ich sprawie została wydana decyzja Urzędu Ochrony Konkurencji i Konsumentów, która nakłada na firmę Eller Services z Gdańska (operatora pobieraczek.pl) karę finansową wynoszącą prawie 240 tyś. zł. Szczerze powiedziawszy po zapoznaniu się z tym serwisem, a zwłaszcza z regulaminem świadczenia usług nie jest to dla mnie wielka niespodzianka.

O co właściwie chodziło w postępowaniu UOKiKu? Otóż wspomniany Urząd rozpoczął swe czynności w stosunku do firmy Eller Service w październiku 2009 r. na skutek licznych skarg składanych przez klientów pobieraczek.pl, którzy skorzystali z usług serwisu skuszeni hasłami sugerującymi, że usługa nic nie kosztuje: „10 dni pobierania za darmo, Tak, chcę testować przez 10 dni”.

Jak informuje UOKiK „z informacji, które zostały zebrane w trakcie postępowania wynika, że internauta, który chciał pobrać pliki, musiał najpierw zarejestrować się na portalu, podając imię, nazwisko, adres zamieszkania, datę urodzenia, e-mail. Warunkiem była również akceptacja regulaminu. W toku postępowania okazało się, że dzień rejestracji był jednocześnie pierwszym dniem obowiązywania odpłatnej umowy, która zawierana była nawet na rok. Ponadto opłata naliczana była już od pierwszego dnia, a nie jak sugerowały hasła reklamowe dopiero po 10 dniach”.

UOKiK zupełnie słusznie uznał, że opisana wyżej praktyka narusza zbiorowe interesy konsumentów, ponieważ wielu internautów błędnie uznało, że usługa oferowana w ramach pobieraczek.pl jest bezpłatna w ciągu 10 dni od zawarcia umowy, ta zaś obowiązywała od momentu akceptacji regulaminu, czyli podczas rejestracji.

Decyzja Urzędu Ochrony Konkurencji i Konsumentów nie jest jeszcze ostateczna, ponieważ firma Eller Service może się od niej odwołać (jej przedstawiciele już zapowiedzieli, że skorzystają z tej możliwości). Jednak w stosunku do niektórych jej postanowień nadany został rygor natychmiastowej wykonalności, a więc postanowienia te będą musiały wejść w życie bez względu na to czy zostanie wniesione odwołanie.

Wnioski z tej sprawy płyną co najmniej dwa – bardzo mało ludzi czyta regulaminy portali internetowych, natomiast sami przedsiębiorcy bardzo często mają problem ze stworzeniem zgodnego z prawem dokumentu, który precyzyjnie określa zasady świadczenia przez nich usług drogą elektroniczną. Zarówno internautom jak i przedsiębiorcom polecam lekturę informacji prasowej UOKiKu wydanej przy okazji sprawy pobieraczek.pl, gdzie urzędnicy przypominają kilka najważniejszych zasad związanych ze świadczeniem usług w Internecie.

Natomiast jeśli ktoś chciałby dowiedzieć się nieco więcej o co w sprawie pobieraczek.pl chodziło, zapraszam do zapoznania się z artykułem zamieszczonym w serwisie Vagla.

Z okazji nadchodzących Świąt Wielkanocnych ekipa iSecure pragnie życzyć wszystkim Wesołego Alleluja, smacznego jajka, mokrego dyngusa oraz nieustającej wiosny!