Biotechnologia.pl
łączymy wszystkie strony biobiznesu
Czy RODO oznacza rewolucję dla ochrony danych osobowych w sektorze biotechnologii?
Czy RODO oznacza rewolucję dla ochrony danych osobowych w sektorze biotechnologii?
O rewolucji w ochronie danych osobowych głośno już od jakiegoś czasu. Zmiany zbliżają się nieuchronnie – z dniem 25 maja 2018 r. zacznie być stosowane Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO”).

 

 

Co to oznacza dla przedsiębiorców? Dla wszystkich wiąże się z obowiązkiem dostosowania firmy do nowych zasad ochrony danych osobowych. Przepisy RODO będą obowiązywać bezpośrednio wszystkie podmioty działające na terenie całej Unii Europejskiej, a w niektórych przypadkach firmy również spoza UE. Kraje członkowskie muszą natomiast przyjąć przepisy proceduralne i formalne, np. ustanawiające właściwy organ nadzoru. Mają też pewne pole manewru, jeśli chodzi o doprecyzowanie niektórych kwestii – przykładowo w odniesieniu do danych osobowych pracowników. W Polsce prace nad ustawą są zaawansowane, projekt przygotowany przez Ministerstwo Cyfryzacji jest w uzgodnieniach międzyresortowych. Wygląda zatem na to, że do maja powstanie nowy urząd, który będzie weryfikował zgodność z RODO.


Na czym polega „rewolucja” RODO?

Wbrew temu, co można sądzić po nagłówkach prasowych, RODO nie oznacza rewolucji, a raczej ewolucję. RODO rozwija zasady, które wcześniej wynikały w dyrektywy 95/46 i aktualizuje je, biorąc pod uwagę zmiany technologiczne, które miały miejsce przez ostatnie ponad 20 lat. Głównym celem i założeniem RODO jest zatem nie tylko harmonizacja zasad przetwarzania danych osobowych na terenie UE, ale również uświadomienie przedsiębiorcom rosnącego znaczenia i wartości danych w stale rozwijającym się społeczeństwie informacyjnym. Zmienią się natomiast możliwości egzekwowania przestrzegania zasad ochrony danych. RODO przewiduje bowiem wprowadzenie wysokich kar za nieprzestrzeganie przepisów. Kary będą mogły wynosić aż do 20 milionów EUR lub 4% wartości globalnego obrotu. Biorąc pod uwagę, że obecnie w Polsce GIODO nie nakłada kar finansowych, w tym aspekcie można mówić o rewolucji.


RODO – od czego zacząć prace nad wdrożeniem?

Aby odpowiednio zaimplementować przepisy RODO, przedsiębiorca działający na rynku farmaceutycznym powinien w pierwszej kolejności zastanowić się, jakie dane znajdują się w jego organizacji. Często o tym kroku mówi się jako o audycie przetwarzania danych w firmie. Za przetwarzanie uznaje się jakiekolwiek operacje wykonywane na danych osobowych, w tym również ich przechowywanie i archiwizowanie. Wiążę się to zatem z obowiązkiem zbadania, które działy w organizacji przetwarzają dane i dla jakich celów. Warto także ustalić obieg danych wewnątrz i na zewnątrz spółki, w tym również do spółek powiązanych i poddostawców. Przy tej okazji powinno się ustalić, czy w systemie istnieją dane, które nie są już potrzebne do realizacji celów, dla których zostały pozyskane. RODO kładzie szczególnie duży nacisk na to, żeby dane osobowe nie były przetwarzane dłużej niż jest to konieczne. Nie można zatem przechowywać już danych „na zapas” albo przyjąć wytłumaczenia, że system informatyczny „nie pozwala” na skasowanie niepotrzebnych informacji. Kontrola przetwarzanych przez przedsiębiorstwo farmaceutyczne danych osobowych powinna mieć również na celu ustalenie rodzaju danych, a także stopnia ryzyka ich przetwarzania.

Ustalenia mają duże znaczenie dla przygotowania wymaganej przez RODO dokumentacji ochrony danych osobowych, takiej jak rejestru czynności przetwarzania. Co istotne, wyborem właściwej formy dokumentacji powinni zająć się sami przedsiębiorcy, dostosowując treść odpowiednich dokumentów do indywidualnych warunków, w jakich przetwarzają dane osobowe. Dotychczas obowiązujące zasady wynikające z krajowych rozporządzeń wydanych pod ustawą o ochronie danych (dotyczące m.in. wdrożenia instrukcji zarządzania systemem informatycznym czy polityki bezpieczeństwa) stracą ważność z chwilą rozpoczęcia obowiązywania przepisów RODO. Podmioty działające na rynku biotechnologicznym i farmaceutycznym będą musiały zastanowić się nad profilem wykorzystywanych przez nie danych i odpowiednio dostosować sposób dokumentowania przetwarzania tak, aby wykazać, że respektują zasady RODO. Kontrola powinna zostać przeprowadzona ze szczególną starannością w przypadku podmiotów zajmujących się badaniami klinicznymi ze względu na dużą wrażliwość przetwarzanych przez nie danych osobowych.


Nowe uprawnienia osób, których dane dotyczą

Kolejną istotną nowością, wprowadzoną przez RODO, jest wzmocnienie praw osób, których dane dotyczą. Upraszczając nieco, obecnie osoba taka może uzyskać dostęp do swoich danych oraz domagać się ich aktualizacji. RODO wprowadza dodatkowe uprawnienia, takie jak prawo do bycia zapomnianym (prawo do usunięcia danych), które w praktyce powoduje wiele trudności dla administratorów.

Prawo do bycia zapomnianym daje osobie, której dane są przetwarzane, możliwość zgłoszenia żądania o niezwłoczne usunięcie jej danych z systemu. Po otrzymaniu takiego żądania podmiot prowadzący przedsiębiorstwo będzie zobowiązany dokonać, bez zbędnej zwłoki, oceny czy istnieje podstawa prawna ich dalszego przetwarzania. Jeżeli takiej podstawy nie będzie, wskazane dane osobowe powinny zostać usunięte z systemu. Można wyobrazić sobie przypadek, w którym zostanie wystosowane przez osobę uprawnioną żądanie do usunięcia danych, natomiast administrator będzie zobowiązany zachować w swoim systemie dane, o usunięcie których wystąpiono, ze względu na przepisy prawa zawarte w innych ustawach lub np. dla ochrony przed roszczeniami. Zatem niezwykle istotne będzie przeprowadzenie dokładnej weryfikacji podstaw prawnych przetwarzania danych osobowych oraz dopuszczalnych okresów retencji tak, aby właściwie zareagować na wnioski o usunięcie. Dodatkowo w razie uznania wniosku za zasadny, przedsiębiorca będzie musiał usunąć całość danych dotyczących tej osoby. Konieczna będzie zatem dla niego znajomość tego, w jakich systemach dane się znajdują oraz wdrożenie procesu sprawnego usuwania takich danych.


Szczególne kategorie danych osobowych

Przetwarzanie danych osobowych przez podmioty na rynku farmaceutycznym i biotechnologicznym wiąże się z dużym ryzykiem ze względu na ich wyjątkową wrażliwość. RODO wprowadza bowiem pojęcie „szczególnych kategorii danych osobowych”, których przetwarzanie traktowane jest wyjątkowo. Takimi danymi będą m.in. dane dotyczące zdrowia, dane genetyczne oraz dane biometryczne.

Dotychczas kategorie te określane były jako „dane wrażliwe” i ich zbieranie wymagało w wielu przypadkach zgody pisemnej. Ograniczało to innowacyjne rozwiązania na rynku zdrowotnym w przypadku, jeśli były dostarczane poprzez usługi świadczone elektronicznie, a ich świadczenie wymagało zgody pacjentów. Chociażby trudno było w Internecie zbierać zgłoszenia od osób, które były zainteresowane wzięciem udziału w badaniu klinicznym. Pod RODO wymóg ten zostanie zniesiony, niemniej jednak nadal wymagana będzie „kwalifikowana” zgoda na przetwarzanie danych szczególnych – zgoda wyraźna.

Wyraźną zgodę należy rozumieć w tym przypadku jak o możliwość jednoznacznego, rzeczywistego wyboru. W szczególności zwraca się uwagę na możliwość zastosowania dwuetapowej weryfikacji oświadczenia, która polegałby na dwukrotnym potwierdzeniu za pomocą środków komunikacji elektronicznej przez osobę, której dane dotyczą, zgody na przetwarzanie jej danych osobowych. Przykładowo mógłby on polegać na tym, żew  pierwszym kroku osoba, której dane dotyczą, wyrazi zgodę pocztą elektroniczną zawierającą stwierdzenie„zgadzam się”. Po wysłaniu takiej odpowiedzi w drugim etapie otrzyma link weryfikacyjny, w który należykliknąć lub wiadomość SMS z kodem weryfikacyjnym,aby potwierdzić zgodę. Pomimo zatem zmniejszania formalizmu w przetwarzaniu szczególnej kategorii danych osobowych, warto pamiętać, aby zgoda udzielona przez osobę, której dane mają być przetwarzane, została sformułowana w ten sposób, aby odpowiadała wymogom „wyraźnej zgody” z RODO. Z przetwarzaniem danych szczególnych na dużą skalę wiązać się również będzie wymóg powołania przez przedsiębiorcę inspektora ochrony danych. Jest to osoba czuwająca nad bezpieczeństwem i ochroną przetwarzania danych osobowych w danej organizacji. Do jego zadań należą m.in. informowanie administratora i pracowników o spoczywających na nich obowiązkach wynikających z RODO, regularne przeprowadzanie audytów w organizacji, gdzie został
powołany, oraz monitorowanie przestrzegania przepisów związanych z ochroną danych osobowych.

Wreszcie, w przypadku przetwarzania szczególnych danych na dużą skalę, wymagane będzie przeprowadzenie oceny skutków dla ochrony danych. Jej istotnym aspektem jest weryfikacja ryzyka prawnego związanego z ewentualnym naruszeniem danych osobowych.


W oczekiwaniu na RODO

Oczekuje się, że wprowadzenie RODO przyniesie znaczne zmiany w egzekwowaniu ochrony danych osobowych. Odpowiednie zabezpieczenie danych osobowych powinno stać się priorytetem biznesowym dla organizacji z szeroko rozumianego sektora medycznego, farmaceutycznego oraz biotechnologii, a prace nad implementacją wymogów w przedsiębiorstwie powinno rozpocząć się już teraz. Po odpowiednim przygotowaniu organizacja będzie mogła czerpać korzyści z potencjału danych osobowych, które niewątpliwe stanowią bodziec do rozwoju nowych technologii.

Niewłaściwe przygotowanie do ochrony danych w obliczu nadchodzących zmian zwiększa natomiast ryzyko znacznej szkody zarówno dla finansów, jak i reputacji firmy.

 

 

Autorzy:
Magdalena Kogut-Czarkowska,
Maciej Niezgoda,
Baker McKenzie

 

 

 

Artykuł pochodzi z najnowszego wydania kwartalnika Biotechnologiia.pl nr 1/2018.
Cały kwartalnik dostępny jest TUTAJ.

 

KOMENTARZE
Newsletter