Co z bazą danych osobowych szpitala? Prawnicy radzą
Autor: Ewa Gosiewska
Data: 20.12.2016
Źródło: EG/Kancelaria KONDRAT i Partnerzy
Działy:
Polecamy
Aktualności
Do kancelarii Kondrat i Partnerzy tym razem wpłynęło pytanie dotyczące bazy użytkowników newslettera wysyłanego przez szpital. Czy pozyskane dane osobowe powinny zostać zarejestrowane? Okazuje się, że tak.
PYTANIE
Nasz szpital prowadzi stronę internetową, gdzie zamieszczamy m.in. materiały edukacyjne dla pacjentów. Aby otrzymywać najnowsze informacje, pacjenci mogą zapisać się do cotygodniowego newslettera, podając imię i nazwisko, płeć, przedział wieku oraz nazwę miejscowości, w której mieszkają. Te dane pozwalają nam lepiej dostosować tematykę newslettera do potrzeb użytkownika. Czy powinniśmy zarejestrować bazę użytkowników naszego newslettera?
ODPOWIEDŹ:
Zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości typu newsletter należy zgłosić do rejestracji GIODO (Generalny Inspektor Ochrony Danych Osobowych).
UZASADNIENIE:
Wedle art. 7 ust. 1 ustawy o ochronie danych osobowych (dalej u.o.d.o.), zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przepis art. 43 u.o.d.o. wyszczególnia te kategorie zbiorów danych osobowych, co do których nie istnieje obowiązek rejestracji. W myśl art. 43 ust 1 pkt 5 u.o.d.o., obowiązek zgłoszenia nie dotyczy administratorów danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.
W doktrynie wskazuje się, że zwolnienie z obowiązku rejestracji dotyczy wyłącznie podmiotów przetwarzających dane w związku z udzielaniem przez nie usług medycznych (E. Kulesza, Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy o ochronie danych osobowych, Prawo i Medycyna 2000, t. 2, nr 5, s. 111). Należy podkreślić, że przetwarzanie danych musi być związane ze świadczonymi usługami a zakres tych danych niezbędny do ich świadczenia. Jeżeli placówka świadcząca usługi medyczne proponuje na swojej stronie korzystanie z usługi newslettera zawierającego materiały edukacyjne, to dane niezbędne do realizacji tej usługi są przetwarzane w innych celach niż świadczenie usług medycznych.
W przedstawionym stanie faktycznym, zamawiający newsletter podaje na stronie internetowej swojej imię, nazwisko, płeć, przedział wieku oraz nazwę miejscowości, w której mieszka a także adres e-mail. W rozumieniu przepisów u.o.d.o. informacje te stanowią dane osobowe. W rozpatrywanej sprawie, biorąc pod uwagę cel, dla którego dane osobowe są gromadzone, nie można stwierdzić zaistnienia przesłanek z art. 43 u.o.d.o. Dane gromadzone w niniejszej sprawie nie są niezbędne do realizacji usług medycznych.
PODSTAWA PRAWNA:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2016 roku, poz. 922)
Wiktoria Jaromska, Kancelaria KONDRAT i Partnerzy
Justyna Stefańczyk-Kaczmarzyk, partner, Kancelaria KONDRAT i Partnerzy
www.kondrat.pl
Nasz szpital prowadzi stronę internetową, gdzie zamieszczamy m.in. materiały edukacyjne dla pacjentów. Aby otrzymywać najnowsze informacje, pacjenci mogą zapisać się do cotygodniowego newslettera, podając imię i nazwisko, płeć, przedział wieku oraz nazwę miejscowości, w której mieszkają. Te dane pozwalają nam lepiej dostosować tematykę newslettera do potrzeb użytkownika. Czy powinniśmy zarejestrować bazę użytkowników naszego newslettera?
ODPOWIEDŹ:
Zbiór danych osób zamawiających za pośrednictwem strony internetowej wiadomości typu newsletter należy zgłosić do rejestracji GIODO (Generalny Inspektor Ochrony Danych Osobowych).
UZASADNIENIE:
Wedle art. 7 ust. 1 ustawy o ochronie danych osobowych (dalej u.o.d.o.), zbiór danych rozumiany jest jako każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Przepis art. 43 u.o.d.o. wyszczególnia te kategorie zbiorów danych osobowych, co do których nie istnieje obowiązek rejestracji. W myśl art. 43 ust 1 pkt 5 u.o.d.o., obowiązek zgłoszenia nie dotyczy administratorów danych dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta.
W doktrynie wskazuje się, że zwolnienie z obowiązku rejestracji dotyczy wyłącznie podmiotów przetwarzających dane w związku z udzielaniem przez nie usług medycznych (E. Kulesza, Ochrona danych o stanie zdrowia w świetle ustawodawstwa europejskiego i polskiej ustawy o ochronie danych osobowych, Prawo i Medycyna 2000, t. 2, nr 5, s. 111). Należy podkreślić, że przetwarzanie danych musi być związane ze świadczonymi usługami a zakres tych danych niezbędny do ich świadczenia. Jeżeli placówka świadcząca usługi medyczne proponuje na swojej stronie korzystanie z usługi newslettera zawierającego materiały edukacyjne, to dane niezbędne do realizacji tej usługi są przetwarzane w innych celach niż świadczenie usług medycznych.
W przedstawionym stanie faktycznym, zamawiający newsletter podaje na stronie internetowej swojej imię, nazwisko, płeć, przedział wieku oraz nazwę miejscowości, w której mieszka a także adres e-mail. W rozumieniu przepisów u.o.d.o. informacje te stanowią dane osobowe. W rozpatrywanej sprawie, biorąc pod uwagę cel, dla którego dane osobowe są gromadzone, nie można stwierdzić zaistnienia przesłanek z art. 43 u.o.d.o. Dane gromadzone w niniejszej sprawie nie są niezbędne do realizacji usług medycznych.
PODSTAWA PRAWNA:
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2016 roku, poz. 922)
Wiktoria Jaromska, Kancelaria KONDRAT i Partnerzy
Justyna Stefańczyk-Kaczmarzyk, partner, Kancelaria KONDRAT i Partnerzy
www.kondrat.pl
