Gabinety medycyny estetycznej, ze względu na specyfikę i przedmiot swojej działalności, pozyskują od swoich klientów dane osobowe w rozumieniu art. 4 pkt 1 RODO. W przeciwieństwie jednak do większości innych firm, informacje te mogą obejmować nie tylko tzw. dane zwykłe (jak np. imię i nazwisko, dane kontaktowe czy adres), ale również szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO i które potocznie nazywane są danymi wrażliwymi lub sensytywnymi. Wiąże się to z koniecznością zapewnienia wyższego standardu ochrony danych osobowych niż w przypadku podmiotów, które danych wrażliwych nie pobierają. Jakie obowiązki leżą zatem po stronie salonu medycyny estetycznej?
Jaki jest katalog danych wrażliwych?
Art. 9 ust. 1 RODO wskazuje katalog danych sensytywnych, który jednak – ze względu na specyfikę niektórych z nich – należy potraktować jako katalog otwarty i często wymagający indywidualnej oceny.
Do zakresu szczególnych kategorii danych osobowych należą bowiem dane ujawniające:
- pochodzenie rasowe,
- pochodzenie etniczne,
- poglądy polityczne,
- przekonania religijne,
- przekonania światopoglądowe,
- przynależność do związków zawodowych,
- dane genetyczne,
- dane biometryczne (przetwarzane wyłącznie w celu jednoznacznego zidentyfikowania osoby fizycznej),
- dane dotyczące zdrowia,
- dane dotyczące seksualności oraz orientacji seksualnej.
Jak widać, część z tych określeń (np. „poglądy polityczne” czy „przekonania światopoglądowe”) są bardzo nieostre, abstrakcyjne i pojemne, zwłaszcza, że nie istnieją ich prawne definicje.
Które z kategorii danych sensytywnych mogą mieć znaczenie dla salonu medycyny estetycznej?
W praktyce, z punktu widzenia salonu medycyny estetycznej, należy pamiętać jedynie o niektórych kategoriach danych wrażliwych. Z pewnością będą to dane dotyczące zdrowia, których zakres pojęciowy jest bardzo szeroki. Zgodnie z definicją z art. 4 pkt 15 RODO chodzi tu o dane o zdrowiu fizycznym, zdrowiu psychicznym, o korzystaniu z usług opieki zdrowotnej oraz o stanie zdrowia danej osoby.
W związku z tym, że zabiegi medycyny estetycznej ingerują w organizm ludzki, konieczne jest – w celu zapewnienia bezpieczeństwa klienta – uzyskanie od niego odpowiednich informacji dotyczących jego zdrowia poprzez przeprowadzenie z nim wywiadu lub wypełnienie odpowiedniego formularza.
Zasadne zatem wydaje się, aby uzyskać informacje dotyczące np. aktualnych chorób, zwłaszcza przewlekłych lub nieuleczalnych, historii medycznej (dotyczącej określonych obszarów), planowanych zabiegów i operacji, alergii na określone produkty lub leki, stałego zażywania określonych rodzajów leków lub suplementów diety, nałogów.
Oczywiście, na etapie poprzedzającym zabieg czy operację, zakres pozyskiwanych danych zależy w szczególności od charakteru usługi, która ma być świadczona, a zatem ilość danych dotyczących zdrowia będzie uwarunkowana indywidualną sytuacją. Niemniej jednak wystarczy, aby klient podał chociażby jedną z takich informacji, aby konieczne było spełnienie dodatkowych warunków wynikających z RODO oraz zapewnienie, że pozyskiwane dane wrażliwe są bezpieczne i należycie chronione.
Może się zdarzyć, że będą pozyskiwane również inne dane wrażliwe, choć sytuacja taka powinna być wyjątkowa i sporadyczna. Do takich danych, które mogą mieć zasadnicze znaczenie dla planowanego zabiegu, mogą należeć chociażby informacje o korekcie płci (jako dana dotycząca seksualności) czy o dziedzicznej predyspozycji do określonych chorób (jako dana genetyczna).
Podstawa prawna przetwarzania przez salon medycyny estetycznej danych wrażliwych klientów
Pozyskiwanie i przetwarzanie danych wrażliwych przez jakikolwiek podmiot może mieć miejsce tylko, gdy istnieją ku temu podstawy prawne. Art. 9 ust. 1 RODO wskazuje bowiem, że danych wrażliwych co do zasady przetwarzać nie można. Zakaz ten nie ma jednak charakteru bezwzględnego, a art. 9 ust. 2 RODO wskazuje dziesięć przypadków, których zaistnienie pozwala na takie przetwarzanie, przy czym wystarczy, aby miał miejsce jeden z wyjątków.
W przypadku salonów medycyny estetycznej, jedyną podstawą prawną przetwarzania danych sensytywnych będzie wyraźna zgoda podmiotu danych na ich przetwarzanie w jednym lub kilku konkretnych celach (art. 9 ust. 2 lit. a RODO). O zgodzie, jako podstawie przetwarzania wszelkiego rodzaju danych osobowych, wspomina też art. 6 ust. 1 lit. a RODO, przy czym w przypadku danych wrażliwych zaznaczono, że musi być ona „wyraźna”, co ma kluczowe znaczenie dla prawidłowego jej uzyskania i udokumentowania. Zgoda bowiem ma być:
- dobrowolna,
- konkretna,
- świadoma,
- jednoznaczna,
- może przybrać formę oświadczenia lub wyraźnego działania potwierdzającego.
Jak widać, definicja ta rozróżnia dwie formy: oświadczenie woli oraz wyraźne działanie potwierdzające. Ta druga jednak – mimo że występuje w niej słowo „wyraźne” – jest luźniejszą i mniej sformalizowaną formą zgody, która może być wyrażona np. poprzez zachowanie, które jednoznacznie wskazuje, że określona osoba wyraża zgodę na przetwarzanie jej danych osobowych.
Dopuszczalne formy udzielenia zgody na przetwarzanie danych wrażliwych
W związku z powyższym, uznaje się, że „wyraźna zgoda”, o której mowa w art. 9 ust. 2 lit. a RODO, może przyjąć wyłącznie postać oświadczenia woli, przy czym jego forma nie została przez przepisy w żaden sposób narzucona. Oznacza to, że salon powinien uzyskać od klienta oświadczenie, w którym wyraża on zgodę na przetwarzanie wskazanych przez niego danych wrażliwych w celu realizacji zamówionej przez niego usługi, którą powinno się w miarę możliwości w tym oświadczeniu doprecyzować (np. zabieg lub operacja dotycząca określonej części ciała).
Forma oświadczenia nie jest narzucona, klient może więc wyrazić przedmiotową zgodę zarówno w formie pisemnej, jak i w formie wiadomości e-mail czy nagranej rozmowy telefonicznej. Teoretycznie możliwa jest również sama nieutrwalona zgoda ustna. Podkreślenia jednak wymaga, iż ze względów prawnych najbardziej zalecana jest forma pisemna, zawierająca pełny podpis klienta oraz datę udzielenia. Forma e-mailowa lub nagrana rozmowa telefoniczna jest dopuszczalna, przy czym istotne jest, aby nie budziło wątpliwości, kto faktycznie takiej zgody udzielił. Z kolei sama forma ustna nie jest zalecana, ponieważ w takim przypadku firmie brakowałoby materialnego dowodu na fakt oraz moment jej udzielenia.
Należy pamiętać, że zgodnie z zasadą rozliczalności z art. 6 ust. 2 RODO, to na salonie będącym administratorem danych osobowych, spoczywa obowiązek wykazania, że przepisy RODO są należycie przestrzegane. Z pewnością oświadczenie na piśmie w najszerszym zakresie taki obowiązek spełnia i pozwala na jego pełne udokumentowanie.
Obowiązek informacyjny z art. 13 RODO
Niezależnie od konieczności uzyskania oświadczenia od klienta, salon powinien również spełnić obowiązek informacyjny, o którym mowa w art. 13 RODO. Co więcej, takie zobowiązanie spoczywa na salonie, gdy pobierane są jakiekolwiek dane osobowe, a zatem również dane zwykłe.
Zakres klauzuli informacyjnej określa dokładnie art. 13 ust. 1 i 2 RODO, przy czym z punktu widzenia wyraźnej zgody, o której była mowa w drugiej części artykułu, klauzula taka powinna zawierać również informację o prawie do jej cofnięcia w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem. Wskazane jest również, aby informacja taka znalazła się bezpośrednio w treści samego oświadczenia klienta. Ponadto, klauzula powinna uwzględniać chociażby okres przetwarzania pozyskanych danych wrażliwych.
Należy pamiętać, że brak lub wycofanie zgody przed wykonaniem usługi skutkuje niemożnością realizacji zabiegu czy operacji. Oświadczenie bowiem musi być dobrowolne. Oznacza to, że klient sam decyduje, czy zgodę wyraża, ale powinien również liczyć się z faktem, że jej nie udzielając lub ją wycofując, rezygnuje z danej usługi. Gabinet w takim przypadku nie ma prawnej podstawy do przetwarzania danych wrażliwych, których uzyskanie jest niezbędne do bezpiecznego i należytego świadczenia zabiegu.
Przetwarzanie danych wrażliwych – jak uwzględnić je w dokumentacji RODO?
Firma, jako administrator danych osobowych, zobowiązana jest również do spełniania szeregu innych obowiązków wynikających z RODO.
W pierwszej kolejności fakt przetwarzania oraz rodzaj i zakres pozyskanych danych wrażliwych powinien zostać uwzględniony w rejestrze czynności przetwarzania, o którym mowa w art. 30 ust. 1 RODO, do którego prowadzenia zobowiązany jest każdy administrator. Co więcej, rejestr ten powinien wskazywać również stosowane w firmie środki techniczne i organizacyjne, zapewniające odpowiedni poziom bezpieczeństwa danych osobowych, w tym w szczególności danych wrażliwych.
Mając na względzie, że chodzi o szczególne kategorie danych osobowych, zasadne wydaje się również przeprowadzenie oceny skutków planowanych operacji przetwarzania. Zgodnie z art. 35 ust. 2 lit. b RODO ocena taka jest zalecana w szczególności w razie przetwarzania na dużą skalę danych wrażliwych. Co prawda jest tutaj mowa o „dużej skali”, która jest pojęciem niejasnym i dotyczy w szczególności służby zdrowia. Niemniej jednak uznaje się, że sam fakt przetwarzania danych wrażliwych, pobieranych w celu realizacji usług, jest wystarczającą podstawą do przeprowadzenia oceny skutków. W razie naruszenia ochrony takich danych, ryzyko wystąpienia szkody wobec klientów jest bowiem co do zasady wysokie, gdyż dane sensytywne dotyczą intymnej i prywatnej sfery życia ludzkiego.
Ponadto, stosowana w firmie Polityka Ochrony Danych Osobowych powinna uwzględniać procedurę postępowania ze szczególnymi kategoriami danych osobowych.
Dołożyliśmy wszelkich starań, aby zawarte w niniejszym artykule informacje były rzetelne oraz kompletne. Należy jednak pamiętać, że nie ponosimy żadnej odpowiedzialności prawnej lub finansowej za mogące się pojawiać błędy, nieścisłości, przeoczenia lub niezgodności.
Niezależnie od powyższego, zamieszczone w artykule fragmenty aktów prawnych nie stanowią źródła prawa – mają pomóc zrozumieć omawianą materię. Jedyne źródło prawa na terenie Rzeczypospolitej Polskiej stanowią akty normatywne ogłaszane w Dzienniku Ustaw i Monitorach Polskich.
Niniejszy artykuł ma charakter tylko i wyłącznie edukacyjny, a zawarte w nim informacje nie odnoszą się do konkretnego stanu faktycznego. Artykuł nie jest świadczeniem pomocy prawnej i nie może za taką zostać uznany. W szczególności nie może on być uznany za poradę prawną, opinię prawną czy chęć jej wyrażenia, wykładnię prawa lub konsultację prawną w jakiejkolwiek sprawie. Autor artykułu nie ponosi odpowiedzialności za jakiekolwiek szkody wyrządzone w związku z zastosowaniem się do prezentowanych treści lub też niezastosowaniem się do nich. Każda sprawa wymaga indywidualnej analizy z uwzględnieniem wszystkich okoliczności faktycznych. Przed podjęciem jakiejkolwiek decyzji lub działania należy skonsultować się z adwokatem, radcą prawnym lub specjalistą w danej dziedzinie. Stan prawny (Polska) na dzień 24.11.2021r.
Jeżeli chciałabyś skonsultować się z Nami, to napisz na adres: biuro@pcscognito.pl