poniedziałek, 28 maja 2018

RODO nie jest takie straszne....



Media już od pierwszych dni  maja, zaczęły zalewać odbiorców informacjami na na temat RODO. Dowiedzieliśmy się z nich przede wszystkim, iż RODO ( Rozporządzenie Unii Europejskiej o ochronie danych osobowych) nakłada na przedsiębiorców ogromne kary finansowe. Nie od dziś wiadomo, że krew sprzedaje się najlepiej. Lansowane przez media zagrożenie, czyli informacje o tym, że kary będą horrendalne,  jest niczym innym jak zapowiedzią przelewu krwi przedsiębiorców.

Wiele firm rozpoczęło gorączkowe przygotowania do wdrożenia RODO, inne postanowiły poczekać.  Jako legalista muszę napisać, że wytyczne UE należy stosować od 25 maja, niemniej jako pragmatyk stwierdzam, że: "pole, pole" , co w języku suahili oznacza "powoli, powoli". 

Przepisy RODO są trudne do zrozumienia i tym samym trudne do wprowadzenia w życie. Zmiana w każdej firmie, dopóki nie zostanie dobrze zrozumiana, nie znajdzie uznania i spodka się z oporem ze strony nas samych i naszych pracowników. Dobrze przedstawiona informacja na temat nowych przepisów, racjonalne uzasadnienie potrzeby zmiany i dopiero jej wprowadzenie to podstawa sukcesu.  

Co zrobić, aby wywiązać się z prawnego obowiązku? Po pierwsze należy przyjrzeć się innym. Warto uczyć się  na własnych błędach, ale  lepiej na cudzych. Dopiero za kilka miesięcy, gdy pojawią się pierwsze kontrole, będziemy wiedzieć na co przy ochronie danych osobowych położyć największy nacisk.
Jeśli stosowaliśmy się do uprzednio obowiązującej ustawy o ochronie danych osobowych na pewno będzie nam łatwiej odnaleźć się w nowej rzeczywistości prawnej. 

Po pierwsze warto rozważyć przeprowadzenie audytu i tu uwaga, nie ma jeszcze na rynku, jak "Certyfikowany Audytor RODO". Audyt powinien zostać przeprowadzony na dwóch polach - prawnym i informatycznym. Wydawać się może, że nic nie jest od siebie tak odległe jak prawo i informatyka, niemniej czasem jedno nie może istnieć bez drugiego. Prawnik wyznaczy ramy a informatyk je uzupełni i tym samym będziemy w stanie chronić  elektroniczne dane naszych klientów. 

Inną, niezmiernie  istotną kwestią jest to, że nasi klienci pozyskali wiele uprawnień, z których mogą korzystać. Mam tu na myśli, przede wszystkim: prawo dostępu do danych osobowych, prawo do uzyskania informacji, prawo do ich sprostowania, prawo do bycia zapomnianym, prawo do ograniczenia ich przetwarzania i przede wszystkim prawo do wyrażenia sprzeciwu. 
Przyjrzyjmy się temu, co dokoła się dzieje respektujmy prawa innych i przestrzegajmy zasad prawa a kary nie będą nam takie straszne.

piątek, 25 maja 2018

Pozbawienie pacjentów dostępu do dokumentacji medycznej naruszeniem zbiorowych praw pacjenta– rozstrzygnięcie NSA.


      
      W 2016 roku w Siemianowicach Śląskich doszło do konfliktu między właścicielami przychodni, a wynajmującym budynek, w której się ona znajdowała. Spór dotyczył opóźnienia w uiszczaniu czynszu, przez co wynajmujący zdecydował się na zmianę zamków, uniemożliwiając tym samym wejście do przychodni. W konsekwencji, doprowadziło to również do niemożności dostępu do dokumentacji medycznej pacjentów, co stało się przedmiotem postępowania przed sądem.


Wojewódzki Sąd Administracyjny przyznał rację podmiotowi medycznemu, który utrzymywał, że nie może odpowiadać za działanie wynajmującego, którego nie dało się przewidzieć, a przez co nie mógł korzystać z wynajmowanego obiektu. Zdaniem Sądu właścicielom przychodni nie można przypisać winy w tej sprawie, gdyż dokumentacja znalazła się w posiadaniu właściciela budynku bez zgody i wiedzy najemcy (przychodni). 

      W tej sprawie interweniował Rzecznik Praw Pacjenta, który uznał, że doszło do naruszenia zbiorowych praw pacjenta. W skardze kasacyjnej dowodził, że obowiązkiem podmiotu leczniczego jest prawidłowe zabezpieczenie dokumentacji medycznej pacjentów. Ponadto stwierdził, że właściciele przychodni w głównej mierze skupili się na  wielomiesięcznym konflikcie z wynajmującym, zamiast na postępowaniu zgodnie z procedurami. 
      
Naczelny Sąd Administracyjny w swoim wyroku przychylił się do stanowiska Rzecznika Praw Pacjenta. Uznał, że zachowanie właścicieli przychodni nie może powodować negatywnych skutków dla pacjentów i sprawa ta powinna stanowić pewnego rodzaju przestrogę dla innych podmiotów medycznych, które pozostają w konflikcie z właścicielem wynajmowanej nieruchomości (w tym przypadku budynku przychodni). 


Sygnatura akt wyroku NSA: II OSK 69/18 

piątek, 2 lutego 2018

Inspektor Ochrony Danych (IOD) – następca ABI



Zgodnie z RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:


a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;


b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (tzw. dane wrażliwe np. dotyczące pochodzenia, orientacji seksualnej, zdrowia, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.


RODO nie wskazuje dokładnie w jakich przypadkach administrator musi powołać Inspektora Ochrony Danych, więc ocena, czy mamy obowiązek taką osobę powołać spoczywa na NAS – Administratorach i podmiotach przetwarzających.


W celu umożliwienia oceny, czy w Państwa przypadku należy powołać IOD zapraszamy na nasze wtorkowe spotkania z RODO lub o bezpośredni kontakt w celu przeprowadzenia audytu wewnętrznego.


Na naszym blogu wyjaśnimy także kim jest Administrator, Podmiot Przetwarzający, jakie mają obowiązki, co to są Dane Osobowe i wiele innych – w rozumieniu RODO.

radca prawny 
Agnieszka Sztuwe



środa, 31 stycznia 2018

Rodo czyli - czy szkoła może rozpowszechniać dane lub wizerunek swoich uczniów i pracowników?


Już niedługo, bo od 25 maja 2018 r. zacznie obowiązywać rozporządzenie o ochronie danych osobowych (RODO), które nakłada nowe obowiązki na podmioty przetwarzające dane osobowe, między innymi szkoły.
Dyrektorzy szkół powinni zdawać sobie sprawę z faktu, jak ważne będzie dla nich przestrzeganie nowych przepisów. Kluczowe znaczenie ma z pewnością dotychczasowy sposób prowadzenia dokumentacji osobowej. Jeśli system był precyzyjnie opracowany, dostosowanie się do RODO nie będzie stanowiło istnej rewolucji. Jednakże w celu zachowania całkowitej zgodności z przepisami, konieczne będzie wyznaczenie inspektora danych osobowych.


Jak dobrze przygotować swoją placówkę?
W pierwszej kolejności należałoby sprawdzić wszystkie dokumenty i procedury funkcjonujące w szkole i ocenić w jakim stopniu są one zgodne z ideami przewidzianymi w nowym rozporządzeniu (należy później wykazać ich zgodność z prawem). Ponadto, warto byłoby przeanalizować klauzule zgód na przetwarzanie danych pod kątem ich ewentualnej aktualizacji. Następnym krokiem powinno być powołanie inspektora danych osobowych – bądź spośród pracowników bądź na zasadach outsourcingu.


Co ze zgodą dzieci w przypadku świadczenia usług elektronicznych?
Wbrew pozorom, będzie miało to istotne znaczenie dla funkcjonowania szkoły. W dobie rozpowszechniającego się dostępu do internetu, dzieci uczestniczą w zajęciach interaktywnych, reprezentują szkołę w przeróżnych inicjatywach, dla których wymagane jest założenie konta internetowego. W takiej sytuacji mamy do czynienia z konstrukcją świadczenia usług społeczeństwa informacyjnego, która to pojawia się w RODO.


Regulacja krajowa
Na dzień dzisiejszy nie sprecyzowano kiedy w polskim porządku prawnym pojawi się ustawa dostosowana do przepisów RODO. Niewątpliwie stanowi to problem dla podmiotów przetwarzających dane osobowe, z uwagi na fakt, iż rygorystyczne przepisy rozporządzenia mogą być modyfikowane innymi rozwiązaniami krajowymi. Warto jednak pamięta
, że nie będzie możliwa całkowita rezygnacja z założeń RODO.
Mimo braku regulacji ustawowej, nie warto czekać z wdrożeniem przepisów w swoich placówkach do tzw. ostatniej chwili. Dużo łatwiej będzie zrezygnować z części procedur, niż tworzyć nowe, oparte na dość skomplikowanym stanie prawnym oferowanym przez RODO.


Ograniczenie wysokości kar oraz kwestia odpowiedzialność za naruszenie przepisów
Rozporządzenie przewiduje obniżenie wysokości kar za złamanie przepisów dotyczących danych osobowych dla podmiotów sektora finansów publicznych do max. 100 000 zł. Z punktu widzenia szkoły nie jest to rozwiązanie optymistyczne, ponieważ nawet taka kwota stanowi duże obciążenie dla budżetu takiej placówki.
Zgodnie z dotychczasowymi przepisami, odpowiedzialność karna dyrektora szkoły wynikała wprost z ustawy o ochronie danych osobowych. Nowe przepisy nie regulują tej kwestii bezpośrednio, jednak pozostawiają możliwość wprowadzenia takiej zasady przez przepisy krajowe. Z kolei tzw. odpowiedzialność administracyjna, czyli związana z karami administracyjnymi, jest odpowiedzialnością administratora, w praktyce szkoły, co przekłada się bezpośrednio na sytuację danej placówki powodując obniżenie zaufania uczniów i rodziców. W RODO przewidziana została także odpowiedzialność cywilna, jednak nie osobista dyrektora, a administratora lub podmiotu przetwarzającego, która może być bardzo dotkliwa w przypadku wymierzenia dużej kary lub odszkodowania za złamanie przepisów dotyczących przetwarzania danych osobowych.


Zapraszamy na bezpłatne konsultacje w siedzibie Kancelarii, w każdy wtorek od godz. 10.00 do 12.00.



piątek, 26 stycznia 2018

Obowiązek przygotowania sprawozdania za rok 2017 dla podmiotów udzielających świadczeń zdrowotnych





Kogo dotyczy?
Obowiązek ten wynika wprost z ustawy o statystyce publicznej, któraswoim zakresem podmiotowym obejmuje wszystkie podmioty gospodarki narodowej udzielające świadczeń zdrowotnych, uwzględniając lekarzy dentystów prowadzących działalność gospodarczą.

Obowiązek czy prawo?
Zgodnie z art. 7 ust. 1 ustawy o statystyce publicznej udział w badaniach statystycznych podmiotów określonych w programie jest obowiązkowy. Ich zadaniem jest udzielenie i przekazywanie prowadzącemu badanie statystyczne pełnych i wyczerpujących informacji, które są wymagane w ramach danego programu. Niewykonanie lub niewłaściwe wykonanie tego obowiązku obostrzone jest sankcją, np. grzywną czy nawet ograniczeniem wolności do lat 2.

Jak się do tego zabrać?
Baza danych statystycznych podmiotów leczniczych jest prowadzona w oparciu o platformę informatyczną System Statystyki w Ochronie Zdrowia (SSOZ), do którego dostęp znajduje się na stronie internetowej Centrum Systemów Informacyjnych Ochrony Zdrowia: https://www.csioz.gov.pl/.
Na stronie opisane są również wszystkie etapy rejestracji użytkownika, funkcjonowanie w systemie oraz formularze sprawozdawcze.
Należy pamiętać, że podczas pierwszego logowania użytkownik wypełnia ankietę, w której podaje aktualny na dany dzień zakres prowadzonej przez siebie działalności. Po prawidłowym wypełnieniu ankiety, system generuje właściwe sprawozdania MZ.
Co ważne, sprawozdania typu MZ nie są wypełniane przez praktyki zawodowe świadczące usługi wyłącznie w przedsiębiorstwie podmiotu leczniczego!
Jeżeli dany podmiot zdecyduje się na realizację obowiązku sprawozdawczego w formie elektronicznej, automatycznie zwolniony jest z prowadzenia sprawozdań w wersji papierowej, konsekwentnie posługując się jedną, ustaloną formą. Przekazywanie danych w wersji papierowej jest dopuszczalne dla podmiotów, w których liczba osób pracujących nie jest większa niż 5.




Terminy przekazywania sprawozdań za 2017 r. dla podmiotów leczniczych

Sprawozdanie
Termin
MZ-88, MZ-89
(obowiązek dla wszystkich podmiotów wykonujących działalność leczniczą, w tym praktyk lekarskich i pielęgniarskich)
2 marca 2018 r.
MZ-11
(obowiązek dla podmiotów udzielających ambulatoryjnych świadczeń zdrowotnych na podstawie kontraktów z NFZ, w tym praktyki pielęgniarek i położnych mające kontrakty na opiekę profilaktyczną nad dziećmi do lat 3)
30 marca 2018 r.
MZ-06
(obowiązek dla podmiotów udzielających ambulatoryjnych świadczeń zdrowotnych w zakresie opieki profilaktycznej nad dziećmi i młodzieżą szkolną)
1 października 2018 r.

czwartek, 18 stycznia 2018

Zmiany w Kodeksie pracy.

Zmiany w Kodeksie pracy – znikną umowy cywilnoprawne oraz zostanie wyrównany czas urlopów dla wszystkich pracowników
Aktualnie komisja kodyfikacyjna pracuje nad zmianą Kodeksu pracy. Zgodnie z planem ma on być gotowy w marcu, a jego założenia mogą wejść w życie jeszcze w tym roku. Zmiany mają dotyczyć głównie likwidacji zatrudnienia na podstawie umów cywilnoprawnych oraz wysokości przysługującego urlopu.

Wymiar urlopu taki sam dla każdego pracownika
Zgodnie z aktualnym stanem prawnym 26 dni urlopu w roku przysługuje wyłącznie pracownikom, którzy przepracowali co najmniej 10 lat. W przypadku niższego niż 10 lat stażu pracy pracownik ma prawo urlopu w wymiarze 20 dni. Na kanwie nowych przepisów ma tu ulec radykalnej zmianie. 26 dni urlopu rocznie będzie przysługiwało każdemu pracownikowi, niezależnie od ilości przepracowanych lat. Stanowi to korzystne rozwiązanie dla osób, które były zatrudnione np. na umowę zlecenia, gdzie przepracowany na tej podstawie czas nie zaliczał się do generalnego stażu pracy. Co równie istotne, w projekcie przewiduje się, że urlop ma zostać wykorzystany w roku, w którym pracownik nabył do niego prawo. Dlatego zgodnie z ideą nowego Kodeksu pracy niewykorzystany w danym roku kalendarzowym urlop przepada, co oznacza, że nie będzie można skorzystać z tych dni w kolejnym roku. Jest to niezaprzeczalna nowość w polskim porządku prawnym, jednak nie jest to odosobnione rozwiązanie na skalę Europy.

Koniec umów cywilnoprawnych?
Kolejnym novum ma być całkowita likwidacja umów cywilnoprawnych. Zamiast tego przewidziane będą dwie formy stosunku pracy, obie na podstawie umowy o pracę z tym, że jedna będzie zakładała zatrudnienie etatowe (czyli tak jak dotychczas), natomiast druga nieetatowe, stanowiąc tym samym odpowiednik brytyjskiego kontraktu zero godzin. Jest to krok w stronę liberalizacji i uelastycznienia stosunku pracy. Mimo że pracownik nie będzie pracował w pełnym wymiarze, uzyska prawo do wszystkich świadczeń, tj. wynagrodzenia, składek czy prawa do urlopu. Istotną kwestią jest również fakt, iż taki pracownik nie musi stawiać się do pracy na wezwanie, chyba że wcześniej wyrazi zgodę na taką formę współpracy. Natomiast pracodawca nie ma obowiązku zapewnienia mu takiej pracy.


Kodeks pracy a działalność gospodarcza

W nowym Kodeksie pracy pojawi się także obostrzenie związane z prowadzeniem działalności gospodarczej. Nie będzie już dopuszczalne rozwiązanie, na podstawie którego pracownik zakłada działalność gospodarczą świadcząc usługi tylko na rzecz jednego zleceniodawcy, w zastępstwie zatrudnienia na umowę o pracę.  

czwartek, 11 stycznia 2018

Monitorowanie sprzedawców przez ich pracodawców jest niedopuszczalne



Skarga pracowników hiszpańskiego supermarketu
Do Trybunału trafiła skarga byłych pracowników jednego z hiszpańskich supermarketów, w przedmiocie niejawnego monitorowania ich stanowisk pracy za pomocą ukrytej kamery. Działanie pracodawcy było umotywowane faktem stwierdzenia szeregu nieprawidłowości między faktycznym a kasowym stanem towaru w sklepie. Na podstawie zapisu z kamer, który potwierdził kradzież towaru, część pracowników została dyscyplinarnie zwolniona z pracy.
Sąd krajowy nie uznał naruszenia
Skarżący bezskutecznie odwołali się do sądu krajowego, który orzekł, że odstąpienie przez pracodawcę od obowiązku poinformowania o monitoringu było uzasadnione z uwagi na znikający ze sklepu asortyment. Ponadto stwierdził, że nie było innego sposobu na ochronę majątkowych interesów pracodawcy, a ingerencja w prawa skarżących była adekwatna.
Trybunał nie podzielił stanowiska sądu krajowego
Tego stanowiska nie podzielił Trybunał, według którego zastosowanie niejawnego monitoringu jest sprzeczne z ustawą i nieproporcjonalne. Zgodnie z prawem hiszpańskim należy informować o gromadzeniu danych zawierających wizerunek osób. W przedmiotowej sprawie nie ulega wątpliwości, że taka informacja nie została przekazana pracownikom, dlatego należy uznać naruszenie prawa do poszanowania życia prywatnego (art. 8 Europejskiej Konwencji o Ochronie Praw Człowieka i Podstawowych Wolności). Trybunał podkreślił, że pracodawca mógł udzielić chociażby ogólnych informacji na temat stosowania monitoringu, np. bez wskazania jego lokalizacji.
Poszanowanie godności pracownika w polskim systemie prawa
Tymczasem w polskim porządku prawnym nadal brakuje wyczerpującej regulacji dotyczącej monitorowania stanowiska pracy czy kontroli poczty elektronicznej. Praktycznie jedynym rozwiązaniem dla pracownika pozostaje powołanie się na art. 11 (1) Kodeku pracy, który nakłada na pracodawcę obowiązek poszanowania godności i innych dóbr pracownika. Dlatego należałoby postulować za jak najszybszym uzupełnieniem stanu prawnego, choćby uwzględniając utartą już linię orzeczniczą Trybunału, która jednoznacznie wskazuje, że niejawny monitoring miejsca pracy, o którym pracownik nie został powiadomiony, jest niedopuszczalny.
(wyrok ETPC z dnia 9 stycznia 2017 r; skargi nr 1874/13 i 8567/13 – Lopez Ribalda i inni przeciwko Hiszpanii)