Dziennikarze, adwokaci, radcy prawni, lekarze… – zobowiązani są do zachowania tajemnicy zawodowej. Czy oznacza to, że RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE) ich nie dotyczy? A co z kontrolą przetwarzania danych i obowiązkiem informacyjnym? Przeczytaj nasz artykuł i dowiedz się co wspólnego ma tajemnica zawodowa z obowiązkiem informacyjnym RODO!
Tajemnica zawodowa
Ani przepisy prawa krajowego, ani unijnego nie zawierają definicji tajemnicy zawodowej. Pojęcie to jednak znaleźć można w licznych ustawach regulujących funkcjonowanie poszczególnych grup zawodowych.
Obowiązek zachowania tajemnicy przepisy prawa stawiają między innymi wobec:
- adwokatów - radców prawnych - notariuszy - komorników - rzeczników patentowych - żołnierzy zawodowych - inspektorów pracy - psychiatrów - psychologów | - rzeczoznawców majątkowych - dziennikarzy - lekarzy - pielęgniarek - farmaceutów - biegłych rewidentów - doradców podatkowych - pośredników ubezpieczeniowych - operatorów pocztowych |
Tajemnica zawodowa a RODO
RODO ma zastosowanie do przetwarzania danych osobowych w związku z działalnością prowadzoną przez jednostkę organizacyjną administratora lub podmiotu przetwarzającego w Unii Europejskiej. Nie ma przy tym znaczenia forma prawna czy sposób prowadzenia takiej działalności.
Jeżeli zatem w ramach wykonywania zawodu, z którym przepisy prawne wiążą obowiązek przestrzegania tajemnicy zawodowej, dany podmiot przetwarza dane osobowe, zobowiązany jest do przestrzegania zasad ochrony wynikających z RODO. Jednym z najważniejszych obowiązków, jakie RODO nakłada na administratorów i podmioty przetwarzające, jest natomiast obowiązek informacyjny.
Treść obowiązku informacyjnego
Treść obowiązku informacyjnego w przypadku podmiotów objętych tajemnicą zawodową jest – co do zasady – analogiczna jak przypadku każdego administratora danych osobowych (podmiotu przetwarzającego).
Obowiązek ten obejmuje poinformowanie o tożsamości administratora i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych jego przedstawiciela, o danych kontaktowych inspektora ochrony danych, o celach przetwarzania danych osobowych oraz podstawie prawnej przetwarzania, o prawnie uzasadnionym interesie realizowanym przez administratora lub przez stronę trzecią, o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją oraz o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej.
Ponadto obowiązek ten obejmuje również przekazanie informacji o okresie, przez który dane osobowe będą przechowywane, o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem, o prawie wniesienia skargi do organu nadzorczego oraz o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu. Konieczne jest także wskazanie, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych.
Kategorie danych a obowiązek informacyjny
Sposób i zakres realizacji obowiązku informacyjnego z RODO związane są ze źródłem pochodzenia i sposobem uzyskania danych osobowych. Jest to szczególnie istotne w przypadku podmiotów zobowiązanych do zachowania tajemnicy zawodowej z uwagi na zróżnicowanie w oparciu o te właśnie kryteria ciążących na nich obowiązków wynikających z RODO.
Obowiązek informacyjny z RODO dotyczyć może danych zebranych bezpośrednio od osób, których te dane dotyczą (np. dane osobowe klienta kancelarii adwokackiej, dane osobowe pacjenta) oraz danych uzyskanych pośrednio (np. dane osobowe świadka, dane osobowe przeciwnika procesowego).
Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podaje jej wszystkie wymagane przepisami informacje podczas pozyskiwania danych osobowych.
Jeżeli natomiast danych osobowych nie pozyskano od osoby, której dane dotyczą, administrator podaje wymagane przez RODO informacje osobie, której dane dotyczą:
-
w rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca – mając na uwadze konkretne okoliczności przetwarzania danych osobowych,
-
jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą,
-
jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
W przypadku podmiotów objętych tajemnicą zawodową należy dodatkowo rozróżnić dwie kategorie danych:
-
zebrane w związku z wykonywaniem zawodu (np. dane osobowe pacjenta, dane osobowe świadka w sprawie cywilnej),
-
zebrane w związku z funkcjonowaniem jako jednostka gospodarcza (np. dane osobowe pracowników, dane osobowe kontrahentów i dostawców).
Zakres obowiązku informacyjnego a tajemnica zawodowa
Mamy zatem dwa sposoby pozyskiwania danych – pośrednie i bezpośrednie oraz dwie kategorie danych – zebrane w związku z wykonywaniem zawodu i w związku z funkcjonowaniem jako jednostka gospodarcza.
Na tym tle wyjątkowe zasady wprowadza art. 14 ust. 5 lit. d) RODO, który wyłącza obowiązek informacyjny na gruncie RODO, jeżeli zebrane pośrednio dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Ponadto, co istotne, przepisy dotyczące tajemnicy zawodowej na gruncie RODO uprawniają najczęściej do uznania, że gdy podmiotowi objętemu obowiązkiem zachowania tajemnicy zostaną pośrednio przekazane dane osobowe nią objęte, to w tym zakresie należy go uznać za administratora tych danych (a nie podmiot przetwarzający te dane). Wynika to z zakresu uprawnień, jakie konieczne są do ochrony tajemnicy zawodowej zgodnie z etyką zawodu (np. w przypadku radcy prawnego lub adwokata).
W pozostałym zakresie zasady RODO działać będą analogicznie jak w przypadku innych administratorów.