• +48 573 177 822
  • biuro@ratio-go.pl
  • Pon - Pt: 10:00 - 18:00
Facebook-f Instagram Linkedin
Facebook-f Instagram Linkedin

Wdrożenie RODO w weterynarii

Facebook Linkedin Instagram

Spis treści

Krótkie wprowadzenie do RODO (Ogólne Rozporządzenie o Ochronie Danych Osobowych)

RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r., wprowadziło nowe standardy w zakresie ochrony danych osobowych. Rozporządzenie to ma na celu wzmocnienie kontroli osób fizycznych nad ich danymi osobowymi oraz ujednolicenie przepisów dotyczących przetwarzania tych danych w całej Unii Europejskiej. RODO nakłada na przedsiębiorstwa i instytucje, w tym gabinety weterynaryjne, szereg obowiązków, mających na celu zapewnienie bezpieczeństwa danych osobowych.

Znaczenie RODO dla sektora weterynaryjnego, z uwzględnieniem specyfiki przetwarzania danych osobowych właścicieli zwierząt. W kontekście weterynarii, RODO ma szczególne znaczenie, ponieważ gabinety weterynaryjne przetwarzają wrażliwe dane osobowe właścicieli zwierząt, takie jak numery PESEL, w celu identyfikacji i dokumentacji medycznej. Ochrona tych danych ma kluczowe znaczenie nie tylko dla prywatności klientów, ale również dla zapewnienia zaufania i profesjonalizmu w sektorze usług weterynaryjnych.

Rozliczalność

Zasada rozliczalności, określona w art. 5 ust. 2 RODO, nakłada na administratora danych osobowych odpowiedzialność za przestrzeganie wszystkich reguł wynikających z przepisów o ochronie danych oraz obowiązek posiadania dowodów potwierdzających tę zgodność. Oznacza to, że samo wdrożenie procedur czy zabezpieczeń nie jest wystarczające – konieczne jest także wykazanie, że funkcjonują one w praktyce i są stosowane na co dzień.

Takie dowody mogą być wymagane zarówno w przypadku kontroli prowadzonej przez organ nadzorczy (UODO), jak i na żądanie osoby, której dane dotyczą.

Administrator musi być w stanie udokumentować przestrzeganie m.in. zasad:

  • legalności, rzetelności i przejrzystości przetwarzania,
  • ograniczenia celu,
  • minimalizacji danych,
  • prawidłowości i aktualności,
  • ograniczenia przechowywania,
  • integralności i poufności.

 

Realizacja zasady rozliczalności w praktyce polega na tym, by w organizacji istniały zarówno spisane zasady, jak i realne mechanizmy oraz procedury ich wdrażania. Kluczowe znaczenie ma tu opracowanie i bieżące aktualizowanie polityki ochrony danych osobowych, a także prowadzenie rejestru czynności przetwarzania, który szczegółowo opisuje procesy obejmujące dane – w tym ich zakres, cele, podstawy prawne i okresy przechowywania.

Dodatkowo, w przypadku operacji mogących powodować podwyższone ryzyko naruszenia praw lub wolności osób fizycznych, konieczne jest sporządzenie oceny skutków dla ochrony danych (DPIA). Dokument ten pozwala na zidentyfikowanie potencjalnych zagrożeń oraz zaplanowanie środków ograniczających ryzyko. Ważnym elementem systemu jest również procedura zgłaszania naruszeń, która umożliwia szybką i prawidłową reakcję w przypadku incydentu oraz dokumentowanie go w rejestrze naruszeń.

Zasada rozliczalności wymaga też przeprowadzania audytów planowych oraz kontroli doraźnych – po wprowadzeniu nowych rozwiązań lub zmian w systemach przetwarzania danych. Uzupełnieniem tych działań są regularne szkolenia personelu, które utrwalają wiedzę o obowiązkach wynikających z RODO i minimalizują ryzyko błędów.

Dowodami stosowania zasady rozliczalności mogą być m.in.: dokumentacja nadania uprawnień pracownikom, umowy powierzenia z zewnętrznymi podmiotami, ewidencje zgód czy raporty z analiz ryzyka. W skrócie – administrator musi aktywnie i na bieżąco wykazywać zgodność swoich działań z przepisami, co oznacza kontrolę nad procesami przetwarzania i zdolność do udokumentowania każdego etapu.

Przetwarzanie numeru PESEL w praktyce weterynaryjnej

Numer PESEL nie jest wymagany na recepcie weterynaryjnej—przepisy nie nakładają obowiązku podawania PESEL opiekuna zwierzęcia ani zwierzęcia na receptach wystawianych przez lekarzy weterynarii.

Na recepcie weterynaryjnej powinny znaleźć się:

  • dane lekarza weterynarii (imię, nazwisko, adres, numer PWZ, specjalizacja),

  • dane właściciela zwierzęcia (imię, nazwisko, adres),

  • dane dotyczące zwierzęcia (gatunek, rasa, płeć),

  • nazwa i ilość leku, sposób jego użycia i ewentualny okres karencji.

Wyjątkiem mogą być recepty na środki odurzające lub substancje psychotropowe, które podlegają przepisom ustawy o przeciwdziałaniu narkomanii—jednak nawet wtedy przepis nie wymienia PESEL jako obligatoryjnej informacji na recepcie.

W praktyce, podanie numeru PESEL opiekuna zwierzęcia na recepcie weterynaryjnej jest zbędne i nie jest wymagane przez polskie prawo farmaceutyczne dotyczące recept weterynaryjnych.

Dlaczego na receptach weterynaryjnych nie jest konieczne wpisywanie PESEL opiekuna

Na receptach weterynaryjnych nie wpisuje się numeru PESEL opiekuna zwierzęcia, ponieważ nie istnieje żaden przepis prawa, który to nakazuje. Wynika to z faktu, że rozporządzenie dotyczące wystawiania recept przez lekarzy weterynarii określa inne wymagane dane: imię, nazwisko i adres opiekuna oraz szczegóły dotyczące zwierzęcia i lekarza, ale PESEL nie jest na liście obligatoryjnych informacji.

Kluczowe powody:

  • Brak podstawy prawnej – przepisy prawa farmaceutycznego oraz rozporządzenia Ministra Zdrowia w zakresie recept weterynaryjnych nie wymieniają numeru PESEL jako obowiązkowego elementu dokumentu.

  • Cel i adresat recepty – recepta weterynaryjna dotyczy zwierzęcia, nie człowieka. System identyfikacji pacjentów na recepcie (PESEL) stosuje się do ludzi, w celu ich jednoznacznej identyfikacji przy refundacji czy ścisłej kontroli leków, natomiast w lecznictwie weterynaryjnym nie funkcjonuje mechanizm identyfikacji zwierząt poprzez PESEL ich właścicieli.

  • Wyjątki dotyczą tylko recept na środki odurzające lub psychotropowe – nawet w tych przypadkach przepisy nie wymagają PESEL opiekuna, lecz inne informacje wynikające ze szczególnych aktów prawnych.

Podsumowując, PESEL opiekuna nie jest wymagany, bo przepisy dotyczące recept weterynaryjnych nie przewidują takiego obowiązku, co odróżnia je od recept dla ludzi.

Rodo w weterynarii

Rejestr czynności przetwarzania

Rejestr czynności przetwarzania jest dokumentem wymaganym przez art. 30 RODO i stanowi jeden z fundamentów systemu ochrony danych. Pozwala on na przejrzyste uporządkowanie procesów przetwarzania i umożliwia szybkie wykazanie zgodności działań z prawem podczas kontroli.

Cel prowadzenia rejestru obejmuje m.in.:

  • pełny opis procesów przetwarzania,
  • określenie podstaw prawnych i celów,
  • wskazanie kategorii odbiorców danych,
  • dokumentowanie stosowanych środków bezpieczeństwa.

 

Zakres obowiązku – rejestr muszą prowadzić wszyscy administratorzy oraz procesorzy (podmioty przetwarzające dane na zlecenie). Z formalnego zwolnienia mogą skorzystać tylko mikroprzedsiębiorcy i organizacje zatrudniające poniżej 250 osób, ale wyłącznie wtedy, gdy przetwarzanie ma charakter sporadyczny, nie dotyczy danych wrażliwych ani nie wiąże się z ryzykiem naruszenia praw osób fizycznych. W praktyce oznacza to, że niemal każda placówka weterynaryjna powinna taki rejestr posiadać.

W rejestrze zalecamy umieścić poniższe informacje (z naszej praktyki warto rozszerzyć zakres opisany w art. 30 RODO).: 

  • dane administratora, współadministratorów i IOD,
  • cele przetwarzania,
  • kategorie danych i osób,
  • odbiorcy danych,
  • podstawy prawne,
  • źródła danych,
  • nazwa podmiotu przetwarzającego,
  • przekazania danych poza EOG,
  • lokalizacja danych,
  • opis zabezpieczeń technicznych i organizacyjnych.

 

Rejestr można prowadzić w formie elektronicznej (arkusz kalkulacyjny, dedykowany system) lub papierowej. Kluczowe jest, aby odzwierciedlał stan faktyczny i był aktualizowany po każdej zmianie w procesach przetwarzania. Rzetelne prowadzenie rejestru ułatwia zarządzanie zgodnością, analizę ryzyka oraz przygotowanie do audytów.

Legalna podstawa przetwarzania danych osobowych i danych wrażliwych

Wyjaśnienie, jakie są podstawy legalizujące przetwarzanie danych osobowych (art. 6 ust. 1) oraz danych wrażliwych (art. 9 ust. 2) w kontekście weterynarii. W kontekście weterynaryjnym, legalna podstawa przetwarzania danych osobowych może opierać się na kilku przesłankach, takich jak konieczność wykonania umowy (np. świadczenie usług weterynaryjnych), spełnienie obowiązków prawnych (np. wypisywanie recept), ochrona żywotnych interesów osoby (np. w przypadkach nagłych), a w odniesieniu do danych wrażliwych – na potrzebach opieki zdrowotnej lub ochrony zdrowia publicznego. Ważne jest, aby każde przetwarzanie danych było oparte na jasno określonej i właściwej podstawie prawnej.

Bezpieczeństwo danych osobowych w gabinetach weterynaryjnych

Wskazówki, jak zapewnić bezpieczeństwo danych osobowych zgodnie z RODO. Zapewnienie bezpieczeństwa danych osobowych w gabinetach weterynaryjnych wymaga wdrożenia szeregu środków technicznych i organizacyjnych. Należą do nich m.in. szyfrowanie danych, stosowanie bezpiecznych haseł, regularne aktualizacje oprogramowania, a także szkolenia pracowników z zakresu ochrony danych osobowych. Istotne jest również regularne przeprowadzanie audytów bezpieczeństwa oraz tworzenie kopii zapasowych, aby w przypadku awarii zapewnić ciągłość ochrony danych.

Praktyczne aspekty ochrony danych w sektorze weterynaryjnym. W praktyce, oprócz wymienionych środków technicznych, gabinety weterynaryjne powinny również implementować polityki bezpieczeństwa danych, które określają procedury postępowania z danymi osobowymi oraz reagowania na potencjalne naruszenia danych. Dostęp do danych osobowych powinien być ograniczony tylko do upoważnionych osób, a wszystkie czynności przetwarzania danych powinny być rejestrowane w celu zapewnienia pełnej przejrzystości i możliwości weryfikacji zgodności z RODO.

Wdrożenie Rodo w weterynarii

Powierzenie danych i umowa powierzenia

Powierzenie przetwarzania danych ma miejsce wtedy, gdy administrator przekazuje dane osobowe innemu podmiotowi, który przetwarza je wyłącznie na podstawie jego polecenia. Administrator wciąż zachowuje kontrolę nad celem i sposobem przetwarzania. W gabinetach weterynaryjnych może to dotyczyć np. firm księgowych, informatycznych czy zajmujących się archiwizacją dokumentacji.

RODO wymaga, aby powierzenie było uregulowane umową powierzenia (pisemną lub elektroniczną). Taki dokument powinien zawierać m.in.:

  • opis przedmiotu i celu przetwarzania – czyli wskazanie, jakie kategorie danych będą obejmowane umową, w jakim celu zostaną wykorzystane oraz w związku z jakim projektem, usługą lub umową nadrzędną,
  • zakres czynności przetwarzania – precyzyjne określenie, jakie operacje mogą być wykonywane na danych, np. ich zbieranie, przechowywanie, aktualizowanie, modyfikowanie, udostępnianie lub usuwanie,
  • czas obowiązywania przetwarzania – zwykle powiązany z okresem trwania współpracy lub realizacji projektu,
  • obowiązki procesora – w tym przetwarzanie danych wyłącznie zgodnie z instrukcjami administratora, zachowanie poufności, stosowanie zabezpieczeń określonych w art. 32 RODO oraz reagowanie na incydenty związane z ochroną danych,
  • zasady dostępu do danych – zapewnienie, aby dostęp miały wyłącznie osoby upoważnione, odpowiednio przeszkolone i zobowiązane do zachowania tajemnicy,
  • procedury po zakończeniu współpracy – określenie sposobu zwrotu lub trwałego usunięcia danych, w tym z nośników elektronicznych oraz kopii zapasowych,
  • postanowienia dotyczące kontroli i audytu – przyznanie administratorowi prawa do przeprowadzania kontroli działań procesora oraz nałożenie obowiązku wdrożenia jego zaleceń,
  • regulacje dotyczące dalszego powierzenia danych – dopuszczenie korzystania z podwykonawców wyłącznie po uzyskaniu pisemnej zgody administratora i przy zachowaniu tych samych wymogów bezpieczeństwa,
  • ustalenia w zakresie odpowiedzialności – określenie zasad ponoszenia odpowiedzialności za naruszenia i ewentualne szkody wynikające z niewłaściwego przetwarzania danych,
  • postanowienia uzupełniające – np. regulujące przekazywanie danych poza Europejski Obszar Gospodarczy, wprowadzanie zmian w umowie, sposób rozstrzygania sporów czy klauzule salwatoryjne.

 

Dobrze sporządzona umowa minimalizuje ryzyko naruszeń i stanowi dowód, że administrator zachował należytą staranność w ochronie danych.

Analiza ryzyka

Analiza ryzyka w rozumieniu RODO to proces oceny potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych oraz ustalenia, jakie skutki mogą one mieć dla praw i wolności osób. W placówce weterynaryjnej ryzyka te mogą obejmować np. utratę dokumentacji medycznej zwierząt, nieautoryzowany dostęp do danych właścicieli czy ujawnienie historii leczenia.

Podczas analizy ryzyka bierze się pod uwagę m.in.:

  1. Nazwę czynności przetwarzania – np. „rejestracja pacjenta”, „prowadzenie dokumentacji leczenia”, „przechowywanie archiwalnych kart pacjentów”.
  2. Podatności systemu lub procedur – słabe hasła, brak szyfrowania, brak aktualizacji oprogramowania, niewystarczające przeszkolenie personelu.
  3. Zidentyfikowane ryzyko – np. możliwość utraty danych w przypadku awarii dysku, nieautoryzowanego skopiowania dokumentów przez pracownika.
  4. Wpływ na prawa i wolności osób fizycznych – naruszenie prywatności, utrata zaufania klientów, konsekwencje finansowe dla osoby, której dane dotyczą.
  5. Zastosowane środki techniczne i organizacyjne – szyfrowanie danych, systemy kontroli dostępu, polityki haseł, procedury nadawania uprawnień, regularne kopie zapasowe.
  6. Obliczone prawdopodobieństwo i powaga skutków – ocena ilościowa lub jakościowa (np. skala od 1 do 5 lub od niskiego do bardzo wysokiego).
  7. Decyzja dotycząca dalszego przetwarzania – czy proces może być kontynuowany bez zmian, wymaga dodatkowych zabezpieczeń, czy powinien być wstrzymany.

 

Proces analizy obejmuje:

  1. Identyfikację zagrożeń i źródeł ryzyka – ustalenie, co może doprowadzić do naruszenia ochrony danych.
  2. Ocenę prawdopodobieństwa i wagi skutków – ustalenie, jak często może dojść do incydentu i jak poważne mogą być jego konsekwencje.
  3. Dobór środków zaradczych – wdrożenie działań zmniejszających ryzyko, np. dodatkowe zabezpieczenia IT, wzmocnienie procedur, szkolenia dla pracowników.

 

Wysokie ryzyko wymaga przeprowadzenia DPIA lub modyfikacji procesu, aby je obniżyć. Regularne aktualizacje analizy pozwalają na dostosowywanie zabezpieczeń do zmieniających się warunków.

Obowiązek informacyjny względem właścicieli

Jednym z kluczowych elementów przejrzystości w RODO jest tzw. obowiązek informacyjny, który spoczywa na administratorze danych osobowych. Polega on na tym, że osoba, której dane są zbierane – w przypadku gabinetu weterynaryjnego najczęściej właściciel zwierzęcia – musi otrzymać jasne i kompletne informacje o tym, w jaki sposób jej dane będą przetwarzane.

Zakres tych informacji obejmuje w szczególności:

  • cel i zakres przetwarzania danych – np. rejestracja pacjenta w systemie, prowadzenie dokumentacji medycznej zwierzęcia, wystawianie faktur, kontakt w sprawie wizyt lub wyników badań,
  • podstawę prawną przetwarzania – np. niezbędność do wykonania umowy, obowiązek wynikający z przepisów prawa, zgoda właściciela,
  • okres przechowywania danych – określony np. przepisami prawa podatkowego lub wewnętrzną polityką retencji dokumentacji medycznej,
  • prawa przysługujące osobie, której dane dotyczą – m.in. prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych czy wniesienia sprzeciwu,
  • informacje o odbiorcach danych – np. laboratoria diagnostyczne, firmy świadczące usługi księgowe lub IT, z którymi zawarto umowy powierzenia.

 

Informacje te muszą być przekazane w sposób przejrzysty, zrozumiały i łatwo dostępny, z użyciem prostego języka, unikającego prawniczych sformułowań. W praktyce najczęściej stosuje się:

  • klauzule informacyjne zamieszczane na formularzach papierowych lub elektronicznych,
  • politykę prywatności dostępną na stronie internetowej gabinetu,
  • informowanie ustne podczas wizyty, w szczególności gdy dane pozyskiwane są w sposób szybki i bezpośredni (np. przy rejestracji pacjenta).

 

Moment przekazania informacji uzależniony jest od tego, skąd pochodzą dane. W sytuacji, gdy są one pozyskiwane bezpośrednio od właściciela zwierzęcia, administrator powinien przekazać wymagane informacje najpóźniej w chwili ich zebrania. Natomiast jeśli dane trafiają do placówki z innych źródeł, na przykład od schroniska lub innej instytucji, obowiązek informacyjny należy zrealizować w ciągu maksymalnie miesiąca od momentu ich uzyskania lub przy pierwszym kontakcie z osobą, której dane dotyczą – w zależności od tego, co nastąpi wcześniej.

Prawidłowe wykonanie obowiązku informacyjnego ma znaczenie nie tylko formalne, ale również wizerunkowe – pokazuje, że gabinet dba o prywatność klientów, działa zgodnie z prawem i transparentnie. To z kolei wzmacnia zaufanie oraz lojalność pacjentów.

Zaniechanie realizacji tego obowiązku może mieć poważne konsekwencje w postaci ryzyka skarg do Urzędu Ochrony Danych Osobowych, możliwości nałożenia kar finansowych, utraty reputacji i wiarygodności w oczach klientów.

Podsumowanie

Znaczenie przestrzegania RODO w sektorze weterynaryjnym. Przestrzeganie RODO w sektorze weterynaryjnym jest nie tylko wymogiem prawnym, ale także kluczowym elementem budowania zaufania między gabinetami weterynaryjnymi a ich klientami. Ochrona danych osobowych jest integralną częścią profesjonalizmu w świadczeniu usług weterynaryjnych.

Kluczowe kroki do zabezpieczenia przetwarzania danych osobowych w praktyce weterynaryjnej. Do kluczowych kroków należą: regularne przeprowadzanie oceny ryzyka, wdrażanie środków technicznych i organizacyjnych mających na celu ochronę danych, edukacja personelu, a także utrzymanie przejrzystości i dostępności procedur związanych z realizacją praw osób, których dane dotyczą.

FAQ – Najczęściej zadawane pytania

Czy gabinety weterynaryjne muszą informować klientów o przetwarzaniu ich danych osobowych?

Tak, zgodnie z RODO, każdy gabinet weterynaryjny ma obowiązek poinformować swoich klientów o celach, podstawach prawnych przetwarzania danych osobowych, o odbiorcach tych danych, czasie ich przechowywania, a także o prawach, jakie przysługują osobom, których dane dotyczą.

Jakie środki bezpieczeństwa powinien stosować gabinet weterynaryjny?

Gabinety powinny implementować środki techniczne i organizacyjne, takie jak szyfrowanie danych, kontrola dostępu, regularne audyty bezpieczeństwa, aby zapewnić wysoki poziom ochrony danych osobowych. Ważne jest również przeprowadzanie szkoleń dla personelu z zakresu ochrony danych.

Czy właściciele zwierząt mają prawo dostępu do danych swoich pupili?

Tak, właściciele zwierząt mają prawo dostępu do danych przetwarzanych w ramach opieki weterynaryjnej nad ich pupilami, w tym prawo do uzyskania kopii dokumentacji medycznej.

Co zrobić w przypadku podejrzenia naruszenia ochrony danych osobowych?

W przypadku podejrzenia naruszenia ochrony danych osobowych, właściciele zwierząt powinni niezwłocznie skontaktować się z gabinetem weterynaryjnym, aby zgłosić incydent. Gabinet ma obowiązek podjąć odpowiednie kroki w celu zabezpieczenia danych oraz, w zależności od skali naruszenia, powiadomić o nim właściwe organy nadzorcze.

Sprawdź naszą ofertę!

Wdrożenie RODO
Dokumentacja
Audyt RODO
Szkolenia RODO
Analiza Ryzyka
Outsourcing IOD
Doradztwo RODO
Ostatnie wpisy

Masz pytanie?
Napisz do nas

O nas

Uważamy, że odpowiednio wdrożone RODO, może posłużyć jako narzędzie wpływające korzystnie na rozwój, postrzeganie oraz reputację firmy. Naszym celem jest zapewnienie prawidłowego przetwarzania, obiegu, archiwizowania oraz dostępu do danych zgodnie z aktualnymi wymogami.

Facebook-f Instagram Linkedin
Udostępnij ten post
Facebook
LinkedIn
Czytaj dalej