Наслідки GDPR для фахівців у галузі харчування

Загальний регламент про захист даних є основною причиною для занепокоєння серед фахівців з різних областей. Фахівці у галузі охорони здоров’я та харчування не є винятком. Але не хвилюйтеся, першим кроком на шляху дотримання вимог GDPR є усвідомлення того, що існують нові правила щодо захисту даних, та переконання, що ви та ваша організація, якщо такі є, знаєте про основні зобов’язання. Якщо ви читаєте цей текст, то, як мінімум, ви щойно зробили перший крок.

фахівців

У цій статті ми розглянемо деякі наслідки Загального регламенту захисту даних (далі - GDPR або просто Регламент) для фахівців у галузі харчування. Щоб дізнатись більше про GDPR та кроки, які робить Nutrium щодо дотримання вимог, прочитайте нашу попередню статтю тут.

Ми також рекомендуємо ознайомитися з Положенням та веб-сайтом наглядового органу вашої країни, де ви, швидше за все, знайдете повну документацію з цього питання.

Ще не використовує Нутрій?

Приєднуйтесь до більш ніж 20 000 спеціалістів з харчування та спробуйте наше програмне забезпечення для харчування безкоштовно

Вечірки в грі

Неможливо було б належним чином пояснити GDPR, не попередньо пояснивши деякі фундаментальні поняття про залучені сторони. Відносини в Регламенті приблизно визначені таким чином: суб’єкт даних (ваш пацієнт) надає свої особисті дані контролеру (вам, спеціалісту з харчування), який відповідає за обробку даних, як це передбачено Регламентом.

У деяких випадках контролер може залучити третю сторону для здійснення частини таких операцій з обробки від його імені. Ці треті сторони в номенклатурі GDPR називаються процесорами. Такий випадок з нашою компанією. Healthium, головним чином, є процесором, що займається харчуванням, і сам може укласти договір на обробку даних з іншими процесорами. Як контролер ви завжди повинні переконатися, що ваші процесори відповідають вимогам GDPR.

Законність обробки

Як адміністратор, і щоб уникнути юридичних ускладнень та штрафних санкцій, ви повинні переконатися, що вся обробка персональних даних ваших пацієнтів є законною, іншими словами, ви повинні мати, принаймні, якусь правову підставу, щоб обробка могла законно прийняти місце. Стаття 6 GDPR передбачає шість "законних підстав" для обробки даних. Давайте розглянемо три з них:

Згода: Ви можете обрати особисті дані за згодою пацієнта. Якщо суб’єкт даних дав свою явну та усвідомлену згоду, обробка повинна бути законною. Наприклад, ви повинні використовувати згоду, коли хочете використовувати дані свого пацієнта в маркетингових цілях. Ніщо не заважає вам проводити зустрічі на основі згоди, але майте на увазі, що в цих ситуаціях пацієнт може в будь-який час відкликати згоду, заважаючи вам продовжувати обробляти їх дані. Крім того, ви повинні мати організаційні засоби, щоб довести таку згоду та надати суб’єкту даних простий спосіб відкликати його.

Для договірних цілей: обробляти персональні дані законно, коли це необхідно для належного виконання договору. Наприклад, для того, щоб ви правильно відсвяткували трудовий договір із секретарем, було б законним збирати всі персональні дані, необхідні для ідентифікації сторін та обробки заробітної плати. Наприклад, такі дані, як повне ім'я, адреса або номер банківського рахунку.

Законні інтереси: де обробка необхідна для задоволення законних інтересів, що переслідуються контролером або третіми сторонами. Наприклад, фахівець з дієтології має законний інтерес у зборі даних про стан здоров’я свого пацієнта, оскільки саме ці дані дозволять їм успішно провести призначення.

Зрештою, від вас залежить вибір та аналіз “законної основи”, якій ви хочете бути або піддатися. Але майте на увазі, що деякі "законні основи" можуть бути більш доречними, ніж інші, залежно від обробки, про яку йдеться.

Наприклад, використання "законних інтересів" як законної основи для обробки даних може здатися найпростішим способом, однак для цього потрібно "Оцінка законних інтересів", щоб суб'єкт даних міг знати, які ці інтереси.

З іншого боку, "згода" дає суб'єкту даних майже абсолютний контроль над своїми даними та забирає їх у вас. Цей метод вважається більш прозорим, але може бути непрактичним для впровадження, оскільки вимагатиме як організованого реєстру таких згод, так і спроможності забезпечити пов'язані з ним права.