Przetwarzanie danych osobowych farmaceutów, lekarzy i przedstawicieli medycznych

Zbieranie danych o farmaceutach oraz lekarzach, obejmujących nazwisko i imię, miejsce pracy oraz stanowisko pełnione w aptece, ewentualnie adres do korespondencji (może być to również adres zamieszkania) nie wymaga uzyskania zgody na przetwarzanie, gdyż nie zawsze zgoda na przetwarzanie danych osobowych jest jedyną przesłanką legalizującą przetwarzanie danych osobowych. Podstawą przetwarzania danych osobowych, poza zgodą, także tą na piśmie, może być np. realizacja prawnie usprawiedliwionego celu administratora danych, w tym marketing własnych produktów lub usług, o ile nie narusza to praw i wolności osoby, której dane dotyczą. Natomiast podstawą do przetwarzania danych osobowych przedstawicieli medycznych przez firmy farmaceutyczne jest, co do zasady, umowa o pracę podpisana przez firmę farmaceutyczną z tymi osobami, tj. przesłanka, o której mowa w art. 23 ust. 1 pkt 3 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[1].

Niezależnie jednak od przesłanki przetwarzania danych osobowych, w tym wypadku przetwarzania danych osobowych farmaceutów, lekarzy i przedstawicieli medycznych, musi być spełniony obowiązek informowania o przetwarzaniu danych osobowych, uregulowany głównie w art. 24 Uodo, który nakłada na administratora danych obowiązek informowania w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą i art. 25 Uodo, który z kolei określa obowiązek informowania w przypadku zbierania danych za pośrednictwem osoby trzeciej, czyli pośrednio. Zgodnie z art. 24 ust. 1 powoływanej ustawy, w przypadku zbierania danych osobowych od osoby, której dane dotyczą, administrator danych jest zobowiązany poinformować tę osobę o adresie swojej siedziby i pełnej nazwie, celu zbierania danych, a w szczególności o odbiorcach danych, prawie dostępu do treści swoich danych i ich poprawiania oraz o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. Natomiast zgodnie z art. 25 ust. 1, w przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, poza informacjami wymienionych w art. 24 ust. 1, również o źródle danych oraz o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8 Uodo, czyli o prawie do wniesienia, w przypadkach wymienionych w art. 23 ust. 1 pkt 4 i 5 tej ustawy, pisemnego, umotywowanego żądania zaprzestania przetwarzania danych tej osoby ze względu na jej szczególną sytuację oraz wniesienia sprzeciwu wobec przetwarzania jej danych w przypadkach, wymienionych w art. 23 ust. 1 pkt 4 i 5 ustawy, gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych.

Przykładem sytuacji, gdy administrator danych pozyskał dane nie bezpośrednio od osoby, której dane dotyczą, jest zakup bazy danych osobowych. Nabywający bazę danych powinien pamiętać, iż z momentem kupna tej bazy staje się jej administratorem, w związku z tym musi legitymować się przesłanką przetwarzania danych osobowych[2], zrealizować obowiązek rejestracyjny[3] oraz bezpośrednio po zakupie takiej bazy musi spełnić obowiązek informacyjny, o którym była mowa wcześniej. Jednakże przed zakupem bazy danych należy się upewnić o legalności tego działania. Potwierdzeniem legalności bazy wystawionej na sprzedaż jest fakt zarejestrowania jej przez dotychczasowego administratora danych, o ile taka baza podlega obowiązkowi rejestracji, w jawnym rejestrze zbiorów danych osobowych prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych.