CZY WSZYSTKIE PLACÓWKI MEDYCZNE BĘDĄ MIAŁY OBOWIĄZEK POWOŁANIA INSPEKTORA OCHRONY DANYCH
Data dodania: 17-04-18
Autor: radca prawny Maria Rachwał-Frankowska
Od 25 maja 2018 r. w Polsce bezpośrednie zastosowanie znajdzie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, czyli tzw. ogólne rozporządzenie o ochronie danych lub RODO. Rozporządzenie to wprowadza m.in. instytucję inspektora ochrony danych.
Regulacje odnoszące się do inspektora ochrony danych nie są u nas nowością, gdyż obecnie na gruncie ustawy o ochronie danych osobowych analogiczną funkcję pełni administrator bezpieczeństwa informacji nazywany w skrócie ABI.
Do zakresu zdań inspektorów ochrony danych będzie należało m.in.:
- informowanie administratora, podmiotu przetwarzającego dane osobowe oraz ich pracowników o obowiązkach na nich spoczywających a wynikających z RODO oraz innych przepisów o ochronie danych osobowych, a także doradzanie tym osobom w ww. zakresie;
- monitorowanie przestrzegania przepisów odnoszących się do ochrony danych osobowych, działania zwiększające świadomość osób przetwarzających dane, szkolenie personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
- udzielanie zaleceń co do oceny skutków operacji przetwarzania dla ochrony danych osobowych
W związku z nową regulacją nasuwa się pytanie, które z podmiotów będą musiały wyznaczyć inspektora ochrony danych. Omawianą kwestię reguluje art. 37 RODO, zgodnie z którym administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
- przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (m.in. danych dotyczących zdrowia), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Na gruncie powyższego nie ma więc żadnych wątpliwości, iż obowiązek ten będzie dotyczył wszystkich publicznych podmiotów leczniczych, czyli publicznych szpitali, klinik i przychodni (również tych przekształconych w spółki z udziałem jednostek samorządu terytorialnego).
Nie są to jednak jedyne podmioty wykonujące działalność leczniczą, które będą musiały powołać inspektora ochrony danych. Należy bowiem zwrócić uwagę, iż jedną z przesłanek zobowiązujących do wyznaczenia inspektora jest fakt przetwarzania na dużą skalę szczególnych kategorii danych (obecnie określanych jako dane wrażliwe), które to przetwarzanie stanowi dodatkowo główną działalność administratora. Omawiane przesłanki nie zostały określone zbyt precyzyjnie, więc tak naprawdę ustalenie tego, czy dany podmiot np. przychodnia, spełnia ww. kryteria będzie wymagało każdorazowo dokonania analizy konkretnej sytuacji. Konieczność dokonywania takiej analizy potwierdzona została w wytycznych dotyczących inspektorów ochrony danych wydanych przez Grupę Roboczą art. 29 przyjętych w dniu 13 grudnia 2016 r. W przedmiotowych wytycznych wskazano m.in., iż niemożliwe jest wskazanie konkretnego rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby dużą skalę. Nie wyklucza to sytuacji, w której wraz z rozwojem działalności dojdzie do sytuacji, która umożliwi uznanie, iż mamy do czynienia z dużą skalą (np. rozwój małej przychodni). Jednocześnie, jako przykład przetwarzania na dużą skalę, wytyczne wyraźnie podają przetwarzanie danych przez szpital w ramach prowadzonej działalności.
Przy dokonywaniu wykładni pojęcia dużej skali, pewnych wskazówek interpretacyjnych można ponadto poszukiwać w pkt 91 preambuły rozporządzenia. Wskazano tam, iż przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
W powyższego wynika, iż w przypadku prowadzenia indywidualnej praktyki lekarskiej można przyjąć zasadę, że przetwarzanie szczególnych kategorii danych nie spełnia wymogu dużej skali, a co a tym idzie lekarz wykonujący zawód w ramach praktyki zawodowej nie ma obowiązku wyznaczania inspektora ochrony danych.