kancelaria@przetwarzaniedanych.pl

Kancelaria na Facebooku

Kancelaria na Linkedin

Inspektor Ochrony Danych (IOD) w branży medycznej

31 lipca 2018 r. upłynął określony w ustawie o ochronie danych osobowych termin zgłaszania inspektorów ochrony danych (IOD) do Prezesa Urzędu Ochrony Danych Osobowych (UODO). Termin ten dotyczył tych podmiotów, w których nie był powołany ABI, a zgodnie z RODO musi być IOD.

Wydaje się, że w branży medycznej wyznaczenie IOD z reguły będzie obowiązkowe. Przepisy prawa nie rozstrzygają jednak tej kwestii w sposób oczywisty i jednoznaczny. Dodatkowo praktyka nie wypracowała jeszcze standardów postępowania w tej kwestii. Pozostaje więc traktować każdy przypadek jako indywidualną sytuację podlegającą analizie z punktu widzenia obowiązku wyznaczenia IOD.

Zgodnie z wytycznymi dotyczącymi IOD każdy administrator danych powinien przeprowadzić w swojej organizacji analizę pod kątem obowiązkowego wyznaczenia IOD a nadto ją udokumentować.

Dzisiaj chciałabym napisać o obowiązku wyznaczenia IOD lub jego braku przez  “pojedynczego lekarza” albowiem pojęcie to pojawia się wprost w RODO. Jest ono jednak niestety nieprecyzyjne i wymaga interpretacji również z uwzględnieniem przepisów sektorowych prawa medycznego.

Obowiązkowe wyznaczenie IOD 

Obowiązek wyznaczenia IOD występuje w następujących przypadkach:

  1. przetwarzania dokonują organ lub podmiot publiczny;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

„Duża skala przetwarzania”

RODO jako jedno z kryterium obowiązkowego wyznaczenia IOD wymienia „dużą skalę przetwarzania” szczególnych kategorii danych, nie precyzując przy tym w jaki sposób mierzyć tę skalę. W motywach RODO znajdują się jednak pewne wskazówki, którymi możemy się posiłkować.

Według jednej z takich wskazówek przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeśli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

Interpretacja pojęcia “pojedynczego lekarza” powinna z pewnością uwzględnić także przepisy prawa medycznego i określone w nim formy prowadzenia działalności leczniczej. Okazuje się, iż w model pojedynczego lekarza wpisywyłyby się jedynie indywidualne praktyki lekarskie.

Przepisy wyraźnie stanowią zakaz zatrudniania (innych) lekarzy przez lekarza wykonującego indywidualną praktykę lekarską lub indywidualną specjalistyczną praktykę lekarską. Taki lekarz może zatrudniać tylko osoby niebędące lekarzami do wykonywania czynności pomocniczych, ewentualnie współpracy.

Oznaczałoby to, iż zgodnie z RODO oraz wytycznymi w zakresie obowiązku wyznaczenia IOD z obowiązku takiego zwolnione są co do zasady działalności pojedynczych lekarzy a więc w polskim porządku prawnym byłyby to indywidualne praktyki lekarskie.

Indywidualna praktyka lekarska jako forma prowadzenia działalności leczniczej jest jednak jedną z wielu form prowadzenia działalności leczniczej. A contrario zatem co do zasady prowadzenie działalności leczniczej w pozostałych formach (poza indywidualnymi praktykami lekarskimi) wymagałoby  obowiązkowego wyznaczenia IOD.

Pamiętać jednak należy, iż są to wskazówki i wytyczne a praktyka nie wypracowała jeszcze standardów identyfikowania dużej skali w odniesieniu do określonych rodzajów przetwarzania w różnych sektorach.

A na koniec powiem przekronie, iż nie można wykluczyć jednak sytuacji, w której działalność lecznicza prowadzona przez pojedynczego lekarza może również wymagać obowiązkowego wyznaczenia IOD.

Trzeba pamiętać, iż w każdym przypadku istotne dla oceny obowiązku wyznaczenia IOD czy przetwarzanie spełnia warunek dużej skali, są ilość i zakres danych, które są przetwarzane przez administratora lub procesora, podobnie jak okres, przez jaki dane są przetwarzane.

Przypominam jeszcze, iż dotychczasowi ABI, którzy po 1 września 2018 r. nadal mają pełnić funkcję IOD, do tego dnia muszą być zgłoszeni do Prezesa UODO.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d bloggers like this: