Konieczność powołania Inspektora Ochrony Danych w podmiocie medycznym

Z końcem 2018 roku zakończył się półroczny okres stosowania nowych przepisów w zakresie ochrony danych osobowych, wprowadzonych Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej „RODO”). Co to oznacza w praktyce?
Jak wskazuje Urząd Ochrony Danych Osobowych (dalej „UODO”) od początku 2019 roku wszystkie podmioty gospodarcze mogą zostać poddane kontroli urzędowej spełnienia wymagań przepisów RODO. Przede wszystkim zaś te, które mają obowiązek powołania Inspektora Ochrony Danych (dalej „IOD”).
W tym miejscu należy zaznaczyć, że podmioty medyczne są administratorami danych, na których z reguły będzie ciążył obowiązek powołania Inspektora Ochrony Danych. W myśl bowiem art. 37 ust. 1 lit. c) RODO, gdy główna działalność administratora lub podmiotu przetwarzającego dane, polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, istnieje obowiązek powołania IOD. Do danych szczególnej kategorii zaliczane są zaś przede wszystkim informacje o stanie zdrowia. Z powyższego obowiązku zostały wyłączone jedynie podmioty – lekarze, którzy prowadzą indywidualną praktykę lekarską i nie zatrudniają pracowników (z motywu 91 RODO). Z powyższego wynika, że każdy inny podmiot świadczący usługi związane z ochroną zdrowia powinien powołać osobę, pełniącą w placówce funkcje IOD.
Zagadnienie konieczności posiadania przez podmioty medyczne IOD do dziś wywołuje bardzo wiele pytań. Przepis art. 37 ust. 1 lit. c) nie wskazuje bowiem konkretnie, kiedy administrator ma obowiązek wyznaczenia IOD, gdy jego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Przy czym przetwarzanie danych osobowych na dużą skalę jest pojęciem znacząco nieostrym, a przepisy RODO nie dają wprost odpowiedzi na to, czym jest rzeczona „duża skala”. Interpretując te zapisy należy więc odwołać się do powołanego powyżej motywu, wprowadzającego przepisy właściwe. Należy przy tym również zauważyć, że jednostki medyczne, co do zasady, wypełniają dwie przesłanki, z których wynikałaby obligatoryjność powołania IOD, mianowicie charakter prowadzonej działalności, która w sposób nierozerwalny wiąże się z przetwarzaniem szczególnych kategorii danych osobowych, jak również zakres tego przetwarzania. Grupa Robocza art. 29 (grupa specjalistów, zajmująca się wykładnią przepisów RODO na poziomie międzynarodowym) wskazuje, iż do określenia skali przetwarzania danych osobowych przez pojedynczy podmiot należy wziąć pod uwagę, oprócz liczby osób, których dane dotyczą, także takie kwestie, jak zakres przetwarzanych danych, okres przez jaki dane są przetwarzane, jak również zakres geograficzny tego przetwarzania. Koniecznym zaś dla ustalenia powyższych czynników zdaje się być przeprowadzenie dogłębnej analizy zachodzących procesów związanych z czynnościami przetwarzania danych osobowych, jak również ryzyk wynikających z takiego przetwarzania. Tu podkreślenia wymaga, że dokonanie powyższej analizy powinno być sformalizowane i każdy podmiot powinien móc udokumentować przeprowadzenie takich działań. Chyba, że dana jednostka powołała osobę IOD – wtedy to na nim spoczywa obowiązek dokonania odpowiedniego sprawdzenia i ustalenia wszelkich procesów zachodzących w podmiocie w zakresie danych osobowych jak również rekomendowanie adekwatnych rozwiązań w tym także środków stosowanych do zapewnienia odpowiedniego stopnia zabezpieczenia gromadzonych danych, znajdujących się w zasobach danego administratora.

Państwa podmiot, z racji wyodrębnienia we własnych strukturach funkcji IOD, jest pod tym względem bezpieczny. Ewentualna kontrola będzie bowiem przeprowadzana przy uczestnictwie dedykowanego pracownika DPAG, który pełni funkcję IOD w Państwa działalnościach. O planowaniu przeprowadzenia ewentualnej kontroli UODO w pierwszej kolejności powiadomi powołanego IOD, która to osoba będzie odpowiedzialna za skoordynowanie czynności audytowych. Z naszej strony pragniemy zapewnić, że zespół specjalistów DPAG, wielokrotnie uczestniczył już w takich kontrolach, w związku z czym jesteśmy w stanie zaplanować ewentualne czynności audytowe w taki sposób, aby w jak najmniejszym stopniu obciążały pracę Państwa jednostki oraz zapewnić jej pozytywne wyniki. Niemniej bardzo ważną kwestią jest, abyście Państwo dostarczali nam wszelkich informacji już podczas naszej bieżącej współpracy, abyśmy mogli podjąć niezbędne czynności, na etapie codziennej działalności, które minimalizują ryzyko wystąpienia incydentu, czy też późniejszej kary finansowej.

Dokładamy wszelkich starań aby Państwa organizacje były odpowiednio zabezpieczone w zakresie przetwarzanych przez Państwa danych osobowych.

Zachęcamy Państwa do bieżącego kontaktu z DPAG, a podmioty, które jeszcze nie wyznaczyły IOD w swoich strukturach do kontaktu pod adres: ojom@dpag.pl. Data Protection Advisory Grpoup sp. z o.o. to organizacja rekomendowana przez MPPOZ do obsługi Człoków Związku w zakresie ochrony danych osobowych.