fbpx

Obejrzyj nagranie wideo lub przeczytaj tekst, w którym opowiadam o  sytuacjach, w których konieczne będzie powołanie Inspektora Ochrony Danych? Czy ten obowiązek dotyczy tylko szpitali, czy także małych gabinetów medycznych? Włącz dźwięk lub przeczytaj transkrypcję nagrania poniżej. Czas trwania nagrania: 7 minut

Inspektor Ochrony Danych to jest nowa rola przewidziana przepisami Ogólnego Rozporządzenia o Ochronie Danych (RODO). Podejmując się analizy tego, jakie wymagania należy spełnić w kontekście RODO, każdy przedsiębiorca powinien się zastanowić czy jego obowiązkiem jest powołanie Inspektora Ochrony Danych. 

Artykuł 37 RODO podaje przypadki, w których takie powołanie jest obowiązkowe. 

Publiczne przychodnie i szpitale.

IOD jest wymagany wszędzie tam, gdzie przetwarzania dokonuje organ lub podmiot publiczny, za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości. Każdy podmiot publiczny, także więc szpital lub przychodnia publiczna, jest zobowiązany do powołania Inspektora Ochrony Danych. Natomiast, jeśli chodzi o przedsiębiorców, tutaj sprawa się nieco komplikuje. Zgodnie z aktualnymi przepisami każdy przedsiębiorca powinien sam przeanalizować czy taki przypadek z art. 37 RODO dotyczy. I przeanalizuję teraz dla Ciebie te obowiązki, które dotyczą firm prywatnych, w tym prywatnych gabinetów medycznych i przychodni.

Prywatne gabinety i przychodnie.

Pierwsza sytuacja, najczęściej spotykana w działalności gospodarczej, to jest obowiązek powołania Inspektora Ochrony Danych (IOD) w sytuacji, kiedy Twoją główną działalnością jest przetwarzanie szczególnych kategorii danych, tzw. danych wrażliwych na dużą skalę. 

I tutaj mamy trzy elementy do przeanalizowania. 

Pierwszy, to jest główna działalność, czyli to musi być Twoje działanie główne, nie poboczny element, tylko usługa, którą wykonujesz w sposób stały, zorganizowany, np. świadczenie usług zdrowotnych, prowadzenie podmiotu leczniczego, usług rehabilitacji, apteka, gabinet dietetyczny, kosmetyczny. To są działania, gdzie Twoją główną działalnością jest przetwarzanie danych o stanie zdrowia. I w takiej sytuacji do wykonywania usługi związanej ze stanem zdrowia potrzebujesz tych danych osobowych. 

Kolejny element, to jest przetwarzanie na dużą skalę. Kiedy występuje duża skala? Przepisy RODO nie precyzują ilości osób, których dane się przetwarza, ilości pacjentów. Jedynie odsyłają nas do tego, abyśmy sami przeanalizowali jako właściciele firmy czy to jest już duża skala, czy jeszcze nie. I taką podpowiedzią są wytyczne Grupy Roboczej art. 29 ds ochrony danych, zgodnie z którymi należy wcześniej zweryfikować co najmniej:

  • jaki jest zakres przetwarzania danych? Czyli konkretnie, jakie dane o stanie zdrowia przetwarzamy.
  • jaki jest zasięg geograficzny tego przetwarzania? Czy to jest w lokalnie, np. w obrębie jednego miasta czy może większej części regionu, województwa, kraju, etc.
  • jak długo dane osobowe przechowujemy? W podmiotach leczniczych ten obowiązek jest dość długi, określony przepisami prawa i wynosi 20 lat, a w niektórych sytuacjach nawet nieco dłużej. 

Dlatego, każdy właściciel, kierownik jednostki organizacyjnej świadczącej usługi zdrowotne powinien przeanalizować we własnym zakresie czy to jest główna działalność i czy jest prowadzona na dużą skalę. W wytycznych znajdujemy również wskazówkę, zgodnie z którą uznaje się, że prywatny gabinet jednoosobowy to będzie mała skala. Natomiast, szpital, szpital prywatny jest już dużą skalą. I wszystko to, co jest pomiędzy jednoosobowym gabinetem, a szpitalem musi być zweryfikowane samodzielnie, przez właściciela, prezesa danej firmy. Należy zgodnie z tym indywidualnie ocenić, czy bliżej Ci do tego jednoosobowego gabinetu czy jednak bardziej już wielkość tego przetwarzania mieści się w kontekście przychodni, szpitala. Jeżeli prowadzisz działalność związaną ze zdrowiem we własnym zakresie jednoosobowo, to ja tutaj też przychylam się do stanowiska,  że jest to mała skala. Natomiast zatrudniając osoby świadczące usługi zdrowotne, prowadząc już działalność na kształt przychodni lekarskiej, tutaj bez wątpienia będzie to duża skala, gdyż ten okres przechowywania dokumentacji medycznej jest bardzo wydłużony, zakres danych, które przetwarzamy, diagnozy choroby, diagnostykę laboratoryjną czy obrazową w stosunku do osoby – tutaj bez wątpienia będziemy już podążać w kierunku dużej skali i taki obowiązek może Cię dotyczyć. Tak że zachęcam Cię do przeanalizowania czy Twoja sytuacja zbliżona jest bardziej do jednoosobowego gabinetu medycznego, czy też już działasz na większą skalę. Twoją odpowiedzialnością jako administratora danych lub kierownika przychodni, jest, ustalić czy obowiązek powołania Inspektora Ochrony Danych Cię dotyczy.  Niepowołanie IOD tam, gdzie było to wymagane jest zagrożone karą do 10 mln EUR lub 2 % przychodu za rok ubiegły. Mogą to być już poważne konsekwencje dla wielu podmiotów medycznych.

Monitorowanie na dużą skalę.

I kolejny przypadek, gdzie w firmach prywatnych będzie wymagany Inspektor Ochrony Danych (poza pomiotami leczniczymi) jest sytuacja, kiedy firmy dokonują w ramach głównej działalność regularnego i systematycznego monitorowania osób na dużą skalę. I tutaj znowu mamy do czynienia z pojęciem główna działalność. Należy się zastanowić czy monitorowanie to jest działalność wiodąca i czy dotyczy dużej skali. I takim przykładem monitorowania na dużą skalę, gdzie jest to główna działalność jest np. świadczenie usług telekomunikacyjnych. Tutaj monitorujemy pewnego rodzaju zachowania, zdarzenia. To są również usługi oparte na geolokalizacji, programy lojalnościowe, reklama behawioralna, inteligentne liczniki i monitoring wizyjny. Jeżeli prowadzimy firmę związaną z monitoringiem wizyjnym i świadczenie takich usług to jest Twoja główna działalność, to tutaj taki Inspektor będzie u Ciebie również obowiązkowy. Natomiast, jeżeli prowadzisz monitoring tylko i wyłącznie w zakresie swojej firmy, czyli Twoim działaniem jest inna usługa, ale monitorujesz przy okazji parking, budynek w celach bezpieczeństwa, to będzie Twoje działanie poboczne. Mówimy tylko o monitoringu jako główna działalność, czyli np. mam tu na myśli firmy świadczące usługi nadzoru osób i mienia, tzw. firmy ochroniarskie – one tutaj już takiemu obowiązkowi będą podlegać. Ale jeżeli firma realizuje tylko monitoring we własnym zakresie, na cele bezpieczeństwa osób i mienia, to powołanie IOD Cię nie będzie jej dotyczyć w tym zakresie.

RODO w gabinecie
error: Nie kopiujemy!