Zgodnie z prawem

RODO: Inspektor Ochrony Danych w gabinetach lekarskich i w podmiotach leczniczych

adw. Joanna Mamczur

Kancelaria Adwokacka w Warszawie

www.mamczur.com

Adres do korespondencji: adwokat Joanna Mamczur, Kancelaria Adwokacka w Warszawie, www.mamczur.com; e-mail: joanna.mamczur@mamczur.com

W niniejszym artykule znajdą Państwo odpowiedzi na kilka nurtujących pytań, takich jak: Kiedy należy powołać Inspektora Ochrony Danych (IOD) i kto może nim zostać? Jakie są obowiązki IOD? Jaki jest termin zgłoszenia IOD do organu nadzoru?


Od 25 maja 2018 r. weszły w życie nowe unijne przepisy o ochronie danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znane jako RODO lub GDPR (General Data Protection Regulation). Z tą samą datą zaczęły także obowiązywać przepisy polskiej Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., która uchyliła poprzednią ustawę obowiązującą od 1997 r., tj. przez ponad 20 lat.

Podstawowe zasady ochrony danych osobowych są spójne z dotychczasowymi wymogami, jednakże nowe przepisy wprowadzają wiele nowych wymogów formalnych w zakresie techniczno-organizacyjnym, a także odnośnie do dokumentacji oraz zasad odpowiedzialności i zadań osób mających sprawować pieczę nad ochroną danych osobowych w poszczególnych organizacjach, tj. Inspektorów Ochrony Danych (IOD; DPO – Data Protection Officer).

Regulacje te nie zawierają załączników ze szczegółowymi wymogami formalnymi, które należy spełnić, prowadząc działalność w danej branży. Rozporządzenie obejmuje ogólne wytyczne odnośnie do dokumentacji, którą należy wprowadzić, oraz obowiązków informacyjnych. Jednakże w pozostałym zakresie wskazuje, że dane osobowe mają być przetwarzane w sposób bezpieczny, to znaczy tak, by incydenty techniczne lub nieuprawniony dostęp do przetwarzanych informacji nie powodowały zagrożenia dla danych osobowych, za które odpowiedzialny jest administrator. Jest to odległe od dotychczasowych przyzwyczajeń przedsiębiorców, tj. wzorów dokumentów i list wymogów zawartych w branżowych ustawach i przepisach wykonawczych, które dotąd należało przyjąć za standard obowiązujący w danym przedsiębiorstwie. Stąd wdrożenie RODO i praktyczne zastosowanie się do tej regulacji budzi wiele pytań, także w branży medycznej.

Często pytają Państwo o zasady wyznaczania Inspektora Ochrony Danych, zwłaszcza o to, czy każdy gabinet lekarski lub podmiot leczniczy powinien powołać IOD, jakie są obowiązki takiej osoby, kto może zostać IOD oraz jakie są wymogi związane ze zgłoszeniem IOD do organu nadzoru.

Poniżej znajdą Państwo praktyczne zestawienie informacji na ten temat, z odniesieniem się do projektu kodeksu dobrych praktyk nazwanego „Kodeks postępowania – podmioty wykonujące działalność leczniczą”.1 Warto przy tym wskazać, że wśród kontrybuto...

Pełna wersja artykułu omawia następujące zagadnienia:

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych to osoba sprawująca pieczę nad wszystkim, co w danej organizacji dotyczy danych osobowych. Zadaniem inspektorów ochrony danych jest działanie [...]

Zadania IOD

Zgodnie z art. 38 i 39 RODO zadania Inspektora Ochrony Danych obejmują:

Kto powinien powołać IOD?

Wymogi dotyczące wyznaczania IOD są określone w przepisie art. 37 ust. 1 RODO:

Kwalifikacje do pełnienia funkcji IOD

Zgodnie z art. 37 ust. 5 RODO Inspektor Ochrony Danych to osoba fizyczna (nie może to być zatem np. spółka jako osoba [...]

Jeden inspektor dla kilku podmiotów

RODO zawiera przepisy zezwalające na powołanie jednego Inspektora Ochrony Danych dla kilku podmiotów. Przepisy te wskazują również warunki, jakie należy spełnić, [...]

Kiedy należy zgłosić powołanie IOD?

Podmioty, które w dotychczasowym stanie prawnym nie powołały osoby odpowiedzialnej za ochronę danych osobowych, tj. Administratora Bezpieczeństwa Informacji (ABI), o powołaniu IOD będą [...]

Zgłoszenie o wyznaczeniu IOD

Zgodnie z art. 10 Ustawy o ochronie danych osobowych z 10 maja 2018 r. podmiot, który wyznaczył inspektora, zawiadamia o tym fakcie Prezesa Urzędu, wskazując [...]

Czy IOD jest pracownikiem?

Zgodnie z art. 37 ust. 6 RODO Inspektor Ochrony Danych może być członkiem personelu administratora lub podmiotu przetwarzającego albo wykonywać zadania na [...]

Podsumowanie

Powyższe wskazówki nie wyczerpują tematu wdrożenia RODO w organizacji ani nie wskazują pełnej listy obowiązków wynikających z tej regulacji. Temat przetwarzania danych, przygotowania [...]