Inspektor ochrony danych – fachowy doradca w każdej placówce medycznej

Po wejściu do stosowania w dniu 25 maja 2018 r. RODO rolę fachowego wsparcia dla administratorów danych i podmiotów przetwarzających dane odgrywać będą inspektorzy ochrony danych, zwani dalej również „IOD”. W świetle RODO inspektor odgrywa kluczowe znaczenie w procesie wykorzystywania danych osobowych. Jego zadaniem będzie dbanie o prawidłową realizację wszystkich obowiązków, jakie na placówki medyczne nakłada RODO.

Czy muszę wyznaczyć Inspektora Ochrony Danych Osobowych?

Nowe unijne przepisy znacząco wzmacniają rolę i pozycję inspektorów ochrony danych. Jednym z najważniejszych przejawów tego wzmocnienia jest fakt, że wyznaczenie inspektora ochrony danych, stanie się w wielu przypadkach obowiązkiem, a nie jak dotąd, uprawnieniem administratora danych.

Artykuł 37 RODO wskazuje na obowiązek wyznaczenia IOD między innymi w następujących przypadkach:

  • przetwarzania dokonują organ lub podmiot publiczny,
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Pierwsza sytuacja jest w miarę klarowna – wszystkie publiczne placówki medyczne musiały wyznaczyć inspektora ochrony danych. Unijne organy ochrony danych zalecają jednak żeby inspektora powoływały również prywatne jednostki realizujące zadania w interesie publicznym, co można interpretować jako zachętę do wyznaczenia inspektora przez wszystkie prywatne placówki medyczne udzielające świadczeń opieki zdrowotnej finansowanych ze środków publicznych przez Narodowy Fundusz Zdrowia.

Co z prywatnymi placówkami medycznymi?

Druga okoliczność jest trudniejsza do jednoznacznej oceny. W tej sytuacji wyznaczenie inspektora ochrony danych będzie konieczne dla administratorów, których główna działalność polega na przetwarzaniu wrażliwych danych osobowych. Jak czytamy w Wytycznych WP 243 Grupy Roboczej Art. 29 (niezależny organ doradczy Komisji Europejskiej w zakresie ochrony danych osobowych i prywatności), główna działalność oznacza zasadnicze, nie poboczne działanie. Dla przykładu, główną działalnością placówek medycznych będzie udzielanie świadczeń opieki zdrowotnej.Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna”, twierdzą zgodnie unijni rzecznicy ochrony danych, w tym GIODO.

Pojęcie dużej skali przetwarzania jest z kolei jeszcze bardziej nieostre. Zaleca się uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

  • liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa – np. kiedy dana placówka medyczna przetwarza dane osobowe niemal wszystkich pacjentów, nawet małej gminy;
  • zakres przetwarzanych danych osobowych – ten w przypadku placówek medycznych będzie zawsze szeroki i uwzględniający dane wrażliwe;
  • okres, przez jaki dane są przetwarzane – nawet 30 lat na przechowywanie dokumentacji medycznej będzie tu miało istotne znaczenie;
  • zakres geograficzny przetwarzania danych osobowych.

Mając to wszystko na uwadze, wydaje się, że małe placówki medyczne powinny wyznaczyć inspektora ochrony danych osobowych. Nie będzie to jednak dotyczyć sytuacji, kiedy przetwarzanie danych pacjentów – klientów, dokonywane będzie przez pojedynczego lekarza.

Jednak nawet jeżeli RODO bezpośrednio nie nakłada obowiązku powołania inspektora ochrony danych, niejednokrotnie korzystnym dla podmiotów może być dobrowolne wyznaczenie takiej osoby. Polski organ ochrony danych, GIODO (od 25 maja Urząd Ochrony Danych) zachęca do podjęcia takiej decyzji.