W związku z ostatnim szkoleniem zorganizowanym przez Ośrodek Kształcenia Medycznego Beskidzkiej Izbie Lekarskiej, dotyczącego zmian w przepisach o ochronie danych osobowych, poniżej przedstawiamy Państwu odpowiedzi na kilka pytań, które wzbudziły najwięcej zainteresowania.
- Które podmioty sektora ochrony zdrowia muszą powołać Inspektora ochrony danych?
Zgodnie z art.37 ust.1 pkt c) RODO Administrator danych osobowych ma obowiązek powołać IOD, jeżeli ?główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10?. Wątpliwości interpretacyjne budzi sformułowanie ?na dużą skalę?. Wskazówkę znajdujemy w Wytycznych Grupy Roboczej ART. 29 ds. Ochrony Danych (Wytyczne dotyczące inspektorów ochrony danych (?DPO?) Przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r.). W dokumencie wskazano, iż do przykładów ?przetwarzania na dużą skalę? zaliczyć można ?przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności?, natomiast niemieszczące się w definicji ?dużej skali? jest ?przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza?. Oczywiście są to skrajne przykłady, które nie obejmują ogromu podmiotów sektora ochrony zdrowia znajdujących się w środku tej skali. Nieco inne stanowisko w sprawie zajmuje koordynujące reformę ochrony danych Ministerstwo Cyfryzacji (koordynator reformy dr Maciej Kawecki), który stoi na stanowisku, iż wszystkie podmioty sektora medycznego, nie wyłączając Indywidualnych Praktyk powinny powołać IOD. W związku z tym, na pewno obowiązek powołania IOD obejmie NZOZ-y, co do Indywidualnych Praktyk Lekarskich brak jednoznacznej odpowiedzi na podstawie przepisu, jednakże przywołane wyżej stanowisko dr Macieja Kaweckiego wskazuje, iż Indywidualne Praktyki obowiązek ten obejmie.
Zaznaczam również, że na podstawie art.37 ust.1 pkt a) RODO obowiązek powołania IOD mają wszystkie organy i podmioty publiczne (cała publiczna służba zdrowia), z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości.
Linki do wywiadów z dr Kaweckim:
- http://www.infodent24.pl/lexdentpost/najwyzszy-czas-zeby-wiedziec-wszystko-o-rodo,108648.html/
- https://izba-lekarska.pl/numer/numer-22018/gdy-rodo-wejdzie-w-zycie/
- Które podmioty sektora ochrony zdrowia i w jakich przypadkach muszą przeprowadzać ocenę skutków dla ochrony danych osobowych (DPIA)?
DPIA reguluje art. 35 RODO. Wykonywana jest ?jeżeli dany rodzaj przetwarzania ? w szczególności z użyciem nowych technologii ? ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (?)?. Pomoc w interpretacji przepisu oraz sposobie przeprowadzania DPIA stanowi Motyw 91 RODO. Wskazano w nim m.in., że ?Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa?.
Indywidualne Praktyki Lekarskie będą więc zwolnione z przeprowadzania DPIA, natomiast inne podmioty w sytuacji, gdy wymaga tego RODO, muszą przeprowadzać DPIA.
Istotne jest jednakże, że każdy administrator danych osobowych, łącznie z Indywidualnymi Praktykami Lekarskimi, ma obowiązek uwzględniania ryzyka w swojej działalności i odpowiedniego zarządzania nim, a jest to jeden z elementów DPIA.
Więcej informacji mogą Państwo znaleźć w Wytycznych Grupy Roboczej ART. 29 ds. Ochrony Danych (Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie ?może powodować wysokie ryzyko? do celów rozporządzenia 2016/679 Przyjęte w dniu 4 kwietnia 2017 r. Ostatnio zmienione i przyjęte w dniu 4 października 2017 r.).
- Czy kontrola nowego Urzędu Ochrony Danych Osobowych musi zostać zapowiedziana?
Postępowanie kontrolne nowego Urzędu Ochrony Danych Osobowych (zastępującego Generalnego Inspektora Ochrony Danych Osobowych ? GIODO) reguluje Rozdział 9 projektu Ustawy o ochronie danych osobowych (nie jest to jeszcze obowiązujący akt prawny, jego ostateczny kształt może ulec zmianie). W projekcie znajduje się zapis, iż ?Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową, a w przypadku członka lub pracownika organu nadzorczego państwa członkowskiego Unii Europejskiej, po okazaniu imiennego upoważnienia wraz z dokumentem potwierdzającym tożsamość tej osoby? (art.77) ? kontrola rozpoczyna się więc w momencie okazania stosownych dokumentów przez kontrolujących. W przypadku kontroli działalności gospodarczej przedsiębiorcy (Rozdział V Ustawy o z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej, Dz.U. 2004 Nr 173 poz. 1807 ze zm.) przedsiębiorcę zawiadamia się o zamiarze wszczęcia kontroli a kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli (art. 79 ust.4 Ustawy o z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej). Jednakże projekt Ustawy o ochronie danych osobowych w art. 87 stanowi, iż ?do kontroli działalności gospodarczej przedsiębiorcy, stosuje się przepisy rozdziału 5 ustawy z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. z 2016 r. poz. 1829, 1948, 1997 i 2255 oraz z 2017 r. poz. 819), z wyłączeniem art. 79, art. 82 i 83.? Ponadto art. 79 ust.2 pkt 1) Ustawy o z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej stanowi, iż ?zawiadomienia o zamiarze wszczęcia kontroli nie dokonuje się, w przypadku gdy kontrola ma zostać przeprowadzona na podstawie bezpośrednio stosowanych przepisów powszechnie obowiązującego prawa wspólnotowego albo na podstawie ratyfikowanej umowy międzynarodowej?.
W świetle przywołanych przepisów, o ile projekt Ustawy o ochronie danych osobowych nie zmieni się w tym zakresie, Urząd Ochrony Danych Osobowych nie będzie mieć obowiązku wcześniejszego zawiadamiania przedsiębiorcy o zamiarze przeprowadzenia kontroli. Co w związku z tym w przypadku, gdy kontrolowany będzie nieobecny? Art. 79 projektu Ustawy o ochronie danych osobowych stanowi: ?W razie nieobecności kontrolowanego lub osoby przez niego upoważnionej, upoważnienie do przeprowadzenia kontroli oraz legitymacja służbowa lub inny dokument potwierdzający tożsamość mogą być okazane innemu pracownikowi kontrolowanego, który może być uznany za osobę, o której mowa w art. 97 ustawy z dnia 23 kwietnia 1964 r. ? Kodeks cywilny (Dz. U. z 2017 r. poz. 459, 933 i 1132), lub przywołanemu świadkowi, jeżeli jest funkcjonariuszem publicznym w rozumieniu art. 115 § 13 ustawy z dnia 6 czerwca 1997 r. ? Kodeks karny, oraz nie jest jednocześnie pracownikiem Urzędu albo osobą o której mowa w art. 75.?
RODO – ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).