Kiedy lekarz prowadzący praktykę lekarską powinien wyznaczyć inspektora ochrony danych? Co to są szczególne kategorie danych i jak definiować dużą skalę, która wymusza na podmiotach medycznych powołanie IOD?
Zgodnie z art. 37 ust. 1 RODO podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych mają obowiązek wyznaczyć inspektora ochrony danych. Do szczególnych kategorii danych osobowych zalicza się dane dotyczące zdrowia, a zatem informacje zawarte w dokumentacji medycznej stanowić będą szczególne kategorie danych osobowych.
Czy to oznacza, że każdy lekarz prowadzący praktykę lekarską powinien wyznaczyć inspektora ochrony danych?
Główna działalność i duża skala
Wskazówek dotyczących interpretacji przytoczonego przepisu szukać należy w Wytycznych dotyczących inspektorów ochrony danych wydanych przez Grupę Roboczą Art. 29 ds. ochrony danych (https://uodo.gov.pl/data/filemanager_pl/15.pdf).
W wytycznych czytamy, że główna działalność może być rozumiana jako fundamentalne operacje podejmowane w celu osiągnięcia celów administratora lub podmiotu przetwarzającego. Obejmuje ona również wszelkie działania, w których przetwarzanie danych stanowi nieodłączną część działalności administratora lub podmiotu przetwarzającego.
Jako przykład Grupa Robocza Art. 29 podaje przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale powinny wyznaczyć inspektora ochrony danych.
Jak z kolei rozumieć dużą skalę? Niestety w RODO nie znajdziemy definicji dużej skali, jednakże i w tym przypadku pomocne okazać się mogą wytyczne Grupy Roboczej Art. 29. Zaleca ona rozpatrzenie następujących czynników w celu określenia, czy mamy do czynienia z przetwarzaniem na dużą skalę:
Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
Zakres przetwarzanych danych osobowych;
Okres, przez jaki dane sÄ… przetwarzane;
Zakres geograficzny przetwarzania danych osobowych.
Dodatkowo podaje też przykłady przetwarzania danych na dużą skalę, a także sytuacji, w których z przetwarzaniem na dużą skalę nie mamy do czynienia:
Przetwarzanie danych osobowych na dużą skalę = Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.
Przetwarzanie niemieszczące się w definicji dużej skali = Przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza.
Kto powinien wyznaczyć inspektora ochrony danych w sektorze ochrony zdrowia?
Zgodnie z wytycznymi Grupy Roboczej Art. 29 inspektor ochrony danych powinien być wyznaczany w szpitalach oraz innych podmiotach leczniczych, w których działalność leczniczą prowadzi więcej niż jeden lekarz.
Zasadność takiego twierdzenia wydaje się potwierdzać Prezes Urzędu Ochrony Danych Osobowych, który 14 grudnia 2022 r. zatwierdził Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie) [ https://uodo.gov.pl/pl/426/1110 ]. W kodeksie tym również przytoczono wytyczne Grupy Roboczej art. 29 w zakresie wyznaczania inspektora ochrony danych w podmiotach leczniczych i uznano ich zasadność.
Szukasz Inspektora ochrony danych lub doradztwa w zakresie RODO? U nas otrzymasz pilnÄ… POMOC. Prosimy o kontakt:
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOgrupa.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych.
Dodatkowe informacje: