RODO w placówce medycznej, ochrona zdrowia, RODO w medycynie, placówka opieki zdrowotnej, dentysta, firma medyczna

RODO w placówce medycznej
ochrona zdrowia, RODO w medycynie, placówka opieki zdrowotnej, dentysta, firma medyczna

Placówka medyczna z pewnością przetwarza dane osobowe, w tym: pracowników, pacjentów czy kontrahentów. Prawo nakłada na takie podmioty obowiązki związane z właściwym zabezpieczeniem informacji dotyczących osób fizycznych oraz prowadzenie rejestrów, upoważnień, realizację obowiązku informacyjnego itp.

Podstawowe obowiązki związane z RODO dla placówki medycznej

prowadzenie rejestru czynności przetwarzania,
prowadzenie rejestru kategorii przetwarzania
realizacja obowiązku informacyjnego,
zawarcie umów powierzenia przetwarzania danych osobowych,
nadanie upoważnień do przetwarzania danych osobowych,

Czy placówka medyczna musi wyznaczyć IOD - Inspektora Ochrony Danych?

Zgodnie z art. 37 ust. 1 RODO podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych mają obowiązek wyznaczyć inspektora ochrony danych. Do szczególnych kategorii danych osobowych zalicza się dane dotyczące zdrowia, a zatem informacje zawarte w dokumentacji medycznej stanowić będą szczególne kategorie danych osobowych.

Czy to oznacza, że każdy lekarz prowadzący praktykę lekarską powinien wyznaczyć inspektora ochrony danych?

Główna działalność i duża skala

Wskazówek dotyczących interpretacji przytoczonego przepisu szukać należy w wytycznych dotyczących inspektorów ochrony danych wydanych przez Grupę Roboczą Art. 29 ds. ochrony danych (https://uodo.gov.pl/data/filemanager_pl/15.pdf).

W wytycznych czytamy, że główna działalność może być rozumiana jako fundamentalne operacje podejmowane w celu osiągnięcia celów administratora lub podmiotu przetwarzającego. Obejmuje ona również wszelkie działania, w których przetwarzanie danych stanowi nieodłączną część działalności administratora lub podmiotu przetwarzającego.

Jako przykład Grupa Robocza Art. 29 podaje przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale powinny wyznaczyć inspektora ochrony danych.

Jak z kolei rozumieć dużą skalę? Niestety w RODO nie znajdziemy definicji dużej skali, jednakże i w tym przypadku pomocne okazać się mogą wytyczne Grupy Roboczej Art. 29. Zaleca ona rozpatrzenie następujących czynników w celu określenia, czy mamy do czynienia z przetwarzaniem na dużą skalę:

Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
Zakres przetwarzanych danych osobowych;
Okres, przez jaki dane są przetwarzane;
Zakres geograficzny przetwarzania danych osobowych.

Dodatkowo podaje też przykłady przetwarzania danych na dużą skalę, a także sytuacji, w których z przetwarzaniem na dużą skalę nie mamy do czynienia:

Przetwarzanie danych osobowych na dużą skalę = Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.

Przetwarzanie niemieszczące się w definicji dużej skali = Przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza.

Kto powinien wyznaczyć inspektora ochrony danych w sektorze ochrony zdrowia?

Zgodnie z wytycznymi Grupy Roboczej Art. 29 inspektor ochrony danych powinien być wyznaczany w szpitalach oraz innych podmiotach leczniczych, w których działalność leczniczą prowadzi więcej niż jeden lekarz.

Zasadność takiego twierdzenia wydaje się potwierdzać Prezes Urzędu Ochrony Danych Osobowych, który 14 grudnia 2022 r. zatwierdził Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie) [ https://uodo.gov.pl/pl/426/1110 ]. W kodeksie tym również przytoczono wytyczne Grupy Roboczej art. 29 w zakresie wyznaczania inspektora ochrony danych w podmiotach leczniczych i uznano ich zasadność.

Polecamy nasze wsparcie jednorazowe lub stałe w przypadku:

rozpoczynania nowej działalności medycznej
zakończenia współpracy z pracownikiem lub firmą zajmującą się ochroną danych osobowych
utraty zaufania do osoby lub firmy obsługującej w temacie RODO
gdy doszło do naruszenia i nie wiadomo co zrobić
przygotowania do kontroli Urzędu Ochrony Danych Osobowych lub innej instytucji
korespondencji z urzędem

RODO w placówce medycznej,
ochrona zdrowia, RODO w medycynie, placówka opieki zdrowotnej,
dentysta, firma medyczna

Szukasz Inspektora ochrony danych, pomocy we drożeniu przepisów RODO lub doradztwa?
Prosimy o kontakt:

61 30 70 750 lub kontakt@rodogrupa.pl

Sprawdź zakres naszych usług

Aktualności dla placówek medycznych -> zobacz wszystkie ważne wiadomości

19 mar

Kto NIE powinien pełnić funkcji IOD - Inspektora Ochrony Danych?

Łatwo znaleźć informacje, jakie uprawnienia powinna mieć osoba pełniąca funkcję inspektora ochrony danych, rzadziej jednak można...

12 lut

Plan kontroli sektorowych Urzędu Ochrony Danych Osobowych na 2024 rok

Kogo obejmą kontrole UODO wg opublikowanego planu na rok 2024 i co będzie sprawdzane. 12 lutego 2024 r. Urząd Ochrony Danych Osobowych...

8 lut

Poufność danych poza miejscem pracy

Jak w prosty sposób zabezpieczyć komputer wykorzystywany przy pracy zdalnej. Coraz częściej w naszej pracy wykorzystujemy systemy z...

17 sty

Czy fundacje i stowarzyszenia muszą stosować przepisy AML?

Co oznacza i kogo dotyczy AML? Jakie obowiązki się z tym wiążą i co obejmują? Jakie dane można przetwarzać przy realizacji wymogów AML?

16 sty

ZFŚS w firmie a przepisy RODO

Jakie firmy muszą utworzyć Zakładowy Fundusz Świadczeń Socjalnych oraz jaki zakres danych można pozyskiwać, komu udostępniać i jak długo...

14 gru 2023

RODO w marketingu

Jak legalnie promować się w internecie lub za pomocą telemarketingu. Podstawy prawne, warunki ważnej zgody, zamówione informacje handlowe

2 3 4 5