top of page

RODO w placówce medycznej
ochrona zdrowia, RODO w medycynie, placówka opieki zdrowotnej, dentysta, firma medyczna

Placówka medyczna z pewnością przetwarza dane osobowe, w tym: pracowników, pacjentów czy kontrahentów. Prawo nakłada na takie podmioty obowiązki związane z właściwym zabezpieczeniem informacji dotyczących osób fizycznych oraz  prowadzenie rejestrów, upoważnień, realizację obowiązku informacyjnego itp.

Podstawowe obowiązki związane z RODO dla placówki medycznej
 

  • prowadzenie rejestru czynności przetwarzania,

  • prowadzenie rejestru kategorii przetwarzania

  • realizacja obowiązku informacyjnego,

  • zawarcie umów powierzenia przetwarzania danych osobowych,

  • nadanie upoważnień do przetwarzania danych osobowych,

 

Czy placówka medyczna musi wyznaczyć IOD - Inspektora Ochrony Danych?

Zgodnie z art. 37 ust. 1 RODO podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych mają obowiązek wyznaczyć inspektora ochrony danych. Do szczególnych kategorii danych osobowych zalicza się dane dotyczące zdrowia, a zatem informacje zawarte w dokumentacji medycznej stanowić będą szczególne kategorie danych osobowych.

Czy to oznacza, że każdy lekarz prowadzący praktykę lekarską powinien wyznaczyć inspektora ochrony danych?

 

Główna działalność i duża skala

 

Wskazówek dotyczących interpretacji przytoczonego przepisu szukać należy w wytycznych dotyczących inspektorów ochrony danych wydanych przez Grupę Roboczą Art. 29 ds. ochrony danych (https://uodo.gov.pl/data/filemanager_pl/15.pdf).

W wytycznych czytamy, że główna działalność może być rozumiana jako fundamentalne operacje podejmowane w celu osiągnięcia celów administratora lub podmiotu przetwarzającego. Obejmuje ona również wszelkie działania, w których przetwarzanie danych stanowi nieodłączną część działalności administratora lub podmiotu przetwarzającego.


Jako przykład Grupa Robocza Art. 29 podaje przetwarzanie danych dotyczących stanu zdrowia, takich jak dokumentacja zdrowotna pacjenta, powinno być uważane za jedno z głównych działań szpitala, w związku z czym szpitale powinny wyznaczyć inspektora ochrony danych.

Jak z kolei rozumieć dużą skalę? Niestety w RODO nie znajdziemy definicji dużej skali, jednakże i w tym przypadku pomocne okazać się mogą wytyczne Grupy Roboczej Art. 29. Zaleca ona rozpatrzenie następujących czynników w celu określenia, czy mamy do czynienia z przetwarzaniem na dużą skalę:

  • Liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;

  • Zakres przetwarzanych danych osobowych;

  • Okres, przez jaki dane są przetwarzane;

  • Zakres geograficzny przetwarzania danych osobowych.

 

Dodatkowo podaje też przykłady przetwarzania danych na dużą skalę, a także sytuacji, w których z przetwarzaniem na dużą skalę nie mamy do czynienia:

Przetwarzanie danych osobowych na dużą skalę = Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności.

Przetwarzanie niemieszczące się w definicji dużej skali = Przetwarzanie danych pacjentów dokonywane przez pojedynczego lekarza.

 

Kto powinien wyznaczyć inspektora ochrony danych w sektorze ochrony zdrowia?

 

Zgodnie z wytycznymi Grupy Roboczej Art. 29 inspektor ochrony danych powinien być wyznaczany w szpitalach oraz innych podmiotach leczniczych, w których działalność leczniczą prowadzi więcej niż jeden lekarz.

Zasadność takiego twierdzenia wydaje się potwierdzać Prezes Urzędu Ochrony Danych Osobowych, który 14 grudnia 2022 r. zatwierdził Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Porozumienie Zielonogórskie) [ https://uodo.gov.pl/pl/426/1110 ]. W kodeksie tym również przytoczono wytyczne Grupy Roboczej art. 29 w zakresie wyznaczania inspektora ochrony danych w podmiotach leczniczych i uznano ich zasadność.

Polecamy nasze wsparcie jednorazowe lub stałe w przypadku:
 

  • rozpoczynania nowej działalności medycznej

  • zakończenia współpracy z pracownikiem lub firmą zajmującą się ochroną danych osobowych

  • utraty zaufania do osoby lub firmy obsługującej w temacie RODO

  • gdy doszło do naruszenia i nie wiadomo co zrobić

  • przygotowania do kontroli Urzędu Ochrony Danych Osobowych lub innej instytucji

  • korespondencji z urzędem 

RODO w placówce medycznej, 
ochrona zdrowia, RODO w medycynie, placówka opieki zdrowotnej,
dentysta, firma medyczna

 

Szukasz Inspektora ochrony danych, pomocy we drożeniu przepisów RODO lub doradztwa?
Prosimy o kontakt:

61 30 70 750 lub kontakt@rodogrupa.pl

Sprawdź zakres naszych usług

RODO w placówce medycznej
bottom of page