Czy każda jednostka funkcjonująca w systemie opieki zdrowotnej musi zatrudniać inspektora ochrony danych osobowych?

09-04-2020
dr n. prawn. Tamara Zimna, radca prawny
Kancelaria Prawa Medycznego, Oświęcim

W sytuacji, gdy jednostka nie jest publicznym podmiotem leczniczym, dla oceny istnienia obowiązku wyznaczenia inspektora ochrony danych osobowych (IODO) kluczowa jest skala przetwarzania danych dotyczących zdrowia w niepublicznym zakładzie opieki zdrowotnej (NZOZ). Przepis art. 37 ust. 1 c) RODO1 ustanawia obowiązek wyznaczenia IODO w przypadku, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów i jest dokonywane przez pojedynczego lekarza lub innego pracownika ochrony zdrowia (zwolnienie na podstawie Motywu (91) RODO), tzn. że „jednoosobowy” NZOZ prowadzony przez lekarza nie musi zatrudniać IODO.

RODO nie definiuje jednak pojęcia „dużej skali” przetwarzania danych. W unijnych wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243 rew.01)2 jako przykład przetwarzania danych osobowych na dużą skalę podaje się przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności i podaje czynniki oceny skali przetwarzania, takie jak:

  • liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa (dane o populacji pacjentów objętych opieką NZOZ)

  • zakres przetwarzanych danych osobowych (dane osobowe pacjentów NZOZ, w tym dane dotyczące zdrowia)

  • okres, przez jaki dane są przetwarzane (wymagany przepisami prawa okres archiwizacji dokumentacji medycznej NZOZ)

  • zakres geograficzny przetwarzania danych osobowych (przetwarzanie na szczeblu lokalnym: w miejscu wykonywania działalności leczniczej oraz w miejscu pobytu pacjenta podczas wizyt wyjazdowych, np. w POZ).

Wobec niejednoznacznych wytycznych i interpretacji3 stosowania RODO w zakresie obowiązku wyznaczenia IODO warto monitorować prace nad opracowaniem i przyjęciem Kodeksu branżowego przekazanego 13 listopada 2018 roku do zatwierdzenia przez Urząd Ochrony Danych Osobowych (w rozdz. 5 zaproponowano konkretne ilościowe kryteria określenia skali działalności leczniczej decydującej o powołaniu IODO).4 Zaproponowano, aby przyjąć, że przetwarzanie nie jest przetwarzaniem na dużą skalę, gdy:

  • dotyczy podmiotów udzielających ambulatoryjnych świadczeń zdrowotnych, w tym w ramach Ambulatoryjnej Opieki Specjalistycznej, które zrealizowały świadczenia dla nie więcej niż 600 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy)

  • dotyczy podmiotów udzielających wyłącznie świadczeń POZ i nieposiadających więcej niż 6000 przypisanych Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy wg stanu na ostatni dzień miesiąca)

  • dotyczy podmiotów udzielających stacjonarnych i całodobowych świadczeń zdrowotnych:
    – dotyczy podmiotów szpitalnych, które udzielały świadczeń zdrowotnych dla nie więcej niż 200 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy)
    – innych niż szpitalne, które udzielały świadczeń zdrowotnych dla nie więcej niż 300 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy).

Wskazane progi ustalane są dla całego podmiotu wykonującego działalność leczniczą po zsumowaniu wszystkich zakładów leczniczych oraz komórek organizacyjnych.

Zatwierdzony kodeks będzie dostępny na stronie UODO w BIP urzędu. Na podstawie zatwierdzonego kodeksu postępowania będzie można stwierdzić, że administrator danych wywiązuje się z ciążących na nim obowiązków.

Przypisy

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119, s. 1)
  2. www.uodo.gov.pl/pl/file/15
  3. Zob. Iwańska K. (W:) Jackowski M.: Ochrona danych medycznych. RODO w ochronie zdrowia. Wyd. 3, Wolters Kluwer, Warszawa, 2018, s. 220.
  4. Kodeks postępowania dla sektora ochrony zdrowia wydany zgodnie z art. 40 RODO dotyczący podmiotów wykonujących działalność leczniczą i podmiotów przetwarzających, s. 27–29. www.rodowzdrowiu.pl

Napisz do nas

Zadaj pytanie ekspertowi, przyślij ciekawy przypadek, zgłoś absurd, zaproponuj temat dziennikarzom.
Pomóż redagować portal.
Pomóż usprawnić system ochrony zdrowia.

Placówki

Szukasz poradni, oddziału lub SOR w swoim województwie? Chętnie pomożemy. Skorzystaj z naszej wyszukiwarki placówek.

Doradca medyczny

Twój pacjent ma wątpliwości, kiedy powinien zgłosić się do lekarza? Potrzebuje adresu przychodni, szpitala, apteki? Poinformuj go o Doradcy Medycznym Medycyny Praktycznej