Inspektor Ochrony Danych w podmiocie leczniczym

Jarosław Peplinski

Rozpoczęcie stosowania RODO przemianowało funkcję Administratora Bezpieczeństwa Informacji (ABI) na Inspektora Ochrony Danych (IOD). Z tego wpisu dowiecie się Państwo kim jest IOD, czym może się zająć w podmiocie leczniczym oraz które placówki medyczne powinny IOD wyznaczyć.

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych to osoba, która wspiera administratora w działaniach na rzecz ochrony danych osobowych. Jest to doradca, który specjalizuje się w przepisach i praktyce dotyczących ochrony danych osobowych, a także zna specyfikę administratora. W wymiarze praktycznym jest to osoba, która czuwa nad prawidłowym stosowaniem przepisów i dba o to, aby dane osobowe – a przez to prawa osób, których one dotyczą – były odpowiednio chronione. W oczywisty sposób przekłada się to również na bezpieczeństwo samej placówki.

Kto może pełnić funkcję Inspektora Ochrony Danych?

Funkcję IOD może pełnić osoba fizyczna (czyli człowiek, nie może to być osoba prawna, jak np. spółka z o.o.), która posiada odpowiednie kwalifikacje zawodowe, w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie danych oraz umiejętności wypełnienia zadań przypisanych przez RODO Inspektorowi Ochrony Danych.

Może to być zarówno osoba, która już funkcjonuje w placówce, jak i ktoś spoza niej. Ważnym elementem przy podejmowaniu decyzji w przedmiocie wyznaczenia IOD jest zapewnienie jego niezależności. Inspektor Ochrony Danych nie może podlegać instrukcjom administratora, co oznacza, że nie jest związany poleceniami w zakresie, w jakim dotyczą one obszaru ochrony danych.

W przypadku wyznaczenia na IOD pracownika, należy mieć na względzie ewentualny konflikt interesów. Konflikt taki może wystąpić np. w sytuacji, gdy wyznaczony IOD kontrolowałby swoją własną działalność, a także w przypadku podległości służbowej – ocena przełożonego może być problematyczna z uwagi na obawy o jego reakcję i ewentualne reperkusje.

Jakie zadania wykonuje Inspektor Ochrony Danych?

RODO przewiduje następujące zadania IOD:

• informowanie administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania RODO, innych przepisów o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
• udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie;
• współpraca z organem nadzorczym;
• pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Aby nieco bardziej przybliżyć rolę IOD dodam jeszcze, że jego wsparcie dotyczy wszelkich problemów związanych z danymi osobowymi, z którymi mierzy się na co dzień każdy podmiot leczniczy. Mam tu na myśli przede wszystkim pomoc w:

• ocenie naruszeń,
• doborze odpowiednich środków ochrony danych,
• realizacji praw osób fizycznych, w szczególności pacjentów,
• projektowaniu wzorów dokumentów,
• realizacji obowiązków prawnych nałożonych na placówkę.

O tym, jakie obowiązki z zakresu ochrony danych osobowych spoczywają na podmiotach leczniczych, możecie Państwo przeczytać tutaj.

Które podmioty lecznicze powinny wyznaczyć Inspektora Ochrony Danych?

RODO wskazuje kilka sytuacji, w których wyznaczenie IOD jest konieczne. Jedna z nich, która znajdzie zastosowanie w odniesieniu do podmiotów leczniczych, jest określona przepisem art. 37 ust. 1 lit. c) RODO. Zgodnie z jego brzmieniem, wyznaczenie IOD jest konieczne, jeżeli główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Nie ma wątpliwości co do tego, że podmioty lecznicze przetwarzają szczególne kategorie danych osobowych. Należą do nich dane dotyczące zdrowia, a ich przetwarzanie jest nieodzowne przy udzielaniu świadczeń zdrowotnych i prowadzeniu działalności leczniczej.

Czym natomiast jest duża skala? RODO nie precyzuje tego pojęcia. Możemy jednak wspomóc się w tym względzie zatwierdzonym pod koniec 2022 r. Kodeksem Postępowania dotyczącym ochrony danych osobowych przetwarzanych w małych placówkach medycznych.

Słowem wyjaśnienia, kodeks postępowania to zbiór regulacji, które doprecyzowują RODO. Regulacje te przyjmują sami dla siebie administratorzy zrzeszeni w poszczególnych branżach, w tym przypadku w ochronie zdrowia. Wszystkie te zasady wymagają zatwierdzenia organu nadzorczego, tj. Prezesa UODO. Z tego powodu przyjęte w nim rozwiązania stanowią cenną informację, w jaki sposób UODO podchodzi do zawartych w kodeksie zagadnień, także dotyczących wyznaczenia IOD.  

Możemy w nim przeczytać, że oceniając, czy podmiot leczniczy przetwarza dane osobowe na dużą skalę należy wziąć pod uwagę:

• liczbę osób, których dane dotyczą,
• zakres przetwarzanych danych,
• okres ich przetwarzania,
• zakres geograficzny przetwarzania.

Zdaniem autorów Kodeksu, w świetle tych kryteriów, małe placówki medyczne powinny wyznaczyć IOD. Małymi placówkami medycznymi są w rozumieniu Kodeksu podmioty wykonujące działalność leczniczą – realizujące w szczególności świadczenia w rodzaju Podstawowa Opieka Zdrowotna oraz Ambulatoryjna Opieka Specjalistyczna. Można jednak przyjąć, że przyjęte i zatwierdzone przez Prezesa UODO regulacje znajdą zastosowanie również do pozostałych placówek medycznych. Zwolnione z tego obowiązku są natomiast lekarze prowadzący indywidualną praktykę lekarską.

Krótkie podsumowanie

Inspektor Ochrony Danych powinien być zaufanym doradcą, który ma możliwość wpływania na ochronę danych osobowych. IOD powinien cechować się fachową wiedzą i być niezależny w podejmowanych działaniach. Jego wyznaczenie jest wymagane w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Zgodnie z zatwierdzonym w grudniu 2022 r. Kodeksem postępowania, większość placówek medycznych powinna wyznaczyć IOD. Zatwierdzenie Kodeksu postępowania jest też świetną okazją, aby przeprowadzić przegląd swojej dokumentacji i zadbać o jej uzupełnienie lub aktualizację.

Jeżeli prowadzony przez Państwa podmiot leczniczy należy do grupy placówek, które powinny wyznaczyć IOD, albo potrzebujecie Państwo wsparcia w ustaleniu, czy jesteście objęci tym obowiązkiem, zapraszamy do kontaktu.