• Nie Znaleziono Wyników

Wyznaczenie inspektora ochrony danych osobowych w placówce medycznej

N/A
N/A
Protected

Academic year: 2021

Share "Wyznaczenie inspektora ochrony danych osobowych w placówce medycznej"

Copied!
4
0
0

Pełen tekst

(1)

Vol. 13/Nr 3-4(49-50)/2019: 6-9

Wyznaczenie inspektora ochrony danych

osobowych w placówce medycznej

Designating the data protection officer in a medical facility

mec. Tomasz Osiej, apl. adw. Magda Gliwiak

Omni Modo

Z pogranicZa kardiologii

Pracę otrzymano: 1.12.2019 Zaakceptowano do druku: 15.01.2020 “Copyright by Medical Education”

25 maja 2018 r. zaczęły być stosowane przepisy Ogólnego Rozporządzenia o Ochronie Danych Osobowych (dalej: RODO lub Rozporządzenie 679/2016/UE), które posta-wiło przed podmiotami z  branży medycznej wiele no-wych wyzwań. Jednym z największych jest wyznaczenie inspektora ochrony danych (dalej: IOD), a  nawet samo określenie, czy takie wyznaczenie jest niezbędne. Zgod-nie z  przepisami Rozporządzenia 679/2016/UE osoby pełniące tę funkcję są bowiem zobowiązane do dbania o zgodność z prawem przetwarzania danych osobowych przez administratora (np. szpital). Sama instytucja IOD jest istotnym novum (została powołana przez przepi-sy RODO). Na gruncie uprzednio obowiązującej usta-wy z 29 sierpnia 1997 r. o ochronie danych osobousta-wych funkcjonował Administrator Bezpieczeństwa Informacji, który został zastąpiony właśnie przez IOD. Należy jednak wskazać, że występują pomiędzy nimi istotne różnice i nie jest to zwykłe zastąpienie jednej instytucji drugą.

ObOwiązek wyznaczenia iOD w placówce meDycznej

Artykuł 37 ust. 1 Rozporządzenia 679/2016/UE wskazuje, kiedy wyznaczenie IOD jest obowiązkowe. W przypadku placówki medycznej taki obowiązek wystąpi zawsze, gdy: 1. placówka medyczna jest podmiotem publicznym lub 2. jej główna działalność polega na przetwarzaniu na

dużą skalę szczególnych kategorii danych osobowych bądź danych osobowych dotyczących wyroków ska-zujących i czynów zabronionych.

O ile pierwszy z ww. przypadków jest oczywisty, o tyle interpretacja drugiego może budzić pewne wątpliwości. Ustawa z 10 maja 2018 r. o ochronie danych osobowych wskazuje, że przez organy i podmioty publiczne obowią-zane do wyznaczenia inspektora należy rozumieć m.in. jednostki sektora finansów publicznych, a także instytuty badawcze [1]. Zatem do podmiotów leczniczych obowią-zanych do wyznaczenia IOD będą się zaliczać:

1. samodzielne publiczne zakłady opieki zdrowotnej 2. jednostki budżetowe, które mają w strukturze

organi-zacyjnej ambulatorium, ambulatorium z izbą chorych lub lekarza podstawowej opieki zdrowotnej, pielę-gniarkę podstawowej opieki zdrowotnej lub położną podstawowej opieki zdrowotnej

3. instytuty badawcze, które prowadzą badania nauko-we i prace rozwojonauko-we w zakresie nauk medycznych, mające status podmiotu leczniczego na gruncie usta-wy z 15 kwietnia 2011 r. o działalności leczniczej. Drugi z  ww. przypadków jest trudniejszy do zinterpre-towania, gdyż pojęcie „dużej skali”, którym posługuje się RODO, jest niejasne, a dodatkowo nie zostało zdefinio-wane przez europejskiego prawodawcę. W  tym przed-miocie wypowiedziała się Grupa Robocza art. 29, wska-zując, że do przykładów „przetwarzania na dużą skalę” można zaliczyć przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności, a jako przy-kład przetwarzania niemieszczącego się w definicji „du-żej skali” można wskazać przetwarzanie danych pacjen-tów dokonywane przez pojedynczego lekarza [2].

(2)

7

Vol. 13/Nr 3-4(49-50)/2019: 6-9

T. Osiej, M. Gliwiak Wyznaczenie inspektora ochrony danych osobowych w placówce medycznej

Należy podkreślić, że jeżeli dany podmiot nie jest zobli-gowany do wyznaczenia IOD przepisami prawa, to nie ma żadnych przeciwwskazań, by pomimo tego wyzna-czył taką osobę. Z  pewnością powołanie IOD w  takim przypadku będzie dobrą praktyką z  uwagi na jego rolę w  kontekście specyfiki obszaru działalności placówki medycznej.

wyznaczenie iOD w placówce meDycznej

IOD może zostać podmiot zewnętrzny, ale także można go wyznaczyć spośród personelu placówki. Z  powoła-niem na IOD podmiotu zewnętrznego wiąże się obowią-zek zawarcia umowy o świadczenie usług. W przypadku wyznaczenia pracownika (lub innej osoby współpracu-jącej z placówką w ramach jej struktury organizacyjnej, bez względu na formę prawną tej współpracy) należy do-konać odpowiednich zmian w  łączącej strony umowie. Trzeba jednak mieć na uwadze, że inne zadania pracow-nika pełniącego funkcję IOD nie mogą powodować kon-fliktu interesów [3].

IOD powinien być wyznaczony dla całej placówki me-dycznej, a nie np. dla poszczególnych działów. Natomiast nie ma żadnych przeciwwskazań, by wyznaczyć jednego IOD dla wielu podmiotów, co jednakże może negatywnie wpłynąć na skuteczność realizowanych przez niego za-dań. Dlatego też taki model, mimo że nie stoi w sprzecz-ności z przepisami, nie jest rekomendowany.

Podmioty wyznaczające IOD muszą pamiętać, że są zo-bowiązane w terminie 14 dni powiadomić o tym fakcie Prezesa UODO. Zawiadomienie powinno wskazywać imię, nazwisko, adres e-mail lub numer telefonu IOD, a także dane identyfikacyjne placówki. Ponadto dokona-nie zawiadomienia jest możliwe jedydokona-nie w  formie tronicznej, opatrzone kwalifikowanym podpisem elek-tronicznym lub przy wykorzystaniu profilu zaufanego ePUAP [4].

zadania iOD

IOD ma być gwarantem rozliczalności w obszarze ochro-ny daochro-nych osobowych w organizacji. Z wykoochro-nywaniem tej funkcji wiąże się wiele obowiązków, w tym wykony-wanie ściśle określonych w przepisach RODO zadań. Ich minimalny zakres został wskazany w art. 39

Rozporzą-dzenia 679/2016/UE. Zgodnie z tym przepisem obowiąz-kiem IOD jest:

1. informowanie zarówno placówki medycznej, jak i jej pracowników o obowiązkach wynikających z RODO oraz innych przepisów w  obszarze ochrony danych osobowych i doradzanie w tym zakresie

2. monitorowanie przestrzegania RODO oraz innych przepisów prawa i  istniejących wewnętrznych poli-tyk w  obszarze ochrony danych osobowych, w  tym podział obowiązków, działania zwiększające świado-mość, szkolenia personelu uczestniczącego w opera-cjach przetwarzania oraz powiązane z tym audyty 3. udzielanie na żądanie zaleceń co do oceny skutków

dla ochrony danych oraz monitorowanie jej wykona-nia, zgodnie z art. 35 RODO

4. współpraca z organem nadzorczym1

5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarza-niem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypad-kach prowadzenie konsultacji we wszelkich innych sprawach.

Ponadto Rozporządzenie 679/2016/UE przewiduje także, że IOD jest punktem kontaktowym dla osób, które zwra-cają się ze wszystkimi sprawami związanymi z przetwa-rzaniem ich danych osobowych oraz z  wykonywaniem praw przysługujących im na mocy RODO, np. w związku z żądaniami dostępu do dokumentacji medycznej [5]. Należy podkreślić, że nie ma przeciwwskazań, by IOD wykonywał inne, dodatkowe zadania nieokreślone w RODO. W umowie z IOD placówka medyczna może go zobowiązać do wykonywania innych obowiązków, np. prowadzenia rejestru czynności przetwarzania zgodnie z art. 30 RODO.

kryteria wybOru iOD placówki meDycznej

W  myśl przepisów Rozporządzenia 679/2016/UE IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i prak-tyk w dziedzinie ochrony danych oraz umiejętności wy-pełnienia zadań, o których mowa w art. 39 RODO.

Roz-1 Zgodnie z art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie

danych osobowych organem właściwym w sprawie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych.

(3)

8

Vol. 13/Nr 3-4(49-50)/2019: 6-9

porządzenie 679/2016/UE i  w  tym przypadku nie daje jasnych wytycznych, jakie warunki powinna spełniać taka osoba. Z pomocą przychodzi jednak Krajowa Komisja ds. Informatyki oraz Wolności (CNIL), czyli francuski organ nadzorczy, który przyjął 2 postanowienia dotyczące certy-fikacji inspektorów ochrony danych. Postanowienia te nie są oczywiście wiążące dla polskich placówek medycznych, ale mogą stanowić wskazówkę przy wyznaczaniu IOD. Zgodnie ze stanowiskiem CNIL kandydat na IOD powi-nien:

1. wykazać doświadczenie zawodowe trwające mini-mum 2 lata w obszarze projektu, czynności lub zadań związanych z funkcją IOD, zajmującego się ochroną danych osobowych, albo

2. wykazać doświadczenie zawodowe trwające minimum 2 lata, jak również odbyć szkolenie trwające przynaj-mniej 35 godzin w obszarze ochrony danych osobo-wych, zapewnione przez podmiot organizujący szko-lenia.

Oprócz wymagań związanych z  określonym doświad-czeniem zawodowym kandydat powinien m.in. posiadać umiejętności pozwalające na wprowadzenie procedury odbierania oraz zarządzania wnioskami osób, tworzenia oraz wdrażania polityki ochrony danych oraz pozosta-łych procedur, organizowania oraz udziału w  audytach w obszarze ochrony danych, a także określania środków bezpieczeństwa danych osobowych. Ponadto kandydat na IOD placówki medycznej powinien się cechować wie-dzą odpowiednią do specyfiki organizacyjnej placówki medycznej i procesów przetwarzania danych osobowych, które w niej zachodzą. Dokładne informacje nt. warun-ków, które powinien spełniać IOD, wskazanych przez CNIL (kryteria certyfikacji kompetencji IOD) można znaleźć na stronie internetowej www.gdpr.pl [6].

StatuS iOD

Co bardzo ważne, zgodnie z przepisami RODO, IOD po-winien być właściwie i niezwłocznie włączany we wszyst-kie sprawy dotyczące ochrony danych osobowych. Grupa Robocza art. 29 wskazała, że włączenie we wszystkie spra-wy oznacza zapewnienie przez placówkę medyczną m.in.: 1. udziału IOD w spotkaniach przedstawicieli wyższego

i średniego szczebla

2. uczestnictwa IOD przy podejmowaniu decyzji doty-czących przetwarzania danych osobowych

3. respektowania stanowiska IOD i  dokumentowania przypadków i powodów postępowania niezgodnego z zaleceniem IOD

4. niezwłocznego poinformowania IOD w  przypadku stwierdzenia naruszenia albo innego zdarzenia zwią-zanego z danymi osobowymi.

W określonych przypadkach placówka medyczna powin-na także stworzyć wytyczne ochrony danych osobowych, które wskazywałyby przypadki wymagające konsultacji z IOD [7].

Przepisy Rozporządzenia 679/2016/UE wskazują, że IOD w zakresie wykonywania swoich zadań podlega najwyż-szemu kierownictwu, jednakże nie może on otrzymy-wać instrukcji dotyczących wykonywania swoich zadań. Ponadto IOD nie może być odwoływany ani karany za wypełnianie swoich zadań. Motyw [8]2 97 RODO

do-datkowo wzmacnia niezależność IOD, wskazując, że bez względu na to, czy IOD jest pracownikiem administrato-ra, powinien być w stanie wykonywać swoje obowiązki i zadania w sposób niezależny.

Co istotne, IOD jest zobowiązany do zachowania tajemni-cy lub poufności co do wykonywania swoich zadań – zgod-nie z prawem Unii lub prawem państwa członkowskiego.

pODSumOwanie

Jednym z  największych wyzwań, które postawiło RODO przed podmiotami z branży medycznej, jest wkompono-wanie w strukturę organizacyjną danego podmiotu inspek-tora ochrony danych. Placówki powinny podjąć wszelkie działania zmierzające do powołania IOD, głównie z uwagi na to, że stan wdrażania przepisów RODO w podmiotach leczniczych w  Polsce jest wysoko niezadowalający. Takie informacje podała NIK po przeprowadzonych kontrolach w 24 podmiotach leczniczych z terenu sześciu województw (więcej informacji na gdpr.pl lub na stronie NIK). Niemal w  żadnym ze skontrolowanych podmiotów leczniczych dane osobowe pacjentów nie były prawidłowo chronione. Wyznaczenie IOD – gwaranta rozliczalności w obszarze ochrony danych osobowych, koordynującego

przygoto-T. Osiej, M. Gliwiak

Wyznaczenie inspektora ochrony danych osobowych w placówce medycznej

2 Motywy to część aktu, która umożliwia poznanie powodów, dla

któ-rych dany przepis rozporządzenia powstał. Są one stosowane przy dokonywaniu wykładni przepisów, natomiast nie stanowią części normatywnej aktu.

(4)

9

Vol. 13/Nr 3-4(49-50)/2019: 6-9

T. Osiej, M. Gliwiak Wyznaczenie inspektora ochrony danych osobowych w placówce medycznej

aDreS DO kOreSpOnDencji

mec. tomasz Osiej Omni Modo sp. z o.o. 03-910 Warszawa, al. Waszyngtona 40a, I p. tel.: 505-165-660 e-mail: t.osiej@omnimodo.com.pl Etyka/Ethics: Treści przedstawione w artykule są zgodne z zasadami Deklaracji Helsińskiej, dyrektywami UE oraz ujednoliconymi wymaganiami dla czasopism biomedycznych.

piśmiennictwo

1. Art. 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

2. Grupa Robocza art. 29, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) (WP 243 rew.01), str. 22.

3. Art. 38 ust. 6 Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z  dnia 27 kwietnia 2016 r. w  sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r., Dz.Urz.UE.L Nr 119.

4. Urząd Ochrony Danych Osobowych, Zawiadomienie o wyznaczeniu inspektora ochrony danych. [online: https://www.biznes.gov.pl/pl/firma/obo-wiazki-przedsiebiorcy/chce-chronic-dane-osobowe/proc_871-zawiadomienie-o-wyznaczeniu-nowego-iod].

5. Zgodnie z art. 34 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, organem właściwym w sprawie ochrony danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych.

6. Art. 38 ust. 4 Rozporządzenia Parlamentu Europejskiego i  Rady (UE) 2016/679 z  dnia 27 kwietnia 2016 r. w  sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r., Dz.Urz.UE.L Nr 119.

7. [online: https://gdpr.pl/lista-umiejetnosci-inspektora-ochrony-danych-wedlug-francuskiego-organu]. 8. Grupa Robocza art. 29, Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) (WP 243 rew.01), str. 14-15.

StreSzczenie

Niniejszy artykuł przedstawia jeden z  najważniejszych obowiązków wynikających z  ogólnego rozporządzenia o ochronie danych (RODO), który spoczywa na podmiotach medycznych – wyznaczenie inspektora ochrony danych (IOD). Rozpoczyna się od wskazania, w jakich przypadkach wyznaczenie IOD przez placówki medyczne jest obowiąz-kowe, a następnie przybliża kwestie samego procesu jego wyznaczania, wskazując m.in., kto może zostać powołany do pełnienia tej funkcji, a także szczegółowo opisuje zadania, które IOD zobowiązany jest realizować na podstawie przepisów RODO. W kolejnej części artykułu skupiono się na kryteriach wyboru IOD przez placówki medyczne, po-wołując się w tym zakresie na wytyczne Krajowej Komisji ds. Informatyki oraz Wolności, czyli francuskiego organu nadzorczego. W ostatniej części artykułu opisano status inspektora ochrony danych wynikający z przepisów RODO.

Słowa kluczowe: RODO, IOD, inspektor ochrony danych, wyznaczenie inspektora ochrony danych, dane osobowe, dane medyczne

abStract

This following article presents one of the most important obligations related to the processing of personal data on medical entities set out by the general data protection regulation (GDPR) – designation of the data protection officer (DPO). It starts with specifying in which cases the designation of DPO by medical institutions is mandatory. Then it refers to the matter of the designation process itself by specifying who may be designated to take the role also it describes in detail the tasks that the DPO is obliged to perform on the basis of the provisions of the GDPR. The next part of the article focuses on the criteria for selecting the DPO of a medical facility, referring to the guidelines in this respect National Commission on Informatics and Liberty – the French supervisory authority. The last part of the article describes the status of the data protection officer emerging from the provisions of the GDPR.

key words: GDPR, DPO, data protection officer, designating the data protection officer, personal data, medical data

wanie i wdrażanie procedur, czuwającego nad ich prze-strzeganiem, a  także dbającego o  kulturę przetwarzania danych w  organizacji – finalnie przekłada się na troskę o ochronę praw i wolności pacjentów, a także na postrze-ganie całej placówki, jej renomę lub jej brak.

Konflikt interesów/Conflict of interests: Nie występuje. Finansowanie/Financial support: Nie występuje.

Cytaty

Powiązane dokumenty

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne