Wyznaczenie Inspektora Ochrony Danych w gabinecie lekarskim

Ostatnio w mojej pracy wszędzie tylko RODO i dane osobowe. Czasami wracam do rzeczywistości, ale dopiero jak kończę pracę. Chociaż, czasem zastanawiam się czy nie jest odwrotnie. Dzisiaj odpowiem na pytanie czy wyznaczenie Inspektora Ochrony Danych w gabinecie lekarskim jest obowiązkowe? Inspektor Ochrony Danych to dawny Administrator Bezpieczeństwa Informacji. Pewnie spotkaliście się z dylematem, czy aby na pewno musicie go wyznaczyć? Cóż. To zależy, ale co do zasady nie.

Na początku odsyłam również do mojego artykułu na temat przetwarzania danych osobowych według RODO. Opisałem w nim podstawowe informacje o przetwarzaniu danych wrażliwych według nowych przepisów o danych osobowych.

Kim jest Inspektor Ochrony Danych?

Inspektor Ochrony Danych to osoba, która ma zapewnić zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Do jego zadań należy m.in.:

  • informowanie administratora, podmiotu przetwarzającego i pracowników, którzy przetwarzają dane osobowe, o ich obowiązkach wynikających z przepisów o ochronie danych osobowych, a także doradzanie im w tej sprawie;
  • monitorowanie przestrzegania obowiązujących przepisów o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych.

Szczegółowa lista zadań Inspektora Ochrony Danych została określona w art. 39 RODO, dlatego zainteresowanych odsyłam do treści Rozporządzenia.

Wyznaczenie Inspektora Ochrony Danych w gabinecie lekarskim.

Zgodnie z art. 37 RODO, obowiązek wyznaczenia Inspektora Ochrony Danych mają administratorzy i podmioty przetwarzające dane m.in. gdy:

główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 (…).

Bez wątpienia gabinety lekarskie lub pielęgniarskie przetwarzają tzw. dane wrażliwe, więc jeżeli stosować tylko tę przesłankę, gabinety lekarskie miałyby obowiązek wyznaczenia Inspektora Ochrony Danych. W przepisie jest również mowa o przesłance przetwarzania danych wrażliwych na dużą skalę. Czym ta duża skala jest?

Czym jest przetwarzanie danych wrażliwych na dużą skalę?

W RODO znajdujemy wiele ogólnych i niejednoznacznych sformułowań. Jednym z nich jest „duża skala”. Ciężko określić jak mamy rozumieć wyrażenie „duża skala”, ile osób lub danych przez to oznacza?

Według mnie, w Motywie 91 RODO znajdujemy odpowiedź na pytanie, czy indywidualne praktyki lekarskie muszą wyznaczać Inspektora Ochrony Danych.

Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.

A więc, jeżeli dane osobowe pacjenta są przetwarzane przez pojedynczego lekarza lub pielęgniarkę, nie należy tego rozumieć jako przetwarzania na dużą skalę.

Ciężko uznać, żeby lekarz prowadzący indywidualną praktykę lekarską przetwarzał dane osobowe pacjentów (dane wrażliwe) na dużą skalę.

Kiedy więc będziemy mieć do czynienia z przetwarzaniem na dużą skalę?

W Motywie 91 RODO napisano, że operacje przetwarzania na dużą skalę, to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.

Duże podmioty medyczne np. szpitale, gabinety z wieloma specjalistami, lub przychodnie na pewno przetwarzają dane na dużą skalę, jednak zwykłe, pojedyncze gabinety lekarskie nie.

Odpowiadając na pytanie: Wyznaczenie Inspektora Ochrony Danych w gabinecie lekarskim (Indywidualnej Praktyce Lekarskiej) nie będzie obowiązkiem.

W mojej ocenie możecie spać spokojnie, oczywiście jeżeli chodzi o powołanie Inspektora Ochrony Danych 😉

Podsumowanie:

  1. Inspektor Ochrony Danych to dawny Administrator Bezpieczeństwa Informacji.
  2. Do obowiązków Inspektora Ochrony Danych należy zapewnienie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych.
  3. Wyznaczenie Inspektora Ochrony Danych powstaje w przypadku przetwarzania danych wrażliwych na dużą skalę.
  4. Indywidualne Podmioty Lekarskie nie przetwarzają danych wrażliwych na dużą skalę, więc wyznaczenie Inspektora Ochrony Danych w gabinecie lekarskim nie jest obowiązkowe.
  5. Szpitale lub przychodnie prawdopodobnie są zobowiązane do wyznaczenia Inspektora Ochrony Danych, ponieważ przetwarzają dane wrażliwe na dużą skalę.

W razie pytań, zapraszam do kontaktu.