Inspektor ochrony danych osobowych w niepublicznych podmiotach leczniczych a RODO

W praktyce stosowania przepisów RODO pojawiło się wiele wątpliwości dotyczących powołania Inspektora Ochrony Danych Osobowych. Zagadnienie to jest szczególnie istotne w niepublicznych podmiotach prowadzących działalność leczniczą.

Ogólne rozporządzenie o ochronie danych 2016/679 (dalej: RODO) weszło w życie dnia 25 maja 2018 roku. Jednym z wprowadzonych w nim rozwiązań możliwość powołania inspektorów ochrony danych osobowych przez administratorów takich danych. Ujmując rzecz w dużym skrócie inspektor ochrony danych osobowych (dalej: IODO) jest osobą, która sprawuje nadzór nad prawidłowością przetwarzania danych osobowych oraz reaguje na wszelkie niepożądane incydenty w objętej jego działaniem instytucji. Okoliczności powodujące konieczność powołania IODO przez administratora określa art. 37 ust. 1 RODO.

W art. 37 ust. 1 lit. c RODO wskazano natomiast, iż administrator i podmiot przetwarzający powołują IODO zawsze, gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10. Art. 9 ust. 1 RODO za dane szczególne uznaje m. in. dane dotyczące zdrowia.

Niepubliczne podmioty wykonujące działalność leczniczą powinny zatem zawsze rozważyć, czy charakter ich działalności wymaga powołania IODO. Ich główna działalność zawsze wiąże się przecież z przetwarzaniem danych na dużą skalę. Kluczowe w związku z tym jest ustalenie, kiedy przetwarzanie danych następuje na dużą skalę.

Określenie to mogłoby rodzić wątpliwości od jakiej ilości danych pacjentów należy przyjmować dużą skalę i czy ma tu znaczenie charakter prowadzonej niepublicznej działalności (np. przychodnia, szpital, gabinet lekarza rzadkiej specjalizacji). RODO nie zawiera wyraźnych wskazówek w tej kwestii. Zawiera jednak jedną istotną regułę interpretacyjną – motyw 91 RODO stanowi, iż przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych pacjentów i jest przetwarzane przez pojedynczego lekarza bądź innego pracownika służby zdrowia.

Z powyższego wynika, że co do zasady indywidualne praktyki lekarskie i pielęgniarskie, gabinety rehabilitacyjne, itd. nie mają obowiązków ustanawiania IODO. Jednocześnie a contrario w przypadku wszelkich innych podmiotów wykonujących działalność leczniczą – grupowych praktyk lekarskich i pielęgniarskich oraz osób fizycznych, spółek i SPZOZ prowadzących szpitale, przychodnie czy inne niepubliczne zakłady lecznicze należy domniemywać konieczność powołania IODO. Wydaje się, że brak obowiązku jego powołania mógłby być uzasadniony jedynie szczególnie małym zakresem działalności danego administratora (np. ośrodek zdrowia, w którym pracuje jeden lekarz i jedna pielęgniarka, grupowa praktyka lekarska dwóch lekarzy itp.) Na obecną chwilę brak jest jednak orzecznictwa potwierdzającego taką interpretację przez organ nadzorczy.

Radca prawny, Zabrze dnia 7.09.2018 r.

Dodaj komentarz