Co zmieni RODO dla indywidualnych praktyk lekarskich?
Autor: Ewa Gosiewska
Data: 24.01.2018
Źródło: EG
Działy:
Polecamy
Aktualności
Unijne rozporządzenie dotyczące ochrony danych osobowych (RODO) zacznie obowiązywać 25 maja br. Czy w związku z nowymi przepisami indywidualne praktyki lekarskie będą musiały mieć inspektora ochrony danych osobowych? Prawnicy odpowiadają.
PYTANIE:
Czy indywidualne praktyki lekarskie będą musiały mieć inspektora ochrony danych osobowych?
ODPOWIEDŹ:
Co do zasady indywidualne praktyki lekarskie, w których przetwarzanie danych osobowych pacjentów jest dokonywane przez jednego lekarza nie będą zobowiązane do powołania inspektora ochrony danych osobowych. Nie można jednak wykluczyć, że w sytuacji znacznego rozwoju indywidualnej praktyki, w tym przykładowo współpracy z większą liczbą lekarzy lub szpitalem i wobec tego obsługi większej liczby pacjentów i przetwarzanych danych, taki obowiązek może w przyszłości powstać.
UZASADNIENIE:
Inspektor danych osobowych na gruncie RODO będzie pełnił rolę zbliżoną do administratora bezpieczeństwa informacji, na gruncie obowiązującej aktualnie ustawy o ochronie danych osobowych. RODO, odmiennie od przepisów obowiązujących aktualnie, nakłada na niektóre podmioty przetwarzające dane osobowe obowiązek powołania inspektora danych osobowych. Co istotne obowiązek ten dotyczy nie tylko administratora, ale każdego podmiotu przetwarzający dane osobowe na zlecenie administratora jako jego podwykonawca, kontraktor, współpracownik w oparciu o tzw. cywilnoprawne formy zatrudnienia etc.
Obowiązek powołania inspektora danych osobowych dotyczy między innymi podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych tj. tzw. danych sensytywnych. Praktyka lekarska będzie z pewnością przetwarzać dane sensytywne pacjentów, są nimi bowiem np. informacje dotyczące zdrowia.
Odpowiedź na pytanie Czytelnika sprowadza się wobec tego do oceny, czy główna działalność indywidualnych praktyk lekarskich polega na przetwarzaniu danych osobowych oraz czy można zakwalifikować takie przetwarzanie jako prowadzone na dużą skalę.
Jeśli chodzi o pierwszą część powyższego pytania, RODO nie udziela bezpośredniej odpowiedzi. Preambuła RODO zawiera jedynie wskazanie, że przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Takie stwierdzenie nie jest jednak szczególnie pomocne. Jasnej odpowiedzi udziela w swoich wytycznych oficjalny organ doradczy Komisji Europejskiej wyjaśniając, iż „prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.”
Odpowiadając na drugą cześć powyższego pytania trzeba zwrócić uwagę, że zagadnienie to porusza preambuła do RODO, wskazując: „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.”
Podsumowując, jeśli Czytelnik prowadzi indywidualną praktykę lekarską, wówczas przetwarza dane sensytywne a takie przetwarzanie danych osobowych stanowi jego główną działalność w rozumieniu RODO. Jednak przetwarzanie danych w indywidualnej praktyce lekarskiej nie będzie zazwyczaj prowadzone na dużą skalę, a wobec tego Czytelnik nie będzie zobowiązany do wyznaczenia inspektora danych osobowych. Nawiasem jedynie wskazuję, że w przypadku rozwoju działalności, co może wiązać się z przetwarzaniem danych na większą skalę, istnieje możliwość nawiązania współpracy ze wspólnym inspektorem danych osobowych dla kilku praktyk, NZOZ, szpitali etc.
PODSTAWA PRAWNA:
1. motyw 91, motyw 97 preambuły oraz art. 9 i art. 37 (RODO) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenie o ochronie danych);
2. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) Przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r., Grupa Robocza Art. 29 ds. Ochrony Danych 16/EN WP 243 rew.01;
Czy indywidualne praktyki lekarskie będą musiały mieć inspektora ochrony danych osobowych?
ODPOWIEDŹ:
Co do zasady indywidualne praktyki lekarskie, w których przetwarzanie danych osobowych pacjentów jest dokonywane przez jednego lekarza nie będą zobowiązane do powołania inspektora ochrony danych osobowych. Nie można jednak wykluczyć, że w sytuacji znacznego rozwoju indywidualnej praktyki, w tym przykładowo współpracy z większą liczbą lekarzy lub szpitalem i wobec tego obsługi większej liczby pacjentów i przetwarzanych danych, taki obowiązek może w przyszłości powstać.
UZASADNIENIE:
Inspektor danych osobowych na gruncie RODO będzie pełnił rolę zbliżoną do administratora bezpieczeństwa informacji, na gruncie obowiązującej aktualnie ustawy o ochronie danych osobowych. RODO, odmiennie od przepisów obowiązujących aktualnie, nakłada na niektóre podmioty przetwarzające dane osobowe obowiązek powołania inspektora danych osobowych. Co istotne obowiązek ten dotyczy nie tylko administratora, ale każdego podmiotu przetwarzający dane osobowe na zlecenie administratora jako jego podwykonawca, kontraktor, współpracownik w oparciu o tzw. cywilnoprawne formy zatrudnienia etc.
Obowiązek powołania inspektora danych osobowych dotyczy między innymi podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych tj. tzw. danych sensytywnych. Praktyka lekarska będzie z pewnością przetwarzać dane sensytywne pacjentów, są nimi bowiem np. informacje dotyczące zdrowia.
Odpowiedź na pytanie Czytelnika sprowadza się wobec tego do oceny, czy główna działalność indywidualnych praktyk lekarskich polega na przetwarzaniu danych osobowych oraz czy można zakwalifikować takie przetwarzanie jako prowadzone na dużą skalę.
Jeśli chodzi o pierwszą część powyższego pytania, RODO nie udziela bezpośredniej odpowiedzi. Preambuła RODO zawiera jedynie wskazanie, że przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Takie stwierdzenie nie jest jednak szczególnie pomocne. Jasnej odpowiedzi udziela w swoich wytycznych oficjalny organ doradczy Komisji Europejskiej wyjaśniając, iż „prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.”
Odpowiadając na drugą cześć powyższego pytania trzeba zwrócić uwagę, że zagadnienie to porusza preambuła do RODO, wskazując: „przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.”
Podsumowując, jeśli Czytelnik prowadzi indywidualną praktykę lekarską, wówczas przetwarza dane sensytywne a takie przetwarzanie danych osobowych stanowi jego główną działalność w rozumieniu RODO. Jednak przetwarzanie danych w indywidualnej praktyce lekarskiej nie będzie zazwyczaj prowadzone na dużą skalę, a wobec tego Czytelnik nie będzie zobowiązany do wyznaczenia inspektora danych osobowych. Nawiasem jedynie wskazuję, że w przypadku rozwoju działalności, co może wiązać się z przetwarzaniem danych na większą skalę, istnieje możliwość nawiązania współpracy ze wspólnym inspektorem danych osobowych dla kilku praktyk, NZOZ, szpitali etc.
PODSTAWA PRAWNA:
1. motyw 91, motyw 97 preambuły oraz art. 9 i art. 37 (RODO) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólnego rozporządzenie o ochronie danych);
2. Wytyczne dotyczące inspektorów ochrony danych (‘DPO’) Przyjęte w dniu 13 grudnia 2016 r. Ostatnio zmienione i przyjęte w dniu 5 kwietnia 2017 r., Grupa Robocza Art. 29 ds. Ochrony Danych 16/EN WP 243 rew.01;
