Konieczność wyznaczenia Inspektora Ochrony Danych (zwany: IOD) jest nową instytucją, wprowadzoną przez RODO.

 

Kiedy ustanowienie IOD jest obowiązkowe, a kiedy dobrowolne?

Art. 37 RODO wskazuje, kiedy wyznaczenie IOD jest obligatoryjne. Są to trzy przypadki:

  1. Kiedy przetwarzania dokonuje organ lub podmiot publiczny (…),
  2. Kiedy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania (…),
  3. Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (…).

Pojęcie „główna działalność” rozumiane jest jako działalność wiodąca danego podmiotu, a nie działalność poboczna. Jak wynika z dokumentu Grupy Roboczej Art.29 ds. ochrony danych osobowych czynnościami pobocznymi są np. czynności związane z standardową obsługą informatyczną podmiotu lub związane z wypłatą pracownikom wynagrodzeń.

Ta sama grupa wskazała na działalność szpitali i skonstatowała, że główną dzielnością szpitali jest ochrona zdrowia, której nie można realizować, bez przetwarzania danych medycznych pacjentów. Tym samym przetwarzanie danych medycznych pacjentów, należy uznać za działalność główną szpitali.

 

Kolejnym nieostrym pojęciem jest „przetwarzanie danych na dużą skalę”.

W tym przypadku RODO nie daje odpowiedzi, co należy rozumieć pod tym pojęciem. To z kolei powoduje, że właściciele podmiotów medycznych sami musza podjąć decyzję, czy u nich w placówce dochodzi do przetwarzania danych osobowych na dużą skalę.

Oceniając skalę należy brać pod uwagę:

- liczbę osób których dane przetwarza placówka,

- ilość lub zakres rodzajów danych,

- okres przetwarzania lub stałość działalności w zakresie przetwarzania danych,

- zakres geograficzny przetwarzania danych. 

Jak wynika z powyższego, z pewnością szpitale są zobowiązane do powołania IOD. Natomiast lekarz prowadzący jednoosobowy gabinet nie będzie miał takiego obowiązku.

 

A co z mniejszymi placówkami medycznymi?

W tym przypadku dokonując audytu w zakresie RODO lub dokonując analizy potrzeb danej firmy w zakresie RODO, należy pochylić się nad tematem.

Jeżeli placówka przetwarza dane osobowe kilku tysięcy osób, ponadto przetwarzane są dane wrażliwe – to myślę, że dla własnego bezpieczeństwa warto rozważyć powołanie IOD.

Do obowiązków IOD należy m.in.:

- informowanie administratora, podmiotu przetwarzającego i pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich w zakresie ochrony danych osobowych,

- monitorowanie przestrzegania niniejszego rozporządzenia i innych przepisów dotyczących danych osobowych, polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenie personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,

- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

- współpraca z organem nadzorczym,

- pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO i w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach. 

Ponadto IOD powinien być włączony we wszystkie sprawy placówki dotyczące danych osobowych – brać udział w wytyczaniu polityki ochrony danych osobowych w danej placówce.

 

Kto może być IOD?

Inspektorem Ochrony Danych Osobowych powinna być osoba lub podmiot posiadający odpowiednia wiedzę z zakresu polskich i europejskich przepisów dotyczących ochrony danych osobowych oraz powinien znać wytyczne w zakresie RODO.  Wskazanym byłoby, aby taka osoba znała organizację dane jednostki oraz całego sektora – publicznego, bądź prywatnego służby zdrowia.

Zgodnie z wytycznymi Grupy Roboczej do art. 29 zakres wiedzy musi być dostosowany do „charakteru, skomplikowania i ilości danych przetwarzanych przez dana jednostkę”.

Ze względu na charakter danych medycznych – powinna być to osoba, która rzeczywiście, a nie tylko pozornie będzie nadzorowała procesy przetwarzania danych osobowych w firmie. 

 

Konflikt interesów

Administrator lub podmiot przetwarzający zapewniają, by zadania i obowiązki IOD nie powodowały konfliktu interesów. Zgodnie z wytycznymi Grupy Roboczej IOD nie powinien być jednocześnie w strukturze organizacyjnej administratora czy podmiotu przetwarzającego.

IOD powinien wykonywać swoje zadania niezależnie i nie może łączyć swojej funkcji z określaniem sposobu i celów przetwarzania.

Zatem, administrator spośród swoich pracowników lub współpracowników może wyznaczyć osobę odpowiednią do pełnienia tej funkcji. Jednak właściciel lub członek zarządu nie powinien obejmować funkcji IOD.

Osoba obejmująca funkcję IOD musi złożyć stosowne oświadczenie o braku pozostawania z osobami zajmującymi kierownicze stanowiska w firmie, w stosunkach faktycznych lub prawnych.

IOD powołuję zarząd/właściciel w formie zarządzenia. 

 

Obowiązek zgłoszenia IOD

Zgodnie z art. 10 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych – jest obowiązek zawiadomienia Prezesa Urzędu Ochrony Danych Osobowych w terminie 14 dni od dnia powołania lub zmiany.