IOD w gabinetach dentystycznych

Według RODO zarówno dentysta (lekarz) prowadzący działalność jako osoba fizyczna, jak i kliniki stomatologiczne oraz szpitale prowadzające działalność w dużej skali są administratorami danych swoich pacjentów, ale także swoich pracowników – to znaczy że mają obowiązek przestrzegania przepisów o ochronie danych osobowych.

Zgodnie z art. 37 RODO administrator i podmiot przetwarzający mają obowiązek wyznaczenia inspektora danych w przypadku przetwarzania szczególnych kategorii danych, a więc danych dotyczących stanu zdrowia na „duża skalę”. RODO nie definiuje pojęcia przetwarzanie danych na dużą skalę, ale w wytycznych Grupy Roboczej art. 29 ds. ochrony danych z 13 grudnia 2016 roku dotyczących inspektorów ochrony danych („DPO”) przeczytamy, że Grupa powołuje się na motyw 91 RODO, wyjaśniając że operacje przetwarzania o dużej skali to operacje, które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym, lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować duże ryzyko naruszenia praw i wolności podmiotów danych. Zgodnie z wytycznymi przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie danych na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, lub innego pracownika służby zdrowia lub prawnika.

W związku z powyższym  pojedynczy dentysta, który samodzielnie prowadzi gabinet stomatologiczny, nie ma obowiązku powołania inspektora danych osobowych, natomiast klinika stomatologiczna, która zatrudnia większą ilość specjalistów, powinna taki obowiązek spełnić.

Przy ocenie dużej skali należy także ocenić obszar, na którym następować będzie przetwarzanie danych – im większe terytorium, tym większa liczba danych będzie przetwarzana. W tym przypadku możemy uznać, że przetwarzanie odbywa się na dużą skalę.  W tym pojęciu może jak najbardziej się mieścić przetwarzanie danych pacjentów w ramach prowadzonej działalności przez szpital czy klinikę. Ocenę kryterium dużej skali należy dokonywać każdorazowo w kontekście konkretnego stanu faktycznego.

Należy zauważyć, że inspektorem danych osobowych może być tylko osoba fizyczna. Funkcję inspektora danych osobowych może pełnić osoba zatrudniona przez administratora lub podmiot przetwarzający na podstawie stosunku pracy albo na podstawie umowy cywilnoprawnej. Przepisy RODO nie wskazują jednak przesłanek odwołania. Jedynie art. 38 ust.3 mówi o tym, że administrator lub podmiot przetwarzający  mogą rozwiązać umowę  o pracę z inspektorem ochrony danych, w przypadku jeśli nie realizuje on zadań określonych w umowie o pracę, lub umowie cywilnoprawnej. RODO również nie przewiduje odpowiedzialności IOD za niewłaściwe wykonanie swoich obowiązków.

Autor

Alina Lewandowska

Swoje doświadczenie zawodowe zdobywała w kancelariach prawnych oraz podmiotach sektora prywatnego. Zajmuje się zagadnieniami związanymi z ochroną danych osobowych. Opiniuje regulaminy i umowy w zakresie danych osobowych u klientów Audytela.

Z tej samej kategorii

Kategorie