RODOCONSULTIG - RODO dla firm. IOD, audyty, wdrożenie, szkolenia
Jesteś tutaj: Obowiązki dla firmy i podmiotów / Wyznaczenie Inspektora Ochrony Danych (IOD) przez podmiot leczniczy oraz aptekę

Wyznaczenie Inspektora Ochrony Danych (IOD) przez podmiot leczniczy oraz aptekę

Wyznaczenie inspektora ochrony danych w placówce medycznej, aptece, przez gabinet lekarski reguluje art.37 RODO.

Powołanie IOD zawsze jest wymagane gdy:

  • dokonują przetwarzania w charakterze organu lub podmiotu publicznego (np. Szpital Wojewódzki, Szpital Powiatowy, Szpital Akademicki, Klinika, Sanatorium)

lub

  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO ( np. NZOZ, Przychodnia Lekarzy, Apteka, Sklep Ortopedyczny,...)

W przypadku podmiotów leczniczych kwestia wyznaczenia inspektora ochrony danych jest jednym z najbardziej istotnych elementów w budowaniu całego systemu ochrony danych osobowych. Podmioty te przetwarzają bowiem głównie szczególne kategorie danych i nie należą do nich wyłącznie dane o stanie zdrowia - także dane zwykłe. Działalność wielu z tych podmiotów jest ukierunkowana z założenia na pozyskiwanie danych osobowych w znacznej ilości i gromadzą dane w sposób ciągły. Pozyskiwanie więc przez te podmioty danych osobowych jest główną działalnością administratora, co wyczerpuje pierwszą część wymogu powołania IOD.

Drugi warunek do spełnienia to 'przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych'. Nie będzie to miało miejsca w przypadku pojedyńczej praktyki lekarskiej, rehabilitacyjnej czy pielęgniarskiej. Na pewno przychodnia obsługująca kilkudziesięciu pacjentów dziennie czy apteka realizująca kilkaset recept w miesiącu - będą zakwalifikowani jako przetwarzający na dużą skalę. To kryterium i powyższy łącznie to wymóg powołania przez administratora Inspektora Ochrony Danych.

Został powołany IOD. I co dalej ?

O tym należy powiadomić UODO oraz umieścić taką informację na stronie internetowej. Łatwo zatem - bez kontroli osobistej UODO - stwierdzić czy dany podmiot powołał IOD czy też tego nie uczynił. Na administratorze spoczywa także obowiązek poinformowania osób, których dane są przetwarzane, w stosownej formie m.in. to zawierać powinien obowiązek infiormacyjny.

Konsekwencje nie powołania inspektora ochrony danych w placówce medycznej i innych.

Administrator danych będzie zobowiązany do wykazania z jakich względów – po przeanalizowaniu wskazanych wyżej przesłanek, a także wszelkich innych czynników związanych z przetwarzaniem danych – nie wyznaczył inspektora ochrony danych. Powinien udokumentować, dlaczego uznał, że nie występuje po jego stronie taki obowiązek. Warto zatem rozważyć, w sytuacji, kiedy Rozporządzenie nie wskazuje wprost kiedy powołać IOD, czy Inspektor Ochrony Danych nie zapewni właściwej opieki nad ochroną danych jednocześnie unikając konsekwencji w przypadku kontroli UODO.