Ta strona korzysta z ciasteczek - więcej
Masz pytania? Infolinia RODO: 22 487 86 70 | +48 724 570 436
lub napisz: biuro@rbdo.pl


Od jakiej ilości pacjentów placówka medyczna powinna powołać Inspektora Ochrony Danych

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO  jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala).

Choć początkowo można było odnieść wrażenie, że z tego niedoprecyzowania wynikną same negatywne skutki, to ostatecznie może się okazać, że jednak zaowocuje to pozytywnym efektem – z uwagi na branżowe kodeksy postępowania, które powinny szczegółowo rozstrzygać te kwestie w odniesieniu do konkretnych branż (choć jeszcze żaden z nich nie został przez organ nadzorczy zatwierdzony).

 

Jeden z nich , wciąż na etapie niezatwierdzonego projektu, został przygotowany przez kancelarię DZP w współpracy z podmiotami działającymi w branży medycznej. I trzeba to oddać – jest on napisany właśnie tak, jak sformułowany powinien być kodeks, o którym mowa w art. 42 RODO – tzn. konkretnie. Widać, że autorzy nie stronili od odpowiedzi na trudne pytania, takie, które wynikają z codziennej praktyki w podmiotach zajmujących się wykonywaniem działalności medycznej.

Oczywiście – kodeks będzie formalnie wiązał jedynie te podmioty, które do niego oficjalnie przystąpią, jednak należy przewidywać, że rozstrzygnięte w nim kwestie będą wiązały nieformalnie, mocą autorytetu/wyznaczonej praktyki wszelkie podmioty, które w branży medycznej działają, nawet, jeżeli formalnie nie przystąpiły one do kodeksu.


W rozdziale 5 projektu kodeksu dla placówek medycznych zawarto proponowane progi dużej skali działania (jest to swoiste doprecyzowanie klauzuli generalnej zawartej w art. 37 ust. 1 lit. c RODO), z których przekroczeniem powiązano obligatoryjne wyznaczenie IODO dla podmiotu wykonującego działalność medyczną, zgodnie z nimi, przewidziano 4 sytuacje, w których takie wyznaczeni będzie obowiązkowe:

  1. Powyżej 200 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela stacjonarnie i całodobowo szpitalnych świadczeń zdrowotnych

  2. Powyżej 300 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela stacjonarnie i całodobowo innych niż szpitalne świadczeń zdrowotnych

  3. Powyżej 600 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela ambulatoryjnych świadczeń zdrowotnych

  4. Powyżej 6000 przypisanych unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy realizuje wyłącznie świadczenia podstawowej opieki zdrowotnej.

Oczywiście wiele zależy od tego, czy organ nadzorczy te progi zaaprobuje – wydaje się jednak, że są one dość mocno uargumentowane praktyką branży i ich podważenie byłoby dość możnym zaskoczeniem.

Kończąc, warto jeszcze raz podkreślić, że wspomniany projekt kodeksu został napisany uwzględniając właśnie to, czego się od takich dokumentów oczekuje – a więc konkretności.

Powinien on być sygnałem dla innych autorów kodeksów branżowych, by unikać w nich sformułowań niejasnych, asekuranckich – ponieważ największą wartością kodeksu powinna być właśnie jego konkretność.


JAK ZAMÓWIĆ WYCENĘ USŁUGI OBJĘCIA FUNKCJI INSPEKTORA OCHRONY DANYCH LUB DORADCY IOD?

Napisz na adres biuro@rbdo.pl lub zadzwoń: +48 724 570 436


Usługa IOD – zapewnia kompleksowe przejęcie funkcji Inspektora Ochrony Danych lub optymalne wsparcie eksperta ochrony danych w podmiocie.

W ramach usługi otrzymują Państwo realizację zadań Inspektora Ochrony Danych i całkowicie powierzają zadania ekspertowi, z bogatym doświadczeniem wdrożeniowym w zakresie ochrony danych RODO.

Przykładowy cennik (ceny netto, bez podatku VAT, płatności miesięczne przy umowie na 12 miesięcy):

Kancelaria notarialna zatrudniająca do 5 pracowników – 299 zł

Biblioteka publiczna – 299 zł

Gabinet stomatologiczny zatrudniający do 5 pracowników – 299 zł

Kancelaria komornicza średniej wielkości – 699 zł

Przychodnia o niewielkiej skali działania – 799 zł

Szkoła – 799 zł

Firma produkcyjna zatrudniająca powyżej 50-150 pracowników – 699 zł

Urząd Gminy – 1999 zł

Grupa kapitałowa o ogólnokrajowym zasięgu działania – 1999 zł

 

USŁUGA „OCHRONA IOD” OBEJMUJE:

a)    przeprowadzenie audytu wstępnego po rozpoczęciu obowiązywania niniejszej umowy, obejmującego wizytację miejsca prowadzenia działalności Zleceniodawcy;

b)    przygotowanie raportu zawierającego ustalenia z przeprowadzonego audytu wstępnego, w szczególności wskazującego stwierdzone nieprawidłowości i konieczne działania zaradcze – w świetle powszechnie obowiązujących przepisów (w szczególności RODO oraz ustawy o ochronie danych osobowych z dnia 10 maja 2018 roku), wytycznych Europejskiej Rady Ochrony Danych, Prezesa Urzędu Ochrony Danych oraz powszechnie przyjętej praktyki oraz orzecznictwa;

c)    pomoc w przeprowadzeniu zgłoszenia IOD do organu nadzorczego;

d)    pełnienie roli punktu kontaktowego dla organu nadzorczego w
kwestiach związanych    z przetwarzaniem danych osobowych;

e)    stworzenie inwentaryzacji przetwarzanych przez Zleceniodawcę
danych osobowych;

f)    zidentyfikowanie elementów mających istotny wpływ na późniejsze
szacowanie ryzyka i decyzję do zastosowania odpowiednich środków
bezpieczeństwa;

g)    przygotowanie projektu rejestru czynności przetwarzania;

h)    sformułowanie projektów odpowiednich klauzul informacyjnych,
służących wypełnieniu obowiązków wskazanych w art. 13 lub 14 RODO;

i)    sformułowanie projektów odpowiednich klauzul zgód na przetwarzanie
danych osobowych, o ile będzie to konieczne;

j)    sformułowanie projektów odpowiednich umów powierzenia
przetwarzania, o których stanowi art. 28 RODO, o ile będzie to konieczne;

k)    przygotowanie projektu procedur wewnętrznych w zakresie, w jakim
będzie to konieczne (w szczególności polityka bezpieczeństwa, sposób
użytkowania urządzeń mobilnych, nadawanie i odbieranie uprawnień do
przetwarzania danych, sposób postępowania przy naruszeniach ochrony
danych, sposób szacowania ryzyka, sposób klasyfikacji naruszeń);

l)    pomoc w  szacowaniu ryzyka i udokumentowaniu szacowania ryzyka, w
szczególności poprzez stworzenie na podstawie informacji udzielonych
przez Zleceniobiorcę projektów protokołów dokumentujących szacowanie ryzyka;

m)    pozostawanie w kontakcie ze Zleceniodawcą w przypadku wszelkich
pytań lub wątpliwości, w szczególności w przypadku incydentów mogących
być naruszeniami ochrony danych osobowych;

n)    pozostawanie kontakcie w przypadku wszelkich pytań, skarg lub
wniosków zgłaszanych przez osoby, których dane przetwarzane są przez
Zleceniodawcę;

o)    informowanie o zmianach w przepisach lub wytycznych, jeżeli mogą
mieć one wpływ na przetwarzanie danych przez Zleceniodawcę;

p)    rekomendowanie Zleceniodawcy konsultacji z organem nadzorczym w
przypadku stwierdzenia, że jest to w interesie Zleceniodawcy, lub osób,
których dane są przetwarzane, a po uzyskaniu zgody Zleceniodawcy
prowadzenie osobiście konsultacji z organem nadzorczym, i składanie
raportu ze sposobu załatwienia sprawy przez organ nadzorczy;

q)    przeprowadzenie audytu końcowego obejmującego wizytację miejsca
prowadzenia działalności oraz sformułowanie podsumowania i zaleceń
uwzględniających okres trwania współpracy;

 


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 22 487 86 70 lub +48 724 570 436

Szkolenia Certyfikowane