Działalność gabinetów stomatologicznych, a wyznaczanie inspektora ochrony danych w świetle reformy przepisów o ochronie danych osobowych

ochrona danych osobowychZarówno stomatolog prowadzący działalność jako osoba fizyczna, jak i spółki prowadzące podobnego rodzaju działalność w większej skali są administratorami danych osobowych – przede wszystkim swoich pacjentów, ale także osób przez siebie zatrudnionych – a w konsekwencji zobowiązane są one do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.


Serdecznie zapraszamy gabinety stomatologiczne i medyczne do zapoznania się z ofertą wdrożenia procedur systemu ochrony danych osobowych zabezpieczających podmiot – https://rbdo.com.pl/sklep/


Obecnie, najważniejszym aktem prawnym określającym obowiązki administratorów danych  osobowych (a więc także i podmiotów prowadzących gabinety stomatologiczne) jest ustawa o ochronie danych osobowych z 1997 roku – jednak już od 25 maja 2018 roku zostanie przyjęte do stosowania tzw. „RODO” czyli rozporządzenie Unii Europejskiej o ochronie danych osobowych, które będzie bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej – tak, jakby było ustawą. Spowoduje to uchylenie z dniem 25 maja 2018 roku obecnie obowiązującej ustawy o ochronie danych osobowych z 1997 roku.

Nowym obowiązkiem określonym w art. 37 RODO jest wyznaczenie inspektora ochrony danych osobowych (data protection officer) w podmiotach, które przetwarzają na „dużą skalę” danych osobowych dotyczących zdrowia  – samo RODO nie precyzuje jednak, co należy rozumieć poprzez określenie „duża skala” – w na początkowym etapie prac nad RODO postulowano ilościowe określenie granicy, po której przekroczeniu aktualizowałby się obowiązek wyznaczenia inspektora ochrony danych, miało to być 5000 rekordów – jednak ostatecznie zrezygnowano z tak precyzyjnego określenia tej granicy i  posłużono się zwrotem „duża skala”.

Co należy rozumieć poprzez określenie „duża skala” przetwarzania danych

Choć nie precyzuje tego samo RODO, to w  wytycznych grupy roboczej  art. 29 ds. ochrony danych z  13 grudnia 2016 roku dotyczących inspektorów ochrony danych wskazano, powołując się na motyw 91 RODO, że ”Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów (…) i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia (…)”.

Na podstawie powyższego można dokonać podziału na sytuacje, w których:

  1. nie będzie co do zasady występowało ryzyko stwierdzenia obowiązku powołania inspektora ochrony danych – czyli gabinety stomatologiczne prowadzone przez pojedynczych lekarzy stomatologów jako osoby fizyczne prowadzące działalność gospodarczą, oraz
  2. będzie występowała konieczność wyznaczenia inspektora ochrony danych – w szczególności będzie dotyczyło do podmiotów skupiających działalność większej ilości specjalistów, niezależnie od prowadzenia działalności w formie spółki osobowej, kapitałowej czy jako osoba fizyczna prowadząca działalność gospodarczą

Co więcej, grupa robocza wskazała, że nawet w sytuacji, w której z przepisów nie wynika obowiązek wyznaczenia inspektora ochrony danych administratorzy danych osobowych powinni przeprowadzić udokumentowaną analizę przeprowadzoną w celu ustalenia zastosowania obowiązku wyznaczenia inspektora (lub braku tego obowiązku)  do ich konkretnej sytuacji.

Należy podkreślić, że w obecnym stanie prawnym nie istnieje obowiązek wyznaczania administratora bezpieczeństwa informacji (którego następcą będzie inspektor ochrony danych), ponieważ w prawie polskim jest to jedynie możliwość – niezależnie od skali i rodzaju działalności.

Nowe kary finansowe za naruszanie przepisów o ochronie danych osobowych 

Ustalenie, czy w sytuacji konkretnej działalności będzie zachodził obowiązek wyznaczenia inspektora ochrony danych ma znaczenie w kontekście nowego instrumentu w  postaci kar finansowych, w jaki zostanie wyposażony nowy organ nadzorczy zajmujący się ochroną danych osobowych – zgodnie z projektem Ministerstwa Cyfryzacji z 28 marca 2017 roku nie będzie to już GIODO, a Prezes Urzędu Ochrony Danych. Nowe kary finansowe będą nakładane w trybie administracyjnym, a ich wysokość może sięgać nawet 20 milionów euro (choć w przypadku braku wyznaczenia obowiązkowego inspektora ochrony danych maksymalna kara może wynosić jedynie 10 milionów euro) – co jest stworzeniem zupełnie nowego ryzyka dla przedsiębiorców, których główna działalność związana jest z przetwarzaniem danych osobowych – z zwłaszcza tzw. danych wrażliwych, jak właśnie w przypadku działalności związanej z prowadzeniem gabinetów stomatologicznych.

 

Autor: Karol Cieniak

Prawnik, specjalista ds. ochrony danych osobowych

faq@rbdo.pl


Kompleksowe wdrożenie procedur ochrony danych z opieką prawna do maja 2018 roku i ukierunkowaniem na procedury UE  w cenie 2990 zł netto + 23 % VAT 

Zmiany UE zaczną być stosowane w maju 2018 r. – przedsiębiorstwa czekają bardzo poważne strukturalne zmiany w umowach, klauzulach, procesach rekrutacyjnych – a wszelkie uchybienia będą zagrożone karami od nowego Urzędu Ochrony Danych do 20 mln euro lub 4% przychodu.

W naszym odczuciu, już teraz warto wypracowywać strategie wdrożenia nowych procedur  i przygotowanie kilku osób w kadrze do nadzoru tej sfery.


Business coachingAby przygotować podmiot na nowe procedury UE – rekomendujemy usługę audytu i wdrożenia w cenie 2990 zł + 23% VAT z doradztwem do maja 2018 roku – cena będą rosnąć ponieważ mamy ograniczone zasoby ekspertów z doświadczeniem.

Szczegóły pod mailem: biuro@rbdo.pl oraz telefonem: (22) 487 86 70


Podsumowując:

1. Dokumentacja przetwarzania danych będzie wymagać adaptacji nowych elementów do maja 2018 r.

2. Dojdą natomiast poza dokumentacją zupełnie nowe obowiązki:

•  obowiązek powołania DPO – Inspektora Ochrony Danych

•  prowadzenie rejestrów czynności przetwarzania danych

•  wykonywaniu procedury oceny ryzyk – (DPIA)

•  realizacji prawa do przenoszenia danych

•  realizacji prawa do bycia zapomnianym i profilowania

• adaptacja nowych klauzul przetwarzania danych z określeniem celu i czasu przetwarzania

• procedura zgłaszania incydentów do organu nadzorczego w 72 h


Jeśli nie posiadają Państwo procedur ochrony danych – rekomendujemy co najmniej wdrożenie dokumentacji:

Dokumentacja ochrony danycha) Materiały i e-szkolenie do samodzielnego wdrożenia ze wsparciem prawnika –   Dokumentację z Instrukcją zgłoszenia do GIODO – w ofercie za 149 zł netto + 23% VAT

b) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT

c) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT


W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.:  (22) 487 86 70


 

 

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *