Zarówno stomatolog prowadzący działalność jako osoba fizyczna, jak i spółki prowadzące podobnego rodzaju działalność w większej skali są administratorami danych osobowych – przede wszystkim swoich pacjentów, ale także osób przez siebie zatrudnionych – a w konsekwencji zobowiązane są one do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.
Serdecznie zapraszamy gabinety stomatologiczne i medyczne do zapoznania się z ofertą wdrożenia procedur systemu ochrony danych osobowych zabezpieczających podmiot – https://rbdo.com.pl/sklep/
Obecnie, najważniejszym aktem prawnym określającym obowiązki administratorów danych osobowych (a więc także i podmiotów prowadzących gabinety stomatologiczne) jest ustawa o ochronie danych osobowych z 1997 roku – jednak już od 25 maja 2018 roku zostanie przyjęte do stosowania tzw. „RODO” czyli rozporządzenie Unii Europejskiej o ochronie danych osobowych, które będzie bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej – tak, jakby było ustawą. Spowoduje to uchylenie z dniem 25 maja 2018 roku obecnie obowiązującej ustawy o ochronie danych osobowych z 1997 roku.
Nowym obowiązkiem określonym w art. 37 RODO jest wyznaczenie inspektora ochrony danych osobowych (data protection officer) w podmiotach, które przetwarzają na „dużą skalę” danych osobowych dotyczących zdrowia – samo RODO nie precyzuje jednak, co należy rozumieć poprzez określenie „duża skala” – w na początkowym etapie prac nad RODO postulowano ilościowe określenie granicy, po której przekroczeniu aktualizowałby się obowiązek wyznaczenia inspektora ochrony danych, miało to być 5000 rekordów – jednak ostatecznie zrezygnowano z tak precyzyjnego określenia tej granicy i posłużono się zwrotem „duża skala”.
Co należy rozumieć poprzez określenie „duża skala” przetwarzania danych
Choć nie precyzuje tego samo RODO, to w wytycznych grupy roboczej art. 29 ds. ochrony danych z 13 grudnia 2016 roku dotyczących inspektorów ochrony danych wskazano, powołując się na motyw 91 RODO, że ”Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów (…) i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia (…)”.
Na podstawie powyższego można dokonać podziału na sytuacje, w których:
- nie będzie co do zasady występowało ryzyko stwierdzenia obowiązku powołania inspektora ochrony danych – czyli gabinety stomatologiczne prowadzone przez pojedynczych lekarzy stomatologów jako osoby fizyczne prowadzące działalność gospodarczą, oraz
- będzie występowała konieczność wyznaczenia inspektora ochrony danych – w szczególności będzie dotyczyło do podmiotów skupiających działalność większej ilości specjalistów, niezależnie od prowadzenia działalności w formie spółki osobowej, kapitałowej czy jako osoba fizyczna prowadząca działalność gospodarczą
Co więcej, grupa robocza wskazała, że nawet w sytuacji, w której z przepisów nie wynika obowiązek wyznaczenia inspektora ochrony danych administratorzy danych osobowych powinni przeprowadzić udokumentowaną analizę przeprowadzoną w celu ustalenia zastosowania obowiązku wyznaczenia inspektora (lub braku tego obowiązku) do ich konkretnej sytuacji.
Należy podkreślić, że w obecnym stanie prawnym nie istnieje obowiązek wyznaczania administratora bezpieczeństwa informacji (którego następcą będzie inspektor ochrony danych), ponieważ w prawie polskim jest to jedynie możliwość – niezależnie od skali i rodzaju działalności.
Nowe kary finansowe za naruszanie przepisów o ochronie danych osobowych
Ustalenie, czy w sytuacji konkretnej działalności będzie zachodził obowiązek wyznaczenia inspektora ochrony danych ma znaczenie w kontekście nowego instrumentu w postaci kar finansowych, w jaki zostanie wyposażony nowy organ nadzorczy zajmujący się ochroną danych osobowych – zgodnie z projektem Ministerstwa Cyfryzacji z 28 marca 2017 roku nie będzie to już GIODO, a Prezes Urzędu Ochrony Danych. Nowe kary finansowe będą nakładane w trybie administracyjnym, a ich wysokość może sięgać nawet 20 milionów euro (choć w przypadku braku wyznaczenia obowiązkowego inspektora ochrony danych maksymalna kara może wynosić jedynie 10 milionów euro) – co jest stworzeniem zupełnie nowego ryzyka dla przedsiębiorców, których główna działalność związana jest z przetwarzaniem danych osobowych – z zwłaszcza tzw. danych wrażliwych, jak właśnie w przypadku działalności związanej z prowadzeniem gabinetów stomatologicznych.
Autor: Karol Cieniak
Prawnik, specjalista ds. ochrony danych osobowych
faq@rbdo.pl
Kompleksowe wdrożenie procedur ochrony danych z opieką prawna do maja 2018 roku i ukierunkowaniem na procedury UE w cenie 2990 zł netto + 23 % VAT
Zmiany UE zaczną być stosowane w maju 2018 r. – przedsiębiorstwa czekają bardzo poważne strukturalne zmiany w umowach, klauzulach, procesach rekrutacyjnych – a wszelkie uchybienia będą zagrożone karami od nowego Urzędu Ochrony Danych do 20 mln euro lub 4% przychodu.
W naszym odczuciu, już teraz warto wypracowywać strategie wdrożenia nowych procedur i przygotowanie kilku osób w kadrze do nadzoru tej sfery.
Aby przygotować podmiot na nowe procedury UE – rekomendujemy usługę audytu i wdrożenia w cenie 2990 zł + 23% VAT z doradztwem do maja 2018 roku – cena będą rosnąć ponieważ mamy ograniczone zasoby ekspertów z doświadczeniem.
Szczegóły pod mailem: biuro@rbdo.pl oraz telefonem: (22) 487 86 70
Podsumowując:
1. Dokumentacja przetwarzania danych będzie wymagać adaptacji nowych elementów do maja 2018 r.
2. Dojdą natomiast poza dokumentacją zupełnie nowe obowiązki:
• obowiązek powołania DPO – Inspektora Ochrony Danych
• prowadzenie rejestrów czynności przetwarzania danych
• wykonywaniu procedury oceny ryzyk – (DPIA)
• realizacji prawa do przenoszenia danych
• realizacji prawa do bycia zapomnianym i profilowania
• adaptacja nowych klauzul przetwarzania danych z określeniem celu i czasu przetwarzania
• procedura zgłaszania incydentów do organu nadzorczego w 72 h
Jeśli nie posiadają Państwo procedur ochrony danych – rekomendujemy co najmniej wdrożenie dokumentacji:
a) Materiały i e-szkolenie do samodzielnego wdrożenia ze wsparciem prawnika – Dokumentację z Instrukcją zgłoszenia do GIODO – w ofercie za 149 zł netto + 23% VAT
b) jeśli chcesz zlecić audyt i rejestrację zbiorów prawnikowi wówczas zamów audyt z dokumentacją i rejestracją zbiorów do GIODO – 699 zł netto + 23% VAT
c) jeśli szukasz kompleksowej usługi ze szkoleniem wyznaczonej osoby – wówczas zamów kompleksowe wdrożenie ze szkoleniem + 12 m-cy wsparcia prawnego – 2690 z ł netto + 23% VAT
W przypadku pytań zapraszamy do kontaktu pod mailem: biuro@rbdo.pl lub numerem infolinii czynnej od poniedziałku do piątku w godz. 9 – 17.: (22) 487 86 70