Progi dużej skali w kontekście wyznaczenia IODO dla podmiotów wykonujących działalność medyczną

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) [Link], to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO [Link] jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala).

Choć początkowo można było odnieść wrażenie, że z tego niedoprecyzowania wynikną same negatywne skutki, to ostatecznie może się okazać, że jednak zaowocuje to pozytywnym efektem – z uwagi na branżowe kodeksy postępowania, które powinny szczegółowo rozstrzygać te kwestie w odniesieniu do konkretnych branż (choć jeszcze żaden z nich nie został przez organ nadzorczy zatwierdzony).

Jeden z nich , wciąż na etapie niezatwierdzonego projektu, został przygotowany przez kancelarię DZP w współpracy z podmiotami działającymi w branży medycznej. I trzeba to oddać – jest on napisany właśnie tak, jak sformułowany powinien być kodeks, o którym mowa w art. 42 RODO – tzn. konkretnie. Widać, że autorzy nie stronili od odpowiedzi na trudne pytania, takie, które wynikają z codziennej praktyki w podmiotach zajmujących się wykonywaniem działalności medycznej.

Oczywiście – kodeks będzie formalnie wiązał jedynie te podmioty, które do niego oficjalnie przystąpią, jednak należy przewidywać, że rozstrzygnięte w nim kwestie będą wiązały nieformalnie, mocą autorytetu/wyznaczonej praktyki wszelkie podmioty, które w branży medycznej działają, nawet, jeżeli formalnie nie przystąpiły one do kodeksu.

W rozdziale 5 projektu kodeksu zawarto proponowane progi dużej skali działania (jest to swoiste doprecyzowanie klauzuli generalnej zawartej w art. 37 ust. 1 lit. c RODO), z których przekroczeniem powiązano obligatoryjne wyznaczenie IODO dla podmiotu wykonującego działalność medyczną, zgodnie z nimi, przewidziano 4 sytuacje, w których takie wyznaczeni będzie obowiązkowe:

  1. Powyżej 200 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela stacjonarnie i całodobowo szpitalnych świadczeń zdrowotnych
  2. Powyżej 300 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela stacjonarnie i całodobowo innych niż szpitalne świadczeń zdrowotnych
  3. Powyżej 600 unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy udziela ambulatoryjnych świadczeń zdrowotnych
  4. Powyżej 6000 przypisanych unikalnych pacjentów miesięcznie – jeżeli podmiot leczniczy realizuje wyłącznie świadczenia podstawowej opieki zdrowotnej.

Oczywiście wiele zależy od tego, czy organ nadzorczy te progi zaaprobuje – wydaje się jednak, że są one dość mocno uargumentowane praktyką branży i ich podważenie byłoby dość możnym zaskoczeniem.

Kończąc, warto jeszcze raz podkreślić, że wspomniany projekt kodeksu został napisany uwzględniając właśnie to, czego się od takich dokumentów oczekuje – a więc konkretności.

Powinien on być sygnałem dla innych autorów kodeksów branżowych, by unikać w nich sformułowań niejasnych, asekuranckich – ponieważ największą wartością kodeksu powinna być właśnie jego konkretność.