Prawo: placówki medyczne powinny liczyć się z kontrolą UODO

Prezes Urzędu Ochrony Danych Osobowych rozpoczął akcję kontrolną mającą na celu weryfikację przestrzegania przepisów o inspektorze ochrony danych. Zestaw 27 pytań kontrolnych, rozsyłanych do wybranych podmiotów z sektora prywatnego oraz publicznego, ma pomóc w zapewnieniu niezależności i prawidłowego wykonywania funkcji inspektora, a także w egzekwowaniu obowiązków administratorów w powyższym zakresie. UODO nie zawęził w żaden sposób kręgu podmiotów, do których mają być wysyłane pytania. Kontrola dotyczy bowiem potencjalnie wszelkich podmiotów przetwarzających dane osobowe, a więc także placówek medycznych. W konsekwencji, mogą się ich spodziewać także placówki medyczne - apteki, szpitale, POZ, przychodnie i inne. 

Na czym polega akcja kontrolna?

O rozpoczęciu akcji kontrolnej UODO poinformował 30 marca br. na swojej stronie internetowej (https://uodo.gov.pl/pl/138/2336). Pierwsza grupa dwudziestu administratorów danych otrzymała niedawno od urzędu wezwania do udzielenia odpowiedzi na zestaw pytań dotyczących modelu funkcjonowania w ich organizacjach inspektora ochrony danych („IOD”). 

Pytania organu dotyczą zarówno spełnienia przez administratora obowiązków prawnych wynikających z RODO oraz ustawy o ochronie danych osobowych, jak również stosowania przez administratora określonych praktyk niewynikających wprost z przepisów prawa. Na udzielenie odpowiedzi na zadane pytania wezwany podmiot ma 14 dni.

- Czas ten może się jednak okazać niewystarczający, zwłaszcza jeśli organizacja powołała jednego inspektora ochrony danych centralnie, tj. dla grupy podmiotów, przez co kontakt z taką osobą może być utrudniony. - uważa Piotr Zawadzki – radca prawny, rzecznik planetowy, lider praktyki własności intelektualnej, nowych technologii i ochrony danych osobowych w kancelarii KRK Kieszkowska Rutkowska Kolasiński.

Ponadto, udzielenie odpowiedzi na niektóre pytania może wiązać się z koniecznością dołączenia odpowiednich dokumentów np. uchwały o powołaniu IOD czy kopii odpowiednich postanowień polityki ochrony danych lub umów, których zlokalizowanie, zwłaszcza w dużych organizacjach, może powodować trudności. Warto więc przygotowując się do kontroli zawczasu i sprawdzić, czy placówka ma łatwy dostęp do wszelkich niezbędnych informacji i dokumentów. Kontrola organu może być bowiem podstawą do zastosowania przez organ sankcji za brak zgodności z przepisami dotyczącymi ochrony danych osobowych. 

 

Kwestie wymagające szczególnej uwagi

 

W związku z akcją UODO prawnicy zwracają uwagę na następujące kwestie: 

Czy placówka ma obowiązek powołania Inspektora Ochrony Danych oraz – jeśli tak – czy wyznaczyła inspektora i skutecznie zawiadomiła o tym fakcie organ nadzorczy? Czy placówka opublikowała na swojej stronie internetowej dane kontaktowe (adres e-mail lub nr telefonu), a także imię i nazwisko inspektora ochrony danych, lub – w przypadku braku strony internetowej – czy udostępniła takie dane w inny ogólnie dostępny sposób w miejscu prowadzenia działalności?  Czy inspektor posiada odpowiednie kwalifikacje i jest w stanie je wykazać (takie jak poziom wiedzy, doświadczenie, znajomość przepisów)? Czy inspektor ma zapewnione niezbędne zasoby do wykonywania swoich działań (np. wsparcie zespołu IOD, dostęp do infrastruktury sieciowej administratora, odpowiedni wymiar czasu pracy, dostęp do szkoleń)? Czy IOD ma zapewnioną niezależność w wykonywaniu swoich zadań, w szczególności czy podlega bezpośrednio najwyższemu kierownictwu, czy ma gwarancje, że w zakresie wykonywanych przez niego działań nie będzie karany przez administratora i nie będą mu wydawane żadne wiążące polecenia? Jeśli IOD wykonuje także inne zadania w organizacji, czy jest ona w stanie wykazać, że nie dochodzi pomiędzy tymi zadaniami do konfliktu interesów?

Działanie UODO ma w swym założeniu przyczynić się do lepszego zrozumienia instytucji IOD, wprowadzonej przepisami RODO, a w konsekwencji do poprawy jakości wewnętrznych regulacji dotyczących sposobu pełnienia tej funkcji. Kontrole UODO mogą jednak skutkować nakładaniem sankcji administracyjnych (w tym kar pieniężnych) na podmioty, które nie spełniają standardów wyznaczonych przepisami prawa. Warto więc przygotować się do kontroli weryfikując dokumentację dotyczącą funkcjonowania inspektorów w organizacji. 

 

Autorami komentarza są:

Paweł Sobel – aplikant radcowski w kancelarii KRK Kieszkowska Rutkowska Kolasiński

Piotr Zawadzki – radca prawny, rzecznik planetowy, lider praktyki własności intelektualnej, nowych technologii i ochrony danych osobowych w kancelarii KRK Kieszkowska Rutkowska Kolasiński