Artykuły |
12 maja, 2025

Czy każdy podmiot leczniczy musi wyznaczyć Inspektora Ochrony Danych?

 

Obowiązek wyznaczenia inspektora ochrony danych – wydaje się, że temat stary, a jednak – wciąż wzbudza wątpliwości i prowokuje do dyskusji.

Kim jest Inspektor Ochrony Danych (IOD)?

Inspektor ochrony danych (w żargonie nazywany „Jodą” 🙂 ), to osoba wyznaczana przez administratora na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, w celu „wsparcia” administratora i jego pracowników w przestrzeganiu RODO.

Do ustawowych zadań IOD należy:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania przepisów oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z organem nadzorczym, czyli z PUODO;
  • pełnienie funkcji punktu kontaktowego dla organu nadzorczego.

Kto musi wyznaczyć IOD?

RODO nie wskazuje katalogu takich podmiotów, a jedynie określa pewne cechy/warunki, które muszą spełniać. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Jak się ma powyższe do podmiotów leczniczych?

Na początek, ustalmy sobie, czym właściwie jest podmiot leczniczy.

Działalność leczniczą, czyli działalność polegającą na udzielaniu świadczeń zdrowotnych, prowadzić można bądź w formie praktyki lekarskiej/pielęgniarskiej/innej, bądź właśnie w formie podmiotu leczniczego. Podmiot leczniczy, którym zajmujemy się w tym wpisie oraz lekarz, pielęgniarka, fizjoterapeuta lub diagnosta laboratoryjny wykonujących zawód w ramach działalności leczniczej jako praktykę zawodową, wszyscy stanowią podmioty wykonujące działalność leczniczą.  Wykonywanie zawodu w ramach praktyki zawodowej nie jest jednak prowadzeniem podmiotu leczniczego.

Jak wynika z powyższego, każdy podmiot leczniczy jest podmiotem wykonującym działalność leczniczą, ale nie każdy podmiot wykonujący działalność leczniczą jest podmiotem leczniczym, a tylko ten nas obecnie interesuje.

W skrócie – podmiot leczniczy jest czymś innym (większym) niż praktyka zawodowa (indywidualna lub grupowa). Zazwyczaj podmioty lecznicze działają w formie spółek, chociaż można również prowadzić podmiot leczniczy w formie jednoosobowej działalności gospodarczej. Po co się je tworzy? Najczęściej wiąże się to ze skalą działalności. Przykładowo – jeśli lekarz prowadzący własną praktykę chciałby zatrudnić u siebie innego lekarza, nie może tego zrobić inaczej, niż waśnie poprzez utworzenie w tym celu podmiotu leczniczego. W przypadku praktyki, to bowiem konkretny lekarz jest podmiotem prowadzącym działalność leczniczą i w ramach jego praktyki takim podmiotem nie może być nikt inny.

W praktyce, różnica pomiędzy podmiotem leczniczym a praktyką zawodową sprowadza się przede wszystkim do faktu, że prowadzenie podmiotu leczniczego daje:

  • możliwość otwierania wielu zakładów leczniczych w ramach jednego podmiotu,
  • możliwość otwierania wielu miejsc świadczenia usług w ramach jednego zakładu,
  • uproszczone wymagania dla kolejnych zakładów tego samego podmiotu leczniczego (drugiego i kolejnego),
  • jedna dokumentacja medyczna, niezależnie ilu lekarzy przyjmuje – dokumentacja zawsze będzie stanowiła własność podmiotu leczniczego,
  • niekwestionowana możliwość zatrudniania lekarzy (w przeciwieństwie do praktyki lekarskiej),
  • elastyczność organizacyjno-osobowa.

A jak to się ma do RODO i obowiązku wyznaczenia IOD?

Przyjrzyjmy się cytowanemu powyżej pkt c):

Główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Co do „głównej działalności” polegającej na przetwarzaniu wrażliwych danych osobowych – tu nie ma żadnych wątpliwości. Jak czytamy w Wytycznych WP 243 Grupy Roboczej Art. 29, główna działalność oznacza zasadnicze, a nie poboczne działanie. Dla przykładu: główną działalnością placówek medycznych będzie udzielanie świadczeń opieki zdrowotnej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych, jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.

Czyli bez zaskoczenia – główną działalnością podmiotu leczniczego jest leczenie/udzielanie świadczeń zdrowotnych, a to w sposób oczywisty wiąże się z przetwarzaniem danych dotyczących zdrowia.

Przyjrzyjmy się teraz drugiemu z kryteriów, czyli „dużej skali”. To właśnie owa „duża skala” najczęściej rodzi wątpliwości wśród moich klientów. Padają pytania typu „ilu pacjentów tworzy dużą skalę?”. Często padają też zapewnienia: „przecież nie prowadzę dużego podmiotu”.

Zgodnie z wytycznymi GIODO oraz tzw. Grupy Roboczej art. 29, sytuacja jednak jest dość jasna: z uwagi na „dużą skalę” przetwarzania danych dotyczących stanu zdrowia, obowiązku wyznaczenia inspektora ochrony danych nie ma tylko jednoosobowa praktyka lekarska (czyli jedynie pojedynczy lekarz). Każdy inny przypadek uznaje się za przetwarzanie danych na dużą skalę.

PODSUMOWUJĄC:

Co do zasady, podmiot leczniczy ma obowiązek wyznaczenia IOD. Wyjątek może być tylko jeden (rzadko lub wcale spotykany w praktyce) – jedynie podmiot leczniczy, prowadzony przez pojedynczego lekarza w formie jednoosobowej działalności gospodarczej i NIE zatrudniający innych lekarzy, nie będzie miał takiego obowiązku (nie spełni się kryterium „dużej skali”).

Co to oznacza?

Jeśli prowadzisz podmiot leczniczy, co do zasady masz obowiązek powołania IOD. Naruszenie w tym zakresie podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Moja rada?

Nie patrz na to, jak na kolejny obowiązek do spełnienia (takich wszyscy, jako przedsiębiorcy, mamy naprawdę dużo), ale potraktuj inspektora ochrony danych jako wsparcie (pomoc) w niełatwym przecież świecie ochrony danych osobowych!

 

Zapraszam do śledzenia kolejnych wpisów!