W niniejszym artykule znajdą Państwo odpowiedzi na kilka nurtujących pytań, takich jak: Kiedy należy powołać Inspektora Ochrony Danych (IOD) i kto może nim zostać? Jakie są obowiązki IOD? Jaki jest termin zgłoszenia IOD do organu nadzoru?

Od 25 maja 2018 r. weszły w życie nowe unijne przepisy o ochronie danych osobowych – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znane jako RODO lub GDPR (General Data Protection Regulation). Z tą samą datą zaczęły także obowiązywać przepisy polskiej Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r., która uchyliła poprzednią ustawę obowiązującą od 1997 r., tj. przez ponad 20 lat.

Podstawowe zasady ochrony danych osobowych są spójne z dotychczasowymi wymogami, jednakże nowe przepisy wprowadzają wiele nowych wymogów formalnych w zakresie techniczno-organizacyjnym, a także odnośnie do dokumentacji oraz zasad odpowiedzialności i zadań osób mających sprawować pieczę nad ochroną danych osobowych w poszczególnych organizacjach, tj. Inspektorów Ochrony Danych (IOD; DPO – Data Protection Officer).

Regulacje te nie zawierają załączników ze szczegółowymi wymogami formalnymi, które należy spełnić, prowadząc działalność w danej branży. Rozporządzenie obejmuje ogólne wytyczne odnośnie do dokumentacji, którą należy wprowadzić, oraz obowiązków informacyjnych. Jednakże w pozostałym zakresie wskazuje, że dane osobowe mają być przetwarzane w sposób bezpieczny, to znaczy tak, by incydenty techniczne lub nieuprawniony dostęp do przetwarzanych informacji nie powodowały zagrożenia dla danych osobowych, za które odpowiedzialny jest administrator. Jest to odległe od dotychczasowych przyzwyczajeń przedsiębiorców, tj. wzorów dokumentów i list wymogów zawartych w branżowych ustawach i przepisach wykonawczych, które dotąd należało przyjąć za standard obowiązujący w danym przedsiębiorstwie. Stąd wdrożenie RODO i praktyczne zastosowanie się do tej regulacji budzi wiele pytań, także w branży medycznej.

Często pytają Państwo o zasady wyznaczania Inspektora Ochrony Danych, zwłaszcza o to, czy każdy gabinet lekarski lub podmiot leczniczy powinien powołać IOD, jakie są obowiązki takiej osoby, kto może zostać IOD oraz jakie są wymogi związane ze zgłoszeniem IOD do organu nadzoru.

Poniżej znajdą Państwo praktyczne zestawienie informacji na ten temat, z odniesieniem się do projektu kodeksu dobrych praktyk nazwanego „Kodeks postępowania – podmioty wykonujące działalność leczniczą”.1 Warto przy tym wskazać, że wśród kontrybuto...