28 marca 2024

Zmiana ustawy o ochronie danych osobowych

Z dniem 1 stycznia 2015 r. weszła w życie zmiana ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2014 r. poz. 1182), dalej „ustawa”. Zmiany te odnoszą się także do lekarzy i lekarzy dentystów wykonujących działalność leczniczą w formie praktyki lekarskiej (różnych formach indywidualnej praktyki lekarskiej oraz grupowej praktyce lekarskiej).

Należy przypomnieć, że przepisy ustawy stosuje się do lekarzy i lekarzy dentystów wykonujących działalność leczniczą w formie praktyki lekarskiej jako osób fizycznych przetwarzających dane osobowe w związku z działalnością zawodową, mających siedzibę lub miejsce zamieszkania na terytorium Polski albo w państwie trzecim, jeżeli przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terenie Polski (art. 3 ust. 2 pkt 2 ustawy).

Lekarze i lekarze dentyści, decydując o celach i środkach przetwarzania danych osobowych, są w rozumieniu ustawy administratorami danych. Z punktu widzenia lekarzy i lekarzy dentystów – administratorów danych najistotniejsza zmiana dotyczy administratora bezpieczeństwa informacji.

Administrator danych ma możliwość powołania administratora bezpieczeństwa informacji (dalej „ABI”). Jeżeli ABI nie zostanie powołany, administrator danych jest zobowiązany sam realizować zadania przewidziane dla ABI (art. 36a ust. 1 i 36b ustawy).

Zadania te to (art. 36a ust. 2 ustawy):

  1. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
    • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
    • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych, oraz przestrzegania zasad w niej określonych,
    • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
  2. prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (rejestr ten jest jawny i każdy ma prawo go przeglądać).

Administrator danych może powierzyć ABI także wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania przez ABI ww. zadań (art. 36a ust. 4 ustawy).

Jeżeli administrator danych sam realizuje powyższe zadania (bo nie powołał ABI), nie ma oczywiście obowiązku sporządzania sprawozdań dla samego siebie (zadanie, o którym mowa w wyżej w pkt 1 lit. a in fine). Nie realizuje on także zadania określonego w pkt 2, tj. nie prowadzi rejestru zbiorów przetwarzanych przez siebie danych (art. 36b ustawy).

ABI może zostać osoba, która spełnia poniższe warunki (art. 36a ust. 5 ustawy):

  1. ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych;
  2. posiada odpowiednią wiedzę w zakresie ochrony danych osobowych (przepisy nie określają szczegółowo zakresu wiedzy, tak więc to administrator danych musi samodzielnie dokonać oceny wiedzy i fachowości kandydata na ABI);
  3. nie była karana za umyślne przestępstwo.

W strukturze organizacyjnej ABI musi bezpośrednio podlegać lekarzowi lub lekarzowi dentyście, będącemu administratorem danych (art. 36a ust. 7 ustawy).

Administrator danych ma obowiązek zgłoszenia do Głównego Inspektora Ochrony Danych Osobowych (dalej „GIODO”) faktu powołania lub odwołania ABI, w terminie 30 dni od dnia odpowiednio powołania lub odwołania ABI (art. 46 ust. 1 ustawy).

Zgłoszenie powołania administratora bezpieczeństwa informacji do rejestracji powinno zawierać (art. 46b ust. 2 ustawy):

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  2. dane administratora bezpieczeństwa informacji:
    • imię i nazwisko,
    • numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
    • adres do korespondencji, jeżeli jest inny niż adres, o którym mowa w pkt 1;
  3. datę powołania;
  4. oświadczenie administratora danych o spełnianiu przez ABI ww. warunków.

Jeżeli ABI nie zostanie formalnie zarejestrowany, uznaje się, że ABI nie został wybrany i jego zadania musi wypełniać administrator danych.

Zgłoszenie odwołania ABI powinno zawierać następujące informacje (art. 46b ust. 3 ustawy):

  1. oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
  2. dane administratora bezpieczeństwa informacji:
    • imię i nazwisko,
    • numer PESEL lub, gdy ten numer nie został nadany, nazwę i numer dokumentu stwierdzającego tożsamość,
    • datę i przyczynę odwołania.

Zmiana danych objętych zgłoszeniem o powołaniu ABI również wymaga zgłoszenia do GIODO w terminie 14 dni od dnia powstania zmiany (art. 46b ust. 5 ustawy). Dane zgłoszonego ABI są umieszczane przez GIODO w jawnym rejestrze na stronie internetowej GIODO.

Na żądanie ABI lub administratora danych GIODO wydaje zaświadczenie o zarejestrowaniu ABI (art. 46b ust. 4 ustawy). Administrator danych może powołać zastępców ABI, którzy muszą spełniać warunki wymagane do pełnienia funkcji ABI (art. 36a ust. 6 ustawy). Mogą oni zastępować ABI np. podczas jego nieobecności. Nie podlegają rejestracji w GIODO.

W przypadku złożenia do GIODO skargi na lekarza lub lekarza dentystę prowadzącego praktykę lekarską, o ile powołał on ABI i zgłosił go rejestru prowadzonego przez GIODO, GIODO może:

1. przeprowadzić u tego lekarza lub lekarza dentystę kontrolę zgodności przetwarzania danych z przepisami o ochronie danych osobowych, lub

2. zwrócić się do ABI, którego powołał dany lekarz lub lekarz dentysta, o dokonanie sprawdzenia zgodności przetwarzania danych z przepisami o ochronie danych osobowych. Po przeprowadzeniu sprawdzenia w terminie i zakresie wskazanym przez GIODO, ABI, za pośrednictwem administratora danych, przedstawia GIODO sprawozdanie (art. 19b ustawy). Wprowadzenie takiej formy sprawowania kontroli nad przestrzeganiem przepisów o ochronie danych osobowych ma na celu zapobieżenie negatywnemu wpływowi kontroli (jednej z wielu jaka może być wykonywana w praktyce lekarskiej) na organizację pracy oraz jej efektywność.

Należy także wskazać, że jeżeli ABI został powołany na mocy przepisów obowiązujących przed dniem 1 stycznia 2015 r., to pełni on tę funkcję do czasu zgłoszenia go do rejestru GIODO, nie dłużej jednak niż do dnia 30 czerwca 2015 r. Po tym terminie przestaje on pełnić swoją funkcję, a w razie nie wyznaczenia nowego ABI i nie zgłoszenia go do rejestru GIODO administrator danych sam będzie zobowiązany realizować zadania przewidziane dla ABI w ustawie.

Reasumując, jeżeli lekarz lub lekarz dentysta – administrator danych powoła ABI nie musi sam odpowiadać za:

1. sprawdzanie zgodności przetwarzanych danych osobowych z przepisami o ochronie danych osobowych,

2. opracowanie (poprawne, kompletne i zgodne z przepisami) oraz aktualizację dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, jak również za przestrzegania zasad w niej określonych,

3. zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (oczywiście ma to miejsce w przypadku zatrudnienia osób do wykonywania czynności pomocniczych przez lekarza lub lekarza dentystę prowadzącego praktykę lekarską).

Ponadto w razie skargi złożonej do GIODO, dokonanie sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych może, na zlecenie GIODO, przeprowadzić ABI, co nie będzie utrudniać lekarzowi lub lekarzowi dentyście udzielania świadczeń zdrowotnych.

Małgorzata Brzozowska-Kruczek
Radca prawny
Naczelna Izba Lekarska


„Ignorantia iuris nocet” (łac. nieznajomość prawa szkodzi) – to jedna z podstawowych zasad prawa, pokrewna do „Ignorantia legis non excusat” (łac. nieznajomość prawa nie jest usprawiedliwieniem). Nawet jeśli nie interesujesz się prawem medycznym, warto regularnie śledzić dział Prawo w portalu „Gazety Lekarskiej” (zobacz więcej). Znajdziesz tu przydatne informacje o ważnych przepisach w ochronie zdrowia – zarówno już obowiązujących, jak i dopiero planowanych.