IOD o przyjęciu regulaminu wewnętrznego NIL

W regulaminie wewnętrznym Naczelnej Izby Lekarskiej dla osób pełniących funkcje w samorządzie nie ma ograniczeń w zakresie przepisów o jawności życia publicznego – mówi Agnieszka Witoszek, która w NIL pełni funkcję inspektora ochrony danych, w rozmowie z Mariuszem Tomczakiem.

Po co osobom pełniącym różne funkcje w samorządzie lekarskim regulamin wewnętrzny?

Głównym celem jest ochrona danych osobowych oraz zapewnienie właściwego przetwarzania informacji wrażliwych zgodnie z obowiązującymi przepisami prawa, w tym z unijnym rozporządzeniem RODO. Przepisy Unii Europejskiej w tym obszarze są restrykcyjne i każda instytucja musi się do nich dostosować.

Dlaczego dyskusja nad tym regulaminem się toczy, skoro RODO obowiązuje od 2018 r.?

W NIL obowiązują regulacje dotyczące ochrony danych osobowych od 2018 r. Do tej pory obejmowały głównie pracowników zatrudnionych na podstawie stosunku pracy lub umów cywilnoprawnych. Jednak konieczne było jednoznaczne wskazanie, że osoby funkcyjne, jeśli nie są związane z instytucją stosunkiem zatrudnienia, podlegają tym samym zasadom co pozostałe.

Nowy dokument został przyjęty przez Prezydium Naczelnej Rady Lekarskiej w lutym 2025 r. Nie powstał nagle. Nie został też opracowany w sposób arbitralny. Prace nad jego treścią trwały co najmniej rok i obejmowały liczne konsultacje, w czasie których dostosowano procedury wewnętrzne m.in. do obowiązujących przepisów.

Dodam, że omawiana procedura jest częścią pakietu zmian, które zostały zaproponowane po objęciu przeze mnie stanowiska IOD w NIL w 2023 r. i przeprowadzeniu audytu wejściowego. Do tej pory przyjęto regulamin korzystania z systemu poczty elektronicznej NIL, procedury analiz ryzyka i oceny skutków dla ochrony danych oraz pomiaru wagi incydentów, a także przygotowano nowe wersje pełnej dokumentacji ochrony danych. Ponadto w różnych procedurach tematycznych, np. standardach ochrony małoletnich czy sygnalistów, również przyjęto regulacje dotyczące ochrony danych.

Czy to wszystko jest naprawdę konieczne?

W kwestii prawa ochrony danych osobowych musimy brać pod uwagę nie tylko samo RODO, ale szereg sektorowych aktów prawnych, a przepisy wciąż się zmieniają. Niezwykle istotne są wytyczne Europejskiej Rady Ochrony Danych oraz Prezesa Urzędu Ochrony Danych, które również ewoluują. Ze względu na postęp technologiczny, w tym powszechne wykorzystywanie sztucznej inteligencji, ochrona danych osobowych, a co za tym idzie – praw i wolności osób fizycznych, jest procesem, a nie jednorazowym działaniem. Wymaga stałego monitorowania i reagowania na zmieniającą się rzeczywistość prawną i organizacyjną. Dlatego od czasu do czasu musimy wprowadzać pewne zmiany.

Nowy regulamin wywołał poruszenie wśród niektórych członków samorządu. Znalazło to swoje odbicie m.in. na łamach jednej z ogólnopolskich gazet. Czy pojawiający się gdzieniegdzie zarzut ograniczania swobody wypowiedzi jest uzasadniony?

Interpretacja przedstawiona niedawno w „Gazecie Wyborczej” może wynikać z niedostatecznej znajomości podstawowych przepisów regulujących funkcjonowanie samorządu zawodowego lekarzy i lekarzy dentystów oraz zasad dostępu do informacji publicznej i ochrony danych osobowych. Osobiście, jako IOD, uważam taki sposób ujęcia tematu za nierzetelny.

Regulamin nie wprowadza żadnych ograniczeń w zakresie obowiązujących przepisów o jawności życia publicznego, a jego celem jest wyłącznie zapewnienie zgodnego z prawem przetwarzania danych i ochrona praw osób, których dane dotyczą. Sugestia, że jego zapisy zostały skonstruowane w celu uniemożliwienia krytyki działań władz instytucji lub blokowania dostępu do informacji, jest niezgodna z faktami. Regulamin jasno wskazuje podstawy prawne swoich postanowień, a jego treść odsyła do wcześniejszych aktów wewnętrznych obowiązujących od 2018 r. Myślę, że obiektywna analiza tego dokumentu jest najlepszym sposobem na samodzielne wypracowanie opinii.

Regulamin zawiera zapis, że jego celem jest „ochrona wizerunku Naczelnej Izby Lekarskiej”. Pomija się przy tym istotny fakt, iż wcześniej wyraźnie wskazano, że cel regulaminu to „zapewnienie zgodności przetwarzania danych osobowych oraz innych informacji prawnie chronionych z obowiązującymi normami prawnymi i ochrona interesów osób, których dane dotyczą”. Ignorowana jest zatem całość treści regulaminu i jego cel nadrzędny.

Dlaczego w tym dokumencie wymieniono kwestię ochrony wizerunku NIL?

Odpowiedź jest prosta – każde naruszenie prawa przez instytucję wpływa na jej wizerunek. Dodatkowo w zakresie ochrony danych postępowanie w razie ich naruszenia przez administratora jest prowadzone przed Prezesem Urzędu Ochrony Danych Osobowych. Efektem takiego postępowania może być m.in. wydanie decyzji administracyjnej która jest publikowana na stronie UODO.

Ponadto, w przypadku niektórych rodzajów naruszeń, administrator danych musi podać do wiadomości publicznej do jakiego naruszenia doszło i jak osoby, które są nim dotknięte, mogą chronić się przed ich skutkami. Im mniej naruszeń, tym lepiej chronimy nie tylko prawa i wolności osób fizycznych, ale również wizerunek administratora danych. W naszym przypadku – Naczelnej Izby Lekarskiej.

Celem regulaminu jest m.in. wprowadzenie powszechnej świadomości, iż w Naczelnej Izbie Lekarskiej każdy, a nie tylko osoby związane jakąś formą umowy, jest równy wobec przepisów prawa o ochronie danych osobowych. Jakiekolwiek zadania wykonujemy, jakiekolwiek funkcje piastujemy – obowiązkiem jest ochrona praw i wolności osób, których dane osobowe przetwarzamy. Centralny Rejestr Lekarzy liczy setki tysięcy rekordów, a za każdym z nich kryje się informacja o osobie. Plus inne dokumenty elektroniczne czy tradycyjne – to skarbnica informacji o człowieku. Ich ochrona to odpowiedzialność prawna i organizacyjna, wyzwanie, ale też kwestia pewnej moralności.

Warto pamiętać, że wolność wypowiedzi czy jawność życia publicznego nie są prawami bezwzględnymi, podobnie jak prawo do ochrony danych osobowych czy życia prywatnego. Konieczne jest ich ważenie m.in. zgodnie z powszechnie obowiązującym prawem, orzecznictwem sądów i decyzjami UODO. Pragnę jednak wyraźnie podkreślić, że regulamin, o którym rozmawiamy, nie ma na celu ograniczania wolności wypowiedzi, ale przede wszystkim ochronę praw osób, których dane osobowe przetwarza NIL.

Mam nadzieję, że izby okręgowe pójdą za przykładem NIL i również unormują zasady przetwarzania danych przez osoby funkcyjne. W tym roku planowane jest spotkanie inspektorów ochrony danych ze wszystkich izb w celu wypracowania kolejnych rozwiązań, które pomogą w wypełnianiu obowiązków wynikających z obowiązujących przepisów. Wierzę w efektywną współpracę w materii ochrony danych w całym samorządzie.