Choć sławne rozporządzenie RODO(1) nie mówi nic na temat „danych wrażliwych”, to za takie uważa się dane osobowe, o których mowa w art. 9 ust. 1 – a więc dane obejmujące:
- pochodzenie rasowe lub etniczne,
- poglądy polityczne,
- przekonania religijne lub światopoglądowe,
- przynależność do związków zawodowych
- dane genetyczne,
- dane biometryczne,
- dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.
Przetwarzanie wymienionych kategorii danych osobowych, które ustawodawca określa „danymi szczególnych kategorii”, wymaga wypełnienia szczególnych przesłanek, o których mowa w art. 9 ust. 2 RODO. Ustawodawca stawia w nim przede wszystkim na zgodę osoby, której te dane dotyczą, czy też ochronę jej żywotnych interesów. Dane o stanie zdrowia, czy też dane genetyczne, nie mogą być pozyskiwane, przechowywane i wykorzystywany przez każdego, w dowolnym celu.
Do administratorów, którzy w codziennej działalności mają styczność z danymi dotyczącymi stanu zdrowia, czy też danymi genetycznymi osób fizycznych, zaliczamy przede wszystkim podmioty lecznicze. Niezależnie od formy, w jakiej prowadzą działalność i niezależnie od statusu właścicielskiego (podmiot prywatny/podmiot publiczny), jednostki ochrony zdrowia są nie tylko uprawnione, ale i obowiązane przetwarzać dane osobowe swoich pacjentów. Przetwarzanie tych danych odbywa się przede wszystkim w ramach dokumentacji medycznej. Gro spośród tych danych to właśnie wspomniane dane szczególnych kategorii.
Jakie to niesie za sobą obowiązki dla każdego podmiotu leczniczego? Podstawowe, spoczywające na każdym administratorze danych, ale też szczególne, wynikające z zakresu i charakteru przetwarzanych danych.
Do obowiązków podstawowych zaliczamy dokonywanie wszelkich operacji na danych osobowych z zastosowaniem odpowiednich środków technicznych i organizacyjnych, służących ich ochronie. Tak, aby przetwarzanie odbywało się w zgodzie z przepisami RODO i z poszanowaniem praw osób, których te dane dotyczą. Na administratorze spoczywa także obowiazek udzielenia każdej osobie, której dane przetwarza, kompletu informacji na temat dokonywanego przetwarzania. Najczęściej wypełnia się ten obowiązek w formie „klauzul informacyjnych”.
Warto jednak zwrócić uwagę na obowiązki szczególne, które spoczywają na podmiotach leczniczych oraz innych jednostkach przetwarzających dane szczególnych kategorii.
Przede wszystkim, podmiot leczniczy jest zobligowany do powołania Inspektora Ochrony Danych (IOD). Zgodnie z art. 37 ust. 1 pkt c RODO, Administrator wyznacza Inspektora zawsze, gdy jego główna działalność polega na przetwarzaniu na dużą skalę „danych wrażliwych”. Biorąc pod uwagę, że realizacja świadczeń na rzecz każdego pacjenta wiąże się z przetwarzaniem jego danych o stanie zdrowia i prowadzeniem dokumentacji medycznej, należy uznać, że każdy podmiot leczniczy spełnia wspomnianą przesłankę. IOD powinna być natomiast osoba, która wyróżnia się wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętnością wypełnienia zadań, które przydzieliło mu RODO. W szczególności, do obowiązków IOD należy monitorowanie przestrzegania przez administratora przepisów prawa ochrony danych, czy też prowadzenie szkoleń dla personelu. IOD może być pracownikiem podmiotu leczniczego, ale może być także zewnętrznym usługodawcą.
Inny istotny aspekt, związany z przetwarzaniem danych przez podmioty lecznicze, to obowiązek przyjęcia i wdrożenia odpowiednich polityk ochrony danych osobowych. RODO wymaga tego w przypadku, gdy zakres i charakter przetwarzanych danych osobowych, a także ryzyko naruszenia praw i wolności osób, których te dane dotyczą, przemawiają za zastosowaniem wyższego stopnia troski o dane. Mając na uwadze wagę przetwarzanych danych osobowych należy stwierdzić, że na każdym podmiocie leczniczym, jako administratorze danych szczególnych kategorii, spoczywa również ten obowiązek.
Gdy chodzi o obowiązki administratorów „danych wrażliwych”, warto również wspomnieć o obowiązku dokonania oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. RODO wprost nakazuje dokonać takiej oceny m.in. w przypadku, gdy dochodzi do przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Dokonując takiej oceny, należy uwzględnić co najmniej następujące aspekty:
- systematyczny opis planowanych operacji przetwarzania i celów przetwarzania danych osobowych;
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do ich celów;
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
- środki planowane w celu zaradzenia ryzyku naruszenia (w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa danych).
Finalnie warto zwrócić uwagę, że administratorzy są zobowiązani do prowadzenia rejestru czynności przetwarzania danych osobowych. Co prawda nie ma to zastosowania do podmiotów, które zatrudniają mniej, niż 250 osób, ale nie dotyczy to przypadku, gdy podmiot przetwarza „dane wrażliwe”. W związku z tym należy stwierdzić, że prowadzenie rejestru czynności przetwarzania również należy do obowiązków podmiotów leczniczych – także tych, które zatrudniają mniej, niż 250 osób. Rejestr taki powinien zawierać między innymi:
- imię i nazwisko lub nazwę oraz dane kontaktowe administratora;
- cele przetwarzania;
- opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
- kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
- planowane terminy usunięcia poszczególnych kategorii danych;
- ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, służących zabezpieczeniu danych.
Podsumowując – ze względu na liczne obowiązki spoczywające na podmiotach przetwarzających dane szczególnych kategorii, w tym zwłaszcza podmiotach leczniczych, warto skorzystać z pomocy specjalistów. Nasza Kancelaria może Państwa wesprzeć w sporządzeniu i wdrożeniu wszelkiej niezbędnej dokumentacji, a także służy ofertą Inspektora Ochrony Danych.
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)