RODO: Obowiązki i kary proporcjonalne do rozmiaru działalności

Sławomir Molęda, partner w Kancelarii Kondrat i Partnerzy
opublikowano: 04-07-2018, 17:41

„Jestem lekarzem w wieku emerytalnym. Prowadzę jeszcze prywatną praktykę, lecz przyjmuję niewielu stałych pacjentów i niewiele na tym zarabiam. Nie posługuję się komputerem, a dokumentację przechowuję pod kluczem. Zastanawiam się, czy nie zamknąć swojego gabinetu w związku z nowymi przepisami RODO. Nie chcę narażać się na wielomilionowe kary, o których pisze prasa, choć szkoda mi zostawić moich pacjentów. Co pan o tym sądzi?” – pisze czytelnik.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

Sądzę, że nie ma się czego obawiać. Działania podejmowane w celu ochrony danych osobowych powinny być adekwatne do rozmiarów działalności. Podobnie jest z karami, których wymiar zależy również od liczby poszkodowanych osób i osiąganych przychodów.

W odróżnieniu od poprzednio obowiązujących regulacji, przepisy RODO są elastyczne. Oznacza to, że rodzaj środków technicznych i organizacyjnych, jakie należy zastosować, zależy od charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw i wolności osób. Dotyczy to również zabezpieczeń, dla których uwzględnia się także koszt wdrażania. Przy prowadzeniu dokumentacji medycznej w formie pisemnej ryzyko naruszeń jest dużo mniejsze, niż w przypadku posługiwania się komputerem z dostępem do Internetu. Biorąc to pod uwagę, przechowywanie dokumentacji pod kluczem i w pomieszczeniu, do którego dostęp jest kontrolowany, wydaje się wystarczającym środkiem zabezpieczającym. 
Co do innych obowiązków, najważniejsze jest przestrzeganie praw osób, których dane dotyczą. Część z nich, tj. prawo do usunięcia danych, ograniczenia przetwarzania, przenoszenia danych i sprzeciwu, nie ma zastosowania do dokumentacji medycznej. Pozostaje obowiązek poinformowania pacjentów o przetwarzaniu ich danych, udostępniania danych oraz ich sprostowania i uzupełnienia na żądanie. Należy ponadto zaprowadzić rejestr czynności przetwarzania, takich jak założenie dokumentacji, dokonanie wpisów czy udostępnienie. W przypadku wystąpienia naruszeń ochrony danych, np. utraty lub zniszczenia dokumentacji, trzeba o tym powiadomić prezesa Urzędu Ochrony Danych Osobowych (PUODO) oraz poszkodowanych pacjentów w ciągu 72 godzin. To w zasadzie wszystko.

Sporządzenie polityki ochrony danych jest wymagane tylko wtedy, gdy jest to proporcjonalne do czynności przetwarzania. Natomiast wyznaczenie inspektora ochrony danych oraz ocena skutków planowanych operacji przetwarzania nie są konieczne przy działalności prowadzonej na niedużą skalę.

Administracyjne kary pieniężne nakładane będą w zależności od okoliczności każdego indywidualnego przypadku. Wykazanie należytej staranności przy przechowywaniu i udostępnianiu dokumentacji powinno przed nimi uchronić. PUODO ma szereg innych środków, które może zastosować w przypadku drobnych uchybień, jak np. upomnienia lub nakazy podjęcia odpowiednich działań.

Decydując się na nałożenie kary oraz ustalając jej wysokość, PUODO ma obowiązek zważyć charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu przetwarzania, liczby poszkodowanych osób, rozmiaru szkody, umyślności lub nieumyślności naruszenia, podjętych działań zaradczych, stopnia współpracy itd. Wysokość kary w przypadku przedsiębiorstwa nie powinna przekraczać — w zależności od rodzaju naruszenia — 2 lub 4 proc. całkowitego rocznego obrotu. Można się spodziewać, że analogiczne limity będą zachowane w przypadku praktyki zawodowej. Tylko w przypadkach wyjątkowych, np. działań umyślnych, w których lekarz osiąga olbrzymie korzyści finansowe z ujawnienia danych swoich pacjentów, kary te mogą sięgać milionów euro.

 

PODSTAWA PRAWNA

art. 24, 30, 32-34 i 83 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4 maja 2016 r.)

Źródło: Puls Medycyny

Podpis: Sławomir Molęda, partner w Kancelarii Kondrat i Partnerzy

Najważniejsze dzisiaj
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.