Działalność gabinetów stomatologicznych, a wyznaczenie Inspektora Ochrony Danych w świetle RODO

Powszechnego zamieszania z RODO ciąg dalszy.

Tematem wzbudzającym wzmożone dyskusje jest kwestia Inspektora Ochrony Danych (IOD) w gabinetach stomatologicznych.

Obecnie obowiązująca ustawa o ochronie danych osobowych nie przewidywała w ogóle takiego podmiotu przetwarzającego, opisując jedynie Administratora Bezpieczeństwa Informacji (ABI), przy czym jego powołanie nie było obowiązkowe i zależało od treści Polityki Bezpieczeństwa i decyzji samego Administratora Danych.

RODO – zastępujące od 25 maja 2018r. polską ustawę – statuuję instytucję wspomnianego IOD w art. 37.

Czy zatem powołanie IOD w gabinetach stomatologicznych jest obowiązkowe ?

Na tak postawione pytanie odpowiedzieć można następująco:

Generalnie obowiązek powołania Inspektora spoczywa tylko na gabinetach stomatologicznych przetwarzających dane osobowe dotyczące zdrowia na „dużą skalę”

Tak jest – odpowiedź na pytanie o dużą skalę przetwarzania danych zdrowotnych przesądzać będzie o powołaniu IOD.

Zatem:

duża skala – czyli jaka ?

Rozporządzenie nie ułatwia nam odpowiedzi na to pytanie, co jednak nie oznacza, że odpowiedzi nie można zrekonstruować dokładnie analizując motywy RODO.

Otóż, z całą pewnością:

IOD nie będą musiały powoływać Indywidualne Praktyki Lekarskie

O ile RODO coś w ogóle konkretnie rozstrzyga, to akurat ta kwestia wydaje się być przesądzona, albowiem wprost wynika z treści motywu 91:

„Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa

Czy zatem taki zapis oznacza, że każdy podmiot leczniczy powinien wyznaczyć swojego IOD ?

Oczywiście, że nie.

Przetwarzanie na „dużą skalę” nie jest związane z formą wykonywanej działalności leczniczej. Innymi słowy – to nie formuła podmiotu leczniczego, czy praktyki zawodowej wyznacza konieczność powołania IOD, ale skala przetwarzanych danych. Z cała pewnością może zdarzyć się tak, że świetnie funkcjonujące praktyki zawodowe indywidualne lub grupowe mogą mieć zdecydowanie większa bazę pacjentów i dzienny ich flow niż dopiero zaczynający funkcjonowanie podmiot leczniczy, w którym jest np. jeden lekarz na stałe, a drugi przyjeżdża na konkretne zabiegi raz czy dwa razy w miesiącu.

Wydaje się, że przetwarzanie na „dużą skalę” (org. large scale) będzie miało miejsce w sytuacji przetwarzania danych osobowych dot. zdrowia przez podmiot działający w skali regionalnej lub krajowej, a nie ograniczonej tylko do lokalnych stosunków.

Każdy gabinet doskonale wie z jakiego obszaru pozyskuje gro Pacjentów i jak przebiega jego promień oddziaływania. Jeżeli ten promień nie odbiega od przyjętych w tego rodzaju stosunkach gospodarczych pewnego standardu (mierzonego głównie porównywalnością sytuacji względem innych podobnych placówek) – to przetwarzanie trudno będzie uznać za mające miejsce na dużą skalę.

Dodatkowo, sam zwrot „duży – oznacza ponadprzeciętny, ponadnormatywny, znaczny – każe zakładać, że skala przetwarzania danych osobowych dot. zdrowia jest nieczęsto spotykana, a zatem ma cechę rzadkości.

Skoro punktem odniesienie czynimy jednego lekarza (tak, jak chce tego RODO), jako podmiotu nieprzetwarzającego danych na dużą skalę, to siłą rzeczy zakładamy, że gabinet jednostanowiskowy (wedle zasady: jeden lekarz – jeden fotel w praktyce zawodowej) przetwarza dane na mała (niewielką, nieznaczną, znikomą) skalę.

Tym samym, w sytuacji, gdy w ramach jednego podmiotu na tym samym fotelu przyjmuje dwóch lub więcej lekarzy to nie sposób jest mówić, że zmianie ulega skala przetwarzania danych, zważywszy, że równocześnie lekarze ci nie mogą przyjmować. Zatem zawsze przyjmować będzie tylko jeden lekarz. Argument czasowy też nie jest tu wyznacznikiem – wszak lekarz w IPL może pracować dokładnie tyle, ile jego dwóch czy trzech kolegów na jednym fotelu w PL.

O ile się orientuje, nikt w Polsce nie prowadził badań statystycznych dotyczących średniej powierzchni gabinetu stomatologicznego bądź średniej ilości foteli oraz lekarzy dentystów przyjmujących w jednym podmiocie.

Nie mniej, skoro definicja słowa „duży” oznacza m.in. ponadprzeciętny, to w mojej ocenie nie jest ponadprzeciętnym gabinet stomatologiczny, w którym funkcjonują dwa, trzy lub cztery fotele. Zjawisko to nie należy do rzadkości i coraz częściej bywa spotykane z uwagi na wielospecjalizacje gabinetów, chcących zapewnić na stałe lekarzy o różnych umiejętnościach.

Trzeba również pamiętać o specyfice udzielanych świadczeń: wszak wizyta u dentysty nie zajmuje 5 czy 10 minut, tak jak np. w POZecie. W związku z tym, nierzadko jeden gabinet POZetu przyjmie dziennie więcej Pacjentów niż dwu czy nawet trzystanowiskowy gabinet stomatologiczny, w którym wizytę planuje się na min. 30 minut.

Tym samym, w mojej ocenie przyjąć należy ogólną zasadę, iż w stomatologii IOD raczej nie będzie obowiązkiem prawnym. Owszem, gabinety wielospecjalistyczne (inne niż stomatologiczne), gdzie jest znaczna ilość lekarzy w tym poradnie lekarza pierwszego konaktu, przychodnie, przychodnie przyszpitalne, szpitale, naprawdę duże gabinety stomatologiczne (mające swoje placówki w różnych miejscowościach) i dysponujące szeregiem stanowisk stomatologicznych oraz odrębnych stanowisk do higienizacji –  od IOD raczej nie uciekną.

Zatem IOD na polską stomatologię nie wpłynie znacząco.

Do usłyszenia !

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *