DentiNews.pl

BioMin C

Lekarz dentysta w Unii Europejskiej część IV - odpowiedzialność za nieprzestrzeganie RODO

Lekarz dentysta w Unii Europejskiej część IV - odpowiedzialność za nieprzestrzeganie RODO
Każdy gabinet stomatologiczny, zajmujący się działalnością leczniczą, prowadzi dokumentację medyczną, co skutkuje m. in. gromadzeniem i przetwarzaniem danych osobowych pacjentów.

W rozumieniu art. 9 rozporządzenia z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej: RODO) dane dotyczące zdrowia, należą do tzw. danych wrażliwych, których zasadniczo zabrania się przetwarzać, z wyjątkiem sytuacji, w której osoba, której one dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach. Mając na uwadze ten szczególny rodzaj danych osobowych lekarz dentysta musi tym bardziej zapoznać się z nowymi przepisami prawnymi dotyczącymi ich ochrony oraz rozumieć konsekwencje ich nieprzestrzegania.
W związku z wejściem w życie RODO uchylona została krajowa ustawa o ochronie danych osobowych z 1997 roku, a w jej miejsce w dniu 25 maja 2018 roku, weszła nowa ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. 2018 poz. 1000). Ma ona jednak charakter wykonawczy w stosunku do unijnego rozporządzenia.

Co istotne, materialne zasady administrowania i przetwarzania danych osobowych znajdują się w rozporządzeniu, z uwagi na jego ogólny zasięg i okoliczność, że wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich. Przykładowo, nałożono obowiązek powołania inspektora ochrony danych (IOD) na wszystkich, którzy przetwarzają dane osobowe na szeroką skalę. Wprowadzono również nowe obowiązki w zakresie informowania podmiotu, którego zbierane dane dotyczą. W praktyce oznacza to, że należy wskazać pacjentowi informacje m.in. o adresie siedziby gabinetu i jej pełnej nazwie, określić poszczególne cele zbierania danych i wytłumaczyć, kto będzie je przetwarzał a kto będzie ich odbiorcą oraz poinformować o dobrowolności albo obowiązku podania danych. Szczegółowe obowiązki zarówno administratora, jak i podmiotu przetwarzającego są wyartykułowane w przepisach od 24 do 31 RODO, z którymi każdy przedsiębiorca winien się zapoznać.

Z kolei, rozdział VIII RODO zawiera przepisy o środkach ochrony prawnej, przysługujących osobom fizycznym i prawnym, zarówno w administracyjnym toku instancji (przed organem nadzorującym a wskutek skargi na decyzję również przed sądem administracyjnym – art. 77 – 78 RODO), jak i w postępowaniu przed sądem powszechnym (art. 79 RODO). Natomiast art. 82 RODO zakreśla podstawy odpowiedzialności cywilnej wskazując, że każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia rzeczonego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę (ust. 1). Jednocześnie warto podkreślić, że administrator i podmiot przetwarzający ponoszą odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (ust. 4). Z kolei, art. 83 RODO statuuje ogólne warunki nakładania administracyjnych kar pieniężnych, co do zasady, przez organ nadzoru.

Wracając do krajowych przepisów wykonawczych, należy wskazać, że ustawodawca nadał ramy poszczególnym postępowaniom, jakie mogą toczyć się w wyniku naruszenia zasad wyrażonych w unijnym rozporządzeniu.

Przede wszystkim, nowa ustawa wydaje się kłaść nacisk na postępowanie administracyjne, które toczy się przed Prezesem Urzędu Ochrony Danych Osobowych, który jest organem nadzoru w Polsce. Jest on uprawniony do nakładania kar administracyjnych stosując w tym przedmiocie bezpośrednio art. 83 RODO (art. 101 ustawy). Prezes wydaje decyzje administracyjne, od których przysługuje skarga do sądu administracyjnego, która w zakresie decyzji o nałożeniu kary administracyjnej – wstrzymuje jej wykonanie (art. 74 ustawy). Porównując zakres odpowiedzialności karnej za naruszenie zasad administrowania danymi osobowymi na podstawie ustawy z 1997 roku i nowej ustawy, należy dojść do przekonania, że ustawodawca zdecydował się zawęzić zachowania, które mogłyby powodować wszczęcie dochodzenia do dwóch sytuacji opisanych w art. 107 i 108 ustawy. Dotyczą one nielegalnego przetwarzania danych, który to czyn zagrożony jest karą do dwóch lat pozbawienia wolności oraz typ kwalifikowany odnoszący się do nielegalnego postępowania z danymi „wrażliwymi”, jako typ kwalifikowany przestępstwa zagrożony karą do trzech lat pozbawienia wolności. Penalizowane ma być również udaremnienie przeprowadzenia kontroli przestrzegania przepisów (art. 108). Uwzględniając powyższe zawężenie odpowiedzialności karnej, należy ponownie podkreślić, że środek ciężkości dyscyplinowania w zakresie prawidłowego postępowania z danymi osobowymi przeniósł się na postepowanie administracyjne.

Jako interesujące, jawią się również rozwiązania w zakresie solidarnej odpowiedzialności cywilnej za wywołanie szkody majątkowej, jak i niemajątkowej przez administratora oraz podmiot przetwarzający. Kierując się definicją administratora i podmiotu przetwarzającego wyrażoną w art. 4 pkt 7 i 8 RODO, należy stwierdzić, że o ile administratorem oczywiście będzie podmiot leczniczy gromadzący dane to podmiotem przetwarzającym może być już osoba fizyczna, która te dane przetwarza. Natomiast wobec szerokiego pojęcia przetwarzania – nie można wykluczyć zatem solidarnej odpowiedzialności podmiotu leczniczego i konkretnego lekarza za spowodowanie szkody przez nieprawidłowe postępowanie z danymi pacjentów.

Odnosząc się już do poszczególnych rozwiązań wykonawczych, to po pierwsze, właściwość rozstrzygania sporów cywilnych została pozostawiona sądom okręgowym w I instancji (art. 93 ustawy i art. 17 pkt 45 k.p.c.). Po drugie, o wydanym wyroku należy zawiadomić Prezesa Urzędu Ochrony Danych Osobowych. Po trzecie, dochodzi do obligatoryjnego zawieszenia postępowania cywilnego jeżeli sprawa, dotycząca tego samego naruszenia, została wcześniej wszczęta przed Prezesem w postępowaniu administracyjnym. Po czwarte, ustalenia prawomocnej decyzji Prezesa Urzędu o stwierdzeniu naruszenia przepisów o ochronie danych osobowych lub prawomocnego wyroku wydanego w wyniku wniesienia skargi do sądu administracyjnego, wiążą sąd w postępowaniu o naprawienie szkody, co do stwierdzenia naruszenia tych przepisów (art. 97 ustawy).

Gabinety stomatologiczne już wdrożyły odpowiednie zmiany wraz z nadejściem 25 maja 2018 roku, czyli wejściem w życie rozporządzenia i nowej ustawy wykonawczej o ochronie danych osobowych. Kluczowym aspektem w realizacji założeń RODO jest znajomość tego aktu prawnego i jego konsekwentne egzekwowanie we własnym przedsiębiorstwie. Wszakże jego obowiązywanie ma chronić dane osobowe wszystkich obywateli Unii. Realizowanie wdrożonych zmian pozwoli uniknąć wysokich kar administracyjnych oraz ewentualnego obowiązku naprawienia szkody pacjentowi za naruszenie zasad przetwarzania jego, „wrażliwych” danych osobowych.




Tandex Extreme - Medium - fioletowa

6.9 zł

Splat Special LOVE 75ml

27.95 zł

Oral-B Pro-Expert Clinic Line Pro-Flex - Medium - różowa

14.99 zł