Pytanie:
Czy posiadany certyfikat ISO 27001 zwalnia szpital z niektórych obowiązków RODO? Jakie dodatkowe obowiązki ciążą na podmiocie leczniczym?
Odpowiedź: Wprawdzie certyfikat ISO 27001 świadczy o odpowiednim przygotowaniu podmiotu medycznego w zakresie ochrony danych osobowych, niemniej jednak nie zwalnia on z licznych obowiązków administratora.
Należy stwierdzić, że posiadając certyfikat ISO 27001 szpital jest przygotowany w zakresie ochrony danych. Niemniej jednak poza spełnieniem wymogów, które były niezbędne do uzyskania certyfikatu ISO 27001, należy też:
- zawrzeć odpowiedniej treści umowy o powierzenie z podmiotami przetwarzającymi, a jeśli szpital sam jest podmiotem przetwarzającym - zawrzeć taką umowę z administratorem (art. 28 RODO),
- spełnić obowiązki informacyjne (zgodnie z art. 12, 13 i 14 RODO),
- jeżeli dane osobowe są przetwarzane na podstawie zgód podmiotów danych - zadbać, aby zgody odpowiadały wymogom art. 7 i 8 RODO,
- przestrzegać praw osób fizycznych, które dane przetwarzają (art. 15 - art. 22 RODO), jeśli dane są przetwarzane z innymi administratorami i określić zasady współadministrowania (art. 26 RODO),
- prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, za wyjątkami wskazanymi w art. 30 ust. 5 RODO,
- zgłaszać naruszenia zgodnie z art. 33 RODO do Prezesa Urzędu Ochrony Danych osobowych elektronicznie zgodnie z formularzem zamieszczonym na stronie Urzędu,
- dokumentować wszelkie naruszenia - rejestr naruszeń z elementami wskazanymi w RODO (art. 33 ust. 5 RODO), w przypadku powstania naruszenia należy zawiadomić o tym osoby fizyczne, których dane naruszenie dotyczą (art. 34 RODO),
- wykonywać ocenę skutków dla ochrony danych (art. 35 RODO),
- powołać Inspektora Ochrony Danych zgodnie z przepisami art. 37 RODO oraz ustawą o ochronie danych osobowych,
- stosować kodeksy branżowe w zakresie ochrony danych osobowych (art. 40 i 41 RODO).
Podstawa prawna:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 7, 8, 12 – 14, 15 – 22, 26, 28, 30, 33 – 35, 37, 40, 41.
Autor: Agnieszka Sztuwe
Radca prawny w Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu. W praktyce zawodowej zajmuje się obsługą przedsiębiorców, przede wszystkim w zakresie ochrony danych osobowych (z uwzględnieniem RODO). Interesuje się ponadto prawem autorskim, prawem własności przemysłowej. Obsługuje Rolnicze Grupy Producenckie przed organami administracji państwowej. Jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu (2013). Podczas studiów odbywała praktyki w renomowanych, międzynarodowych kancelariach w Warszawie.
