Pytanie
Czy administrator danych ma obowiązek zgłosić do rejestru GIODO administratora bezpieczeństwa informacji pomimo, że zbiory danych medycznych nie muszą być zgłoszone?
Jakie ewentualnie obowiązki należałyby do ABI?
Odpowiedź
W każdym przypadku, w którym administrator danych powołuje administratora bezpieczeństwa informacji (ABI), zobowiązany jest on do zgłoszenia ABI do rejestru GIODO. Wskazanie zakresu obowiązków ABI zależy, co do zasady, od decyzji administratora danych, o czym szerzej w uzasadnieniu.
Uzasadnienie
Zgodnie z art. 46b ust. 1 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych - dalej u.o.d.o., administrator danych jest obowiązany zgłosić do rejestracji GIODO powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Przepis ten nie przewiduje żadnych wyjątków, ani wyłączeń. Fakt braku obowiązku rejestracji przez podmioty wykonujące działalności leczniczą zbiorów danych medycznych nie ma tutaj absolutnie żadnego znaczenia, a obowiązek zgłoszenia ABI przez administratora danych do GIODO ma całkowicie niezależny charakter.
W odniesieniu do obowiązków ABI, art. 36a ust. 2 u.o.d.o. stanowi, iż do zadań ABI należy:
1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:
a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
b) nadzorowanie opracowania i aktualizowania dokumentacji ochrony danych oraz przestrzegania zasad w niej określonych,
c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;
2) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych, z pewnymi wyjątkami, wynikającymi z przepisów.
Niemniej jednak ustawodawca wskazał jedynie na najważniejsze zadania, które w jego założeniu muszą należeć do ABI. Natomiast nie jest to katalog zamknięty, albowiem zgodnie z art. 36a ust. 4 u.o.d.o. administrator danych może powierzyć ABI wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań, o których mowa wyżej.
Czytaj inne komentarze tego autora:
Baz danych pacjentów oczekujących na świadczenie nie trzeba zgłaszać do GIODO >>>
Niepotrzebna jest zgoda pacjentów na wypełnianie anonimowych ankiet >>>
Uzyskanie opinii rady społecznej w sprawie leasingu może wynikać ze statutu >>>
Pakiet kolejkowy korzystny dla pacjentów, niekorzystny dla placówek>>>
Maciej Łokaj, radca prawny, członek Okręgowej Izby Radców Prawnych w Łodzi. Specjalizuje się w dziedzinach prawa ochrony zdrowia, prawa medycznego, prawa gospodarczego, prawa spółek oraz prawa pracy. Autor i współautor licznych opracowań z zakresu prawa medycznego. Współautor publikacji „Działalność lecznicza. Podmioty wykonujące działalność leczniczą” Warszawa 2013. Szkoleniowiec i prelegent podczas zjazdów i konferencji managerów ochrony zdrowia i lekarzy. Doświadczenie zdobywał uczestnicząc w obsłudze prawnej dużych placówek ochrony zdrowia, między innymi szpitali klinicznych, a także medycznych towarzystw naukowych oraz lekarskich praktyk zawodowych. Obecnie prowadzi własną działalność zawodową, w ramach Grupy Kancelarii Prawnych, świadcząc obsługę prawną na rzecz przedsiębiorców i innych podmiotów, w tym także podmiotów wykonujących działalność leczniczą.
Maciej Łokaj współpracuje z Serwisem Prawo i Zdrowie.