Jakie są obowiązki podmiotu leczniczego wynikające z ustawy o ochronie danych osobowych?
Opierając się na treści ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o., obowiązki podmiotu leczniczego można zasadniczo podzielić na: obowiązki informacyjne oraz obowiązki związane z zabezpieczeniem pozyskanych danych osobowych. Poszczególne obowiązki szczegółowo omówione zostaną w treści uzasadnienia.
Na wstępie należy zwrócić uwagę na regulację zawartą w art. 26 u.o.d.o., zgodnie z którą administrator danych, jakim jest podmiot leczniczy, przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były:
1) przetwarzane zgodnie z prawem;
2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania
W zakresie obowiązków informacyjnych, na podstawie art. 24 u.o.d.o., administrator danych osobowych, zobowiązany jest do poinformowania osoby, której dane dotyczą o:
1) adresie swojej siedziby i pełnej nazwie,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych;
3) prawie dostępu do treści swoich danych oraz ich poprawiania;
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej;
Jeśli dane uzyskiwane są nie od osoby, której dotyczą (np przedstawiciela ustawowego), na podstawie art. 25 u.o.d.o., administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych;
3) źródle danych;
4) prawie dostępu do treści swoich danych oraz ich poprawiania;
5) o uprawnieniach do wniesienia w przypadkach określonych w ustawie pisemnego, umotywowanego żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację lub sprzeciwu wobec przetwarzania danych,
W zakresie obowiązków związanych z zabezpieczeniem pozyskanych danych osobowych, w pierwszej kolejności należy zwrócić uwagę na brzmienie art. 36 u.o.d.o., zgodnie z którym administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Dodatkowo, administrator danych ma obowiązek prowadzić stosowną dokumentację opisującą sposób przetwarzania danych oraz zastosowane środki zapewniające ochronę. Administrator danych ma prawo, ale nie obowiązek, powołać administratora bezpieczeństwa informacji (ABI), którego generalne zadania sprowadzają się do zapewniania przestrzegania przepisów o ochronie danych osobowych oraz prowadzenia rejestru zbiorów danych przetwarzanych przez administratora danych, bez konieczności zgłaszania zbiorów do GIODO (art. 36a oraz 43 ust. 1a u.o.d.o.). Dodatkowo, administrator danych ma obowiązek prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych (art. 39 u.o.d.o.).