Odpowiedź:
Placówki medyczne, z mocy prawa, zwolnione są z obowiązku rejestracji danych osobowych u GIODO. Z dniem 1 stycznia 2015 r. weszła w życie nowelizacja ustawy o ochronie danych osobowych, która wprowadziła kilka istotnych zmian z punktu widzenia podmiotów leczniczych.
Uzasadnienie:
Odpowiadając na pierwsze z zadanych pytań należy wskazać na treść art. 43 ust. 1 pkt 5 ustawy z dnia 27 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm.) - dalej u.o.d.o., zgodnie z którym z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących, między innymi, osób korzystających z ich usług medycznych. Tym samym podmiot leczniczy nie ma obowiązku rejestracji zbioru danych.
W odniesieniu do drugiego pytania, ostatnia nowelizacja ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r. wprowadziła kilka zmian:
1) jeśli podmiot leczniczy ma lub zamierza powołać administratora bezpieczeństwa informacji, dalej ABI - ustawa wprowadziła szczegółowy zakres obowiązków ABI, warunki jakie musi spełniać osoba powoływana na funkcję ABI, obowiązek zgłoszenia powołania i odwołania ABI do GIODO, możliwość prowadzenia kontroli w placówce przez ABI (art. 19b, 36-36c oraz 46b-46f u.o.d.o.) - ustawodawca wprowadził tutaj okres przejściowy, do dnia 30 czerwca 2015 roku, na dostosowanie się placówek medycznych do nowych regulacji;
2) przekazywanie danych osobowych do państw trzecich (czyli krajów nienależących do Europejskiego Obszaru Gospodarczego) - na podstawie art. 48 u.o.d.o., ustawodawca pozostawił w mocy zasadę, iż przekazanie danych osobowych do państwa trzeciego, które nie daje gwarancji ochrony danych osobowych przynajmniej takich, jakie obowiązują na terytorium Polski, może nastąpić po uzyskaniu zgody GIODO, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, nastąpiła jednak nowelizacja w zakresie wyjątków od tej zasady, albowiem zgoda GIODO nie jest wymagana, jeżeli administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą, przez:
– standardowe klauzule umowne ochrony danych osobowych, zatwierdzone przez Komisję Europejską zgodnie z art. 26 ust. 4 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, lub
– prawnie wiążące reguły lub polityki ochrony danych osobowych, zwane „wiążącymi regułami korporacyjnymi", które zostały zatwierdzone przez GIODO w drodze decyzji administracyjnej.
Maciej Łokaj, autor współpracuje z Serwisem Prawo i Zdrowie
Odpowiedzi udzielono 24 lutego 2015 r.