Wyznaczenie inspektora ochrony danych 

Ogólne rozporządzenie o ochronie danych przewiduje m.in. obligatoryjne wyznaczenie inspektora ochrony danych w sytuacji, gdy główna działalność administratora lub procesora polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii, czyli np. o stanie zdrowia. Oznacza to, że tryb obligatoryjny wyznaczenia takiego inspektora będzie dotyczył przedsiębiorców z branży medycznej. Jeżeli jednak przetwarzanie dotyczy danych osobowych pacjentów i jest dokonywane tylko przez jednego lekarza (nie jest przetwarzaniem na dużą skalę) — nie będzie on miał obowiązku powołania inspektora.

Przedsiębiorcy będą mogli powołać inspektora spośród personelu lub zlecić wykonywanie tej funkcji na podstawie umowy o świadczenie usług (outsourcing). Inspektor ochrony danych będzie odgrywał jeszcze ważniejszą rolę w systemie ich ochrony niż do tej pory jego odpowiednik — administrator bezpieczeństwa informacji (ABI). 

Taki inspektor będzie musiał posiadać nie tylko odpowiednią wiedzę teoretyczną, ale też praktyczną. Dlatego przedsiębiorcy z branży medycznej powinni rozpocząć poszukiwania osoby, która mogłaby pełnić funkcję inspektora ochrony danych. Warto, by przedsiębiorcy rozważyli możliwość skorzystania z pomocy wyspecjalizowanego podmiotu świadczącego tego typu usługi, ponieważ jest to gwarancja profesjonalnego wdrożenia sprawnego systemu ochrony danych. Wprawdzie system ochrony danych bazujący na „wewnętrznym” inspektorze ma swoje plusy, ale w przypadku zatrudnienia nowej osoby do pełnienia takiej funkcji trudno zweryfikować jej kompetencje, a w późniejszym okresie rzetelność wykonywanej przez nią pracy.

Inspektor ochrony danych będzie bezpośrednio podlegał najwyższemu kierownictwu administratora i za prawidłowe wypełnianie swoich zadań nie będzie mógł być przez niego karany ani odwołany. 

Dobór środków zabezpieczających

Administrator będzie zobowiązany do terminowego i właściwego angażowania inspektora we wszystkie sprawy dotyczące ochrony danych osobowych, wykorzystując jego wiedzę i umiejętności. 

Rozporządzenie nie wskazuje, jakie środki techniczne oraz organizacyjne gwarantują bezpieczeństwo przetwarzania danych osobowych. To administrator danych będzie musiał sam dobrać takie, które zapewnią odpowiedni stopień bezpieczeństwa przetwarzanych danych. Istotne przy tym będzie oszacowanie przez niego ryzyka, które pozwoli wybrać właściwe środki techniczne i organizacyjne mające na celu jego minimalizację. 

Ocena i konsultowanie skutków planowanych operacji 

W związku z przetwarzaniem na dużą skalę danych szczególnych kategorii podmioty z branży medycznej są zobowiązane do dokonania oceny skutków planowanych operacji dla ochrony danych (do 25 maja 2018 roku). Taka ocena będzie musiała zawierać: opis planowanych operacji i celów przetwarzania, określenie, czy są one niezbędne oraz proporcjonalne w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, planowane środki w celu zaradzenia ryzyku, w tym zabezpieczenia mające zapewnić ochronę danych osobowych. 

Gdy dany rodzaj przetwarzania będzie powodował wysokie ryzyko dla praw i wolności osób, których dane dotyczą (co potwierdzi wspomniana ocena skutków), administrator danych zobowiązany będzie do przeprowadzenia uprzednich konsultacji z organem nadzorczym przed podjęciem działań. Ewentualny wniosek w ich sprawie w trybie art. 36 rozporządzenia (wraz z oceną skutków planowanych operacji) powinien zostać wysłany do organu nadzorczego 25 maja 2018 roku. 

Utworzenie rejestru czynności przetwarzania 

Dla podmiotów z branży medycznej prowadzenie rejestru czynności przetwarzania będzie obligatoryjne. Rejestr musi zostać utworzony do 25 maja 2018 roku.  Administrator będzie musiał zamieścić w nim takie informacje, jak: 

• imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także (gdy ma to zastosowanie) przedstawiciela administratora oraz inspektora ochrony danych;
• cele przetwarzania;
• opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;
• kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
• jeżeli jest to możliwe: planowane terminy usunięcia poszczególnych kategorii danych
• ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Zgłaszanie naruszeń ochrony danych osobowych

W przypadku naruszenia ochrony danych osobowych, czyli zajścia incydentu, administrator bez zbędnej zwłoki (nie później niż w terminie 72 godzin po stwierdzeniu naruszenia) ma zgłosić to organowi nadzorczemu. Chyba że jest mało prawdopodobne, by ów incydent skutkował ryzykiem naruszenia praw lub wolności osób fizycznych. 

Takim naruszeniem praw lub wolności osoby fizycznej są m.in.: powstanie uszczerbku fizycznego, szkód majątkowych lub niemajątkowych u osób fizycznych, takich jak utrata kontroli nad własnymi danymi osobowymi lub ograniczenie praw, dyskryminacja, kradzież lub sfałszowanie tożsamości, strata finansowa, nieuprawnione odwrócenie pseudonimizacji, naruszenie dobrego imienia, naruszenie poufności danych osobowych chronionych tajemnicą zawodową lub wszelkie inne znaczne szkody gospodarcze lub społeczne. 

Z uwagi na to, że administratorzy danych będą zobligowani do zgłaszania naruszeń ochrony danych osobowych w tak krótkim czasie, organizacje muszą przyjąć wewnętrzne polityki w zakresie zarządzania incydentami. W szczególności chodzi o ich zgłaszanie przez personel najwyższemu kierownictwu oraz dalsze postępowanie w celu ograniczenia skutków incydentów, a ponadto o kwestię zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych. 

Zgłoszenie naruszenia ochrony danych do organu nadzorczego będzie musiało co najmniej: 

• opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;
• opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Za niedostosowanie się do przepisów rozporządzenia i niespełnienie wymienionych wyżej obowiązków przewidziana jest kara w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa — w wysokości do 2 proc. jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie będzie miała wyższa kara.