background image

*

Prezent: pakiet książek zostanie wysłany po opłaceniu prenumeraty

Prenumerata roczna

z PREZENTAMI:

Pakiet książek o wartości

335 zł!

Oferta prenumeraty rocznej portalu SerwisZOZ.pl 

z PreZenTeM   99z  ne o  736 77 z  bru o

*

.

okres prenu era y rozpoczyna si  

z dnie  wys ania  o inu i  as a do por a u

Zarządzanie w Ochronie Zdrowia

ez łatne  onto te to e na  er

 

   

   

baza

wiedzy

wzory

dokumentów

alert

prawny

blogi

tematyczne

 Porady do wiadczonyc  konsu an w prawnyc  i eksper w
 ak ua ne  rendy i nowoczesne  e ody zarządzania p ac wka i  edyczny i
 baz  

  o owyc  wzor w doku en w   or u arzy  re u a in w

 a er  prawny  b o i eksper w  ka endariu  wydarze  bran owyc

  orta u  er

 zna z e z

Odwiedź www.SerwisZOZ.pl

MY 210x275 prenumerata prezent.indd   1

05.10.2015   09:59:23

Praca zbiorowa pod redakcją Mariusza Jendry

Ochrona danych 

medycznych  

i osobowych pacjentów

Ochrona danych medycznych i osobowych pacjentów

P r o f e s J o n a l n e   P u b l i k a c J e   d l a   k a d r Y   Z a r Z Ą d Z a J Ą c e J   P o d M i o T a M i   l e c Z n i c Z Y M i

isbn 978-83-269-4373-7

uoV29

Cena 79,00 zł brutto

9 7 8 8 3 2 6 9 4 3 7 3 7

UOV 29 okladka.indd   1

27.10.2015   12:45

background image

Ochrona danych  
medycznych  
i osobowych  
pacjentów

UOV29.indd   1

27.10.2015   14:16

background image

Publikacja „Ochrona danych medycznych i osobowych pacjentów” została opracowana na pod-
stawie przepisów, które obowiązują w 2016 r. Zawiera zbiór najbardziej aktualnych odpowiedzi na 
problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych 
placówkach medycznych. Stopniowe przechodzenie placówek medycznych na elektroniczną doku-
mentację medyczną wymusza konieczność przygotowania się na nieznane dotychczas zagrożenia 
związane z atakami hakerów. Książka zawiera też porady oraz odpowiedzi na pytania dotyczące 
przetwarzania danych medycznych w formie papierowej.

Publikacja zawiera 18 obszernych porad prawnych, 46 odpowiedzi na najczęściej zadawane pytania 
oraz 12 wzorów dokumentów związanych z ochroną danych medycznych.

Kierownik Grupy Wydawniczej
Agnieszka Konopacka-Kuramochi

Wydawca
Alina Sulgostowska

Redaktor prowadzący
Mariusz Jendra

Korekta
Zespół

Koordynator produkcji
Magdalena Huta

Skład i łamanie
Dariusz Ziach

Projekt okładki 
Piotr Fedorczyk

Druk
Miller

Źródła foto:
okładka – www.fotolia.pl

ISBN 978-83-269-4373-7

Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.
Warszawa 2015
Wydawnictwo Wiedza i Praktyka sp. z o.o.
ul. Łotewska 9a, 03 -918 Warszawa
tel. 22 518 29 29, faks 22 617 60 10, e -mail: cok@wip.pl

NIP: 526 19 92 256, KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy w Warszawie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,
Wysokość kapitału zakładowego 200.000 zł

UOV29.indd   2

27.10.2015   14:16

background image

3

 Spis treści

Spis treści

I.   WSTĘP  ......................................................................................................  9

II.  POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ  

– WEDŁUG NAJNOWSZYCH PRZEPISÓW  .................................................. 11 

III.  KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH  ............................ 13

1. JakwyglądakontrolaGeneralnegoInspektoraOchronyDanych 
 Osobowych .............................................................................................  13
2. 13obszarówochronydanychpodlegającychkontroliinspektorów 
 GIODO ...................................................................................................... 21 
3. Jakprzygotowaćsiędokontroliinspektorówochronydanych 
 osobowych ............................................................................................... 29 
4. Proceduranawypadeknaruszeniabezpieczeństwadanych .................... 31 

IV. OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM  .... 35 

1. Jakzabezpieczyćplacówkęprzedwyciekiemdanychmedycznych .......... 35 
2. Ochronaserwerówplacówkiprzedatakiemhakerów ............................  38
3. Czymożnagromadzićdaneosobowebezzgodypacjenta ....................... 44 
4. Jaknienaruszaćintymnościpacjenta ...................................................... 45 
5. Czyupoważnionymożeusunąćswojedanezdokumentacji 
 medycznej ................................................................................................ 48 
6. Czyupoważnieniemożedotyczyćtylkoczęścidokumentacji 
 medycznej ................................................................................................ 51 
7. Czyplacówkimogązbieraćdane„nazapas” ........................................... 54 
8. Jakośćwpisówwdokumentacjimedycznej–„niemyświadek” 
 procesuleczenia....................................................................................... 56 
9. Karyzazgubieniedokumentacjimedycznej............................................. 58 

10. Ubezpieczycielmożeżądaćdokumentacjizmarłegopacjenta ................. 61 
11. Zawartośćumowyopowierzeniedanychpodmiotowitrzeciemu

(firmieprzechowującejdane) .................................................................  65

12.Ochronadóbrosobistychpersoneluplacówki .......................................... 69 
13.ZnacznieABIwplacówcemedycznej ........................................................ 76 

V.  PRAKTYKA OCHRONY DANYCH – ODPOWIEDZI NA NAJCZĘŚCIEJ  

ZADAWANE PYTANIA ............................................................................... 83
1.  Upoważnienie do przetwarzania danych  ............................................. 83 

Czyinformatykmożemiećdostępdodokumentacjimedycznej ............  83

UOV29.indd   3

27.10.2015   14:16

background image

Jaksięzabezpieczyćprzednieoczekiwanąnieobecnościągłównego
informatyka .............................................................................................  84
Czyupoważnieniedoprzetwarzaniadanychosobowychmożebyć 
wydanewformiesłużbowegoe-maila,którybyłbynastępnie 
zachowanywcelachdowodowych .......................................................... 84 
Czyrecepcjonistkalubasystentkawydającalubwypisująca 
wynikibadańmusimiećupoważnieniedoprzetwarzaniadanych
osobowych ............................................................................................... 86 
Czyserwisantzfirmyzewnętrznejmającydostępdosprzętu 
medycznego,np.tomografulubaparatówusg,mamieć 
upoważnieniedoprzetwarzaniadanych .................................................. 86 
Czywolontariuszetoosobyupoważnionedoprzetwarzania 
danych,czynadajesięimupoważnieniadoprzetwarzania 
danychosobowych .................................................................................. 87 
Czyosoba,którazajmujesięprzetargamiiprzygotowujeróżneoferty,
powinnamiećnadaneupoważnieniedoprzetwarzaniadanych ............. 87 
Czyszkoleniazzakresuochronydanychdlapersonelusąobowiązkowe ...... 88 
Czykażdypracownikplacówkiochronyzdrowiamusiposiadać
upoważnieniedoprzetwarzaniadanychosobowychiczytomusi 
byćosobny,szczegółowydokument ........................................................ 88 

2.  Potwierdzenie tożsamości ................................................................... 89 

Jakzidentyfikowaćipotwierdzićtożsamośćosobydzwoniącej 
doplacówkiochronyzdrowia,którapytaowynikiswoichbadań ........... 89 
Jakodpowiadaćnatelefonicznezapytaniakuratorówsądowych, 
policji,sąduczyteżrodzinypacjentów,którzypytajączywymieniony
znazwiskaPan/Paniunasprzebywa.Czyodpowiedźnazasadzie 
tak/niebezpodaniajakichkolwiekinnychdanycholeczeniujest
naruszeniemustawy ................................................................................ 90 
Czydanefirm,przedsiębiorców,osóbfizycznychprowadzących 
działalnośćgospodarczą,todaneosobowe ............................................. 90 

3.  Ochrona danych lekarzy  ...................................................................... 91 

Czynastronieinternetowejprzychodnimożnazamieścićzdjęcia
zatrudnionychlekarzy .............................................................................. 91 
Czymiesięcznewynagrodzeniedyrektoraszpitalatoinformacja 
publiczna .................................................................................................. 91 
Czyprzewodniczącyzwiązkówzawodowychmożesięzwrócić
oudostępnienielistypracownikówiichdanychwzakresie 
imienia,nazwiskaikomórkiorganizacyjnejcelemprzeprowadzenia
referendumwsprawieakcjistrajkowej...................................................  92

Ochrona danych medycznych w 2015 roku

4

UOV29.indd   4

27.10.2015   14:16

background image

5

Spis treści 

4.  Przenoszenie i wydawanie dokumentacji  ............................................ 93 

Czyzakładopiekizdrowotnejmożeodmówićmężowiwydania
dokumentacjimedycznejdotyczącejżony ............................................... 93 
Czyroszczeniepacjentaoprzekazaniejegodotychczasowejpapierowej
dokumentacjimedycznejdonowejprzychodni 
(wzwiązkuzprzeprowadzkąpacjenta)jestzasadne ..............................  94
Czylekarzmożezabraćdokumentacjęmedycznąpacjenta 
dodomu ................................................................................................... 95 

5.  Zgoda pacjenta  ................................................................................... 96 

Czypacjentmożewyrazićzgodęnaleczenie,jednocześnie 
niewyrażajączgodynaprzetwarzaniejegodanych ................................. 96 
Czyosobarejestrującasięwprzychodnimożeodmówićpodania 
numeruPESEL .......................................................................................... 96 
Czynawysłaniemailalubsms-azprzypomnieniemozaplanowanej
wizycieulekarzapotrzebnajestpisemnazgodapacjenta ....................... 97 

6.  Prawo do informowania  ..................................................................... 97 

Czyosobażyjącawkonkubinacielubzwiązkunieformalnym 
np.homoseksualnym,możebyćpoinformowanaostaniezdrowia 
osobyjejbliskiejprzebywającejwszpitalu .............................................. 97 

7.  Rejestracja zbiorów danych osobowych  .............................................. 99 

Czypodmiotyudzielająceświadczeńzdrowotnychmająobowiązek
rejestracjizbiorówdanychosobowychswoichpacjentówuGIODO ....... 99 
Cotoznaczy,żeadministratorbezpieczeństwainformacjiprowadzi 
jawnyrejestrzbiorówdanychprzetwarzanychprzezadministratora 
danych ...................................................................................................... 99 
Czywjawnymrejestrzezbiorówdanychnależyopisaćzbiory 
onazwie„pacjenci”lub„pracownicy”zwłaszczapodkątem 
nazwiadresówfirm,którympowierzonodaneztychzbiorów 
doprzetwarzania ..................................................................................  100

8.  Powierzenie przetwarzania danych  ................................................... 100

Jakuregulowaćformalniewspółpracęzlekarzemprowadzącym 
własnąpraktykę,którynapodstawieumowyzlecenia,używając 
własnegokomputeraioprogramowania,wykonujebadania 
genetycznepacjentomszpitala .............................................................. 100 
Czydyrektorszpitalamożeprzekazaćdaneosobowepacjentów 
doprzyszpitalnejszkoły .........................................................................  102
Czypotrzebnajestumowapowierzeniazzewnętrznymlaboratorium 
lubinnąspecjalistycznąplacówkąmedycznąwykonującąusługi 
dlaadministratoradanych ....................................................................  102

UOV29.indd   5

27.10.2015   14:16

background image

Ochrona danych medycznych i osobowych pacjentów

6

9.  Polityka haseł  ....................................................................................103 

Czydyrektorszpitalalubinnyadministratordanychmożemieć 
usiebiezdeponowanehasłaużytkowników,nawypadekgdy 
pracownikzapomniswojego .................................................................  103
Czypolitykahasełopisanaw„Instrukcjizarządzaniasystemem
informatycznym”administratoradanychmożenarzucaćobowiązek 
zmianyhasłaco60lub90dni ...............................................................  104
Czywprzypadkuumowyoserwisoprogramowanialuburządzeń
medycznychpracownicyserwisującymogąkorzystaćzhaseł 
personeluwjegoobecności ..................................................................  104
Czyprzyzmianienazwiskaużytkownikasystemupowinnosię 
zmienićjegoidentyfikator–loginodnotowanywewidencjiosób
upoważnionychdoprzetwarzaniadanych ............................................. 105 

10.  Naruszenie ochrony danych  .............................................................. 105

Czynaruszenieochronydanychwplacówceleczniczejtrzeba 
zgłaszaćdoGeneralnegoInspektoraOchronyDanychOsobowych 
lubinnegoorganu .................................................................................  105

11.  Udostępnienie informacji  ..................................................................106 

CzyzakładpracymożezwrócićsiędoZOZ-uzprośbą 
oudostępnienieinformacjidotyczącejstanuzdrowiapracownika 
napotrzebyprowadzonegopostępowaniapowypadkowego ................ 106 

12.  Rola Administratora Bezpieczeństwa Informacji  ................................ 107

CzyABItowyodrębnionyetatisamodzielnestanowiskopracy ...........  107
Czyadministratorembezpieczeństwainformacji(ABI)możebyć 
pracownikdziałuIT ................................................................................ 107 
CzyABIjestzobowiązanydoprzesyłaniarocznychsprawozdań 
iraportówzaudytówbezpieczeństwainformacjidoGIODO ................. 108 
Czypełnomocnikds.ochronyinformacjiniejawnychto,tosamo 
coadministratorbezpieczeństwainformacji(ABI) ................................. 109 

13.  Ochrona wizerunku (monitoring)  .......................................................109 

Czywprzypadkustosowaniamonitoringuwizyjnegowsalidzieci
młodszychoddziałudziecięcegolubnaoddzialeporodowymnależy
uzyskaćzgodęrodzicównaprzetwarzaniewizerunkuichdzieci ............ 109 

14.  Przechowywanie i zabezpieczenie dokumentacji  ............................... 110

Zczegowynikaiwjakimcelunarzuconyjestobowiązek 
inwentaryzacjisprzętuioprogramowaniasłużącego 
doprzetwarzaniadanychosobowychimedycznych.............................  110

UOV29.indd   6

27.10.2015   14:16

background image

7

Spis treści 

Czypapierowądokumentacjęmedycznąnależyprzechowywać
wmetalowychszafach ..........................................................................  111

15.  Przetwarzanie danych  ....................................................................... 111

Czydopuszczalnejestumieszczanieprzedgabinetamilekarskimi 
listznazwiskamipacjentówzapisanychnadanydzieńnawizytę 
lekarską .................................................................................................  111
Czywdokumentacjimedycznejmożnaprzechowywaćksero 
dowoduosobistegolubpaszportupacjenta .........................................  113
Jeślisystemwykorzystywanywszpitaluniezawieraimienia 
inazwiska,atylkonumeridentyfikacyjnypacjenta–toinformacje 
teniepozwalająnaidentyfikacjętożsamościdanejosoby. 
Czymożnazałożyć,żesystemtenniesłużydoprzetwarzania 
danychosobowych ...............................................................................  114
Jaknależypostępowaćwprzypadkuuszkodzeniakomputera, 
naktórymsąprzetwarzanedaneosobowe ..........................................  115
Czykierownikmedyczny,niebędącylekarzemmożemiećdostęp 
dodanychpacjentównapotrzebytworzeniastatystyk ......................... 117 

VI. WZORY FORMULARZY  ........................................................................... 119

Upoważnieniedoprzetwarzaniadanychosobowych ................................. 119 
Ewidencjaosóbupoważnionychdoprzetwarzaniadanych......................... 120 
Oświadczenieoupoważnieniuosobybliskiejdozasięganiainformacji 
ostaniezdrowia .......................................................................................... 121 
Oświadczenieobrakuupoważnieniadozasięganiainformacjiostanie 
zdrowia ........................................................................................................ 122 
Upoważnieniedodostępudodokumentacjimedycznej ............................ 123 
Jawnywykazzbiorówdanychosobowych ................................................... 124 
Rocznyprogramsprawdzeniazgodnościprzetwarzaniadanych 
osobowychzprzepisamioochroniedanychosobowych ............................ 125 
Analizaorganizacyjnychśrodkówbezpieczeństwainformacji ..................... 126
Instrukcjapostępowaniawsytuacjinaruszeniaochronydanych 
osobowych .................................................................................................. 131 
DziennikAdministratoraSystemuInformatycznego ................................... 137 
Umowapowierzeniaprzetwarzaniadanychosobowych ............................ 138 
Umowaozachowaniupoufnościprzetwarzaniadanychosobowych ......... 142 

VII. PODSTAWA PRAWNA  ....................................................................................................147 

UOV29.indd   7

27.10.2015   14:16

background image

UOV29.indd   8

27.10.2015   14:16

background image

I. Wstęp

9

I. WSTĘP

Przeszło pół miliona pracowników medycznych przetwarza wraż-

liwe dane osobowe ponad 38 mln Polaków. Wprawdzie placówki 
medyczne nie muszą rejestrować zbiorów danych pacjentów do GIO-
DO, ale ciążą na nich inne obowiązki związane z ochroną danych.

Przetwarzanie danych osobowych w przypadku usług medycznych 

odbywa się na podstawie ustawy o prawach pacjenta i Rzeczniku Praw 
Pacjenta oraz rozporządzenia ministra zdrowia w sprawie rodzajów 
i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.

Placówki medyczne mają obowiązek chronić dane swoich pa-

cjentów w sposób szczególny. Wynika to z tego, że dokumentacja 
medyczna obejmuje poza tak zwanymi danymi zwykłymi również 
dane wrażliwe dotyczące opisu stanu zdrowia pacjenta lub udzielo-
nych mu świadczeń zdrowotnych. W zależności od podmiotu świad-
czącego usługi medyczne administratorem danych będzie szpital 
bądź lekarz wykonujący działalność leczniczą w ramach praktyki  
zawodowej.

Lekarze i podmioty lecznicze są zwolnieni z obowiązku zgłasza-

nia zbiorów danych pacjentów do GIODO, niemniej ciążą na nich 
inne obowiązki. Jednym z nich jest prowadzenie i wdrożenie do-
kumentacji opisującej sposób przetwarzania danych oraz środków 
technicznych i organizacyjnych podjętych w celu wyeliminowania 
zagrożeń bezpieczeństwa danych.

UOV29.indd   9

27.10.2015   14:16

background image

Ochrona danych medycznych i osobowych pacjentów

10

Chodzi m.in. o udostępnienie informacji o pacjentach osobom 

nieupoważnionym, zabranie ich przez osobę nieuprawnioną, prze-
twarzanie z naruszeniem ustawy oraz zmianę, utratę, uszkodzenie 
lub zniszczenie.

Na dokumentację składa się polityka bezpieczeństwa oraz in-

strukcja zarządzania systemem informatycznym do przetwarzania 
danych osobowych. W wielu jednostkach nadal prowadzone są zbio-
ry w postaci tradycyjnej (papierowej), tam wystarczająca będzie po-
lityka bezpieczeństwa.

Zakres treści obu dokumentów został opisany w rozporządzeniu 

ministra spraw wewnętrznych i administracji w sprawie dokumenta-
cji przetwarzania danych osobowych oraz warunków technicznych 
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy 
informatyczne służące do przetwarzania danych osobowych (Dz.U. 
z 2004 r. nr 100, poz. 1024).

Administrator danych musi też stworzyć takie warunki organiza-

cji pracy, aby dane osobowe pacjentów były odpowiednio chronione. 
Inną kwestią jest sygnalizowany przez GIODO dostęp pracowni-
ków medycznych do danych pacjentów zwłaszcza w dużych jednost-
kach. Kierownicy placówek powinni zadbać, aby ich personel miał 
dostęp jedynie do tych danych, do których przetwarzania został 
upoważniony.

Z punktu widzenia ustawy o ochronie danych osobowych nie ma 

znaczenia, czy dane są przetwarzane na papierze, czy w systemie in-
formatycznym. Odpowiedzialność za jej nieprzestrzeganie w obu 
przypadkach jest taka sama.

UOV29.indd   10

27.10.2015   14:16

background image

11

II. Powierzenie przetwarzania dokumentacji medycznej – według najnowszych przepisów

II. POWIERZENIE PRZETWARZANIA 
DOKUMENTACJI MEDYCZNEJ 
– WEDŁUG NAJNOWSZYCH 
PRZEPISÓW

Nowelizacja ustawy o zmianie ustawy o systemie informacji 

w ochronie zdrowia oraz niektórych innych ustaw przyjęta przez Sejm 
9 października 2015 r. doprecyzowała zasady przetwarzania elektro-
nicznej dokumentacji medycznej poza placówką opieki zdrowotnej. 
Zgodnie z nowymi przepisami powierzenie danych zewnętrznemu 
podmiotowi ma następować na podstawie umowy zawartej na piś-
mie i określającej zakres i cel przetwarzania danych. Administrato-
rem danych pozostanie podmiot udzielający świadczeń zdrowotnych.

Instytucja powierzenia przechowywania dokumentacji medycz-

nej jest efektem postępującego procesu informatyzacji podmiotów 
udzielających świadczeń zdrowotnych. Umożliwia ona podmiotom 
udzielającym świadczeń zdrowotnych skorzystanie z wiedzy, infra-
struktury, technologii, jakimi dysponują specjalistyczne podmioty 
zewnętrzne (np. informatyczne).

Podmiot udzielający świadczeń zdrowotnych może powierzyć 

innemu podmiotowi – wyspecjalizowanej firmie np. informatycz-
nej – przetwarzanie danych medycznych. Firma ta może przetwa-
rzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 

UOV29.indd   11

27.10.2015   14:16

background image

Ochrona danych medycznych i osobowych pacjentów

12

Przed rozpoczęciem przetwarzania danych medycznych firma jest 
zobowiązana do podjęcia środków zabezpieczających zbiór danych.  
Należą do nich (art. 36–39 ustawy o ochronie danych osobowych):

z

zastosowanie środków technicznych i organizacyjnych zapewnia-
jących ochronę przetwarzanych danych osobowych odpowiednią 
do zagrożeń oraz kategorii danych objętych ochroną,

z

zabezpieczenie danych przed udostępnieniem osobom nieupo-
ważnionym, zabraniem przez osobę nieuprawnioną, przetwarza-
niem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem 
lub zniszczeniem,

z

dopuszczenie do przetwarzania danych osób posiadających upo-
ważnienie,

z

utworzenie ewidencji osób upoważnionych do ich przetwarzania.

W zakresie przestrzegania tych przepisów podmiot ponosi od-

powiedzialność jak administrator danych.

Umowa między placówką medyczną a firmą przetwarzającą dane 

może być zawarta pod warunkiem zapewnienia ochrony danych oso-
bowych oraz prawa do kontroli przez podmiot udzielający świadczeń 
zdrowotnych zgodności przetwarzania danych osobowych z tą umo-
wą przez podmiot przyjmujący te dane. Realizacja umowy nie może 
powodować zakłócenia udzielania świadczeń zdrowotnych, w szcze-
gólności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do da-
nych zawartych w dokumentacji medycznej.

Firma, której powierzono przetwarzanie danych, jest obowiąza-

na do zachowania w tajemnicy informacji związanych z pacjentem 
uzyskanych w związku z realizacją umowy. Tajemnicą tą jest zwią-
zana także po śmierci pacjenta.

W przypadku zaprzestania przetwarzania danych osobowych zawar-

tych w dokumentacji medycznej przez podmiot, któremu powierzono 
takie przetwarzanie np. z powodu likwidacji, jest on zobowiązany do 
przekazania danych osobowych zawartych w dokumentacji medycz-
nej podmiotowi, który powierzył przetwarzanie danych osobowych.

UOV29.indd   12

27.10.2015   14:16

background image

13

III. KONTROLA BEZPIECZEŃSTWA 
DANYCH MEDYCZNYCH

1. Jak wygląda kontrola Generalnego Inspektora 

Ochrony Danych Osobowych

Placówki medyczne mogą być – ze względu na ilość i wrażliwy 

charakter przetwarzanych danych – podmiotami podlegającymi 
kontroli Generalnego Inspektora Ochrony Danych Osobowych  
(GIODO). Kontrola zwykle zapowiadana jest 7 dni wcześniej, trwa od 
2 do 4 dni i przeprowadzana jest przez trzech inspektorów.

Przepisy prawa, których przestrzeganie podlega kontroli GIODO, 

są zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych oso-
bowych (u.o.d.o.) oraz w wydanym na podstawie art. 39a tej ustawy  
rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwiet-
nia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych  
oraz warunków technicznych i organizacyjnych, jakim powinny odpo-
wiadać urządzenia i systemy informatyczne służące do przetwarza-
nia danych osobowych.

UOV29.indd   13

27.10.2015   14:16