Od 25 maja br. placówki medyczne będą musiały stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Celem zmian jest zapewnienie skutecznej ochrony danych osobowych w zmieniających się warunkach technologicznych, organizacyjnych i gospodarczych oraz zapewnienie jednolitego prawa w całej Europie.
Aby spełnić wszystkie wymagania, które nakłada RODO, sektor medyczny – przetwarzający dane szczególnie chronione – potrzebuje czasu. Wskazane jest, żeby czas, który pozostał do maja, wykorzystać na przegląd i wdrożenie polityki bezpieczeństwa ochrony danych osobowych. Nowe przepisy wprowadzają wysokie kary za brak ich przestrzegania (do 20 mln euro), dlatego już dziś warto rozpocząć prace nad procesem dostosowywania się do niedługo wchodzących w życie procedur.
Ochrona danych osobowych nie jest skoncentrowana wyłącznie na systemach informatycznych oraz na udokumentowanych procedurach i praktykach polityki bezpieczeństwa danych osobowych w placówce medycznej. Dotyczy ona także przyjętych praktyk i zwyczajów, które będą musiały zostać zmienione w wielu placówkach. Czeka je rewolucja nie tylko formalna, lecz także mentalna. Dlatego niezwykle ważne jest ukierunkowanie na kompleksową edukację, zarówno personelu medycznego, jak i administracji placówki medycznej, która również zajmuje się przetwarzaniem danych. Istotne jest podnoszenie świadomości w zakresie nowych przepisów poprzez system szkoleń dedykowanych lekarzom, pielęgniarkom, rejestratorkom, sekretarkom oraz personelowi pomocniczemu.
Inspektor Ochrony Danych Osobowych
Zgodnie z nowymi przepisami placówki medyczne będą musiały posiadać Inspektora Ochrony Danych Osobowych (IODO). Zastąpi on Administratora Bezpieczeństwa Informacji (ABI), który teraz jest zatrudniany fakultatywnie. Rozporządzenie nakłada większą odpowiedzialność na administratora danych osobowych. Jeżeli podmioty te zatrudnią firmę zewnętrzną, to nie będzie ona miała statusu administratora danych, ale przetwarzającego dane na zlecenie administratora.
Zgodnie z nowymi przepisami nowością będzie obowiązek zgłaszania wszystkich zdarzeń związanych z naruszeniem zasad ochrony danych osobowych do Urzędu Ochrony Danych Osobowych.
Większe prawa pacjenta
Gdy placówki nie zastosują odpowiednich procedur i dane pacjentów wyciekną, będą oni mieli prawo złożyć wniosek o odszkodowanie za naruszenie prawa do ochrony danych osobowych, zyskując prawo do wyegzekwowania tego odszkodowania przed sądem.
Pacjenci będą też mogli złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych, który będzie miał możliwość nałożenia kar administracyjnych. Obecnie pacjenci mogą wystąpić do sądu powszechnego, gdy pozyskają informacje, że ich dane osobowe trafiły do osób nieuprawnionych, ale administratorzy nie informują o tym. Natomiast rozporządzenie mówi, że administrator będzie miał obowiązek poinformować o takich zdarzeniach także osoby, których to będzie dotyczyć.
RODO nakłada szereg nowych obowiązków na podmioty medyczne, w których polityka bezpieczeństwa danych osobowych nie jest obecnie dostateczna. Np. wywieszona na szpitalnym korytarzu „tablica ruchu pacjentów”, do której każdy ma dostęp, stanowi naruszenie ochrony danych osobowych pacjenta tak samo jak wywieszony i ogólnodostępny plan operacyjny czy nieprawidłowo działające rejestracje pacjentów, w których dostęp do danych pacjenta rejestrującego mają osoby postronne (inni pacjenci). Czasami jest to kwestia samej nieprawidłowej infrastruktury rejestracji. Innym przykładem może być obecność lekarzy, pielęgniarek, koordynatorów w mediach społecznościowych i ewentualnych naruszeń w zakresie bezpieczeństwa danych. Nieprzestrzeganie przez personel placówek medycznych nowych restrykcyjnych przepisów stwarza pacjentom większe możliwości do egzekwowania swoich praw w obszarze prywatności i ochrony danych wrażliwych o wiele skuteczniej niż dotychczas.
Rozporządzenie nakłada na placówkę medyczną, jako administratora danych, cały szereg obowiązków informacyjnych względem osób, których dane są przetwarzane, obejmujących m.in. informacje o swoich danych kontaktowych, danych inspektora danych osobowych, celu przetwarzania oraz odbiorcach danych osobowych i kategoriach tychże odbiorców, a także prawie dostępu do danych czy prawie do ich sprostowania.
Jednocześnie jednostki ochrony zdrowia będą zobowiązane do wdrożenia wszelkich niezbędnych środków technicznych i organizacyjnych w celu zapewnienie przetwarzania danych w sposób zgodny z unijnym rozporządzeniem, co będzie się wiązać z koniecznością opracowania odpowiednich dokumentów polityki ochrony danych osobowych.
Ponadto placówki medyczne będą zobligowane do prowadzenia dodatkowej dokumentacji w postaci dokumentu dokonującego oceny skutków dla ochrony danych oraz rejestru czynności przetwarzania. W tym miejscu warto podkreślić, iż przedmiotowy rejestr w całości zastąpi obowiązek rejestrowania zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych, który ma zastąpić GIODO. Obowiązek rejestracyjny zostanie zniesiony.
Niewątpliwą nowością jest także nałożony m.in. na jednostki ochrony zdrowia, obowiązek informowania Urzędu Ochrony Danych Osobowych o każdym stwierdzonym naruszeniu zasad ochrony danych osobowych, z wyjątkiem przypadków, w których jest mało prawdopodobne, by skutkowało ono naruszeniem praw lub wolności osób fizycznych, oraz obowiązek zawiadomienia o takim naruszeniu również osoby, której takie dane dotyczą.
Niedopełnienie tak określonych obowiązków będzie mogło skutkować nałożeniem administracyjnych kar porządkowych, których wysokość jest także nowością – naruszenie omawianego rozporządzenia może nakładać na placówkę medyczną karę pieniężną w maksymalnej wysokości do 20 000 000 euro w przypadku publicznych jednostek ochrony zdrowia i do 4 proc. całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego w odniesieniu do placówek medycznych będących przedsiębiorcami, w zależności od rodzaju naruszenia.
Zapewnienie bezpieczeństwa pacjentów jest najwyższą wartością wobec innych tworzonych praw. Należy jednak wypracować wewnętrzne procedury, które pozwolą realizować ten cel przy zachowaniu pełnego porządku prawnego.
tekst: RODOConsulting.pl
Anonim pisze: Proste to RODO – II edycja – warsztatów szkoleniowych – DYSKUSJA z ekspertami.
03 lutego 2020 r. – ilość miejsc ograniczona
#Proste to RODO jednak w medycynie wymaga przy stosowaniu przepisów posiłkowania się logiką i zdrowym rozsądkiem, uchroni nas to przed falą niepotrzebnych umów powierzenia, czy pozyskiwaniem bezpodstawnych zgód Pacjentów. Zapraszam na dedykowane szkolenie dla sektora medycznego 26 lutego 2019 r. Proste to RODO