Stethoscope and Medical History Report

Wejście w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 26 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, w skrócie Rozporządzenie o Ochronie Danych Osobowych (RODO) stanowi jedną z najistotniejszych zmian w otoczeniu regulacyjnym. Nowelizacja przepisów dotyczących ochrony danych osobowych będzie dotyczyć wszystkich, także podmioty z branży medycznej. Nowe przepisy niosą niemałe wyzwania, którym będzie musiał sprostać także sektor świadczenia usług zdrowotnych. Zmienione regulacje wprowadzone jako rozporządzenie unijne, będą miały bezpośredni skutek na polski porządek prawny, bez konieczności implementacji  przez krajowe ustawy. W związku z tym, z dniem 25 maja 2018r. cała Unia Europejska, w tym Polska i jej podmioty lecznicze, znajdą się w nowej rzeczywistości ochrony danych osobowych.

Wśród nowych przepisów wyodrębniamy cztery najważniejsze grupy zmian:

  1. dane sensytywne oraz obowiązki informacyjne wobec podmiotu danych,
  2. powołanie Inspektora Danych Osobowych,
  3. zasady powierzenia przetwarzania danych osobowych,
  4. nowe sankcje za naruszenia.

Dane sensytywne oraz obowiązki informacyjne wobec podmiotu danych

Z punktu widzenia placówek ochrony zdrowia przetwarzanymi danymi osobowymi będą w znacznej większości dane sensytywne. Zgodnie z RODO są to m.in. dane genetyczne, dane biometryczne umożliwiające jednoznaczne zidentyfikowanie osoby fizycznej oraz dane dotyczące zdrowia. Ich przetwarzanie jest obwarowane szczególnymi przesłankami. Wśród nich najistotniejszymi dla branży medycznej są te dotyczące celu przetwarzania. Na gruncie RODO dopuszczalne jest przetwarzanie danych dotyczących pacjentów w zakresie w jakim jest to konieczne dla procesu diagnostycznego lub terapeutycznego lub w interesie publicznym w dziedzinie zdrowia publicznego, jak chociażby w celu poprawy standardów opieki zdrowotnej.

Jeżeli przetwarzanie danych jest konieczne z punktu widzenia zapewnienia pacjentowi opieki zdrowotnej, nie jest konieczne odbieranie od pacjenta zgody na przetwarzanie jego danych osobowych. Przy zbieraniu danych osobowych od pacjenta RODO rozszerza zakres obowiązku informacyjnego, jakim jest obciążony administrator danych. Będzie trzeba przekazywać m.in. dane kontaktowe inspektora ochrony danych, podstawę przetwarzania danych osobowych, okres przechorowywania danych, rozszerzone informacje o prawach podmiotu czy informacje o zamiarze przekazania danych osobowych do państwa trzeciego. Każdy podmiot leczniczy przed wejściem w życie RODO powinien zabezpieczyć w ramach wewnętrznych procedur przekazywanie odpowiednich informacji pacjentom. Najlepszą formą weryfikacji aktualnie obowiązujących procedur pod kątem zgodności z RODO jest przeprowadzenie audytu wewnętrznego. Pomocne w tym zakresie są także szkolenia personelu placówki medycznej, ponieważ to właśnie podczas codziennego kontaktu z pacjentem może dojść do niechcianego naruszenia przepisów ochrony danych osobowych. Takie czynności zmniejszą prawdopodobieństwo nałożenia na podmiot leczniczy wysokiej kary pieniężnej za nieprzestrzeganie przepisów RODO.

Powołanie Inspektora Danych Osobowych

Na gruncie nowych przepisów szpitale będą zobowiązane do powołania Inspektora Danych Osobowych. Obowiązek taki być może nie będzie dotyczył mniejszych praktyk lekarskich, ponieważ Powołanie inspektora jest obowiązkowe jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Placówki medyczne przetwarzające dane osobowe na dużą skalę powinny przyłożyć szczególną uwagę do kwestii wyboru Inspektora Danych Osobowych. Powierzone mu obowiązki oraz zakres odpowiedzialności sprawiają, że będzie to od 25 maja 2018 r. jedna z kluczowych osób odpowiadających za prawidłową ochronę danych osobowych w podmiocie leczniczym.

Powierzenie przetwarzania danych osobowych

RODO istotnie zmienia obowiązujące obecnie wymogi dotyczące zawierania umów o powierzeniu przetwarzania danych osobowych. W interesie placówek medycznych jest sprawdzenie, czy dotychczasowe umowy powierzenia przetwarzania danych są zgodne z wymogami RODO. W tym zakresie należy wskazać przede wszystkim rozszerzony zakres obligatoryjnej treści takiej umowy. Rozporządzenie określa, że umowa musi zawierać: przedmiot, czas trwania powierzenia, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, warunki podpowierzenia przetwarzania danych, obowiązki i prawa administratora danych oraz obowiązki procesora. Bardzo ważnym aspektem jest wprowadzenie odpowiedzialności karnoadministracyjnej za naruszenie obowiązków w zakresie powierzenia przetwarzania danych.

Sankcje za naruszenia

Nowe obowiązki są zabezpieczone bardzo wysokimi sankcjami karnoadministracyjnymi. Od dnia 25 maja 2018r. organy odpowiadające za zapewnienie przestrzegania ochrony danych osobowych będą dysponowały uprawnieniem nałożenia dotkliwej kary pieniężnej. W przypadku naruszenia przepisów dotyczących: zgłaszania GIODO i osobie, której dane dotyczą, przypadków naruszenia, wdrożenia środków technicznych i organizacyjnych ochrony danych, rejestrowania czynności przetwarzania raz współpracy z organem nadzorczym będzie to 2 % całkowitego rocznego światowego obrotu lub 10 000 000 EUR.  Natomiast za naruszenie przepisów dotyczących: podstawowych zasad przetwarzania danych, przetwarzania danych wrażliwych, obowiązków informacyjnych, prawa do bycia zapomnianym, będzie to aż 4 % całkowitego rocznego światowego obrotu lub 20 000 000 EUR.

Jednocześnie projekt ustawy o ochronie danych osobowych autorstwa Ministerstwo Cyfryzacji limituje maksymalną karę administracyjna nakładaną na SP ZOZ-y do 100.000 zł. Należy ocenić, że są to bardzo dotkliwe kary pieniężne, które znacząco wpłyną na budżet placówki medycznej.

Podsumowanie – co może zrobić kierownik placówki medycznej w celu przygotowania się ro RODO?

1. Audyt bieżącej działalności placówki w celu ustalenia:

a) czy dane medyczne są przetwarzane zgodnie z aktualnie obowiązującym prawem;

b) czy placówka medyczna jest gotowa na obowiązywanie RODO.

2. Dostosowanie wymogów działania placówki do obecnych i nowych przepisów.

Rekomendujemy, aby audyty dotyczące danych medycznych zostały przeprowadzone jak najszybciej, tak aby wychwycić i usunąć naruszenia dotyczące aktualnego stanu prawnego oraz spokojnie zaplanować wdrożenie RODO. Wdrożenie to może zająć w zależności od wielkości placówki od kilku tygodni do kilku miesięcy.

Paulina Muszyńska

Paulina Muszyńska
Associate

Paulina.Muszynska@dzp.pl

Piotr Najbuk

Piotr Najbuk
Prawnik, Senior Associate

piotr.najbuk@dzp.pl

Komentarze

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *