Czy Biuro Rzecznika Praw Pacjenta musi się dostosować do wymogów RODO?
Rozporządzenie dotyczy administratorów i podmiotów przetwarzających, takim administratorem jest także Rzecznik Praw Pacjenta. Podstawowym zadaniem Rzecznika jest troska o najszerzej pojęty interes pacjentów, przede wszystkim w kontekście przestrzegania ich praw.
W Biurze Rzecznika przetwarzane są więc między innymi dane wrażliwe, dotyczące stanu zdrowia. Każda czynność związana z przetwarzaniem danych, a szczególnie danych sensytywnych, powinna odbywać się z poszanowaniem powszechnie obowiązujących przepisów prawa, a od 25 maja 2018 r. rozpoczynamy stosowanie przepisów ogólnego rozporządzenia o ochronie danych.
Rozporządzenia, które wiąże w całości i jest stosowne bezpośrednio. W związku z tym musimy zapewnić takie warunki techniczne i organizacyjne, aby to przetwarzanie było bezpieczne i zgodne z przepisami prawa.
Przepisy zawarte w RODO w wielu sprawach dają jedynie wskazówki, dlatego powstają kodeksy dotyczące określonych branż, na przykład ochrony zdrowia…
Kodeksy branżowe powstają, ponieważ w RODO jest wiele otwartych kwestii i przepisy nie są skonkretyzowane. Na pewno gdy powstają kodeksy, łatwiej będzie stosować zasady rozporządzenia, ich celem jest pomoc we właściwym stosowaniu jego przepisów. Jednak nie dotyczy to naszej instytucji, ponieważ zwykle kodeksy powstają dla określonej branży, są związane z jej specyfiką działania. Trudno byłoby stworzyć kodeks dla administracji publicznej, ponieważ każda instytucja administracji zajmuje się inną dziedziną. Nie wykluczam jednak, że w pewnych wspólnych obszarach taka inicjatywa powstanie.
Na pewno jasno określoną sprawą jest obowiązek zatrudnienia przez Biuro Rzecznika Praw Pacjenta inspektora ochrony danych osobowych…
Tak, rozporządzenie nakłada na niektórych administratorów obowiązek powołania Inspektora Ochrony Danych Osobowych. Taki obowiązek dotyczy między innymi organów i podmiotów publicznych. Rzecznik Praw Pacjenta jest centralnym organem administracji rządowej i obowiązek powołania Inspektora jest w tym przypadku niezależny od zakresu przetwarzanych danych, w przeciwieństwie na przykład do podmiotów wykonujących działalność leczniczą. Muszą one powołać Inspektora, jeżeli ich działalność polega na przetwarzaniu na duża skalę szczególnych kategorii danych osobowych.
Co zmieni RODO w zakresie administrowania danymi przez Rzecznika Praw Pacjenta?
Zmieni się sposób zarządzania procesami przetwarzania danych osobowych, zbiory danych oraz związane z nimi obowiązki rejestracyjne zostaną zastąpione procedurami i mechanizmami koncentrującymi się na operacjach przetwarzania. Rejestr zbiorów zastąpiony zostanie rejestrem czynności przetwarzania danych. Rzecznik również będzie musiał prowadzić taki rejestr, gdyż przetwarza szczególne kategorie danych osobowych – dane wrażliwe. Administrator będzie musiał zapewnić przestrzeganie przepisów o ochronie danych i zgodnie z zasadą rozliczalności móc wykazać, że spełnia wymogi określone tymi przepisami.
Z RODO wynika także obowiązek zawiadamiania organu nadzorczego o incydentach dotyczących naruszenia ochrony danych osobowych i również w niektórych przypadkach osób, których dane dotyczą. Obowiązek ten podlega jednak pewnym ograniczeniom. Nie będzie konieczności zawiadamiania, jeżeli jest mało prawdopodobne, by naruszenie skutkowało ryzykiem naruszenia praw lub wolności jednostki. Obowiązek zawiadomienia o naruszeniu osoby, której dane dotyczą pojawi się, gdy incydent może powodować wysokie ryzyko naruszenia praw lub wolności jednostki.
Administratorzy będą musieli określić ryzyko, jakie przetwarzanie danych może spowodować dla prywatności osób, których te dane dotyczą.
Niektóre z takich zagadnień doprecyzuje polskie ustawodawstwo…
Rozporządzenie nie zastąpi całkowicie krajowych ustaw, przewiduje bowiem pewne obszary dla regulacji krajowych, na przykład ustanowienie organu nadzorczego, doprecyzowanie wskazanych w RODO kwestii czy możliwość wprowadzenia ograniczeń lub włączeń pewnych praw zagwarantowanych w RODO – po spełnieniu określonych warunków.
Rzecznik bierze czynny udział w pracach nad ustawą o ochronie danych osobowych oraz ustawą wprowadzającą tę ustawę, gdyż chce zadbać o to, aby przepisy te nie budziły wątpliwości oraz zapewniały maksymalna ochronę danych osobowych pacjentów przetwarzanych przez Biuro Rzecznika.
Rzecznik zgłosił swoje uwagi dotyczące doprecyzowania przepisów w zakresie przetwarzania danych osobowych przez Rzecznika Praw Pacjenta oraz Rzeczników Praw Pacjenta Szpitala Psychiatrycznego w ramach przysługujących uprawnień, w tym w realizacji zadań podejmowanych z własnej inicjatywy.
[-OFERTA_HTML-]
Zaproponował również zmiany zakresu zastosowania przepisów rozporządzenia odnośnie ustawy o prawach Pacjenta i Rzeczniku Praw Pacjenta, a konkretnie ograniczenie zastosowania niektórych uprawnień osób, których dane dotyczą, w celu zwiększenia swobody działalności organu. Proponowana zmiana dotyczy między innymi realizacji obowiązków informacyjnych w przypadku zbierania danych od osób, których one dotyczą, oraz w sposób inny niż od tych osób.
Przykładowo, utrudniony obowiązek informacyjny może dotyczyć współdziałania z osobami z zaburzeniami psychicznymi. Również w chwili wszczęcia postępowania wyjaśniającego z własnej inicjatywy Rzecznik Praw Pacjenta nie ma możliwości wypełnić obowiązku informacyjnego w stosunku do wszystkich podmiotów danych.
Ustawy są jeszcze w fazie projektu i do końca nie wiemy, jaki będzie ich ostateczny kształt. Przedstawiciele Rzecznika obserwują także działania dotyczące powstawania kodeksu dla ochrony zdrowia.
Jakie jeszcze działania są prowadzone w ramach przygotowania do wprowadzenia regulacji rozporządzenia RODO?
Analizujemy, jakie będziemy mieli obowiązki w związku z realizacją praw osób, których dane przetwarzamy: obowiązki informacyjne, zakres stosowania praw do bycia zapomnianym, prawa do przeniesienia danych i innych.
Pracujemy również nad stworzeniem nowych procedur wewnętrznych przetwarzania danych osobowych.
Czy zmiany wprowadzone w związku z RODO odczują pacjenci, którzy przychodzą do Biura Rzecznika Praw Pacjenta?
Nie. Zmiany dotyczą administratorów danych i czynności przez nich podejmowanych.
Rozmawiała Magdalena Okoniewska
[-DOKUMENT_HTML-]