Od 25 maja 2018 roku placówki medyczne będą musiały stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Z chwilą zastosowania rozporządzenia unijnego przestanie obowiązywać ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych. Mimo, że przepisy te mają już 20 lat, wiele placówek ochrony zdrowia nie stosuje się do ich zasad. RODO sprawi, że będzie się to musiało zmienić, a za nieprzestrzeganie przepisów będą groziły sankcje, także finansowe.
Przegląd procedur i rejestr czynności
Przede wszystkim w związku z wejściem w życie nowych przepisów placówki medyczne będą musiały dokonać przeglądu stosowanych rozwiązań. Sprawdzą, czy spełniają one wymogi przepisów o ochronie danych osobowych, a jeśli nie, to czy nie można zastosować rozwiązań bardziej adekwatnych do tych wymogów, takich, które będą sprzyjać ochronie prywatności.
Będzie to dotyczyło bardzo wielu szpitali i przychodni, a szczególnie indywidualnych praktyk lekarskich, które w większości są nieprzygotowane do zastosowania regulacji RODO.
Jednostki ochrony zdrowia będą zobowiązane do wdrożenia wszelkich niezbędnych środków technicznych i organizacyjnych, w celu zapewnienia przetwarzania danych w sposób zgodny z unijnym rozporządzeniem, co wiązać się będzie z koniecznością opracowania odpowiednich dokumentów polityk ochrony danych osobowych.
Czytaj także: Dr Lubasz: RODO to nowa filozofia ochrony danych osobowych>>>
Placówki będą zobowiązane do prowadzenia dokumentacji dotyczącej oceny skutków dla ochrony danych oraz rejestru czynności przetwarzania. Rejestr ten zastąpi obowiązek rejestrowania zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych, który ma zastąpić Generalny Inspektora Ochrony Danych Osobowych.
Edukacja pracowników
Ochrona danych osobowych nie jest skoncentrowana wyłącznie na systemach informatycznych oraz na udokumentowanych procedurach i praktykach. Dotyczy ona także przyjętych praktyk i zwyczajów, które będą musiały zostać zmienione w wielu placówkach. Czeka je więc rewolucja nie tylko formalna, ale także mentalna.
W związku z tym placówki będą musiały zainwestować w edukację personelu, nie tylko medycznego, ale również pomocniczego, czyli wszystkich, którzy mają kontakt z danymi osobowymi pacjentów. Bardzo często bowiem to właśnie personel pomocniczy (na przykład pracownicy recepcji czy administracji) są źródłem wycieku danych osobowych, a nie pielęgniarki i lekarze, których obowiązuje tajemnica zawodowa. Nie ma natomiast pojęcia tajemnicy zawodowej w przypadku innych pracowników.
Obowiązkowy inspektor danych osobowych
Zgodnie z nowymi przepisami placówki medyczne będą musiały zatrudnić inspektora ochrony danych osobowych, który zastąpi Administratora Bezpieczeństwa Informacji, który teraz jest zatrudniany fakultatywnie.
Rozporządzenie nakłada większa odpowiedzialność na administratora danych osobowych. Pojęcie administratora na gruncie rozporządzenie nie zmienia się. Jest to zazwyczaj podmiot leczniczy czy osoba prowadząca indywidualną praktykę lekarską czy pielęgniarską.
Jeżeli podmioty te zatrudnią firmę zewnętrzną, to nie będzie ona miała statusu administratora danych, ale przetwarzającego dane na zlecenie administratora. Będzie się musiała rozliczyć z wykonywanych zadań, ale nie będzie decydowała o wykorzystaniu danych. Odpowiedzialność za bezpieczeństwo danych będzie cały czas po stronie administratora danych.
Placówki będą także musiały posiadać umowy pisemne z podmiotem, któremu powierzone zostanie przetwarzanie danych osobowych. Umowa taka będzie musiała zawierać określone elementy – m.in. wskazanie w jaki sposób placówka medyczna, jako administrator danych osobowych, będzie kontrolować i audytować podmiot, któremu powierzy przetwarzanie swoich danych osobowych.
Zgłaszanie naruszeń ochrony danych
Zgodnie z nowymi przepisami nowością będzie obowiązek zgłaszania wszystkich zdarzeń związanych z naruszeniem zasad ochrony danych osobowych do Urzędu Ochrony Danych Osobowych.
Gdy placówki nie zastosują odpowiednich procedur i dane pacjentów wyciekną, będą oni mieli prawo złożyć wniosek o odszkodowanie za naruszenie prawa do ochrony danych osobowych, zyskując bezpośrednio prawo do wyegzekwowania tego odszkodowania przed sądem. Pacjenci będą też mogli złożyć skargę do Generalnego Inspektora Ochrony Danych Osobowych, który będzie miał możliwość nałożenia kar administracyjnych.
Obecnie pacjenci mogą wystąpić do sądu powszechnego, gdy pozyskają informacje, że ich dane osobowe trafiły do osób nieuprawnionych, ale administratorzy nie informują o tym. Natomiast rozporządzenie mówi, że administrator będzie miał obowiązek poinformować o takich zdarzeniach także osoby, których to będzie dotyczyć.
Niedopełnienie tych obowiązków skutkować będzie mogło nałożeniem administracyjnych kar porządkowych. Maksymalna wysokość takich kar może wynosić nawet do 20 milionów euro, w przypadku publicznych jednostek ochrony zdrowia i do 4 procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w odniesieniu do placówek medycznych będących przedsiębiorcami.
Rozporządzenie zobowiązuje także samorządy lekarskie do opracowania kodeksów postępowań, które będą obowiązywały placówki medyczne. Dzisiaj funkcjonują one bardziej w charakterze opiniotwórczym, jako kodeksy dobrych praktyk.
Więcej na ten temat: Dr Wiewiórowski: administrator danych musi ocenić ryzyko wycieku>>>