Ochrona danych po nowemu, czyli konsekwencje RODO dla szpitali

Udostępnij:
Od 25 maja 2018 roku placówki medyczne będą musiały stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Co to oznacza dla dyrektorów?
Aneta Sieradzka, prawniczka z kancelarii "Sieradzka & Partners" i członkini zespołu Młodzi Menedżerowie Medycyny. Autorka wykłada ochronę danych osobowych na Uniwersytecie Medycznym w Poznaniu i Uniwersytecie Marii Curie-Skłodowskiej w Lublinie:
- Sektor medyczny przetwarzający dane szczególnie chronione, aby spełnić wszystkie wymagania, które nakłada na niego RODO potrzebuje czasu. Wskazane jest, żeby pozostały czas wykorzystać na przegląd i wdrożenie polityki bezpieczeństwa ochrony danych osobowych. Nowe przepisy wprowadzają wysokie kary za brak ich przestrzegania, dlatego warto rozpocząć już dziś prace nad procesem dostosowywania się do niedługo wchodzących w życie procedur.

Ochrona danych osobowych nie jest skoncentrowana wyłącznie na systemach informatycznych oraz na udokumentowanych procedurach i praktykach polityki bezpieczeństwa danych osobowych w placówce medycznej. Dotyczy ona także przyjętych praktyk i zwyczajów, które będą musiały zostać zmienione w wielu placówkach. Czeka je więc rewolucja nie tylko formalna, ale także mentalna. Dlatego niezwykle ważne jest ukierunkowanie na edukację personelu nie tylko medycznego, ale także administracji placówki medycznej, która również zajmuje się przetwarzaniem danych. Istotne jest podnoszenie świadomości w zakresie nowych przepisów poprzez system szkoleń dedykowanych lekarzom, pielęgniarkom, rejestratorkom, sekretarkom oraz personelowi pomocniczemu.

Zgodnie z nowymi przepisami placówki medyczne będą musiały posiadać inspektora ochrony danych osobowych, który zastąpi Administratora Bezpieczeństwa Informacji, który teraz jest zatrudniany fakultatywnie.

Rozporządzenie nakłada większa odpowiedzialność na administratora danych osobowych. Pojęcie administratora na gruncie rozporządzenie nie zmienia się. Jest to zazwyczaj podmiot leczniczy czy osoba prowadząca indywidualną praktykę lekarską czy pielęgniarską.

Jeżeli podmioty te zatrudnią firmę zewnętrzną, to nie będzie ona miała statusu administratora danych, ale przetwarzającego dane na zlecenie administratora.

Zgodnie z nowymi przepisami nowością będzie obowiązek zgłaszania wszystkich zdarzeń związanych z naruszeniem zasad ochrony danych osobowych do Urzędu Ochrony Danych Osobowych.

Gdy placówki nie zastosują odpowiednich procedur i dane pacjentów wyciekną, będą oni mieli prawo złożyć wniosek o odszkodowanie za naruszenie prawa do ochrony danych osobowych, zyskując bezpośrednio prawo do wyegzekwowania tego odszkodowania przed sądem. Pacjenci będą też mogli złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych, który będzie miał możliwość nałożenia kar administracyjnych. Obecnie pacjenci mogą wystąpić do sądu powszechnego, gdy pozyskają informacje, że ich dane osobowe trafiły do osób nieuprawnionych, ale administratorzy nie informują o tym. Natomiast rozporządzenie mówi, że administrator będzie miał obowiązek poinformować o takich zdarzeniach także osoby, których to będzie dotyczyć. Reforma RODO nakłada szereg nowych obowiązków na podmioty medyczne w których obecnie polityka bezpieczeństwa danych osobowych w większości placówek nie jest dostateczna, dla przykładu, wywieszona na szpitalnym korytarzu „tablica ruchu pacjentów”, do której ma dostęp każdy stanowi naruszenie ochrony danych osobowych pacjenta, tak samo jak wywieszony i ogólnodostępny plan operacyjny czy nieprawidłowo działające rejestracje pacjentów, w których dostęp do danych pacjenta rejestrującego mają osoby postronne (inni pacjenci). Czasami jest to kwestia samej nieprawidłowej infrastruktury rejestracji. Nieprzestrzeganie przez placówki medyczne nowych restrykcyjnych przepisów stwarza większe możliwości pacjentom do egzekwowania swoich praw w obszarze prywatności i ochrony danych wrażliwych.

Przeczytaj także: "Mołdach: Kontekst jest najważniejszy i najtrudniejszy w RODO" i "Inspektor ochrony danych we wszystkich podmiotach publicznych".

Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.