Od dnia 25 maja 2018 r. wszystkie podmioty lecznicze, praktyki indywidualne i szpitale są zobligowane do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. RODO.
Bez wątpienia każdy, kto prowadzi zarobkową działalność gospodarczą ma de facto do czynienia z danymi osobowymi i staje się ich administratorem. Nie omija to także środowiska lekarzy i lekarzy dentystów, którzy, czy to w ramach praktyki zawodowej, czy też podmiotu leczniczego, świadczą usługi medyczne na rzecz swoich pacjentów i przetwarzają ich dane osobowe.
Administratorzy muszą dostosować przetwarzanie danych osobowych nie tylko do RODO, ale także innych aktów prawnych, które regulują problematykę przetwarzania danych osobowych.
Bezwzględne jest również posiadanie dokumentów wewnętrznych, co najmniej takich jak:
1. Regulamin ochrony danych osobowych zawierający odniesienia do podstaw prawnych przetwarzania danych osobowych, uprawnień osób, których dane są przetwarzane, procedur monitorowania systemu ochrony danych, procedur monitorowania i zgłaszania naruszeń systemu ochrony danych osobowych, politykę uprawnień/ upoważnień użytkowników, wykaz zabezpieczeń oraz zasady współpracy z podmiotami zewnętrznymi, które uczestniczą w przetwarzaniu danych osobowych np. podwykonawcami usług medycznych,
2. Rejestr czynności przetwarzania danych.
3. Analizę ryzyka i ocenę skutków dla systemu ochrony danych,
4. Zasady wykorzystywania systemów informatycznych w procesie udzielania świadczeń zdrowotnych – o ile taki jest wykorzystywany
Administratorzy Danych, czyli właściciele podmiotów/praktyk zawodowych lub upoważnieni członkowie spółki tworzącej podmiot leczniczy odpowiadają za przestrzeganie przepisów o ochronie danych osobowych.
Zasadniczą kwestią jest konieczność posiadania czy też nawiązania współpracy z Inspektorem Ochrony Danych w jednostkach, które nie są indywidualnymi praktykami zawodowymi i przetwarzają dane na tzw. dużą skalę. Definicja dużej skali nie jest jasno określona w RODO czy też w ustawach polskich. Definicję „dużej skali” określi tzw. kodeks branżowy w ochronie zdrowia. Jego treść czeka na zatwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych.
Inspektor Ochrony Danych to osoba, która współuczestniczy w nadzorze wewnętrznym nad przestrzeganiem przepisów związanych z ochroną danych osobowych w tych podmiotach w imieniu Administratora danych osobowych. Należy w tym miejscu podkreślić, że żadne przepisy nie nakładają na te osoby konieczności posiadania certyfikatów czy też specjalistycznego wykształcenia. Od takiej osoby wymagane jest jedynie posiadanie stosownej wiedzy. Jednak obowiązek weryfikacji tej wiedzy spoczywa tylko na powierzającym tą funkcję, czyli na Administratorze danych. Inspektorem nie może być osoba zależna od Administratora np. członek jego rodziny. Ważne jest to, że Administrator musi zgłosić dane kontaktowe powołanego Inspektora Ochrony Danych do Urzędu Ochrony Danych Osobowych – procedura zgłoszenia opisana jest TUTAJ.
Bardzo ważnym elementem nowego podejścia do problematyki ochrony danych osobowych jest położenie nacisku w nowym rozporządzeniu na zapobieganie i szacowanie ryzyka procesu przetwarzania danych osobowych. Stąd każdy administrator będzie musiał wykazać się w tym zakresie opisem czynności przetwarzania danych osobowych w odniesieniu do zagrożeń procesów. Opis takich czynności znajduje się w art. 35 RODO.
Ważnym elementem nowego systemu ochrony danych osobowych jest konieczność raportowania o naruszeniach systemu ochrony danych osobowych w ciągu 72 godzin od powzięcia wiedzy w tym zakresie. Procedurę opisuje Urząd Ochrony Danych Osobowych (TUTAJ)
RODO przewiduje również sankcje za nieprzestrzegania jego zapisów:
Kary do 10 mln. EUR lub do 2 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD
Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych
Kary do 100.000 PLN dla podmiotów publicznych