Od dnia 25 maja 2018 r. wszystkie podmioty lecznicze, praktyki indywidualne i szpitale są zobligowane do stosowania przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz innych aktów prawnych, które regulują problematykę przetwarzania danych osobowych. Wykaz aktów prawnych znajduje się na stronie nowego urzędu, którego zadaniem jest nadzór nad systemem, a mianowicie Urzędu Ochrony Danych Osobowych, na czele którego stoi Prezes.

Wykaz aktów prawnych (TUTAJ)

Bez wątpienia  każdy, kto prowadzi zarobkową działalność gospodarczą ma de facto do czynienia z danymi osobowymi i staje się ich administratorem. Nie omija to także środowiska lekarzy i lekarzy dentystów, którzy, czy to w ramach praktyki zawodowej, czy też podmiotu leczniczego, świadczą usługi medyczne na rzecz swoich pacjentów i przetwarzają ich dane osobowe. Obowiązek posiadania dokumentów wewnętrznych jest bezwzględny.

W ramach dokumentów wewnętrznych należy prowadzić co najmniej:

  1. Regulamin ochrony danych osobowych zawierający odniesienia do podstaw prawnych przetwarzania danych osobowych, uprawnień osób, których dane są przetwarzane, procedur monitorowania systemu ochrony danych, procedur monitorowania i zgłaszania naruszeń systemu ochrony danych osobowych, politykę uprawnień/ upoważnień użytkowników, wykaz zabezpieczeń oraz zasady współpracy z podmiotami zewnętrznymi, które uczestniczą w przetwarzaniu danych osobowych np. podwykonawcami usług medycznych,
  2. Rejestr czynności przetwarzania danych – szablon został opublikowany na stronie Urzędu Ochrony Danych Osobowych
  3. Analizę ryzyka i ocenę skutków dla systemu ochrony danych,
  4. Zasady wykorzystywania systemów informatycznych w procesie udzielania świadczeń zdrowotnych – o ile taki jest wykorzystywany.

 

 

Za przestrzeganie przepisów  o ochronie danych osobowych odpowiadają tzw. Administratorzy Danych – właściciele podmiotów/ praktyk zawodowych lub upoważnieni członkowie spółki tworzącej podmiot leczniczy.

Zasadniczą różnicą jest konieczność posiadania czy też nawiązania współpracy z Inspektorem Ochrony Danych  w jednostkach, które nie są indywidualnymi praktykami zawodowymi i przetwarzają dane na tzw. dużą skalę. Definicja dużej skali nie jest jasno określona w RODO czy też w ustawach polskich. Definicję „dużej skali” określi tzw. kodeks branżowy w ochronie zdrowia. Jego treść czeka na zatwierdzenie przez Prezesa Urzędu Ochrony Danych Osobowych.

Jest to osoba, która współuczestniczy w nadzorze wewnętrznym nad przestrzeganiem przepisów związanych z ochroną danych osobowych w tych podmiotach w imieniu Administratora danych osobowych. Należy w tym miejscu podkreślić, że żadne przepisy nie nakładają na te osoby konieczności posiadania certyfikatów czy też specjalistycznego wykształcenia. Od takiej osoby wymagane jest jedynie posiadanie stosownej wiedzy. Jednak obowiązek weryfikacji tej wiedzy spoczywa tylko na powierzającym tą funkcję, czyli na Administratorze danych. Inspektorem nie może być osoba zależna od Administratora np. członek jego rodziny. Ważne jest to, że Administrator musi zgłosić dane kontaktowe powołanego Inspektora Ochrony Danych do Urzędu Ochrony Danych Osobowych na specjalnym formularzu – procedura opisana jest TUTAJ

 

Bardzo ważnym elementem nowego podejścia do problematyki ochrony danych osobowych jest położenie nacisku w nowym rozporządzeniu na zapobieganie i szacowanie ryzyka procesu przetwarzania danych osobowych. Stąd każdy administrator będzie musiał wykazać się w tym zakresie opisem czynności przetwarzania danych osobowych w odniesieniu do zagrożeń procesów. Opis takich czynności znajduje się w art. 35 RODO.

 

Ważnym elementem nowego systemu ochrony danych osobowych jest konieczność raportowania o naruszeniach systemu ochrony danych osobowych w ciągu 72 godzin od powzięcia wiedzy w tym zakresie. Procedurę opisuje Urząd Ochrony Danych Osobowych (TUTAJ)

 

Czym jest naruszenie systemu opisane jest również na stronach Urzędu Ochrony Danych Osobowych (TUTAJ). Zalecamy jednak każdorazowo kontakt z WIL w zakresie konsultacji skali naruszenia i określenia ewentualnych skutków

 

RODO przewiduje również sankcje za nieprzestrzegania jego zapisów:

Kary do 10 mln. EUR lub do 2 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD

Kary do 20 mln. EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub uszkodzeniem danych

Kary do 100.000 PLN dla podmiotów publicznych

 

KONTAKT W WIL W ZAKRESIE RODO:

 

Katarzyna Michalska

783 993 919 lub katarzyna.michalska@wil.org.pl

 

Marek Saj

783 993 939 lub dyrektor@wil.org.pl

 

 

 

Podziel się

Strona wykorzystuje pliki Cookies

Nasza strona internetowa używa plików cookies (tzw. ciasteczka) w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować stronę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.