Od 25 maja 2018 roku placówki medyczne będą musiały stosować przepisy rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Co to oznacza dla personelu i podmiotów medycznych?
Sektor medyczny przetwarzający dane szczególnie chronione, aby spełnić wszystkie wymagania, które nakłada na niego RODO potrzebuje czasu. Wskazane jest, żeby pozostały czas do maja wykorzystać na przegląd i wdrożenie polityki bezpieczeństwa ochrony danych osobowych. Nowe przepisy wprowadzają wysokie kary za brak ich przestrzegania (20 mln Euro), dlatego warto rozpocząć już dziś prace nad procesem dostosowywania się do niedługo wchodzących w życie procedur.
Ochrona danych osobowych nie jest skoncentrowana wyłącznie na systemach informatycznych oraz na udokumentowanych procedurach i praktykach polityki bezpieczeństwa danych osobowych w placówce medycznej. Dotyczy ona także przyjętych praktyk i zwyczajów, które będą musiały zostać zmienione w wielu placówkach. Czeka je więc rewolucja nie tylko formalna, ale także mentalna. Dlatego niezwykle ważne jest ukierunkowanie na edukację personelu nie tylko medycznego, ale także administracji placówki medycznej, która również zajmuje się przetwarzaniem danych. Istotne jest podnoszenie świadomości w zakresie nowych przepisów poprzez system szkoleń dedykowanych lekarzom, pielęgniarkom, rejestratorkom, sekretarkom oraz personelowi pomocniczemu. W tym miejscu warto skorzystać ze wsparcia usług kancelarii Sieradzka&Partners, która ma na koncie setki przeszkolonych pracowników sektora medycznego w 2017 r. (lekarzy, pielęgniarek, położnych, managerów, właścicieli, dyrektorów, rejestratorek, fizjoterapeutów, podologów, dietetyków, koordynatorów, informatyków, pracowników działów administracji, marketingu i wielu innych).
Inspektor Ochrony Danych Osobowych
Zgodnie z nowymi przepisami placówki medyczne będą musiały posiadać inspektora ochrony danych osobowych, który zastąpi Administratora Bezpieczeństwa Informacji, który teraz jest zatrudniany fakultatywnie.
Rozporządzenie nakłada większa odpowiedzialność na administratora danych osobowych.
Jeżeli podmioty te zatrudnią firmę zewnętrzną, to nie będzie ona miała statusu administratora danych, ale przetwarzającego dane na zlecenie administratora.
Zgodnie z nowymi przepisami nowością będzie obowiązek zgłaszania wszystkich zdarzeń związanych z naruszeniem zasad ochrony danych osobowych do Urzędu Ochrony Danych Osobowych.
Skarga i pozew pacjenta z tytułu naruszenia ochrony jego danych osobowych medycznych
Pozew. Gdy placówki nie zastosują odpowiednich procedur i dane pacjentów wyciekną, będą oni mieli prawo złożyć wniosek o odszkodowanie za naruszenie prawa do ochrony danych osobowych, zyskując bezpośrednio prawo do wyegzekwowania tego odszkodowania przed sądem.
Skarga.Pacjenci będą też mogli złożyć skargę do prezesa Urzędu Ochrony Danych Osobowych, który będzie miał możliwość nałożenia kar administracyjnych. Obecnie pacjenci mogą wystąpić do sądu powszechnego, gdy pozyskają informacje, że ich dane osobowe trafiły do osób nieuprawnionych, ale administratorzy nie informują o tym. Natomiast rozporządzenie mówi, że administrator będzie miał obowiązek poinformować o takich zdarzeniach także osoby, których to będzie dotyczyć.
Reforma RODO nakłada szereg nowych obowiązków na podmioty medyczne w których obecnie polityka bezpieczeństwa danych osobowych w większości placówek nie jest dostateczna, dla przykładu, wywieszona na szpitalnym korytarzu „tablica ruchu pacjentów”, do której ma dostęp każdy stanowi naruszenie ochrony danych osobowych pacjenta, tak samo jak wywieszony i ogólnodostępny plan operacyjny czy nieprawidłowo działające rejestracje pacjentów, w których dostęp do danych pacjenta rejestrującego mają osoby postronne (inni pacjenci). Czasami jest to kwestia samej nieprawidłowej infrastruktury rejestracji. Albo obecność lekarzy, pielęgniarek, koordynatorów w mediach społecznościowych i ewentualnych naruszeń w zakresie bezpieczeństwa danych, podczas relacji na Instagramie:) Nieprzestrzeganie przez placówki medyczne i personel nowych restrykcyjnych przepisów stwarza większe możliwości pacjentom do egzekwowania swoich praw w obszarze prywatności i ochrony danych wrażliwych o wiele skuteczniej niż dotychczas.
Bez wątpienia, jednym z najlepszych ośrodków transplantacyjnych w których dane pacjentów chronione są w oparciu o najwyższe standardy, wdrożone systemy, procedury i świadomość personelu jest Śląskie Centrum Chorób Serca w Zabrzu, co prezentował w grudniu podczas NFIC Kraków2017, międzynarodowej konferencji dla kardiologów dr Hawranek z Zabrza – w sesji eksperckiej dedykowanej RODO w której uczestniczyłam. Podaje przykład Zabrza, jako ten dobry bo wciąż są miejsca na mapie, gdzie niektóre ośrodki transplantacyjne czeka sporo pracy aby bezpieczeństwo danych pacjentów nie stanowiło naruszeń, co ma wciąż miejsce w niektórych placówkach.
- Wkrótce ukaże się monografia, prawników wyspecjalizowanych w ochronie danych osobowych, przy współpracy z GIODO oraz moim, RODO w ochronie danych osobowych medycznych, C.H. Beck 2018. W monografii szczególny nacisk ukierunkowałam na bezpieczeństwo rejestrów transplantacyjnych Poltransplantu, dostępności do tych rejestrów w kontekście RODO, oraz naruszeń w obszarze zasady anonimowości w procesie donacji i transplantacji, wskazując szereg wniosków de lege ferenda, czyli tego co należy poprawić, wdrożyć i usprawnić, celem zapewnienia bezpieczeństwa pacjentowi i uczestnikom procesu donacji w obszarze ochrony danych medycznych w transplantologii.
- Już teraz warto sięgnąć do monografii pt. Ochrona danych osobowych medycznych przydatnej personelowi medycznemu.
{ 0 komentarze… dodaj teraz swój }