Aktualne kursy RODO organizowane przez Lubelską Izbę Lekarską
Poradnik RODO Ministerstwa Cyfryzacji dla podmiotów leczniczych
Wzory dokumentacji wdrażającej RODO do praktyk prywatnych
Wejście w życie – uwagi ogólne
Szerszy obowiązek informacyjny
Koniec rejestru zbiorów danych osobowych
Szersze umowy o powierzenie przetwarzania danych
Inspektor ochrony danych osobowych (IODO)
Administracyjne kary pieniężne
Wejście w życie – uwagi ogólne
Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (w skrócie RODO) weszło w życie na terenie Rzeczypospolitej Polskiej i pozostałych państw członkowskich Unii Europejskiej z dniem 25 maja 2018 r. Rozporządzenie to jest bezpośrednim źródłem praw dla osób, których dane dotyczą i obowiązków dla administratorów danych osobowych. Od tego dnia wszystkie podmioty przetwarzające dane osobowe, w tym lekarze i lekarze dentyści prowadzący praktyki zawodowe i podmioty lecznicze, będą zobowiązane do jego stosowania (wyjątek stanowią jedynie praktyki kontraktowe, które nie mają statusu administratora danych osobowych). W dniu 25 maja 2018 roku weszła w życie także nowa ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). Ustawa reguluje m.in.: zasady wyznaczania i zgłaszania Inspektora Ochrony Danych Osobowych, warunki i tryb certyfikacji, kompetencje nowego organu kontrolnego (Prezesa Urzędu Ochrony Danych Osobowych), postępowanie kontrolne oraz zasady odpowiedzialności za naruszenie przepisów. Obecnie trwają również prace nad Kodeksem postępowania dla podmiotów wykonujących działalność leczniczą, który po uchwaleniu i zatwierdzeniu przez Prezesa UODO będzie nieocenioną pomocą w interpretacji przepisów Rozporządzenia. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych: http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000
Szerszy obowiązek informacyjny
Rozporządzenie przewiduje rozszerzenie obowiązku informacyjnego przy zbieraniu i przechowywaniu wszelkich danych osobowych, w tym obowiązek podawania osobom, których dane dotyczą m.in.:
Wejście w życie rozporządzenia będzie się zatem wiązało z koniecznością uzupełnienia dotychczasowych zgód na przetwarzanie danych osobowych (jeżeli są stosowane), szerszą informacją o przetwarzaniu danych osobowych zarówno na etapie zbierania danych od pacjentów (np. w ramach rejestracji), jak również na etapie późniejszego przetwarzania tych danych.
Koniec rejestru zbiorów danych osobowych
Nowa ustawa o ochronie danych osobowych przewiduje całkowitą rezygnację z obowiązku rejestracji zbiorów danych osobowych, który w bardzo niewielkim stopniu dotyczył dotychczas działalności medycznej, bowiem zbiory danych osób korzystających z usług medycznych były ustawowo zwolnione spod rejestracji.
Szersze umowy o powierzenie przetwarzania danych
Dotychczasowa ustawa o ochronie danych osobowych przewidywała jedynie, że umowa o powierzenie przetwarzania danych ma być zawarta w formie pisemnej, bez szczegółowego określania jej treści. RODO przewiduje natomiast szczegółową treść wskazanej umowy. W związku z powyższym konieczne będzie aneksowanie dotychczasowych umów o powierzenie przetwarzania danych, które lekarze i lekarze dentyści zawarli z podmiotami przetwarzającymi (np. firmami serwisującymi sprzęt medyczny przechowującymi dane o badaniach, producentami oprogramowania do prowadzenia gabinetów, firmami informatycznymi, zewnętrznymi firmami księgowymi i kadrowymi itp.), w celu ich dostosowania do nowych wymogów.
Inspektor ochrony danych osobowych (IODO)
Z wejściem w życie RODO oraz polskiej ustawy o ochronie danych następuje zmiana w zakresie dobrowolnego wyznaczania ABI na rzecz systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych.
RODO wprowadza obowiązek powołania IODO w każdym przypadku, gdy główna działalność administratora polega na przetwarzaniu na dużą skalę danych wrażliwych, w tym danych o zdrowiu. W świetle prac grupy roboczej działającej przy Generalnym Inspektorze Danych Osobowych z obowiązku powoływania inspektorów mają być zwolnione indywidualne praktyki lekarskie. Nowa ustawa o ochronie danych osobowych nie dostarczyła gotowych rozwiązań pozwalających na jednoznaczne ustalenie, jakie podmioty będą posiadały obowiązek wyznaczenia Inspektora, niemniej w projekcie Kodeksu branżowego odwołano się do kryterium ilościowego, zgodnie z którym przetwarzanie na dużą skalę nie dotyczy podmiotów wykonujących działalność leczniczą udzielających:
– ambulatoryjnych świadczeń zdrowotnych, w tym w ramach Ambulatoryjnej Opieki Specjalistycznej, które zrealizowały świadczenia dla nie więcej niż 600 unikalnych pacjentów, w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy) lub
– wyłącznie świadczeń POZ i nie posiadających więcej niż 2750 przypisanych pacjentów w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).
– stacjonarnych i całodobowych świadczeń zdrowotnych:
a) szpitalnych, które udzielały świadczeń zdrowotnych dla nie więcej niż 100 unikalnych pacjentów;
b) innych niż szpitalne, które udzielały świadczeń zdrowotnych dla nie więcej niż 150 unikalnych pacjentów;
w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).
Inspektorem może być zarówno pracownik, jak i podmiot zewnętrzny w stosunku do przedsiębiorcy. Nie może być nim jedynie sam administrator z uwagi na konieczność zachowania niezależności IODO. RODO nie wprowadza jednak żadnych szczególnych wymogów kwalifikacyjnych dla osoby sprawującej taką funkcję, poza wskazaniem, iż musi ona posiadać wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych.
Nowa dokumentacja
Nowa ustawa nie przewiduje już konieczności opracowywania polityki bezpieczeństwa w zakresie danych osobowych oraz instrukcji bezpieczeństwa systemu informatycznego. Zamiast tych dokumentów RODO wprowadza jednak obowiązek posiadania przez wszystkie podmioty przetwarzające szczególne kategorie danych (tzw. dane wrażliwe) nowego dokumentu – rejestru czynności przetwarzania . Będzie on zawierał m. in. informacje o technicznych i organizacyjnych środkach bezpieczeństwa. Podstawą jego opracowania powinna być w znacznej mierze istniejąca u Państwa polityka bezpieczeństwa i instrukcja.
Struktura „Rejestru czynności przetwarzania”
Obowiązek zgłaszania naruszeń
Projekt ustawy o ochronie danych osobowych przewiduje obowiązek dokonywania przez administratorów zgłoszeń do Prezesa Urzędu Ochrony Danych Osobowych w wypadku naruszenia bezpieczeństwa danych. Zgłoszenia te miałyby być dokonywane bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Dodatkowo konieczne będzie prowadzenie dokumentacji stwierdzonych naruszeń oraz informowanie osób, których dane dotyczą o naruszeniach, które wystąpiły (poprzez informację indywidualną albo publiczny komunikat).
Co powinno zawierać „Zgłoszenie naruszenia ochrony danych osobowych”
Administracyjne kary pieniężne
RODO przewiduje wysokie kary administracyjne za naruszenia dotyczące przetwarzania danych osobowych. Górna granica kar to aż 20.000 000 EUR lub do 4 % całkowitego rocznego obrotu. Należy jednak pamiętać, że RODO zawiera również przesłanki, jakimi powinien kierować się Prezes Urzędu wymierzając karę pieniężną. Niemniej jednak, dolegliwość finansowa powinna być jednym z czynników motywujących lekarzy i lekarzy dentystów do zapoznania się z regulacjami RODO i wdrożenia ich w swoich praktykach.
Wdrażanie RODO
Przed przystąpieniem do przetwarzania danych osobowych na nowych zasadach podmiot przetwarzający dane wrażliwe powinien co do zasady przeprowadzić analizę ryzyka (poprzez stworzenie dokumentu oceny skutków dla ochrony danych). Z obowiązku jego sporządzania nie będą zwolnieni przedsiębiorcy, którzy przetwarzają na dużą skalę owe dane. Istnieje zatem szansa, że podobnie, jak w odniesieniu do obowiązku powołania IODO, indywidualne praktyki będą z tej analizy ryzyka zwolnione.
Akty prawne:
adw. Damian Konieczny Instytut - Specjaliści Prawa Ochrony Zdrowia |
r. pr. Leszek Kubicz Lubelska Izba Lekarska |
r. pr. Aleksandra Otawska-Petkiewicz Lubelska Izba Lekarska |