Od 25 maja 2018 roku każdą placówkę medyczną obowiązują zmiany prawne w zakresie ochrony danych osobowych. RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Poniżej analizujemy zapisy umieszczone w nowym rozporządzeniu oraz informujemy o wysokości kar administracyjnych za niedostosowanie się do nowych przepisów. Wszyscy użytkownicy aplikacji Medidesk powinni odpowiednio przygotować się na zmiany, jakich wymaga RODO.
Każda nowelizacja prawa pociąga za sobą szereg nowych postanowień, które muszą być respektowane od pierwszego dnia jej wejścia w życie. Podobnie sytuacja wygląda w przypadku RODO. Do przestrzegania zapisów w niej zawartych zobowiązane są wszystkie przychodnie lekarskie i szpitale w Polsce. Od 25 maja 2018 roku wszystkie placówki medyczne są zobowiązane do przeprowadzania procesu przetwarzania danych osobowych Pacjentów zgodnie ze wszystkimi wymogami RODO.
Najważniejsze zmiany dotyczące placówek medycznych po wejściu w życie RODO:
- Od momentu wejścia w życie RODO automatyczne profilowanie Pacjentów według miejsca zamieszkania, wieku oraz płci będzie niedozwolone (pod groźbą surowych kar)
- Nie będzie można wysyłać mailingów do Pacjentów na podstawie aktualnie posiadanych zgód na przetwarzanie danych osobowych (trzeba będzie posiadać nowe)
- Zabronione będzie korzystanie z baz zewnętrznych w celu zareklamowania Pacjentom konsultacji i usług (pod groźbą surowych kar)
Podstawowym zadaniem nowych przepisów jest ujednolicenie poziomu ochrony danych osobowych oraz zapewnienie poczucia pewności prawnej w zakresie przetwarzania danych osobowych we wszystkich krajach Unii Europejskiej.
Zadbaj o to, aby aktualnie wykorzystywane w placówce medycznej klauzule zgód były zgodne z wymogami RODO
Należy sprawdzić czy stosowane aktualnie przez placówkę medyczną klauzule zgód są zgodne z nowym unijnym rozporządzeniem dotyczącym ochrony danych osobowych. W celu legalnego przetwarzania danych Pacjentów trzeba zadbać o następujące elementy wyrażanych przez nich zgód:
- Zapytanie o zgodę na przetwarzanie danych osobowych Pacjentów musi być opisane w sposób wyraźny, tak aby można ją było z łatwością odróżnić od pozostałych kwestii zawartych w treści umowy lub regulaminu
- Klauzula zgody powinna być sformułowana językiem prostym, zrozumiałym dla wszystkich Pacjentów korzystających z usług placówki medycznej
- Treść przygotowanych klauzul nie powinna budzić jakichkolwiek wątpliwości, w jakim celu dane osobowe Pacjentów będą wykorzystywane
- W przypadku profilowania danych, czyli zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych Pacjentów do oceny niektórych czynników osobowych osoby fizycznej, konieczna jest zdecydowana zgoda osoby, o której dane chodzi
RODO rozszerza zakres obowiązków informacyjnych nałożonych na placówki medyczne. Przede wszystkim dotyczy to:
- Okresu przechowywania danych osobowych lub kryteriów ustalania jego długości,
- Informacji o prawie cofnięcia zgody na przetwarzanie danych osobowych,
- Informacji o prawie sprzeciwu wobec przetwarzania danych oraz prawie do ich przenoszenia,
- Informacji o prawie wniesienia skargi do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO),
- Informacji o ewentualnych profilowaniu danych,
- Danych kontaktowych do Inspektora Ochrony Danych, o ile został powołany.
Zwiększenie uprawnień Pacjentów w zakresie zarządzania danymi osobowymi
Od 25 maja 2018 roku Pacjenci mają większą swobodę w zarządzaniu danymi osobowymi, które podali w placówce medycznej. Dzięki zwiększeniu uprawnień wynikających z nowego zapisu RODO Pacjenci nabywają prawo do usunięcia danych oraz prawo do przenoszenia danych.
Nie zapomnij o aktualizacji dokumentacji wewnętrznej oraz procedur w placówce medycznej pod kątem nowych przepisów RODO:
Każda placówka medyczna zobowiązana jest do zaktualizowania i dostosowania wszystkich procedur w niej obowiązujących do wymogów RODO. Przede wszystkim warto zwrócić uwagę na to, aby zostały w niej uwzględnione podstawowe zasady przetwarzania danych osobowych (opisane w RODO). Zaliczają się do nich następujące elementy:
- zasada legalności, rzetelności i przejrzystości przetwarzania,
- zasada celowości,
- zasada adekwatności (proporcjonalności) danych,
- zasada prawidłowości danych,
- zasada ograniczenia czasowego,
- zasada integralności i poufności danych.
Jakie kary mogą grozić za nieprzestrzeganie nowych przepisów RODO?
Za niedostosowanie się do nowych przepisów zawartych w rozporządzeniu RODO na właścicieli przychodni lekarskich oraz szpitali będą nakładane kary, które mogą sięgać nawet do 4% rocznych obrotów placówki medycznej. Lepiej więc, zamiast zostać postawionym przed koniecznością opłacenia kary, jak najszybciej zadbać o to (jeśli jeszcze mamy jakieś wątpliwości), aby wszystkie kwestie, których rozporządzenie dotyczy zostały skrupulatnie zaktualizowane.