Każda nowelizacja prawa pociąga za sobą szereg nowych postanowień, które muszą być respektowane od pierwszego dnia jej wejścia w życie. Podobnie sytuacja wygląda w przypadku RODO. Do przestrzegania zapisów w niej zawartych zobowiązane są wszystkie przychodnie lekarskie i szpitale w Polsce. Od 25 maja 2018 roku wszystkie placówki medyczne są zobowiązane do przeprowadzania procesu przetwarzania danych osobowych pacjentów zgodnie ze wszystkimi wymogami RODO.
Najważniejsze zmiany dotyczące placówek medycznych po wejściu w życie RODO:
- Od momentu wejścia w życie RODO automatyczne profilowanie pacjentów według miejsca zamieszkania, wieku oraz płci będzie niedozwolone (pod groźbą surowych kar)
- Nie będzie można wysyłać mailingów do pacjentów na podstawie aktualnie posiadanych zgód na przetwarzanie danych osobowych (trzeba będzie posiadać nowe)
- Zabronione będzie korzystanie z baz zewnętrznych w celu zareklamowania pacjentom konsultacji i usług (pod groźbą surowych kar)
Podstawowym zadaniem nowych przepisów jest ujednolicenie poziomu ochrony danych osobowych oraz zapewnienie poczucia pewności prawnej w zakresie przetwarzania danych osobowych we wszystkich krajach Unii Europejskiej.
Zadbaj o to, aby aktualnie wykorzystywane w placówce medycznej klauzule zgód były zgodne z wymogami RODO
Należy sprawdzić czy stosowane aktualnie przez placówkę medyczną klauzule zgód są zgodne z nowym unijnym rozporządzeniem dotyczącym ochrony danych osobowych. W celu legalnego przetwarzania danych pacjentów trzeba zadbać o następujące elementy wyrażanych przez nich zgód:
- Zapytanie o zgodę na przetwarzanie danych osobowych pacjentów musi być opisane w sposób wyraźny, tak aby można ją było z łatwością odróżnić od pozostałych kwestii zawartych w treści umowy lub regulaminu
- Klauzula zgody powinna być sformułowana językiem prostym, zrozumiałym dla wszystkich pacjentów korzystających z usług placówki medycznej
- Treść przygotowanych klauzul nie powinna budzić jakichkolwiek wątpliwości, w jakim celu dane osobowe pacjentów będą wykorzystywane
- W przypadku profilowania danych, czyli zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych pacjentów do oceny niektórych czynników osobowych osoby fizycznej, konieczna jest zdecydowana zgoda osoby, o której dane chodzi
RODO rozszerza zakres obowiązków informacyjnych nałożonych na placówki medyczne. Przede wszystkim dotyczy to:
- Okresu przechowywania danych osobowych lub kryteriów ustalania jego długości,
- Informacji o prawie cofnięcia zgody na przetwarzanie danych osobowych,
- Informacji o prawie sprzeciwu wobec przetwarzania danych oraz prawie do ich przenoszenia,
- Informacji o prawie wniesienia skargi do Biura Generalnego Inspektora Ochrony Danych Osobowych (GIODO),
- Informacji o ewentualnych profilowaniu danych,
- Danych kontaktowych do Inspektora Ochrony Danych, o ile został powołany.
Zwiększenie uprawnień pacjentów w zakresie zarządzania danymi osobowymi
Od 25 maja 2018 roku pacjenci mają większą swobodę w zarządzaniu danymi osobowymi, które podali w placówce medycznej. Dzięki zwiększeniu uprawnień wynikających z nowego zapisu RODO pacjenci nabywają prawo do usunięcia danych oraz prawo do przenoszenia danych.
Nie zapomnij o aktualizacji dokumentacji wewnętrznej oraz procedur w placówce medycznej pod kątem nowych przepisów RODO:
Każda placówka medyczna zobowiązana jest do zaktualizowania i dostosowania wszystkich procedur w niej obowiązujących do wymogów RODO. Przede wszystkim warto zwrócić uwagę na to, aby zostały w niej uwzględnione podstawowe zasady przetwarzania danych osobowych (opisane w RODO). Zaliczają się do nich następujące elementy:
- zasada legalności, rzetelności i przejrzystości przetwarzania,
- zasada celowości,
- zasada adekwatności (proporcjonalności) danych,
- zasada prawidłowości danych,
- zasada ograniczenia czasowego,
- zasada integralności i poufności danych.
Jakie kary mogą grozić za nieprzestrzeganie nowych przepisów RODO?
Za niedostosowanie się do nowych przepisów zawartych w rozporządzeniu RODO na właścicieli przychodni lekarskich oraz szpitali będą nakładane kary, które mogą sięgać nawet do 4% rocznych obrotów placówki medycznej. Lepiej więc, zamiast zostać postawionym przed koniecznością opłacenia kary, jak najszybciej zadbać o to (jeśli jeszcze mamy jakieś wątpliwości), aby wszystkie kwestie, których rozporządzenie dotyczy zostały skrupulatnie zaktualizowane.