Serwis stomatologiczny
Centralny Rejestr Lekarzy

Jesteśmy na FB

Rynek zdrowia

Ochrona danych osobowych ”po nowemu” – RODO

RODO1

Od dnia 25 maja 2018 roku zaczną obowiązywać nowe, unijne standardy ochrony danych osobowych wprowadzone do porządku prawnego poprzez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/697 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych”) zwane popularnie „RODO”.

Rozporządzenie będzie obowiązywać wprost we wszystkich krajach UE, a z momentem rozpoczęcia jego stosowania w Polsce stracą moc akty prawne, które na chwilę obecną regulują kwestie ochrony danych osobowych w Polsce:

  • ustawa  z dnia 29 sierpnia 1997 roku o ochronie danych osobowych,
  • Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Należy podkreślić, iż w obszarze ochrony danych osobowych, w tym danych medycznych, oprócz kluczowych regulacji w/w Rozporządzenia istotne znaczenie będą miały także, aktualnie będące w fazie projektów, nowa polska ustawa ochronie danych osobowych oraz tzw. kodeksy branżowe.

Regulacje RODO odnosić się będą do wszystkich podmiotów prowadzących działalność leczniczą dlatego zasadnym jest już w chwili obecnej  dokonanie oceny realizowanych w podmiotach procedur regulujących kwestię ochrony danych osobowych.

Zgodnie z RODO przez „dane osobowe” rozumie się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej gdzie bezpośrednia lub pośrednia identyfikacja jest w szczególności  możliwa na podstawie imienia i nazwiska, numeru identyfikacyjnego, danych o lokalizacji, identyfikatora internetowego lub jednego bądź kilku szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Z punktów widzenia codziennej praktyki podmiotów wykonujących działalność leczniczą najistotniejsze znaczenie ma wyodrębnienie z ogólnego zbioru „ danych osobowych” kategorii „danych o stanie zdrowia”.

RODO za “dane dotyczące zdrowia” uznaje dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia. Uszczegółowiając należy wskazać, iż do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane, ujawniające informacje o jej przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego zdrowia osoby, której dane dotyczą.

Do danych takich należą w szczególności:

  • informacje zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, numer,
  • symbol lub oznaczenie przypisane danej osobie w celu jednoznacznego jej zidentyfikowania do celów zdrowotnych;
  • informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym dane genetyczne i próbki biologiczne;

Dane te obejmują również wszelkie informacje, o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Warto zaakcentować, że dane o stanie zdrowia zaliczane są do szczególnej kategorii danych nazywanych zbiorczo „danymi wrażliwymi” („sensytywnym”). Dość powszechnie przyjmuje się – a w RODO jest to wyrażone expresis verbis – że  pewne kategorie danych osobowych traktowane są jako tzw. „dane wrażliwe”, a zaliczane są do nich, oprócz danych o stanie zdrowia, m.in. dane o poglądach politycznych, wyznawanej religii, pochodzeniu rasowym, dane o nałogach, seksualności itd. Można – obrazowo na kanwie jednego z orzeczeń Trybunału Praw Człowiek – powiedzieć, że szczególny charakter tych danych wynika z tego, iż ujawnione w określonym, kontekście mogą całkowicie zniszczyć prywatność danej osoby.

Interesujące jest wyodrębnienie przez RODO także innych szczególnych kategorii danych tj “dane genetyczne” (dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej czy “danych biometrycznych” (dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne).

Co do zasady RODO utrzymuje dotychczasowy zakaz przetwarzania danych wrażliwych, gdzie przez „przetwarzanie” rozumie się wszelkie operacje jakie są na nich przeprowadzane w szczególności ich zbieranie, modyfikację oraz usuwanie.

Oczywiście, chociażby w procesie udzielania świadczeń zdrowotnych czy innej działalności, niemożliwe by to było jej wykonywanie w sytuacji gdyby zakaz przetwarzania danych wrażliwych miał charakter bezwzględny.

RODO określa kilka przesłanek w jakich prawnie dopuszczalne jest przetwarzanie „danych wrażliwych”, z których jedną z podstawowych jest  zgoda osoby, której dane dotyczą.

Dla potrzeb realizacji ochrony zdrowia dedykowaną wydaje się przesłanka uprawniająca do przetwarzania w sytuacji gdy jest to  m.in. niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego przez pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej lub na jego odpowiedzialność.

W tym miejscu przypomnieć należy o obowiązującym standardzie tajemnicy zawodowej jaka wiąże lekarza w zakresie określonym w szczególności przez art. 40 ustawy o zawodach lekarza i lekarza dentysty oraz szczególnych wymogach dotyczących zasad prowadzenia dokumentacji medycznej.

Jednocześnie RODO uprawnia Państwa UE do zachowania lub wprowadzenia  dalszych warunków, w tym także ograniczeń w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia. Możliwe, iż znajdą one swoje odzwierciedlenie w projektowanych akta prawa polskiego.

Z punktu widzenia samej organizacji i zasad przetwarzania danych osobowych istotne jest odwołanie się do dwóch pojęć zdefiniowanych w RODO tj.:

 – administratora czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

“podmiot przetwarzający” czyli osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Zarówno na administratorów jak również podmioty przetwarzające RODO nakład określone obowiązki w obszarach informacyjnych oraz organizacyjno-technicznych związanych z przetwarzaniem danych. Przepisy Rozporządzenia kształtują także zasady odpowiedzialności podmiotów zobowiązanych do zapewnienia prawidłowości i bezpieczeństwa danych.

Z nowych regulacji warto zwrócić uwagę w szczególności na kwestie związane z :

  1. rejestrowaniem czynności przetwarzania: każdy administrator ma obowiązek prowadzić rejestr czynności przetwarzania danych osobowych, za które odpowiadają obejmujący m.in.: imię i nazwisko lub nazwę oraz dane kontaktowe administratora, cele przetwarzania; opis kategorii osób, których dane dotyczą, kategorie danych osobowych oraz jeżeli jest to możliwe ogólny opis technicznych i organizacyjnych środków bezpieczeństwa i inne.
  2. bezpieczeństwem przetwarzania: administrator (względnie przetwarzający dane) uwzględniając zarówno stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku, w tym m.in.: pseudonimizację i szyfrowanie danych osobowych; zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania; zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  3. zgłaszaniem naruszenia ochrony danych osobowych: zgłoszenie takie administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – przekazuje organowi nadzorczemu (przez organ nadzorczy rozumie się organ publiczny powołany w danym Państwie w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem danych).
  4. wyznaczeniem inspektora ochrony danych: administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:- przetwarzania dokonują organ lub podmiot publiczny (co do zasady), z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;- główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub- główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

    Inspektor ma m.in. za zadanie informowanie administratora (podmiotu przetwarzającego) oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy obowiązujących przepisów oraz monitorowanie ich przestrzegania.

  5. kar pieniężnych: organ nadzorczy obok lub zamiast zastosowani środków naprawczych w przypadku stwierdzenia uchybień w przetwarzaniu danych osobowych będzie mógł nałożyć finansowe kary administracyjne, które winny być zindywidualizowane przy uwzględnieniu szeregu wskazanych w RODO czynników.

Powyższe rozważania mają jedynie charakter sygnalizacyjny. Ze względu na różnorodność podmiotów przetwarzających dane (ich charakter organizacyjny, potencjał techniczny czy finansowy) oraz różnoraki charakter danych osobowych i skalę ich przetwarzania ocena wymogów musi mieć siłą rzeczy sprofilowany indywidualnie wymiar, nawet gdy pozornie są to podmioty działające w tym samy obszarze i poziomie. Zdecydowanie inny będzie poziom wymagań dla podmiotów bardziej zorganizowany (podmioty lecznicze), a inny dla praktyki zawodowej. To co wydaje się jednak, już na tym etapie dość jednoznaczne, to fakt, iż w przeciwieństwie do uprzednio obowiązujących regulacji, do samego procesu przetwarzania danych RODO daje bardziej ramowe niż sztywne jednolite rozwiązania pozostawiając administratorowi zarówno ocenę skali przetwarzania jak również wybór mechanizmów zabezpieczających  jej prawidłowość. Artykuł 24 ust. 1 RODO stanowi bowiem wprost, że administrator: uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Niewątpliwie pomocne w realizacji w/w obowiązków będą zarówno kodeksy branżowe jak również mechanizmy certyfikacji co do których tworzenia RODO zachęca zarówno na poziomie krajowym jak i unijnym.

Niewątpliwie z punktu widzenia podmiotów wykonujących działalność leczniczą zasadniczą kwestią, już na tym etapie, wydaje się przede wszystkim przegląd mechanizmów i procedur dotychczas realizowanych w sferze przetwarzana danych osobowych, a w konsekwencji indywidualne dostosowanie działalności do wymogów RODO.

—————————————————————————————
Pełny tekst Rozporządzenia (str. 1 – 88) pod linkiem:
http://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=OJ:L:2016:119:FULL&from=PL

 

Kalendarium

Grudzień 2018
PWŚCPSN
« lis   sty »
      1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31       

Galerie

  • Galeria remontowa październik 2018 r.
    Galeria remontowa październik 2018 r.
    2018-11-13 11:07:44
  • Galeria remontowa lipiec 2018 r.
    Galeria remontowa lipiec 2018 r.
    2018-09-26 12:47:48
  • Galeria remontowa 21.06.2018
    Galeria remontowa 21.06.2018
    2018-07-25 10:48:47
  • Bajkowa Suwalszczyzna oczarowała Seniorów
    Bajkowa Suwalszczyzna oczarowała Seniorów
    2018-05-21 11:44:09

Polecamy

Wybory