Od 25 maja 2018 roku placówki medyczne będą zobowiązane do stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), nazywane dalej RODO.
Zgodnie z założeniami przyjętymi w ramach Unii Europejskiej rozporządzenie to ma zastąpić regulacje prawne obowiązujące w krajach członkowskich. W przypadku Polski, z chwilą rozpoczęcia stosowania unijnego rozporządzenia, przestanie obowiązywać ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych.
Jednak uchylaną ustawę ma zastąpić nowa ustawa, która ma mieć charakter uzupełniający do regulacji prawnych wynikających z rozporządzenia. Projekt tejże nowej ustawy z 12 września 2017 roku dostępny jest już na stronie internetowej Rządowego Centrum Legislacji.
Wprowadzane przez unijne rozporządzenie zmiany prawne, związane, przede wszystkim, z postępem technicznym i trwającą globalizacją, wynikających zwłaszcza z powszechnego dostępu do Internetu, będą, również dotyczyć placówek ochrony zdrowia.
Dane wrażliwe
Jest to szczególnie istotne, albowiem placówki te, jak wiadomo, przetwarzają tzw. sensytywne lub wrażliwe dane osobowe, a dotyczące zdrowia osób fizycznych. Unijne rozporządzenie, co do zasady, utrzymuje generalny zakaz przetwarzania danych wrażliwych, w tym danych medycznych, wprowadzając, jednocześnie, wyjątki od tej reguły i zezwalając jednostkom ochrony zdrowia na przetwarzanie danych medycznych osób fizycznych ze względu na cele zdrowotne, w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej.
Nie mniej unijny prawodawca, w treści rozporządzenia, określa cały szereg warunków, jakie muszą spełnić placówki medyczne, aby w sposób zgodny z prawem przetwarzać takie dane. Dodatkowo, pozostawia tutaj swobodę ustawodawcom krajowym chcącym wprowadzić dalsze warunki lub doprecyzować te już istniejące.
Na placówkę medyczną, jako administratora danych, rozporządzenie nakłada cały szereg obowiązków zarówno informacyjnych, względem osób, których dane są przetwarzane, obejmujących, między innymi, informacje o swoich danych kontaktowych, danych inspektora danych osobowych, celu przetwarzania oraz odbiorcach danych osobowych i kategoriach tychże odbiorców, a także prawie dostępu do danych czy prawie ich sprostowania.
Jednocześnie, jednostki ochrony zdrowia będą zobowiązane do wdrożenia wszelkich niezbędnych środków technicznych i organizacyjnych, w celu zapewnienie przetwarzania danych w sposób zgodny z unijnym rozporządzeniem, co wiązać się będzie z koniecznością opracowania odpowiednich dokumentów polityk ochrony danych osobowych.
Nadto, placówki medyczne będą zobligowane do prowadzenia dodatkowej dokumentacji w postaci dokumentu dokonującego oceny skutków dla ochrony danych oraz rejestru czynności przetwarzania. W tym miejscu warto podkreślić, iż przedmiotowy rejestr w całości zastąpi obowiązek rejestrowania zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych, który ma zastąpić GIODO. Obowiązek rejestracyjny, bowiem, zostanie zniesiony.
Inspektor ochrony danych musi być
Do nowości, z pewnością, można zaliczyć, przewidziany w treści unijnego rozporządzenia obowiązek posiadania przez podmioty wykonujące świadczenia zdrowotne Inspektora ochrony danych osobowych, który ma zastąpić Administratora Bezpieczeństwa Informacji, powoływanego obecnie fakultatywnie. Ponadto, unijny prawodawca, w sposób wyraźny uregulował w rozporządzeniu obligatoryjność posiadania pisemnej umowy z podmiotem, któremu powierzone zostało przetwarzanie danych osobowych przez placówkę medyczną.
Obowiązek informowania
Niewątpliwą nowością jest tutaj także, nałożony, między innymi na jednostki ochrony zdrowia, obowiązek informowania Urzędu Ochrony Danych Osobowych o każdym stwierdzonym naruszeniu zasad ochrony danych osobowych, z wyjątkiem przypadków, w których jest mało prawdopodobne by skutkowało ono naruszeniem praw lub wolności osób fizycznych oraz obowiązek zawiadomienia o takim naruszeniu, również, osoby, której takie dane dotyczą.
Niedopełnienie tak określonych obowiązków skutkować będzie mogło, między innymi, nałożeniem administracyjnych kar porządkowych, których wysokość jest także nowością, albowiem naruszenie omawianego rozporządzenia może skutkować w stosunku do placówki medycznej karą pieniężną w maksymalnej wysokości nawet do 20.000.000 euro, w przypadku publicznych jednostek ochrony zdrowia i do 4 procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w odniesieniu do placówek medycznych będących przedsiębiorcami, w zależności od rodzaju naruszenia.
Z dniem rozpoczęcia stosowania unijnego rozporządzenia można spodziewać się wejścia w życie nowej ustawy o ochronie danych osobowych oraz bardzo licznych zmian, w zakresie przepisów dotyczących ochrony danych osobowych, również w innych krajowych aktach prawnych. Dodatkowo, oczekiwany jest, także, branżowy kodeks postępowania dla podmiotów sektora ochrony zdrowia dotyczący ochrony danych osobowych, którego możliwość przygotowania została przewidziana w treści rozporządzenia. Pierwsze pracy nad kodeksem rozpoczęły się w lipcu 2017 roku.
Więcej na temat zmian związanych z wprowadzeniem RODO w placówkach medycznych będzie się można dowiedzieć podczas bezpłatnego webinarium>>>
Maciej Łokaj, radca prawny, członek Okręgowej Izby Radców Prawnych w Łodzi. Specjalizuje się w dziedzinach prawa ochrony zdrowia, prawa medycznego, prawa gospodarczego, prawa spółek oraz prawa pracy. Autor i współautor licznych opracowań z zakresu prawa medycznego. Współautor publikacji „Działalność lecznicza. Podmioty wykonujące działalność leczniczą” Warszawa 2013. Szkoleniowiec i prelegent podczas zjazdów i konferencji managerów ochrony zdrowia i lekarzy. Doświadczenie zdobywał uczestnicząc w obsłudze prawnej dużych placówek ochrony zdrowia, między innymi szpitali klinicznych, a także medycznych towarzystw naukowych oraz lekarskich praktyk zawodowych. Obecnie prowadzi własną działalność zawodową, w ramach Grupy Kancelarii Prawnych, świadcząc obsługę prawną na rzecz przedsiębiorców i innych podmiotów, w tym także podmiotów wykonujących działalność leczniczą.