RODO w ochronie zdrowia – wdrażajmy, ale z rozwagą

Przetwarzanie danych osobowych wzbudzało i wciąż wzbudza wiele wątpliwości ze strony osób zarządzających placówkami medycznymi. W dobie dynamicznego rozwoju technologicznego i coraz częściej obserwowanych wycieków sensytywnych informacji, warto zadbać o odpowiedni poziom ochrony danych znajdujących się pod naszą opieką.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) weszło w życie 25 maja br. Równolegle weszła w życie nowelizacja Ustawy o ochronie danych osobowych, która doprecyzowuje pewne aspekty związane ze stosowaniem RODO w polskim porządku prawnym.

Panująca przy opisywanych zmianach legislacyjnych atmosfera nerwowości okazała się dla wielu podmiotów zgubna – jakość wdrożenia zasad ochrony danych budzi wątpliwości, o czym świadczy przykład podmiotu, który ujawnił dane osobowe wszystkich swoich kontrahentów, spełniając obowiązek informacyjny wynikający z RODO.

Ochrona danych osobowych powinna być standardem

Akta leżące na wierzchu w gabinecie lekarskim, bardzo głośne wywoływanie osób po nazwisku i jego danych wrażliwych czy wywiad medyczny prowadzony w wąskich korytarzach szpitala (nierzadko przy innych pacjentach), to codzienność wielu placówek. W świetle przepisów ochrony danych osobowych tego rodzaju praktyki nie były dozwolone od wielu lat. Wejście w życie regulacji na poziomie unijnym pozwoliło podnieść świadomość wagi praw i obowiązków związanych z przetwarzaniem danych osobowych. W toku analizy dokonywanych procesów przetwarzania informacji osobowych, prowadzonych w związku z wejściem w życie RODO, zaobserwowano niezgodność z podstawowymi zasadami rozporządzenia – przetwarzanych danych było za dużo, nie do końca wiadomo było, kto może mieć do nich dostęp albo miały go takie osoby, których czynności mogły być swobodnie wykonywane bez uzyskiwania wglądu do określonych zbiorów danych. Przykładowo, nie ma bowiem konieczności, by osoba rejestrująca wizytę dysponowała tak wrażliwymi danymi, jak np. informacja o zakażeniu pacjenta wirusem HIV. Wielokrotnie dla placówek medycznych podjęcie czynności wdrożeniowych pozwalało na audyt stosowanych praktyk, którego efekty budziły duże zaskoczenie.

Bez wątpienia bodźcem mobilizacyjnym dla wielu przedsiębiorców okazały się kary za naruszenia przepisów – do 20 mln euro lub 4% całego obrotu. Względem jednostek sektora finansów publicznych (w tym NFZ oraz samodzielnych publicznych zakładów opieki zdrowotnej) administracyjne kary pieniężne ograniczono do kwoty 100 tys. zł.

Czytaj także: RODO – implementacja rozporządzenia