6 lutego 2018

Gdy RODO wejdzie w życie…

Ochrona danych osobowych

Z dr. Maciejem Kaweckim, dyrektorem Departamentu Zarządzania Danymi w Ministerstwie Cyfryzacji,
rozmawia Ewa Szarkowska.

Już za kilka miesięcy polski system ochrony danych osobowych czeka prawdziwa rewolucja. Dlaczego?

Nasza reforma ochrony danych osobowych znajduje źródło w prawie europejskim. Ustawodawca unijny podjął decyzję o zunifikowaniu zasad ochrony danych osobowych, czyli o stworzeniu aktu, który obowiązuje w takim samym zakresie we wszystkich państwach członkowskich. Pewne obszary pozostawił w kompetencji państw członkowskich. Od 25 maja 2018 r., kiedy unijne rozporządzenie znane jako RODO wejdzie w życie, polski system ochrony danych osobowych będzie się składał z trzech aktów – rozporządzenia unijnego, nowej ustawy o ochronie danych osobowych i zmienionych ponad 130 ustaw sektorowych. To ogromny pakiet legislacyjny. Czwartym będzie ustawa implementująca tzw. dyrektywę policyjną, ale ma ona mniejsze znaczenie dla sektora zdrowia.

Na czym polegają główne zmiany?

Generalnego inspektora ochrony danych osobowych zastąpi prezes Urzędu Ochrony Danych. Nowy urząd będzie miał więcej uprawnień, m.in. możliwość nakładania surowych kar finansowych, co gwarantuje powszechniejsze poszanowanie praw do ochrony danych osobowych. Ale prezes urzędu będzie przede wszystkim organem wspomagającym i konsultującym, a dopiero w drugiej kolejności – karzącym. Będzie opracowywał wspólnie z poszczególnymi sektorami tzw. dobre praktyki, które ułatwią wykorzystywanie danych osobowych obywateli w sposób odpowiadający nowym przepisom, z uwzględnieniem potrzeb każdej branży.

Nowe regulacje oznaczają dla systemu ochrony zdrowia sporo istotnych zmian, do których trzeba się przygotować.

Sektor zdrowia to obszar, w którym dane osobowe są przetwarzane w ogromnych zasobach. Nie ma innego podmiotu, który by przetwarzał większą liczbę danych dotyczących zdrowia niż NFZ. Poza tym prawie wszystkie gromadzone dane są danymi wrażliwymi, bo dotyczą naszego stanu zdrowia, a zatem szczególnie chronionymi. I dlatego w zasadzie w całości sektor medyczny będzie objęty obowiązkiem powołania inspektora ochrony danych. I nie ma tu znaczenia, czy jest to duży szpital, czy mała praktyka lekarska. Jeśli lekarz przyjmuje dziennie czterech pacjentów, tygodniowo ma ich 20, miesięcznie co najmniej 80, w ciągu roku ponad 1000, a w ciągu paru lat – kilka tysięcy. I jest zobowiązany do powołania inspektora danych osobowych. Obowiązek ten dotyczy również lekarza specjalisty, który w ramach indywidualnej działalności gospodarczej przyjmuje prywatnie tylko raz w miesiącu, a także lekarza, który prowadzi własną praktykę lekarską w pomieszczeniu wynajętym przez szpital.
W przypadku kontraktorów, wynajętych jako podwykonawcy przez szpital, odpowiedzialność za zabezpieczenie danych osobowych ponosi ów szpital. Lekarze na kontraktach mają jednak obowiązek stosować się do wdrożonych przez placówkę procedur bezpieczeństwa.

To jest pierwsza zmiana bardzo istotna, odczuwalna i kosztogenna dla sektora medycznego. Nikt nie pracuje za darmo i inspektorowi należy się wynagrodzenie, bo musi opracować i wdrożyć procedury zapewniające bezpieczeństwo zbiorów danych wrażliwych. W dużym szpitalu prawdopodobnie to będzie osoba zatrudniona na etacie. Jednoosobowe praktyki lekarskie zapewne będą korzystały z outsourcingu zewnętrznego podmiotu.

Czy funkcję inspektora może pełnić sam lekarz?

Lekarz nie może pełnić takiej roli, ponieważ byłby to absolutny konflikt interesów.

Czy inspektorem danych osobowych może zostać obecny administrator IT?

Tak, pod warunkiem, że ma wiedzę i doświadczenie w zakresie ochrony danych osobowych. Pracodawca/zleceniodawca musi żądać poświadczenia doświadczenia. Są różne formuły weryfikacji – studia podyplomowe, rozmowa kwalifikacyjna, testy wstępne. Inspektorem może być osoba, która zajmowała się przez 20 lat systemami informatycznymi i ma doświadczenie albo zajmowała się kadrami i przetwarzała zasoby kadrowe. Powierzenie zadań inspektora ochrony danych osobowych osobie niedoświadczonej wiąże się z większym ryzykiem wizerunkowym i finansowym, czyli z karami.

Na co jeszcze muszą się przygotować wszystkie placówki medyczne?

Zgodnie z nowymi regulacjami każdy będzie miał prawo żądania, by przekazano jego dane osobowe innemu podmiotowi. To będzie dotyczyło także sektora medycznego. Jeśli ktoś np. zmieni lekarza rodzinnego, będzie mógł zażądać od tego, u którego leczył się wcześniej, żeby jego dokumentację medyczną przesłał innemu lekarzowi. W takiej sytuacji lekarz A będzie zobowiązany przekazać informacje lekarzowi B, a jednocześnie pozostawić je w swoich zasobach. W ogromnych podmiotach, takich jak szpitale kliniczne, liczba żądań pewnie będzie wynosiła kilka dziennie, więc ten proces powinien być zautomatyzowany. W jednoosobowych praktykach lekarskich proces nie musi być zautomatyzowany, wymaga jednak wdrożenia pewnych procedur.

Nowe przepisy wprowadzają podejście do przetwarzania i ochrony danych osobowych oparte na ryzyku.

To bardzo istotna zmiana. Dzisiaj jesteśmy przyzwyczajeni, że dostajemy konkretne wytyczne, jak zabezpieczać dane osobowe, i jeśli ktoś je wypełnia, nawet gdy coś się stanie, nie ponosi odpowiedzialności. Teraz to się zmieni. Każdy administrator danych, czyli każdy szpital, każdy lekarz, który prowadzi indywidualną praktykę lekarską, będzie miał obowiązek samodzielnie każdorazowo oceniać ryzyko i dostosowywać do niego swoje zabezpieczenia. Przykład – korzystanie z monitoringu wizyjnego. Jeśli jest zainstalowany na korytarzu w Ministerstwie Cyfryzacji, gdzie nikt nie ujawniania informacji dotyczących swojego stanu zdrowia, korzystanie z niego podlega normalnym zasadom określonym prawem. Ale zamontowanie monitoringu w poczekalni oznacza już gromadzenie danych wrażliwych. Bo bardzo często na drzwiach, obok imienia i nazwiska lekarza, jest także informacja o jego specjalizacji, bardzo często u pacjenta widać chorobę. W związku z tym zasady stosowania monitoringu są tam zupełnie inne, bo ryzyko jest wysokie. Zabezpieczanie taśm z monitoringu w takich miejscach powinno być zatem odpowiednio dokładne.

Inny przykład – korzystanie z usług firm sprzątających. Są pomieszczenia, takie jak mój gabinet, gdzie poza biurkiem nie ma nic, a dostęp do komputera uzyskuje się za pomocą indywidualnej karty, którą właściciel ma zawsze przy sobie. W związku z tym pomieszczenie może być sprzątane pod nieobecność kogokolwiek. Ale jeżeli mamy do czynienia
z placówką medyczną przetwarzającą dane wrażliwe o zdrowiu, gdzie bardzo często karty pacjentów z widocznymi na kopertach numerami PESEL rozłożone są na biurku w gabinecie lekarskim, nie mówiąc już o rejestracjach, w których jest przechowywana pełna dokumentacja medyczna w wersji papierowej lub elektronicznej, to takie miejsca powinny być sprzątane tylko w obecności pracowników placówki.

Warto chyba o tym pamiętać, bo z nowymi regulacjami pacjenci zyskają prawo żądania odszkodowania za naruszenie prawa do ochrony danych osobowych, a na podmiot, który dokona naruszenia, będą nakładane horrendalnie wysokie kary.

Za naruszenie poufności danych osobowych lub prywatności, GIODO nie ma uprawnienia do nakładania kar finansowych . Od 25 maja 2018 r. sytuacja ulegnie radykalnej zmianie. Prezes Urzędu Ochrony Danych Osobowych będzie uprawniony do nakładania kar: przypadku sektora prywatnego do 20 mln euro, w przypadku sektora publicznego
– do 100 tys. zł. Jeżeli placówka ochrony zdrowia funkcjonuje w formie publicznego zakładu opieki zdrowotnej, złamanie przez nią przepisów będzie podlegało karze do 100 tys. zł. Wobec placówek medycznych działających w formie spółek cywilnych oraz jednoosobowych praktyk lekarskich będą orzekane kary do 20 mln euro. To kara absolutnie maksymalna, ale rzeczywiście robi wrażenie. W większym wymiarze będzie nakładana, jeśli zdarzy się, że z winy umyślnej lekarza lub innej osoby mającej dostęp do danych wrażliwych dojdzie do bezprawnego udostępnienia danych dotyczących stanu zdrowia wszystkich pacjentów. W praktyce o jej ostatecznej wysokości będzie decydować wiele kryteriów, tj. wina umyślna, nieumyślna, współpraca z organem nadzorującym, posiadanie certyfikatu bezpieczeństwa itp. 

Forum dyskusyjne - napisz komentarz

Musisz się zalogować, aby móc dodać komentarz.

Archiwum