Obowiązek przestrzegania RODO dotyczy podmiotów leczniczych oraz lekarzy prowadzących prywatną lub grupową praktykę ze względu na dane osobowe przetwarzane w związku z działalnością zawodową – informowała dr n. praw. Edyta Wasilewska podczas konferencji Beauty&Law zorganizowanej przez LuxPR w maju w Warszawie
RODO, czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych zaczęło obowiązywać 25 maja b.r. Dotyczy właściwie wszystkich danych osób fizycznych związanych z prowadzeniem działalności leczniczej.
Co więcej – jak zauważa Edyta Wasilewska, która prowadzi wdrożenia RODO w gabinetach – dane o zdrowiu należą do grupy informacji wrażliwych, podlegających szczególnej ochronie.
Cel zdrowotny przetwarzania danych
Wbrew częstym obawom placówki medyczne i lekarze nie muszą zdobywać teraz zgód pacjentów na ich dane. – Przetwarzanie danych przez podmiot medyczny na podstawie zgody pacjenta jest rzadką sytuacją. Co do zasady przetwarzanie danych osobowych odbywa się bez zgody pacjenta. Wiodące znaczenie wśród podstaw prawnych legalizujących przetwarzanie danych osobowych pacjentów będzie pełnić tzw. „cel zdrowotny przetwarzania” – tłumaczyła Edyta Wasilewska.
Zgodnie z przepisami nie jest wymagana zgoda pacjenta jeśli przetwarzanie jego danych jest niezbędne do realizacji „celów zdrowotnych”, do których zaliczana jest: profilaktyka zdrowotna, medycyna pracy, diagnoza medyczna i leczenie, zapewnienie opieki zdrowotnej oraz zarządzanie systemami i usługami opieki zdrowotnej, zabezpieczenie społeczne.
Z drugiej strony Edyta Wasilewska zaznaczała, że nie jest jeszcze do końca jasne, czy przetwarzanie danych osobowych niezbędnych do wykonania zabiegu medycyny estetycznej legalizuje zgoda pacjenta, czy przesłanka celu zdrowotnego.
Duży stopień ogólności
Edyta Wasilewska zwracała uwagę, że przepisy RODO są ogólne i dużo zależy od praktyki ich stosowania przez władze. Jak informowała do obowiązków administratora danych należy w szczególności: oszacowanie ryzyka związanego z przetwarzaniem danych osobowych, wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i odpowiadało oszacowanemu ryzyku, wdrożenie środków bezpieczeństwa w sposób, który jednocześnie pozwoli to wykazać organowi nadzorczemu.
Edyta Wasilewska wymieniła szereg środków, które można wdrożyć, żeby zabezpieczyć dane. Należą do nich m. in. pseudonimizacja i szyfrowanie danych osobowych, zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, polityka czystego biurka i czystego ekranu, niszczenie dokumentów i nośników zawierających dane osobowe, regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania, wdrożenie przez administratora odpowiednich polityk ochrony danych, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji, szkolenie osób upoważnionych do przetwarzania danych osobowych, spisane zasady rejestracji pacjentów.
Prawniczka radzi dokumentować swoje działania w celu wykazania się nimi w razie kontroli.
MC: wysokie kary to mit
W ramach regulacji RODO przewidziane są wysokie kary dla podmiotów łamiących przepisy. Jednak dr Maciej Kawecki, dyrektor Departamentu Zarządzania Danymi Ministerstwa Cyfryzacji (MC) uspokajał podczas konferencji prasowej 25 maja: – To, że w RODO pojawiają się kary finansowe absolutnie nie oznacza, że jutro prezes Urzędu Ochrony Danych Osobowych nałoży na kwiaciarkę z Hali Mirowskiej karę 20 mln euro – mówił.
Tłumaczył, że kary w tak ogromnym wymiarze znalazły się w przepisach po to, żeby nawet dla internetowych gigantów takich jak np. Facebook były odczuwalne, ale nie niszczące działalność. Przekonywał, że w żadnym wypadku kary nie mogą „zabijać” działalności podmiotu.
Przedstawiciel Ministerstwa Cyfryzacji podkreślał, że wymiar kar jest zróżnicowany w przepisach i ograniczony do 4 proc. obrotu. – RODO wskazuje bardzo wyraźnie: najpierw jest upomnienie, potem ostrzeżenie, potem decyzje nie zawierające kar a dopiero na końcu kary – wyjaśniał Maciej Kawęcki. Dodał, że Urząd Ochrony Danych Osobowych będzie jeszcze opracowywał szczegółowe instrukcje w tej sprawie.
Źródło: rynekestetyczny.pl/Beuty&Law, Ministerstwo Cyfryzacji