Placówki medyczne powinny szczególnie dbać o bezpieczeństwo danych osobowych swoich pacjentów z uwagi na przetwarzanie danych wrażliwych, czyli szczególnej kategorii. Niestety często podmioty takie nie mają przyjętych odpowiednich procedur podnoszących bezpieczeństwo danych, a także odpowiedniego systemu szkolenia pracowników i współpracowników, którzy są najsłabszym ogniwem systemu bezpieczeństwa – to zazwyczaj człowiek popełnia błąd. Zarówno duże szpitale, jak i małe przychodnie codziennie świadczą usługi na rzecz wielu osób, co równoznaczne jest z tym, że stają się one administratorami ich danych szczególnie chronionych. Jak aktualnie są chronione i co się zmieni w tej kwestii po wprowadzeniu – już w maju br. – RODO?
Co wymaga poprawy?
Każda jednostka medyczna gromadzi dane pacjentów, w tym te wrażliwe, w związku z czym powinna stosować w swojej działalności jeszcze przepisy ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. W praktyce bywa jednak różnie. W szczególności pracownicy niezależnie od wielkości placówek, często nie przykładają wystarczającej uwagi do przestrzegania wewnętrznych regulacji z zakresu ochrony danych w tym bezpieczeństwa informacji. Może to wynikać z ogromu pracy jaką mają na co dzień, nie powinni o tym elemencie jednak zapominać. Problem może być ulokowany niestety również wyżej w kierownictwie organizacji – wiele placówek nie ma w ogóle lub ma nieodpowiednie procedury ochrony danych – w takiej sytuacji szeregowi pracownicy pozostają bezsilni – mówi adw. Marcin Zadrożny, WTB.
Najczęstszą przyczyną zagrożeń dla danych pacjentów jest brak wiedzy i przyjęcia odpowiednich procedur – przechowywanie dokumentacji medycznych w miejscach ogólnie dostępnych, pozostawienie otwartego gabinetu lekarskiego bez nadzoru, czy też włączonego komputera z otwartym programem do obsługi pacjentów. Wszystko to naraża osoby korzystające z usług podmiotów medycznych, w tym przychodni lekarskich na niebezpieczeństwo. Tak niezabezpieczone informacje są łatwym celem dla osób postronnych. Nierzadko pacjenci nie są również w odpowiedni sposób uświadamiani o przetwarzaniu ich informacji podmioty często nie dopełniają obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych na mocy obecnie jeszcze obowiązującej ustawy o ochronie danych osobowych
Co zmieni RODO
Wejście w życie nowego prawa wpłynie na sytuację pacjentów placówek. Dzięki zmianom sektor ochrony zdrowia otworzy się na nowe technologie przetwarzania informacji i podniesie poziom bezpieczeństwa przetwarzanych danych. – wskazuje adw. Marcin Zadrożny WTB.
Najważniejsze zmiany, jakie wprowadza RODO dla branży medycznej to przede wszystkim:
- Inspektor ochrony danych (IOD), który będzie miał więcej obowiązków niż do tej pory administrator bezpieczeństwa informacji (ABI). Podmioty medyczne, które przetwarzają dane dot. stanu zdrowia swoich pacjentów na dużą skalę będą musiały obligatoryjnie wyznaczyć IOD. Dzięki temu branża medyczna zyska dobrze wykwalifikowaną osobę, która m.in. będzie monitorowała przestrzeganie przepisów RODO i innych przepisów – zyskają na tym również pacjenci poprzez większą gwarancję ochrony ich danych.
- Obowiązek odpowiedniego informowania. Osoba, która będzie chciała skorzystać z usług szpitala lub przychodni będzie musiała zostać uświadomiona w sposób przejrzysty, zrozumiały i przystępny, dlaczego i w jakim celu będą przetwarzane jej dane osobowe, jakie posiada prawa, czy jak długo te dane będą przetwarzane przez podmiot medyczny.
- Konieczność oceny skutków planowanych operacji przetwarzania dla ochrony danych. Taka ocena będzie musiała zawierać m.in. opis planowanych operacji i celów przetwarzania, ze wskazaniem czy są one niezbędne oraz proporcjonalne w stosunku do zamiarów, oszacowania ryzyka naruszenia praw lub wolności osób, których one dotyczą.
- Utworzenie rejestru czynności przetwarzania. Prowadzenie takiego wewnętrznego rejestru stanie się obligatoryjne. Administrator będzie musiał zamieścić w nim m.in. takie informacje jak: imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz inspektora ochrony danych, cele przetwarzania, opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych, jeżeli jest to możliwe planowane terminy usunięcia poszczególnych kategorii danych oraz ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.
