Oko w oko z temidą

Ryzyko roszczeń pacjentów w świetle nowych przepisów o ochronie danych osobowych

adw. Joanna Mamczur

Kancelaria Adwokacka w Warszawie

www.mamczur.com

Adres do korespondencji: Adwokat Joanna Mamczur – Kancelaria Adwokacka w Warszawie, www.mamczur.com; e-mail: joanna.mamczur@mamczur.com

Już za kilka miesięcy zaczną obowiązywać nowe podstawy prawne roszczeń pacjentów i sankcji administracyjnych, wprowadzone na mocy Rozporządzenia UE w sprawie Ochrony Danych Osobowych (tzw. RODO) i planowanych nowelizacji polskich ustaw.

Wprowadzenie

Zmiany w przepisach mają rewolucyjne znaczenie dla ochrony danych osobowych – restrykcje będą miały zasięg ogólnoświatowy, a podmioty przetwarzające będą narażone na bezpośrednie roszczenia osób domagających się zadośćuczynienia z tytułu naruszenia ochrony ich danych osobowych.

Szczególnie narażony jest tutaj sektor ochrony zdrowia – lekarze prowadzący indywidualną praktykę lekarską, podmioty lecznicze, apteki, firmy farmaceutyczne, podmioty wykonujące lub zlecające badania kliniczne, a także firmy świadczące usługi zewnętrzne dla tych podmiotów (np. księgowość, dostawcy oprogramowania do zarządzania gabinetem/podmiotem leczniczym).

Sektor medyczny narażony jest przede wszystkim na zarzuty naruszenia bezpieczeństwa danych osobowych pacjentów oraz pracowników lub osób współpracujących z placówką na podstawie umowy cywilnoprawnej.

RODO

W ubiegłym roku Unia Europejska wydała przepisy o ochronie danych osobowych, dotyczące także praw pacjenta i sposobu przetwarzania danych osobowych przez podmioty lecznicze: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. ogólne rozporządzenie o ochronie danych, w Polsce znane powszechnie jako RODO lub pod angielskim skrótem GDPR (General Data Protection Regulation).

Przepisy wchodzą w życie 25 maja 2018 r., co oznacza, że do tego dnia wszelkie podmioty zajmujące się przetwarzaniem danych osobowych powinny być w pełni przygotowane do zapewnienia bezpieczeństwa danych osobowych pracowników, pacjentów, klientów, kontrahentów, a ich procedury wewnętrzne i systemy wykorzystywane do przetwarzania danych osobowych mają być zgodne z tymi regulacjami.

Przepisy RODO będą miały bezpośrednie zastosowanie – dla ich egzekwowania przez pacjentów, pracowników lub organy nadzoru nie będzie niezbędne wydanie polskich przepisów precyzujących zasady ochrony danych osobowych. Polskie przepisy będą precyzować przede wszystkim sposób wykonywania nadzoru w przedmiocie bezpieczeństwa danych osobowych.

Innymi słowy, wszelkie firmy, lekarze prowadzący indywidualną praktykę lekarską, podmioty lecznicze, apteki i wszelkie inne osoby przetwarzające dane osobowe w ramach swojej praktyki zawodowej lub świadczonych usług do 24 maja 2018 r. powinny mieć...

Pełna wersja artykułu omawia następujące zagadnienia:

Roszczenia pacjentów i sankcje administracyjne

Sankcje i roszczenia, które wynikają z RODO, to między innymi:

Zmiana zasad odpowiedzialności administratora danych

Przepisy RODO wprowadzają zasadnicze zmiany w zakresie odpowiedzialności administratora danych osobowych. Artykuł 82 RODO to nowa kompleksowa regulacja: „Prawo do odszkodowania i odpowiedzialność”. [...]

Sankcje administracyjne

Naruszenia przepisów dotyczących ochrony danych osobowych podlegają zasadniczo administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa do 2% [...]

Nowa definicja danych osobowych

Zgodnie z art. 4 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). „Możliwa do [...]

Na czym polega przetwarzanie danych osobowych?

Zgodnie z RODO „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych z wykorzystaniem danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany [...]

Nowa definicja administratora

RODO zmienia także definicję administratora danych osobowych i zakres jego odpowiedzialności prawnej.

Inspektor OCHRONY DANYCH zamiast ABI

Według nowych przepisów o ochronie danych osobowych Administrator Bezpieczeństwa Informacji (tzw. ABI), wyznaczany do tej pory przez wielu przedsiębiorców w celu zarządzania bezpieczeństwem [...]

Zasady przetwarzania danych i prawa pacjentów

Przepis artykułu 5 RODO wprowadza zasady ochrony danych osobowych. Są to:

Prawa pacjentów

Powyższe zasady są skorelowane z prawami osób, których dane dotyczą, w tym pacjentów. Do wprowadzonych przez RODO uprawnień indywidulanych w zakresie ochrony danych osobowych [...]

Do góry