Zgodnie z prawem

Artykuł ukazał się w „Okulistyce po Dyplomie” 2018;8(1):42-48.

Dane osobowe – prawa pacjenta i obowiązki administratora danych osobowych wg przepisów RODO

adw. Joanna Mamczur

                              

             

Kancelaria Adwokacka w Warszawie

www.mamczur.com

Adres do korespondencji: adw. Joanna Mamczur, Kancelaria Adwokacka w Warszawie, www.mamczur.com, e-mail: joanna.mamczur@mamczur.com

Już 25 maja 2018 r. wejdzie w życie nowa regulacja Unii Europejskiej – rozporządzenie o ochronie danych osobowych (tzw. RODO).1 Przepisy te wprowadzają szereg zmian, z których wiele obejmie rynek ochrony zdrowia i świadczeń medycznych. Myślą przewodnią regulacji jest ochrona danych osobowych i zdefiniowanie uprawnień przysługujących osobom, których dane podlegają przetwarzaniu.

Wprowadzenie

Zgodnie z literą prawa uprawnienia przyznane osobom indywidualnym powodują powstanie określonych obowiązków w zakresie ochrony danych i procedur ich przetwarzania po stronie administratorów danych osobowych i podmiotów przetwarzających, czyli spółek, instytucji, organizacji, a także osób prowadzących indywidualną działalność gospodarczą.

Nowe przepisy definiują administratora jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Przepis art. 26 RODO wprowadza także pojęcie współadministratorów danych osobowych. Z taką sytuacją mamy do czynienia, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Są oni wówczas współadministratorami.

W kontekście sektora ochrony zdrowia administratorem danych będzie zatem m.in. lekarz prowadzący indywidualną praktykę lekarską, podmioty lecznicze świadczące usługi medyczne (w szczególności zatrudniające lekarzy, personel medyczny i administracyjny), apteki, placówki rehabilitacyjne, centra diagnostyczne oraz firmy farmaceutyczne (zwłaszcza firmy prowadzące lub zlecające badania kliniczne, a także firmy farmaceutyczne posiadające własne bazy danych osobowych, np. lekarzy, pacjentów, pracowników).

Pewne czynności dotyczące przetwarzania danych można zlecić innym osobom lub podmiotom na podstawie odrębnych porozumień. Wówczas będziemy mieli do czynienia z tzw. podmiotem przetwarzającym. Pojęcie to oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zgodnie z art. 4 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zide...

Pełna wersja artykułu omawia następujące zagadnienia:

Dane dotyczące zdrowia

Dane dotyczące zdrowia oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje [...]

Uprawnienia pacjentów w zakresie ochrony danych osobowych

RODO poszerza i precyzuje katalog praw przysługujących osobom, których dane są przetwarzane, jednocześnie wprowadzając pewne ograniczenia takich uprawnień. Ograniczenia te opracowano po [...]

Podstawowe obowiązki administratora danych osobowych

Zgodnie z art. 5 RODO administrator jest zobligowany do dostosowania używanego systemu do wymagań nowych regulacji oraz gotowości do udowodnienia tego faktu [...]

Zapewnienie bezpieczeństwa danych a wymogi techniczne

Techniczne wymogi związane z zapewnieniem bezpieczeństwa danych osobowych dotyczą takich kwestii, jak: 1. zabezpieczenie dokumentacji prowadzonej w formie papierowej i elektronicznej, wprowadzenie procedur dostępu [...]

Zapewnienie bezpieczeństwa danych a wymogi organizacyjne

Do organizacyjnych wymogów bezpieczeństwa danych należy zaliczyć przede wszystkim wprowadzenie procedur regulujących m.in.:

Inspektor ochrony danych (Data Protection Officer)

Inspektor ochrony danych (IOD) jest pracownikiem lub kontrahentem profesjonalnie zajmującym się zagadnieniami ochrony danych osobowych w imieniu administratora danych osobowych. IOD czuwa [...]

Analiza ryzyka

Tak zwana ocena skutków dla ochrony danych to jedna z nowości wprowadzonych przez RODO. W założeniu jest to proces mający kontrolować poziom ryzyka [...]

Administrator a podmiot przetwarzający

Dotychczas niemal całą odpowiedzialność za przetwarzanie danych przez podmiot przetwarzający (przy nieprzekraczaniu granic zlecenia) ponosił administrator. RODO wprowadza bezpośrednią odpowiedzialność podmiotów [...]

Konsekwencje braku wdrożenia RODO w podmiocie leczniczym

Niezastosowanie się do nowych regulacji może skutkować sankcjami nadzorczymi, takimi jak bardzo wysokie sankcje finansowe (sięgające 20 mln euro lub 4% [...]