BLACK CYBER WEEK! Publikacje i multimedia nawet do 80% taniej i darmowa dostawa od 350 zł! Sprawdź >
Prawo – dziecinnie proste
Dane osobowe – prawa pacjenta i obowiązki administratora danych osobowych wg przepisów RODO
adw. Joanna Mamczur
Już 25 maja 2018 r. wejdzie w życie nowa regulacja Unii Europejskiej – rozporządzenie o ochronie danych osobowych (tzw. RODO).1 Przepisy te wprowadzają szereg zmian, z których wiele obejmie rynek ochrony zdrowia i świadczeń medycznych. Myślą przewodnią regulacji jest ochrona danych osobowych i zdefiniowanie uprawnień przysługujących osobom, których dane podlegają przetwarzaniu.
Wprowadzenie
Zgodnie z literą prawa uprawnienia przyznane osobom indywidualnym powodują powstanie określonych obowiązków w zakresie ochrony danych i procedur ich przetwarzania po stronie administratorów danych osobowych i podmiotów przetwarzających, czyli spółek, instytucji, organizacji, a także osób prowadzących indywidualną działalność gospodarczą.
Nowe przepisy definiują administratora jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Przepis art. 26 RODO wprowadza także pojęcie współadministratorów danych osobowych. Z taką sytuacją mamy do czynienia, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Są oni wówczas współadministratorami.
W kontekście sektora ochrony zdrowia administratorem danych będzie zatem m.in. lekarz prowadzący indywidualną praktykę lekarską, podmioty lecznicze świadczące usługi medyczne (w szczególności zatrudniające lekarzy, personel medyczny i administracyjny), apteki, placówki rehabilitacyjne, centra diagnostyczne oraz firmy farmaceutyczne (zwłaszcza firmy prowadzące lub zlecające badania kliniczne, a także firmy farmaceutyczne posiadające własne bazy danych osobowych, np. lekarzy, pacjentów, pracowników).
Pewne czynności dotyczące przetwarzania danych można zlecić innym osobom lub podmiotom na podstawie odrębnych porozumień. Wówczas będziemy mieli do czynienia z tzw. podmiotem przetwarzającym. Pojęcie to oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Zgodnie z art. 4 RODO dane osobowe to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zide...