W dniu 25 maja 2018 r. zacznie obowiązywać Rozporządzenie Unii Europejskiej w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (RODO). Zmieni się naprawdę wiele a zmiany dotkną właściwie wszystkie branże. W tym dniu przestaje również obowiązywać dotychczasowa ustawa o ochronie danych osobowych z 29 sierpnia 1997 r. – zostanie zastąpiona przez nową, której projekt zamieszczono na stronach rządowych w dniu 26 marca 2017 r.
W celu rozpoczęcia analizy tematu, należy przebrnąć przez warstwę pojęciową. „Daną osobową” w świetle Rozporządzenia nie jest samo imię i nazwisko, ale ich powiązanie z tożsamością konkretnej osoby, poprzez podanie czynników indywidualizujących, – takich jak: adres zamieszkania, miejsce pracy czy placówki, w której jest leczona. Mianem administratora danych jest określany podmiot przetwarzający dane (np. szpital, gabinet) a podmiotem jest…pacjent tudzież klient, którego dane są przetwarzane.
Szczególnie dużo pracy, w zakresie dostosowania procesu przetwarzania danych osobowych, stoi przed placówkami medycznymi. Częściowo jest to spowodowane operowaniem dużą ilością danych wrażliwych dotyczących zdrowia podmiotów danych. Zgodnie z art. 37 RODO, jednostki przetwarzające dane osobowe na „dużą skalę” będą musiały powołać inspektora danych osobowych, który będzie czuwał nad procesem przetwarzania danych u danego administratora. Nie została dookreślona minimalna ilość rekordów, którą powinna operować jednostka, aby powołanie inspektora danych stało się obligatoryjne. Idąc za opinią grupy roboczej, taką liczbą jest już 5 tysięcy rekordów w posiadanej bazie danych. Obowiązek wyodrębnienia nowego stanowiska nie dotknie zatem najmniejszych podmiotów, np. lekarzy prowadzących gabinety medycyny estetycznej czy stomatologów. Będzie jednak obligatoryjne powołanie takiej osoby przy większych placówkach i szpitalach. Na kanwie nowych przepisów, zostanie uwolniona możliwość zlecania obsługi baz danych profesjonalnemu przedsiębiorstwu IT – co nie było możliwe do tej pory.
Z dniem 25 maja 2018 r. znikają również doskonale znane klauzule: „Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z przepisani ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych”. Od tego momentu, to podmiot danych będzie informowany w transparentny sposób, w jaki sposób będą przetwarzane jego dane. Uzyska on prerogatywę do uzyskania informacji od administratora powołanego przy nim inspektora danych (na podobnych zasadach jak w dostępie do informacji publicznej). Proces odbędzie się bezpłatnie i będzie to leżało w zakresie obowiązków inspektora danych osobowych. Pacjent będzie mógł odzyskać swoje dane na podstawie prawa do bycia zapomnianym lub czuwać nad procesem przenoszenia jego danych do innej placówki.
Za niedopełnienie należytych środków ostrożności, w zakresie bezpieczeństwa przetwarzania danych osobowych, przedsiębiorcom oraz innym placówkom będą groziły kary – nawet do 20 milionów euro lub 4% obrotu w poprzednim roku. Jest to nowy rodzaj ryzyka prowadzenia działalności gospodarczej. Nadzorem nad przebiegiem procesu przetwarzania danych zajmie się nowy organ: Prezes Urzędu Ochrony Danych Osobowych, który zastąpi GIODO.
Jak to zostało przedstawione powyżej, zmian będzie naprawdę sporo. Nowe przepisy prowadzą jednak do poprawy jakości ochrony danych osobowych oraz zwiększenia kontroli podmiotu danych nad procesem ich przetwarzania, w tym nad migracją tychże danych.
Prawnik
Tobiasz Gajda
