Wiąże się to z kolejnymi, dość istotnymi zmianami dotyczącymi organizacji nadzoru bezpieczeństwa danych osobowych. Dotyczy to w dużym stopniu placówek ochrony zdrowia. Chodzi między innymi o obowiązek wyznaczenia inspektora ochrony danych. Na chwilę obecną administrator danych, czyli na przykład szpital reprezentowany przez dyrektora, może, ale nie musi powołać administratora bezpieczeństwa informacji (dalej ABI). Oczywiście nadzór nad przestrzeganiem zasad i przepisów z zakresu ochrony danych osobowych zapewniony być musi, ale można to zorganizować bez powoływania ABI, nawet w placówkach leczniczych, gdzie przetwarzane są dane wrażliwe, dotyczące stanu zdrowia.

W ogólnym Rozporządzeniu wyznaczenie inspektora ochrony danych będzie obowiązkowe między innymi dla tych administratorów danych, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Do tej kategorii należą dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne jednoznacznie identyfikujące osobę fizyczną oraz dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej. Natomiast do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej. Będzie to więc numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych, informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. Podmioty przetwarzające takie dane będą miały obowiązek wyznaczyć inspektora ochrony danych. W Rozporządzeniu jest przewidziana możliwość wyznaczenia jednego inspektora ochrony danych dla grupy przedsiębiorstw, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Różnego więc rodzaju grupy medyczne lub kilka przychodni będzie mogło wyznaczyć jednego, wspólnego inspektora. Status i zadania inspektora ochrony danych są w Rozporządzeniu dość szczegółowo opisane.

Nowością w stosunku do obecnych obowiązków powołanego administratora bezpieczeństwa informacji będzie to, że dane kontaktowe inspektora ochrony danych administrator danych musi opublikować, a osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy Rozporządzenia. Czyli zarówno pacjenci oraz inne osoby, których dane dotyczą, a są przetwarzane przez administratora danych będą miały prawo i możliwość bezpośrednio do inspektora zgłaszać wszelkie pytania czy sprzeciwy dotyczące ich danych. W przypadku natomiast naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia –  będzie zobowiązany zgłosić naruszenie organowi nadzorczemu (GIODO), chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu. Zawiadomienie takie jasnym i prostym językiem ma opisywać charakter naruszenia ochrony danych osobowych, wskazać dane kontaktowe do inspektora ochrony danych oraz opisywać środki zastosowane lub proponowane przez administratora w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

Zmian w zasadach i przepisach z zakresu przetwarzania i ochrony danych osobowych, jakie przyniesie obowiązywanie ogólnego rozporządzenia o ochronie danych jest więcej. Dotyczą między innymi warunków wyrażenia zgody na przetwarzanie danych prywatnych. Obowiązki wykonywane wobec osób, których dane dotyczą mają być realizowane w sposób jeszcze bardziej transparentny. Mowa jest o prawie do przenoszenia danych do innego usługodawcy, a także o prawie do „bycia zapomnianym”. Dalsze zatrzymywanie danych osobowych powinno być uznane za zgodne z prawem, jeżeli jest niezbędne do korzystania z wolności wypowiedzi i informacji, do wywiązania się z obowiązku prawnego, do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego, do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych lub do ustalenia, dochodzenia lub obrony roszczeń.

Dwa lata, za jakie ma obowiązywać to rozporządzenie, to czas na dostosowanie do niego przepisów prawa oraz wewnętrznych zasad i procedur u administratorów danych. Warto już teraz zwrócić na to uwagę, bo jeśli nowe wejdą w życie, to za ich nieprzestrzeganie, a przede wszystkim za naruszenia ochrony danych będą grozić bardzo wysokie kary finansowe. Rozporządzenia narzuca, aby każdy organ nadzorczy (np. GIODO) zapewnił, by stosowane administracyjne kary pieniężne były w każdym indywidualnym przypadku skuteczne, proporcjonalne i odstraszające. Oczywiście zanim będzie nałożona kara musi być udowodniona wina, biorąc pod uwagę szereg okoliczności i charakter naruszenia. W każdym razie kary pieniężne, w zależności od rodzaju naruszenia, mogą wynieść do 20 milionów EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa. Bezwzględnie więc należy dołożyć szczególnej staranności do zapewnienia na wysokim poziomie organizacyjnych i technicznych środków bezpieczeństwa stosowanych do ochrony danych osobowych. Do tego zresztą już dzisiaj obligują przepisy szczegółowe obowiązujące służbę zdrowia.

Piotr Glen

ABI, Specjalista ds. ochrony danych osobowych

Audytor bezpieczeństwa informacji   

Dokument źródłowy: polski tekst ogólnego rozporządzenia o ochronie danych