Już 25 maja 2018 roku w życie wejdzie nowe unijne rozporządzenie dotyczące ochrony danych osobowych. Będą wysokie kary.
Pozostało już tylko kilka miesięcy na wdrożenie Rozporządzenia o Ochronie Danych Osobowych (RODO). Z uwagi na specyfikę sektora ochrony zdrowia, a w szczególności ze względu na wrażliwy charakter informacji i danych, jakimi dysponują podmioty lecznicze, nadchodzące w najbliższym czasie zmiany w zakresie prawa ochrony danych osobowych oraz dotychczasowe wyniki kontroli GIODO, przeprowadzanych w szpitalach, stanowią duże wyzwania dla osób zarządzających takimi placówkami. W nowym rozporządzeniu szczególne emocje budzą zapisy dotyczące kar finansowych, będących konsekwencją wykrycia nieprawidłowości w wynikach wszczętej kontroli. Ich maksymalna wysokość sięga 20 mln euro, a w przypadku przedsiębiorcy - alternatywnie do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa. Widmo tak zdefiniowanych sankcji dla sektora medycznego, który na co dzień boryka się z trudnościami w utrzymaniu płynności finansowych przy zapewnieniu podstawowych świadczeń medycznych, może oznaczać najgorsze.
„To o czym się dużo mówi w kontekście RODO to kary za nieprzestrzeganie przepisów rozporządzenia, których wysokość jest zróżnicowana dla sektora prywatnego oraz dla sektora publicznego. Przedstawione kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego” - uspokaja mec. Marta Gadomska-Gołąb z kancelarii prawnej Wierzbowski Eversheds Sutherland. „Generalna zmiana, która natomiast może mieć znaczenie praktyczne dotyczy wprowadzenia mechanizmów, które urealnią kontrolę i sankcjonowanie w przypadku nieprzestrzegania reguł związanych z przetwarzaniem danych osobowych, które będą jednolite w całej Unii Europejskiej” - dodaje mec. Marta Gadomska-Gołąb.
RODO reguluje kwestie związane z ochroną danych osobowych, która z uwagi na specyfikę różnych branż może przybierać różne postacie lub inne aspekty mogą stać się kluczowymi. Sektor medyczny jest pod tym względem szczególny, jeżeli chodzi o rodzaj, zakres oraz cel przetwarzanych danych i dlatego w tym sektorze przy ochronie danych nie można zapominać o innych podstawowych wartościach takich jak zdrowie i życie ludzkie.
„Pomimo atmosfery wokół RODO, jestem przekonana, że wejście w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych będzie jedynie ewolucją w funkcjonowaniu ośrodków ochrony zdrowia, a nie szumnie zapowiadaną rewolucją” - mówi dr Beata Jagielska, zastępca dyrektora ds. Lecznictwa Otwartego i Rozliczeń Świadczeń Zdrowotnych w Centrum Onkologii - Instytucie im. Marii Skłodowskiej-Curie, prezes Polskiej Koalicji Medycyny Personalizowanej-Stowarzyszenia. „Zapewnienie bezpieczeństwa dla życia oraz zdrowia pacjentów jest i na zawsze pozostanie najwyższą wartością wobec innych tworzonych praw. Należy jednak wypracować wewnętrzne procedury, które pozwolą realizować ten cel przy zachowaniu pełnego porządku prawnego, który powstał w trosce o prawa człowieka, obywatela i pacjenta. Wyrażam głębokie zadowolenie, że angażując grono ekspertów udało się zorganizować dzisiejszą konferencję, której celem było zwrócenie uwagi na problematykę RODO w obszarze usług medycznych i przedstawienie praktycznych wskazówek oraz rekomendacji w zakresie implementacji rozporządzenia w obszarze ochrony zdrowia. Całe środowisko medyczne musi dobrze przygotować się do nowych warunków, aby świadomie realizować nakładane na nie zobowiązania” - dodała dr Beata Jagielska.
„Identyfikujemy wiele obszarów, w których wystąpią kłopoty we wdrażanie zapisów RODO w polskich szpitalach” - mówi prof. Adam Fronczak ze szpitala im. M. Kopernika i Warszawskiego Uniwersytetu Medycznego. „Zakres danych osoby upoważnionej przez pacjenta, problem ochrony danych osobowych na salach kilkuosobowych, wykonywanie drobnych zabiegów w tym wlewów kroplowych z danymi chorych, punkty pielęgniarskie, system kolejkowy w poradniach i na SOR-ach to niektóre obszary, w których personel medyczny będzie miał trudności aby sprostać nowym regulacjom prawnym” - dodaje prof. Adam Fronczak.
Wśród tematów podejmowanych w wypowiedziach eksperckich podczas konferencji znalazły się treści dotyczące roli kadry zarządzającej we wdrażaniu RODO, praktycznych rozwiązań z zakresu ochrony danych osobowych wykorzystywanych na co dzień w szpitalach oraz praw pacjenta wynikających bezpośrednio z unijnego rozporządzenia.
W gronie ekspertów, którzy podjęli się przybliżenia nowych wytycznych zapisanych w rozporządzeniu znaleźli się przedstawiciele Kancelarii Prezesa Rady Ministrów, Ministerstwa Zdrowia, Ministerstwa Cyfryzacji oraz Narodowego Funduszu Zdrowia, dyrektorzy zarządzający państwowymi i prywatnymi ośrodkami zdrowia, lekarze, prawnicy i specjaliści, którzy na co dzień stykają się z praktycznymi aspektami ochrony danych osobowych oraz przedstawiciele stowarzyszeń pacjentów.
Wśród uczestników przybyłych na konferencję znaleźli się m.in. reprezentanci organów administracji publicznej oraz władzy samorządowej, przedstawiciele kadry zarządzającej szpitali, centrów i poradni medycznych, przedstawiciele organizacji branżowych i zrzeszających pacjentów, kancelarii prawnych oraz firm farmaceutycznych.
Podsumowaniem konferencji było przedstawienie rekomendacji, które mogą być podstawą do wypracowania mechanizmów implementacji wytycznych wynikających z Rozporządzenia o Ochronie Danych Osobowych w polskich placówkach medycznych. Sektor medyczny, aby działać zgodnie z zasadami ochrony danych osobowych, przy jednoczesnym należytym świadczeniu opieki medycznej pacjentowi, powinien właściwie przygotować się do przestrzegania reguł ochrony danych osobowych.
Uzgodnione i zaproponowane w trakcie konferencji przez ekspertów wytyczne przedstawiają się w sposób następujący:
1. Należy przeprowadzić audyt/analizę procesów jakie zachodzą w danej jednostce, w tym ustalić jakie dane i w jakiej komórce organizacyjnej są przetwarzane;
2. Należy zidentyfikować obszary ryzyka, w których może dochodzić do „konfliktu procedur/norm”, np. transfuzje krwi, oznaczanie pacjentów (identyfikacja);
3. Należy wprowadzić odpowiednie procedury postępowań, w których:
a. ograniczony zostanie faktyczny dostęp do danych wyłącznie do osób /stanowisk, które tego wymagają,
b. w konkretnych procesach administracyjnych przetwarzane będą jedynie dane niezbędne dla danego celu,
c. wyodrębnione zostaną procedury/procesy, w których do przetwarzania danych potrzebna jest zgodna (np. badania kliniczne, eksperymenty).
4. Należy zapewnić odpowiednie zabezpieczenie systemów informatycznych, w których przetwarzane są dane;
5. Należy na bieżąco monitorować procedury i dokonywać ich zmian w celu ich optymalizacji.
Dodatkowo eksperci zwracali uwagę na fakt, że organizacje branżowe, które reprezentują określone kategorie administratorów lub podmioty przetwarzające dane, mogą opracowywać kodeksy, w których doprecyzowany zostanie zakres rozporządzenia w stosunku do tej branży. Należy jednak w tym względzie pamiętać, że pomiot, który będzie zobowiązany do monitorowania przestrzegania kodeksu podlega karze za niedopełnienie swoich obowiązków.
Konferencja była doskonałą okazją do wymiany myśli i poglądów środowiska medycznego w związku z wejściem w życie nowego unijnego rozporządzenia. Czasu, który pozostał, aby wdrożyć odpowiednie procedury - spójne z zapisami Rozporządzenia o Ochronie Danych Osobowych - wciąż ubywa. Sprawdzian dla wszystkich rozpocznie się już 28 maja 2018 roku.
Organizatorem konferencji była Polska Koalicja Medycyny Personalizowanej - Stowarzyszenie oraz Wydział Prawa i Administracji Uniwersytetu Warszawskiego, a współorganizatorami: Centrum Onkologii - Instytut im. Marii Skłodowskiej-Curie, Kancelaria Prawna Wierzbowski Eversheds Sutherland, Wojewódzki Szpital Specjalistyczny im. Mikołaja Kopernika w Łodzi oraz Polska Federacja Szpitali.
Konferencja została objęta honorowym patronatem ministra zdrowia oraz rektora Warszawskiego Uniwersytetu Medycznego.
