RODO: najważniejsze zmiany i problemy

  • Sławomir Molęda
opublikowano: 24-04-2018, 18:23
aktualizacja: 24-04-2018, 18:27

Ogólne rozporządzenie o ochronie danych osobowych (RODO) ustanawia katalog zasad przetwarzania danych. Dane muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą. Powinny być zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach i nieprzetwarzane dalej niezgodnie z tymi celami.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

W odpowiedzi na rosnące zainteresowanie czytelników, wprowadzamy cykl artykułów dotyczących dostosowania się do nowych przepisów o ochronie danych osobowych (RODO). Na początek omówię najbardziej kontrowersyjne zagadnienia, a w kolejnych odcinkach będę analizował przypadki, które zostaną wskazane przez czytelników. Zapraszam do zadawania pytań.

Zobacz więcej

Istockphoto

1. RODO: Na czym polega zasada rozliczalności

Zbierane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne dla celów, w jakich są przetwarzane. Należy zadbać o prawidłowość i aktualność danych oraz przechowywać je przez odpowiedni okres. Trzeba zapewnić odpowiednie bezpieczeństwo danych, w tym ochronę przed nielegalnym przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

Za stosowanie powyższych zasad odpowiada administrator danych. Musi on nie tylko ich przestrzegać, ale i być w stanie to wykazać. Jest to kolejna zasada, tzw. rozliczalności (accountability), która nie miała dotąd zastosowania w naszym porządku prawnym. Prawodawca unijny zaczerpnął ją z kręgu kultury anglosaskiej. Zgodnie z wytycznymi unijnej Grupy Roboczej ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych, zasada rozliczalności oznacza:

a) wdrożenie środków, w tym wewnętrznych procedur, gwarantujących przestrzeganie RODO;

b) sporządzenie dokumentacji, która wskazuje zainteresowanym osobom i organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie RODO.

W świetle zasady rozliczalności odpowiedzialność za dobór i wdrożenie odpowiednich procedur oraz właściwe ich udokumentowanie spada na administratora danych. Dotychczasowe procedury oraz dokumentacja w postaci polityki bezpieczeństwa i instrukcji zarządzania systemem teleinformatycznym mogą okazać się niewystarczające bądź nadmierne. Wszystko zależy od charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka, które występuje w danym przypadku.

Zastosowane rozwiązania powinny być poddawane przeglądom i uaktualniane. Pomocne w tym względzie może być przyjęcie branżowych kodeksów postępowania i mechanizmów certyfikacji, o których ostatnio pisałem (zob. Potrzebny jest kodeks postępowania z danymi pacjentów). RODO nie nakazuje ich stosowania, lecz tylko zachęca, stwierdzając, iż może być to wykorzystane jako „element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków”.

2. RODO: Jakie zabezpieczenia są konieczne

W tym aspekcie również brak jednoznacznych unormowań. RODO nakazuje wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Konieczna jest zatem analiza ryzyka z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania.

RODO wskazuje na przykładowe rozwiązania, takie jak pseudonimizacja i szyfrowanie danych. Dopuszczalność zastosowania ich do dokumentacji medycznej może jednak budzić zastrzeżenia natury prawnej. Niewątpliwie trzeba zapewnić poufność, integralność i dostępność danych medycznych oraz odporność systemów przetwarzania. Konieczna jest zdolność do szybkiego przywrócenia dostępności danych w razie awarii, a ponadto regularne testowanie, mierzenie i ocena skuteczności zastosowanych środków. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, zwłaszcza wynikające z przypadkowego lub nielegalnego zniszczenia, utraty, modyfikacji, ujawnienia lub dostępu do danych przesyłanych, przechowywanych bądź w inny sposób przetwarzanych. Wywiązywanie się z tych obowiązków można również wykazać poprzez zastosowanie branżowych kodeksów postępowania lub mechanizmów certyfikacji.

Niezależnie od tego należy pamiętać o warunkach prowadzenia dokumentacji w formie elektronicznej. Zostały one uregulowane w rozporządzeniu o dokumentacji medycznej, które zachowuje moc po wejściu RODO w życie. Zgodnie z nimi, dokumentację uważa się za zabezpieczoną, jeżeli w sposób ciągły spełnione są następujące warunki:

a) zapewnia się dostępność wyłącznie dla osób uprawnionych;

b) chroni się dokumentację przed przypadkowym lub nieuprawnionym zniszczeniem;

c) zastosowano metody i środki ochrony, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie elektronicznej dokumentacji medycznej wymaga więc systematycznej analizy zagrożeń, opracowania dokumentacji ochrony i stosowania procedur oraz adekwatnych środków bezpieczeństwa, bieżącej kontroli i okresowej oceny skuteczności zabezpieczeń, a także przygotowania i realizacji planów długookresowego przechowywania. Plany te powinny uwzględniać przenoszenie danych na nowe nośniki i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu.

Dokumentację elektroniczną zabezpiecza się ponadto przez wykonywanie kopii zapasowych zawartych w niej danych oraz programów ją obsługujących. Kopie zapasowe przechowuje się w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem bądź zniszczeniem, a po ustaniu ich użyteczności niezwłocznie usuwa. Trzeba zapewnić przechowanie, używalność i wiarygodność dokumentacji w systemie teleinformatycznym przez okres, w jakim przechowuje się dokumentację papierową, a następnie skasować ją w sposób uniemożliwiający identyfikację pacjenta.

3. RODO: Do czego pacjent nie ma prawa

RODO przyznaje osobom, których dane są przetwarzane, liczne prawa. Nie wszystkie mają jednak zastosowanie w odniesieniu do pacjentów. Przykładem może być prawo do żądania usunięcia danych („prawo do bycia zapomnianym”). Zgodnie z nim, administrator ma obowiązek niezwłocznie usunąć dane osoby na jej żądanie, jeżeli nie są one już niezbędne do celów, w których zostały zebrane, albo osoba cofnęła zgodę na ich przetwarzanie. Czy w takim razie trzeba skasować dokumentację medyczną, gdy pacjent zażąda usunięcia jego danych po zakończeniu leczenia? Odpowiedź brzmi: nie. Tego zrobić nie wolno, gdyż pierwszeństwo ma w tej sytuacji obowiązek przechowywania dokumentacji medycznej.

RODO wyraźnie stanowi, że prawo do bycia zapomnianym nie ma zastosowania w zakresie, w jakim dalsze przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego, któremu podlega administrator danych. Podobnie jest z prawem do przenoszenia danych oraz prawem sprzeciwu wobec przetwarzania, które nie znajdują zastosowania do danych przetwarzanych w ramach dokumentacji medycznej.

Z dużo bardziej skomplikowaną sytuacją mamy do czynienia w przypadku prawa do żądania ograniczenia przetwarzania. Przysługuje ono osobie, która kwestionuje prawidłowość swoich danych albo uważa, że administrator nie potrzebuje już z nich korzystać. Ograniczenie przetwarzania polega na tym, że jakiekolwiek operacje na danych, poza ich przechowywaniem, wymagają zgody tejże osoby. RODO stanowi, iż ograniczenie to nie ma zastosowania do przetwarzania prowadzonego z uwagi na ważne względy interesu publicznego. Nie wskazuje tu, jak w odniesieniu do poprzednich praw, na wyłączenie wynikające z obowiązku prowadzenia dokumentacji medycznej. Czy wolno zatem przyjąć, iż ograniczenie przetwarzania nie może mieć zastosowania do danych medycznych? Moim zdaniem, nie wolno, ponieważ nie każde przetwarzanie tych danych ma na względzie interes publiczny. Niekiedy w grę wchodzi wyłącznie interes prywatny pacjenta, placówki medycznej bądź lekarza. W tych przypadkach, choćby nielicznych, żądanie ograniczenia przetwarzania należałoby respektować.

4. RODO: Jak dopełnić obowiązku informacyjnego

Jeżeli dane zbierane są bezpośrednio od osoby, której dotyczą, RODO wymaga, by w trakcie pozyskiwania danych podać tej osobie następujące informacje:

a) nazwę i dane kontaktowe administratora danych;

b) dane kontaktowe inspektora ochrony danych, jeżeli został powołany;

c) cele i podstawę prawną przetwarzania;

d) o odbiorcach danych;

e) okres przechowywania;

f) o prawie do dostępu, sprostowania, usunięcia, ograniczenia, sprzeciwu oraz przenoszenia danych;

g) o prawie do wniesienia skargi do Urzędu Ochrony Danych Osobowych (UODO);

h) czy podanie danych jest wymogiem ustawowym lub umownym bądź warunkiem zawarcia umowy;

i) czy osoba ma obowiązek podania danych i jakie są konsekwencje odmowy;

j) o zautomatyzowanym podejmowaniu decyzji.

Podstawą prawną przetwarzania danych medycznych jest art. 9 ust. 2 lit h RODO. Odbiorcami danych będą podmioty, którym dane zostaną ujawnione, takie jak: Narodowy Fundusz Zdrowia, podmiot przetwarzający dane na zlecenie, podmioty współpracujące w udzielaniu świadczeń zdrowotnych, organy lub instytucje, na wniosek których wykonywane jest badanie itd. Odbiorcami danych nie są poszczególne osoby z personelu placówki ani organy publiczne uprawnione do dostępu w ramach konkretnego postępowania, np. kontrolnego.

Zgodnie z projektem branżowego kodeksu postępowania, obowiązek informacyjny wobec pacjenta może zostać zrealizowany poprzez zamieszczenie klauzul informacyjnych w co najmniej dwóch ze wskazanych miejsc:

1. w dokumentach przekazywanych pacjentowi, np. w umowie lub zgodzie na udzielanie świadczeń;

2. na stronie internetowej placówki medycznej lub w systemie informatycznym dostępnym dla pacjenta;

3. na tablicach informacyjnych w izbie przyjęć, rejestracji lub poczekalni;

4. w regulaminie organizacyjnym.

Kodeks ma ponadto zawierać wzór klauzuli informacyjnej. Obowiązku informacyjnego nie trzeba będzie realizować, gdy dane pacjenta zostaną uzyskane od innego podmiotu wykonującego działalność leczniczą.

5. RODO: Czy trzeba wyznaczać inspektora ochrony danych

Po wejściu w życie RODO zadania administratora bezpieczeństwa informacji (ABI) ma przejąć inspektor ochrony danych (IOD). O ile powołanie ABI było dobrowolne, o tyle wyznaczenie IOD jest obowiązkowe w trzech przypadkach:

1. gdy przetwarzania dokonuje organ lub podmiot publiczny;

2. gdy główna działalność polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

3. gdy główna działalność polega na przetwarzaniu danych sensytywnych na dużą skalę.

Pierwszy przypadek jest jasny: obowiązek wyznaczenia IOD ciąży na wszystkich podmiotach publicznych. RODO dodaje w tym względzie, że dla kilku takich podmiotów można wyznaczyć jednego IOD, uwzględniając ich strukturę organizacyjną i wielkość.

Pozostałe dwa przypadki mogą budzić wątpliwości. Przede wszystkim pojawia się pytanie: czy główna działalność podmiotów leczniczych polega na przetwarzaniu danych osobowych pacjentów? RODO wskazuje tylko, że działalność główna oznacza zasadnicze, a nie poboczne czynności administratora danych. Chodzi więc o działalność, na którą składają się operacje o charakterze niezbędnym do osiągnięcia celów przetwarzania. Jako przykład takiej działalności wskazywana jest opieka medyczna. Chociaż samo orzekanie, udzielanie porad bądź realizacja świadczeń zdrowotnych nie jest tożsame z przetwarzaniem danych pacjenta, jednakże nie mogą się bez tego obyć. W związku z tym wypada uznać, że przetwarzanie danych pacjentów należy do działalności głównej podmiotów wykonujących działalność leczniczą. 

Pozostaje więc rozważyć pojęcie „przetwarzania na dużą skalę”. W świetle RODO chodzi o przetwarzanie znacznej ilości danych na szczeblu regionalnym, krajowym lub ponadnarodowym, które może wpłynąć na dużą liczbę osób i powodować wysokie ryzyko naruszeń ich praw i wolności. Z drugiej strony RODO jednoznacznie wskazuje, że za przetwarzanie na dużą skalę nie powinno być uznawane takie, które dotyczy danych osobowych pacjentów i jest dokonywane przez pojedynczego lekarza lub innego pracownika służby zdrowia. Wynika stąd, że obowiązek wyznaczenia IOD ciąży z pewnością na dużych placówkach, o znaczeniu co najmniej regionalnym. Natomiast nie mają go lekarze prowadzący indywidualne praktyki. Co do placówek mniejszych i praktyk grupowych RODO nie daje podstaw do jasnych rozstrzygnięć. Pozostawia więc pole do popisu dla kodeksów branżowych.

Dodam jeszcze, iż osoby pełniące dotychczas funkcję ABI staną się IOD z mocy prawa i będą pełnić tę funkcję do 1 września 2018 r., chyba że przed tym terminem administrator danych powiadomi UODO o wyznaczeniu na IOD innej osoby. Aby dotychczasowy ABI mógł pełnić funkcję IOD po 1 września, administrator musi przed tym dniem powiadomić UODO o wyznaczeniu go na IOD. Jeżeli administrator nie jest zobowiązany do powołania IOD, to może odwołać ABI bez powiadamiania UODO. Administrator, który nie powołał ABI, a ma – zgodnie z RODO - obowiązek wyznaczenia IOD, musi to uczynić i powiadomić UODO do 31 lipca 2018 r.

6. RODO: Czy placówki medyczne mogą wspólnie chronić dane pacjentów?

RODO stanowi, że jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych, to są oni współadministratorami. Powinni oni uzgodnić zakresy swojej odpowiedzialności za wypełnianie obowiązków wynikających z RODO, zwłaszcza jeśli chodzi o wykonywanie praw przez osoby, których dane dotyczą, i udzielanie im wymaganych informacji. Zasadnicza treść tych uzgodnień powinna zostać udostępniona tym osobom. Możliwość współdziałania administratorów w zakresie przetwarzania i ochrony danych nie była dotąd przewidziana przez polskie prawo. W związku z tym pojawia się pytanie: czy współadministrowanie jest dopuszczalne w branży medycznej? 

Wątpliwości biorą się stąd, iż chodzi o dane medyczne, które są szczególnie chronione i których przetwarzanie jest generalnie zabronione. Jeżeli nawet uznamy, że brak w RODO wyraźnego wyłączenia tej kategorii danych spod współadministrowania przemawia za dopuszczalnością, pojawia się kolejna kwestia. Przyzwolenie na współadministrowanie danymi medycznymi byłoby de facto równoznaczne z przyzwoleniem na wspólne prowadzenie dokumentacji medycznej. A takie rozwiązanie nie zostało przewidziane na gruncie polskiego prawa. 

Najbezpieczniejszym wyjściem z tej sytuacji byłoby rozstrzygnięcie kwestii przez polskiego ustawodawcę. Przypomnę, iż podobnego rozstrzygnięcia dokonano pod koniec 2015 r. w odniesieniu do możliwości powierzenia przetwarzania danych medycznych podmiotom zewnętrznym. Dopóki nie dodano przepisów szczególnych do ustawy o prawach pacjenta, możliwość ta była kwestionowana, pomimo istnienia wyraźnej podstawy prawnej w ogólnych przepisach ustawy o ochronie danych osobowych. Zarzuty dotyczyły zwłaszcza braku odpowiednich gwarancji zachowania tajemnicy. 

Obawy takie nie zachodzą w przypadku współadministrowania prowadzonego przez placówki lecznicze, niemniej wątpliwości pozostają. Rozwiać je może dodanie odpowiedniego przepisu do projektu ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679. Projekt nie został jeszcze zatwierdzony przez rząd, więc znajduje się na dość wczesnym etapie legislacyjnym w porównaniu do nowej ustawy o ochronie danych osobowych, która jest już uchwalana przez Sejm. Postulowany przepis mógłby ponadto określić obowiązki przypadające współadministratorom i ich zakres, do czego państwa członkowskie zostały upoważnione przez RODO. 

7. RODO: Czy dotychczasowe umowy powierzenia przetwarzania zachowują ważność?

W świetle obowiązujących przepisów umowa powierzenia przetwarzania danych zawartych w dokumentacji medycznej musi spełniać trzy warunki: zapewniać ochronę danych, zastrzegać prawo do kontroli podmiotu przetwarzającego przez podmiot leczniczy oraz mieć formę pisemną. Warunki, jakie formułuje RODO, są dużo bardziej rozbudowane. Umowa taka powinna określać przedmiot, czas, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także prawa i obowiązki administratora. RODO wyszczególnia ponadto zobowiązania, jakie umowa powinna nakładać na podmiot przetwarzający. Należą do nich:

a) przetwarzanie danych wyłącznie na udokumentowane polecenie administratora;

b) zapewnienie, by osoby upoważnione do przetwarzania podlegały obowiązkowi zachowania tajemnicy;

c) podejmowanie wszelkich środków zapewniających wystarczające bezpieczeństwo przetwarzania;

d) przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego;

e) wspomaganie administratora w wywiązywaniu się z obowiązku odpowiadania na żądanie osoby, której dane dotyczą, w zakresie wykonywania jej praw;

f) wspomaganie administratora w wywiązywaniu się z obowiązków zabezpieczenia danych, zawiadamiania o naruszeniach ochrony, oceny skutków planowanych operacji oraz konsultowania ich z organem nadzorczym (PUODO);

g) usunięcie lub zwrot wszystkich danych i ich kopii po zakończeniu współpracy;

h) udostępnianie administratorowi wszelkich informacji niezbędnych do wykazania spełnienia swoich obowiązków oraz umożliwienie mu lub upoważnionemu przez niego audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczynianie się do nich.

RODO dodaje, że w ramach zobowiązania do udostępniania wszelkich informacji podmiot przetwarzający ma niezwłocznie powiadamiać administratora, jeżeli wydane mu polecenie przetwarzania ocenia jako naruszające przepisy. Natomiast podstawowym warunkiem korzystania z usług innego podmiotu przetwarzającego (podwykonawcy) jest uprzednia szczegółowa lub ogólna pisemna zgoda administratora. W tym drugim przypadku podmiot przetwarzający powinien informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia swoich podwykonawców, by dać mu możliwość sprzeciwu. Na podwykonawców spada obowiązek ochrony danych i przetwarzania ich zgodnie z przepisami, za co podmiot przetwarzający ponosi pełną odpowiedzialność wobec administratora.

Ponieważ są to nowe wymogi, nieprzewidziane wcześniej przez prawo polskie ani unijne, należy założyć, że funkcjonujące umowy ich nie spełniają. Niestety, RODO nie zawiera w tym względzie żadnych przepisów przejściowych. Zaznacza tylko, że przetwarzanie danych, które już się toczy, powinno zostać dostosowane w ciągu dwóch lat od wejścia RODO w życie. Ponieważ RODO weszło w życie 24 maja 2016 r., termin ten upływa 24 maja br. W związku z tym wypada przyjąć, że dotychczasowe umowy powierzenia wymagają uzupełnienia przed 25 maja o dodatkowe klauzule, które uczynią zadość wymogom RODO. Bez tego pozostaną niezupełne i narażą administratorów na sankcje z tytułu naruszenia przepisów. Warto dodać, iż RODO przewiduje tworzenie standardowych klauzul umownych przez Komisję Europejską bądź też przez rodzimy organ nadzorczy, jakim będzie Prezes Urzędu Ochrony Danych Osobowych (PUODO).

8. RODO: Czy małe placówki muszą prowadzić rejestr czynności przetwarzania?

Rejestrowanie czynności przetwarzania jest kolejnym novum wprowadzonym przez RODO. Ma ono zastąpić dotychczasowe obowiązki notyfikacyjne (zgłaszanie zbiorów danych oraz administratorów bezpieczeństwa informacji — ABI), ułatwiając PUODO monitorowanie operacji przetwarzania. Rejestr powinien zawierać następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora i inspektora ochrony danych (IOD);

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane zostały lub zostaną ujawnione;

e) o przekazaniu danych do państwa trzeciego (poza Unię Europejską) lub organizacji międzynarodowej;

f) planowane terminy usunięcia danych;

g) ogólny opis techniczny i organizacyjny wdrożonych środków bezpieczeństwa.

Trzeba podkreślić, iż nie chodzi tu o rejestrowanie poszczególnych operacji przetwarzania, lecz o zbiorcze oznaczenie czynności, które łączy realizacja tych samych celów.

Obowiązek prowadzenia rejestru nie ma charakteru powszechnego. Nie dotyczy on przedsiębiorców lub podmiotów zatrudniających mniej niż 250 osób. Niestety, wyłączenie to nie ma zastosowania w przypadku przetwarzania, które może powodować ryzyko naruszenia praw i wolności osób, nie ma charakteru sporadycznego lub obejmuje dane szczególnie chronione. Przetwarzanie danych medycznych spełnia każdy z tych warunków, wobec czego wszystkie placówki medyczne, w tym także indywidualne praktyki, mają obowiązek zaprowadzenia rejestru czynności przetwarzania.

9. RODO: Kogo należy zawiadamiać o naruszeniach ochrony danych?

Naruszenie ochrony danych osobowych oznacza takie naruszenie bezpieczeństwa, które prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, ujawnienia bądź udostępnienia danych przesyłanych, przechowywanych albo w inny sposób przetwarzanych. Obowiązek zgłaszania takich naruszeń ciążył dotychczas tylko na dostawcach publicznie dostępnych usług telekomunikacyjnych. Teraz będzie miał charakter powszechny.

W myśl RODO, każdy administrator ma obowiązek zgłosić organowi nadzorczemu naruszenie ochrony danych, chyba że jest mało prawdopodobne, by skutkowało ono naruszeniem praw lub wolności osób fizycznych. Zgłoszenia należy dokonać bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Do zgłoszenia przekazanego po tym czasie trzeba dołączyć wyjaśnienie przyczyn opóźnienia. Podmiot przetwarzający ma obowiązek niezwłocznego zgłoszenia naruszenia administratorowi danych. Zgłoszenie do PUODO musi zawierać:

a) opis charakteru naruszenia (kategorie i przybliżona liczba osób oraz wpisów, których dotyczy naruszenie);

b) imię i nazwisko oraz dane kontaktowe IOD lub innego punktu kontaktowego;

c) opis możliwych konsekwencji naruszenia;

d) opis zastosowanych lub proponowanych środków w celu zaradzenia naruszeniu (zminimalizowania ewentualnych skutków negatywnych).

Jeżeli informacji tych nie da się udzielić od razu, można je przekazywać sukcesywnie. Administrator powinien również dokumentować wszelkie naruszenia, w tym ich okoliczności, skutki oraz podjęte działania, by umożliwić PUODO weryfikację.

Jeżeli naruszenie ochrony może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator musi ponadto bezzwłocznie zawiadomić osoby, których dane dotyczą. Zawiadomienie powinno jasnym i prostym językiem opisywać charakter naruszenia oraz zawierać pozostałe informacje, jakie są wymagane w zgłoszeniu do PUODO. Zawiadomienie to nie jest wymagane w następujących przypadkach:

a) zastosowania odpowiednich środków ochrony, takich jak szyfrowanie uniemożliwiające odczyt danych, których dotyczy naruszenie;

b) zastosowania następczych środków eliminujących prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osób;

c) gdy wymagałoby to niewspółmiernie dużego wysiłku. 

W ostatnim przypadku wystarczające jest wydanie publicznego komunikatu, który skutecznie poinformuje o naruszeniu te osoby, których dane dotyczą. 

Reasumując, o naruszeniach ochrony danych należy przede wszystkim zawiadamiać PUODO. Jeżeli ryzyko naruszenia praw lub wolności jest wysokie, co w przypadku danych medycznych wydaje się regułą, należy również zawiadamiać pacjentów, których dane dotyczą. Jeżeli nie ma takiego ryzyka, żadne zawiadomienia nie są wymagane, konieczne jest tylko udokumentowanie naruszenia. 

10. RODO: Jak uwolnić się od odpowiedzialności wobec pacjenta?

Niezależnie od przepisów krajowych, RODO ustanawia samodzielną podstawę prawną do zgłaszania roszczeń odszkodowawczych. Jest nią art. 82. Stanowi on, iż każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator odpowiada za szkodę w pełnym zakresie, natomiast podmiot przetwarzający tylko w takim, w jakim nie dopełnił obowiązków, które nakłada na niego RODO, albo gdy działał poza lub wbrew instrukcjom administratora. 

Odpowiedzialność odszkodowawcza wymaga łącznego zajścia następujących przesłanek:

a) poniesienia szkody;

b) naruszenia przepisów;

c) zaistnienia związku przyczynowego pomiędzy szkodą a naruszeniem;

d) wystąpienia winy. 

Szkoda może mieć charakter majątkowy bądź niemajątkowy, wynikający z naruszenia dóbr osobistych, takich jak np. cześć pacjenta. Naruszenie przepisów obejmuje nie tylko RODO, lecz również wszelkie akty wykonawcze przyjęte na jego mocy, jak również nową ustawę o ochronie danych osobowych. Udowodnienie szkody, naruszenia i związku pomiędzy nimi należy do osoby pokrzywdzonej. Z uwagi jednak na zasadę rozliczalności, którą omówiłem w poprzednim artykule, ciężar udowodnienia poprawności przetwarzania danych został w praktyce przerzucony na administratora. Sąd może więc zastosować domniemanie faktyczne i uznać, że naruszenie nastąpiło, jeżeli wniosek taki może wyprowadzić z innych faktów podanych przez pokrzywdzonego (dowód prima facie). 

Ponadto RODO stanowi, iż administrator zostaje zwolniony z odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do szkody. Wprowadza tym samym domniemanie winy sprawcy. Administrator musi więc udowodnić swoją niewinność, co nie będzie zadaniem prostym z uwagi na określenie „w żaden sposób”. Oznacza ono, że liczy się najmniejszy bodaj stopień winy, a nieumyślność nie ma żadnego znaczenia. W tej sytuacji uwolnić się od odpowiedzialności można tylko poprzez wykazanie należytej staranności w ścisłym przestrzeganiu przepisów i przyjętych procedur. Podjęcie obrony poprzez wykazanie, iż odpowiedzialność za szkodę ponosi kto inny, np. współadministrator lub podmiot przetwarzający, nie chroni od odpowiedzialności wobec pacjenta. RODO ustanawia bowiem zasadę odpowiedzialności solidarnej. W tym przypadku pozostaje tylko roszczenie o zwrot wypłaconego odszkodowania skierowane do podmiotów, które ponoszą odpowiedzialność wspólnie z administratorem.

Masz pytania dotyczące RODO? Wyślij je na adres redakcja@pulsfarmacji.pl lub za pośrednictwem strony www.facebook.com/PrawoDlaLekarzyIFarmaceutów.

CZYTAJ TAKŻE: Branża farmaceutyczna dostosowuje się do RODO

 

PODSTAWA PRAWNA

1. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4 maja 2016 r.);

2. § 86 rozporządzenia ministra zdrowia z 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. poz. 2069);

3. pkt 6.3. projektu z 13 marca 2018 r. kodeksu postępowania dla podmiotów wykonujących działalność leczniczą (http://www.rodowzdrowiu.pl/);

4. art. 152 projektu ustawy o ochronie danych osobowych (druk nr 2410 Sejmu RP VIII kadencji).

5. motyw 171 oraz art. 4 pkt 12, art. 26, 28, 30, 33, 34, 82 i 99 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4 maja 2016 r.);

6. art. 31 ustawy z dnia 29 sierpnia 1997 o ochronie danych osobowych (Dz.U. z 2016 r., poz. 922);

7. art. 24 ust. 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r., poz. 1318);

8. art. 231 Kodeksu postępowania cywilnego.

Źródło: Puls Medycyny

Podpis: Sławomir Molęda, ekspert prawa medycznego i farmaceutycznego, partner w Kancelarii Kondrat i Partnerzy

Najważniejsze dzisiaj
Tematy
Puls Medycyny
Prawo / RODO: najważniejsze zmiany i problemy
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.