RODO przedstawiane jest jako rewolucja w ochronie danych, czy w przypadku placówek medycznych też będzie to tak duża zmiana?
Jeżeli placówki ochrony zdrowia prawidłowo prowadziły do tej pory dokumentację i prawidłowo chroniły dane, to nie będzie to rewolucja, a uzupełnienie dotychczasowych, już stosowanych rozwiązań.
Jak, pana zdaniem, wygląda świadomość nadchodzących zmian w branży medycznej?
Dopiero w tej chwili niektóre jednostki orientują się, że jest coś takiego jak RODO. Sytuacja jeszcze gorzej wygląda w przypadku indywidualnych praktyk lekarskich - wielu lekarzy w ogóle nie słyszało o tym obowiązku i nie mają żadnej świadomości tego, że te przepisy ich także dotyczą. Świadomość samego istnienia regulacji jest wiąż bardzo znikoma - to niepokojące, dlatego trzeba dużo na ten temat mówić.
Trudno przygotować się na zmiany, których ostatecznego kształtu nie znamy. Trwają przecież prace nad nową krajową ustawą o ochronie danych. Czy przygotowywać się już do zmian, czy lepiej poczekać na nową ustawę?
Z punktu widzenia przygotowań do RODO, trzeba to już robić. Unijne rozporządzenie od 25 maja będzie obowiązywać bezpośrednio we wszystkich unijnych krajach, także w Polsce. Nasza krajowa ustawa będzie miała charakter uzupełniający i zawiera istotne regulacje, ale raczej na przyszłość, np. dot. postępowania kontrolnego i procedury certyfikacyjnej. Ustawa zawierać będzie wiele istotnych regulacji, ale one będą miały znaczenie już po rozpoczęciu stosowania RODO.
Kto odpowiada za właściwe wdrożenie RODO i stosowanie nowych regulacji?
Trzeba odróżnić samo wdrożenie RODO od późniejszego stosowania stworzonych procedur i zasad zgodnie z RODO. Za to pierwsze na poziomie placówki medycznej odpowiada kierownictwo, natomiast wewnątrz jednostki za wdrożenie określonych procedur np. w ramach oddziałów odpowiadać będą ich kierownicy. Trzeba też wspomnieć o odpowiedzialności za samo przetwarzanie danych, bo w rozporządzeniu pojawia się zapis o odpowiedzialności za ewentualne naruszenie zasad ochrony danych dla osób, które są zobowiązane do zachowania tajemnicy zawodowej. W sytuacji gdy np. lekarz zleca sporządzenie dokumentów rejestratorce medycznej i dojdzie do wycieku danych, to odpowiedzialność poniesie nie rejestratorka, która wykonuje polecenia lekarza, ale lekarz – to on jest bowiem zobowiązany do zachowania tajemnicy zawodowej i na nim, zgodnie z RODO, ciąży odpowiedzialność. Muszę podkreślić, że to na razie jedynie intepretacja przepisu, a jaka będzie praktyka, pokaże czas.
Czyli wdrażanie RODO nie zakończy się 25 maja 2018 roku?
Zdecydowanie nie. Wszystko, co mówi się w kontekście RODO, to nowość. Dopiero za jakiś czas będziemy mogli powiedzieć jak wygląda praktyka, jakie będzie orzecznictwo - i co chyba najważniejsze z punktu widzenia stosujących przepisy - jak te przepisy interpretować będą kontrolujący, bo to będzie ostateczna weryfikacja. Tak naprawdę wdrażanie RODO to ciągły proces, który nie skończy się 25 maja, kiedy rozporządzenie zacznie obowiązywać. Nie mam wątpliwości, że dokumenty, które w tej chwili przygotowujemy, będą wymagały korekt i uzupełnień.
Jakie nowe obowiązki będą spoczywać na placówkach medycznych w związku z wdrażaniem RODO?
Zdecydowanie nowością będzie obowiązek informowania o sytuacji naruszenia zasad ochrony danych osobowych. Każda placówka, która wykryje takie naruszenie, ma obowiązek zgłoszenia tego do urzędu w ciągu 72 godzin.
Nowością będą też umowy powierzenia przetwarzania danych
W tej chwili mamy w polskich przepisach tylko jeden ogólny przepis w tej sprawie. W RODO regulacje są zdecydowanie bardziej szczegółowe, określono m.in., że niezbędna będzie ich forma pisemna, wyliczono też minimalne regulacje, które muszą się w takiej umowie znaleźć. Konieczne jest więc przygotowanie aneksów do obowiązujących umów lub przygotowanie zupełnie nowych. Warto opracować też wzorzec umowy, który będzie stosowany po 25 maja i będzie zawierał wszystkie wymagane przez RODO elementy.
Nowością będzie też obowiązek posiadania przez podmioty wykonujące świadczenia zdrowotne inspektora ochrony danych osobowych.
Na wzór dzisiejszego ABI?
W zasadzie tak. Przepisy ustawy o ochronie danych osobowych dotyczące administratorów bezpieczeństwa informacji uległy dużej zmianie z początkiem 2015 roku i są bardzo zbliżone do tych uregulowań, które zawiera unijne rozporządzenie w stosunku do inspektorów ochrony danych.
Jaka będzie zatem różnica?
Przede wszystkim powołanie ABI było fakultatywne, teraz wszystkie publiczne placówki medyczne będą musiały powołać inspektora ochrony danych.
A co z niewielkimi przychodniami lub prywatnymi praktykami? Czy jeśli placówka zatrudnia na przykład dwóch lekarzy, to również będzie musiała zatrudnić inspektora?
RODO nie wprowadza obowiązku utworzenia nowego stanowiska i zatrudnienia dodatkowej osoby. Inspektor może być zatrudniony na podstawie umowy o pracę, ale możliwa jest też umowa cywilnoprawna. Dużo zależy od tego, o jakim podmiocie mówimy.
Ważna będzie realizacja zadań, a nie stanowisko?
Tak. RODO nie mówi o stanowisku, a o funkcji. W przypadku dużych szpitali zapewne najlepszym rozwiązaniem będzie zatrudnienie takiego inspektora, ale na rynku są wyspecjalizowane firmy świadczące takie usługi. Będzie można podpisać z nimi umowę i wypełnić w ten sposób obowiązek wynikający z RODO. Zadania inspektora może wykonywać również osoba już zatrudniona - często takie obowiązki biorą na siebie np. informatycy, jako specjaliści.
Czy wszystkie dotychczas stosowane dokumenty trzeba przygotować od nowa?
Klienci często pytają mnie, czy stosowane do tej pory upoważnienia do dostępu, ewidencje osób, ktore mają dostęp do danych, trzeba wyrzucić i przygotować nowe. Nie. Trzeba przeglądnąć, jak te dokumenty zostały przygotowane, bo bardzo prawdopodobne, że można je nadal stosować.
Czy pojawią się jakieś nowe dokumenty?
Takie dokumenty będą dwa: rejestr czynności przetwarzania i ocena skutków dla ochrony danych. Rejestr czynności przetwarzania w całości zastąpi obowiązek rejestrowania zbiorów danych osobowych w Urzędzie Ochrony Danych Osobowych, który ma zastąpić GIODO. Drugi dokument: ocena skutków dla ochrony danych – to zupełna nowość. Ten dokument uregulowany został w RODO bardzo enigmatycznie.
Gdzie szukać wskazówek przy opracowywaniu dokumentów na potrzeby RODO?
RODO zastąpi dotychczasową ustawę o ochronie danych, przestaną też obowiązywać wydane na jej podstawie rozporządzenia, m.in. dotyczące prowadzenia dokumentacji elektronicznej oraz zasad prowadzenia rejestru zbiorów danych. Te rozporządzenia zostaną skasowane z polskiego porządku prawnego, ale jeżeli placówki dysponują dokumentami w nich wymienionymi, to proces dostosowywania będzie dużo prostszy. Można regulacje tych rozporządzeń wykorzystać jako wskazówki.
Czy da się konkretnie wskazać, jak należy zabezpieczyć dane medyczne, by zapewnić zgodność z RODO?
Z takim pytaniem często przychodzą do mnie klienci. Nie ma gotowego rozwiązania, administrator sam musi ocenić, jakie środki techniczne i organizacyjne są niezbędne dla zapewnienia przetwarzania danych w sposób zgodny z unijnym rozporządzeniem. RODO nie wskazuje środków i metod zabezpieczania danych, daje jedynie wskazówki. Jednostka sama musi dokonać takiej oceny. W przypadku upoważnień trzeba np. sprawdzić, czy dokonano odpowiedniej klasyfikacji przetwarzanych informacji i określono, kto jest uprawniony do ich przetwarzania i w jakim zakresie. Nie można stosować jednego wzoru upoważnienia dla wszystkich. Na każdym kroku należy myśleć o minimalizowaniu ryzyka naruszeń.
Które regulacje wprowadzane przez RODO budzą najwięcej pytań i wątpliwości?
Klientom trudno zrozumieć, że rozporządzenie nie daje konkretnych narzędzi. Pytają np. co to znaczy "wdrożyć odpowiednie środki techniczne i organizacyjne", oczekują konkretnego przepisu, a takiego nie ma. Dużo wątpliwości dotyczy też kwestii odpowiedzialności.
Jeśli nasz czytelnik dziś dowiedział się, że nowe przepisy też go dotyczą, co powinien zrobić? Czy jest recepta na dobre przygotowanie się do RODO?
Moim zdaniem, trzeba ten proces podzielić na 3 etapy:
Pierwszy to audyt wewnętrzny, czyli przegląd tego, co już mamy, m.in. umów, dokumentów.
Gdy wiemy już, jakie dokumenty są, i które z nich możemy wykorzystać, a które wymagają zmiany, to wchodzimy w drugi etap, czyli przygotowania dokumentów.
Trzecim krokiem jest szkolenie pracowników - oni muszą mieć świadomość dlaczego RODO i przygotowane procedury są tak istotne. To właśnie niski poziom świadomości personelu prowadzi zazwyczaj do błędów w przetwarzaniu danych osobowych. Nawet najlepsze dokumenty, procedury i regulaminy nie zadziałają, jeśli personel nie będzie ich znał.
Rozmawiała Agnieszka Matłacz
