Prawa do ochrony danych będą większe. Ale trzeba to wiedzieć

Czytaj dalej
Fot. Wojciech Wojtkielewicz
(jsz)

Prawa do ochrony danych będą większe. Ale trzeba to wiedzieć

(jsz)

Zapis konferencji z dr. Edytą Bielak-Jomaa, GIODO i Maciejem Olesińskim, dyr. podlaskiego oddziału NFZ.

Maciej Olesiński, dyrektor podlaskiego oddziału Narodowego Funduszu Zdrowia:

Ochrona danych osobowych w systemie ochrony zdrowia to temat szczególnie wrażliwy. Dlatego, że zarówno w NFZ, jak też w każdym szpitalu, przychodni jest to zagadnienie związane z najbardziej intymną sferą naszego życia. Wszyscy byliśmy, jesteśmy lub będziemy pacjentami. Dokumentacja medyczna dotycząca naszego leczenia czy rehabilitacji w tym systemie krąży.

Dr Edyta Bielak-Jomaa, Generalny Inspektor Ochrony Danych Osobowych:

Jesteśmy w bardzo szczególnym czasie, jeśli chodzi o problematykę ochrony danych osobowych w służbie zdrowia. W ub.r. weszło w życie europejskie rozporządzenie, które jest efektem kilkuletniej reformy sektora. A dotyczy podstawowych praw człowieka, czyli prawa do prywatności, prawa do ochrony danych osobowych. Jeśli chodzi o dane medyczne, to są to dane wręcz intymne. Bardzo nam zależy na tym, abyśmy mieli wiedzę i świadomość tego, czym grozi utrata takich danych. Do tego trzeba posiadać wiedzę o tym, w jaki sposób prawidłowo przetwarzać dane, w jaki sposób zabezpieczać procesy związane z przetwarzaniem. Kto, kiedy, jakie dane może przetwarzać, jak długo, dla jakich celów, komu je może udostępniać. Rozporządzenie weszło w życie w ub.r., będzie obowiązywało bezpośrednio w polskim porządku prawnym od 25 maja 2018 r. Wtedy już nie będzie żadnych okresów przejściowych. Jeśli chodzi o GIODO, to takie spotkania jak dziś są jednym z priorytetów działalności. Zależy nam, żeby wiedza - zwłaszcza decydentów - na temat ochrony danych osobowych i świadomość nas wszystkich na temat uprawnień była na jak najwyższym poziomie. To jest czas, który wykorzystujemy do tego, by dzielić się wiedzą i doświadczeniem.

Co zmieni się w świetle unijnych przepisów, o których Pani wspomniała?

Zmieni się bardzo dużo - cały system ochrony danych osobowych. Po raz pierwszy w polskim porządku prawnym obowiązywać będzie akt unijny, które nie potrzebuje transformacji. Po prostu musimy czytać przepisy tego rozporządzenia i je stosować. Jest to pewna niedogodność i coś, co budzi szereg obaw wielu z nas. Z punktu widzenia administratorów danych, czyli wszystkich podmiotów, które decydują, jakie dane są zbierane i co z nimi jest robione, zmienia się podejście do ich ochrony. W taki sposób, że to administrator będzie musiał ocenić, jakie środki organizacyjne i techniczne ma zastosować, aby proces przetwarzania danych osobowych był prawidłowy, aby dane nie wyciekły, aby je zabezpieczyć, aby osoba, której dotyczą, wiedziała, po co są przetwarzane i w jaki sposób może chronić swoje prawa. To administrator będzie musiał ocenić ryzyko i zastosować odpowiednie do rozporządzenia środki.

Z punktu widzenia obywateli zmienia się to, że mamy większy wpływ na ochronę danych osobowych poprzez zwiększenie prawa do informacji o tym, kto i po co nasze dane przetwarza. Uzyskujemy też uprawnienie, którego do tej pory nie mieliśmy, czyli prawo do przenoszenia danych czy prawo do bycia zapomnianym. Ale również prawo do informowania nas na każdym etapie, kto i po co nasze dane przetwarza.

Czy to znaczy, że dotąd nasze dane nie były właściwie zabezpieczane?

Były zabezpieczane, ale wyglądało to tak, że ustawodawca wyręczał administratora, ponieważ ustawie towarzyszyły rozporządzenia, określające, jakie techniczne zabezpieczenia trzeba zastosować: niski poziom ochrony, średni, wysoki. W tej chwili ten obowiązek spoczywa na administratorze, który ma chronić dane przed wyciekiem.

Jakie mogą być tego konsekwencje? Rozporządzenie przewiduje i po raz pierwszy wprowadza odpowiedzialność administracyjną. Kary są nawet do 20 mln euro. Nie chciałabym straszyć, bo kary są efektem nieprawidłowego gospodarowania danymi osobowymi. Byśmy nie musieli o tym mówić, dziś mówimy o podnoszeniu wiedzy i świadomości.

Jeśli chodzi o prawo do bycia zapomnianym - czy dziś nie możemy zażądać wykasowania naszych danych?

Możemy, ale teraz mamy zagwarantowane przez ustawodawcę europejskiego prawo do domagania się usunięcia informacji o nas, które przez administratora są umieszczone na stronach internetowych. Oczywiście to jest bardzo trudne do zrealizowania. Ale dochodzić roszczenia możemy. Administrator musi wykonać nasze żądanie. Jeżeli go nie zrealizuje, to musi wykazać, że nie jest możliwe usunięcie informacji o nas, bo np. nie jest administratorem. Ale to na nim ciąży obowiązek wykazania, że nie może danych usunąć.

Administratorem nie musi być placówka medyczna, to może być podmiot zewnętrzny?

Zgodnie z przepisami, administratorem jest ten, kto decyduje o celach przetwarzania i środkach, które służą zabezpieczaniu. Więc może to być i placówka medyczna, i podmiot zewnętrzny. To także lekarz prowadzący indywidualną praktykę.

Czy często się zdarza, że dane osobowe wyciekają z systemu ochrony zdrowia?

Zdarzało się niejednokrotnie, że na śmietnikach znajdowano całe historie chorób pacjentów, dokumentację medyczną, w której były zawarte dane o chorobie, o lekach, dane genetyczne. Jest to bardzo poważna sprawa.

(jsz)

Polska Press Sp. z o.o. informuje, że wszystkie treści ukazujące się w serwisie podlegają ochronie. Dowiedz się więcej.

Jesteś zainteresowany kupnem treści? Dowiedz się więcej.

© 2000 - 2024 Polska Press Sp. z o.o.