Na dzień 25 maja 2018 roku jako przedsiębiorcy, urzędy, placówki medyczne i wiele in. będziemy zobowiązani spełnić dodatkowe wymagania związane z ochroną danych osobowych wprowadzone do polskiego porządku prawnego Rozporządzeniem Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/41/WE (zwane RODO lub GDPR- General Data Protection Regulation).
Rozporządzenie to nakłada nowe obowiązki na administratorów danych w zakresie przetwarzania, wykorzystywania i przechowywania danych osobowych osób fizycznych. Celem unijnej regulacji jest przede wszystkim rzeczywiste zwiększenie ochrony danych osobowych osób fizycznych. Wszystkie placówki zajmujące się działalnością medyczną prowadzą dla każdego pacjenta dokumentację medyczną, gromadząc w ten sposób i przetwarzając dane osobowe pacjentów.
Na dzień 25 maja 2018 roku aktualny staje się rozszerzony obowiązek informacyjny placówki skierowany do pacjenta odnośnie przetwarzania jego danych osobowych. Najbardziej pewną formą informowania pacjentów jest forma pisemna, która może przybrać postać klauzuli informacyjnej wraz ze oświadczeniem pacjenta o wyrażeniu zgody na przetwarzanie danych. W klauzuli takiej zawarte powinny być przede wszystkim informacje o okresie, przez który dane pacjenta będą przechowywane, pouczenia pacjenta, że posiada prawo do żądania dostępu do swoich danych osobowych i in.
Istotnym jest, że rozporządzenie nie daje gotowych rozwiązań w zakresie czynności i procedur, jakie należy przeprowadzić. Zatem każdy przedsiębiorca – będzie zobowiązany do stworzenia sprawnie funkcjonującego systemu ochrony danych osobowych – dostosowanych do specyfiki jego firmy.
W celu zwiększenia efektywności ochrony danych osobowych pacjentów rozporządzenie nakłada na placówki medyczne, które przetwarzają dane osobowe na szeroką skale obowiązek powołania inspektora ochrony danych (IOD). Nie jest jednak ściśle określone co należy rozumieć pod pojęciem ‘przetwarzania danych na szeroką skale’.
Pojawia się również szereg dalszych gwarancji dla pacjentów np. prawo do bycia zapomnianym, tj. możliwość całkowitego usunięcia wszelkich danych osobowych dotyczących danej osoby.
Organem odpowiedzialnym w sprawie ochrony danych osobowych będzie Prezes Urzędu Ochrony Danych Osobowych, a nie jak dotychczas Główny Inspektor Ochrony Danych Osobowych. Prezes będzie władny stosować kary pieniężne na wypadek uchybienia obowiązkom wskazanym w RODO.
Wobec powyższego, dla efektywnego wdrożenia wszelkich zmian w zakresie ochronny danych osobowych należy w pierwszej kolejności ustalić dotychczasowy stan przestrzegania przepisów o ochronie danych osobowych w danej placówce. Następnie zaś dostosować placówki do wymogów już istniejących a następnie do wprowadzonych przez rozporządzenie.
W obecnej sytuacji wymagane stało się również przeprowadzenie warsztatów szkoleniowych dla pracowników personelu medycznego. Wydaje się, że szkolenia takie powinny być realizowane w placówkach częściej niż wyłącznie w przypadku zmiany regulacji prawnych. Personelowi należy co jakiś czas odświeżać wiedzę o pewnych zasadach w zakresie ochrony danych osobowych, które w czasie natłoku codziennych obowiązków zawodowych a także ze względu na rutynę w ich wykonywaniu mogą przysłowiowo spaść na drugi plan.
Na podstawie art. 40 rozporządzenia zaleca się, aby stworzyć generalne kodeksy postępowania dla różnych sektorów dotyczących przetwarzania danych w tym sektora medycznego, co obecnie jest w trakcie realizacji.
Prace nad projektem ustawy o ochronie danych osobowych nadal trwają.