avocatnet.ro 
Aceste obligații își au temeiul în Regulamentul general privind protecția datelor (GDPR). Redacția avocatnet.ro a scris, constant, despre GDPR, ce înseamnă acesta, ce obligații există în temeiul lui și care sunt riscurile nerespectării. Puteți accesa aceste materiale, aici.
Furnizorii de servicii medicale, însă, par să aibă unele probleme cu înțelegerea obligațiilor pe care le au, în temeiul Regulamentului. Conform unui articol al celor de la privacyONE, furnizorii de servicii medicale nu respectă, de multe ori, condițiile pentru prelucrarea validă a datelor personale și nici nu au implementate proceduri care să le asigure conformarea cu GDPR. Aceste lucruri îi expun pe acei furnizori la amenzi ridicate, de mii și zeci de mii de euro și, în unele cazuri, chiar mai mari (de exemplu, aici sau aici).
Cum trebuie prelucrate datele personale, în baza consimțământului
Faptul că un pacient și-a dat consimțământul pentru o intervenție medicală nu înseamnă că acesta se referă și la prelucrarea datelor. Cele două sunt diferite și ar trebui tratate ca atare: folosirea acordurilor diferite pentru prelucrarea datelor, necondiționarea furnizării serviciilor medicale de consimțământul la prelucrarea de date (un astfel de consimțământ, oricum, nu ar fi valid).
De asemenea, consimțământul poate fi retras oricând, așa că ar fi bine să nu folosiți consimțământul, întotdeauna, ca temei pentru prelucrarea datelor. Cu alte cuvinte, dacă un pacient și-a dat consimțământul, el și-l poate retrage oricând. Nu vorbim de un consimțământ obișnuit (unde, odată dat, el trebuie respectat). De aceea, dacă pacientul își retrage consimțământul, nu mai puteți să continuați prelucrarea datelor.
În același timp, trebuie clarificat ceva, din cauza poziției speciale în care vă aflați: în esență, voi prelucrați două tipuri de date. Pe de o parte, prelucrați datele obișnuite ale persoanelor, cum ar fi numele, adresa, vârsta etc. Acestea sunt date personale obișnuite, care trebuie respectate și pentru care trebuie să existe o justificare în vederea prelucrării de date, însă care poate fi și alta decât consimțământul (de exemplu, îndeplinirea unei obligații legale sau executarea unui contract).
Pe de altă parte, tot ce ține de sănătatea unei persoane este considerat ca fiind din categoria datelor sensibile. Acestea au un statut special, în sensul că prelucrarea lor este și mai strictă decât datele din prima categorie, menționate mai sus. În esență, aici, aveți două justificări pentru prelucrarea datelor:
- fie consimțământul persoanei;
- pentru finalizarea acordării serviciului medical (această prevedere expresă în GDPR remediază situația când, după ce datele au fost prelucrate în temeiul consimțământului, pacientul și-l retrage; nu discutăm, aici, de retragerea consimțământului la serviciul medical, ci la prelucrarea de date).
Trebuie să luați măsuri de informare a pacienților despre prelucrarea datelor
Pacienții cărora le prelucrați date trebuie informați că faceți acest lucru. Faptul că i-ați informat despre serviciul medical și ce implică acesta nu înseamnă că i-ați informat și despre prelucrarea datelor, cum este menționat și în articolul celor de la privacyONE. Pentru a fi siguri, nu presupuneți că informarea s-ar subînțelege. Aceste lucruri sunt cu atât mai relevante cu cât, astfel cum spuneam mai sus, nu prelucrați doar date medicale, ci și date obișnuite, precum numele sau adresa.
De asemenea, puteți să fiți puși în situația când pacienți sau foști pacienți vor să știe ce date dețineți despre ei sau vor să le fie șterse acele date. GDPR-ul vă obligă să răspundeți acelor cereri (decât dacă nu există un motiv legitim pentru care să le refuzați, cum ar fi o obligație legală). Ca să fiți siguri că vă puteți conforma, este bine să aveți implementate proceduri interne, prin care să recunoașteți astfel de cereri și să puteți reacționa, este menționat în articolul de la privacyONE.
Este important și să aveți un „Registru al activităților de prelucrare a datelor personale”, conform GDPR, mai menționează cei de la privacyONE. Acesta, dincolo că este obligatoriu, în temeiul Regulamentului, poate ajuta și la fluizidzarea și eficientizarea proceselor menționate mai sus.
În articolul citat se mai face referire și la identificarea punctelor critice și la remedierea lor. Acestea vor fi mai ușor de descoprit, după ce ați implementat procedurile la care am făcut referire înainte. De exemplu, un punct critic ar putea să se refere la cazuri când nu ați stabilit, în mod clar, temeiul pentru prelucrarea datelor.
Ce este GDPR și de ce este el important pentru furnizorii de servicii medicale
Ca să înțelegeți de ce e așa importantă respectarea GDPR, în activitatea voastră, gândiți-vă la aspectul următor: datele personale reprezintă informații despre pacienții voștri care pot duce la identificarea lor sau care îi identifică, în mod direct. Cu alte cuvinte, oricum v-ați organiza activitatea, tot intrați în contact cu astfel de date.
Orice faceți cu aceste informații, inclusiv dacă le colectați, reprezintă o prelucrare de date personale. Numai că Regulamentul menționat mai sus nu vă lasă să colectați sau să utilizați datele respective decât dacă aveți un motiv sau, în limbajul GDPR-ului, un temei. De exemplu, aveți un consimțământ liber exprimat și neechivoc al pacientului în acest sens. Sau trebuie să păstrați anumite date, pentru că vă obligă legea.
Însă așa cum ați văzut și mai sus, sunteți într-o situație specială, de multe ori, spre deosebire de cineva care oferă servicii sau vinde produse obișnuite (să zicem un retailer de haine). De ce? Pentru că datele strict medicale, adică cele care țin de sănătatea pacientului, sunt date sensibile (puteți citi mai multe despre ele, aici), ceea ce face mult mai strictă prelucrarea lor. Acest lucru nu înseamnă că toate datele pe care le prelucrați sunt date medicale și că li se aplică aceleași condiții care li se aplică celor care țin de sănătatea pacienților, însă chiar și în privința acestora trebuie să aveți grijă.
lucian_c