лікарів

GDPR діє вже понад 18 місяців. За цей період багато чого стало зрозумілим, підприємці отримали відповіді на проблеми із заявами, Управління видало декілька вказівок, а суди ухвалили рішення у ряді справ. Однак до нас часто звертаються лікарі з питань GDPR. Більшість із цих проблем виникли через те, що лікарі приділяли GDPR лише незначну увагу та не надавали великої ваги регламенту.

1. Вони залишили питання захисту персональних даних своїм працівникам

Контролер завжди відповідає за дотримання законодавства про захист персональних даних. Контролер - це фізична або юридична особа, яка визначила мету та засоби обробки персональних даних. Оператором може бути лікар, медична клініка або лікарня.
Більшість лікарів не знають або не цікавляться правовим регулюванням GDPR і не встигають зайнятися створенням відповідної документації щодо GDPR. Тому вони залишають питання захисту персональних даних у руках медсестер, помічників чи інших працівників.
Однак ми не рекомендуємо цю процедуру. Ваша медсестра або асистент не є експертом із захисту даних, і, крім того, ви, як оператор, несете відповідальність за всі помилки та упущення.

2. Лікарі не застосували документацію GDPR на практиці

Однак багато лікарів справді мали справу з новими правилами конфіденційності. Деякі замовляли експертів GDPR, інші самі складали документацію. Однак ми часто стикаємось із ситуацією, коли лікарі підготували документацію щодо GDPR, але на практиці вони взагалі не дотримуються правил захисту персональних даних.
GDPR є не просто адміністративним тягарем, а питанням, яке потрібно застосувати на практиці. Якщо вас відвідала інспекція, недостатньо того, що ви підготували документацію. Зокрема, контролери повинні перевірити, чи відповідає контролер прийнятим заходам безпеки та основним принципам обробки персональних даних.

3. Згода на обробку персональних даних як правової основи

Лікар може обробляти персональні дані на декількох юридичних засадах. Залежно від мети, з якою він обробляє персональні дані, він повинен вибрати правильну правову основу. Персональні дані також можуть оброблятися на законних підставах виконання договору, виконання юридичного зобов’язання, законних інтересів, якщо це необхідно для захисту життєво важливих інтересів або за згодою пацієнта.
Лікарі та заклади охорони здоров’я часто вибирають згоду пацієнта як правову основу для обробки персональних даних. Вони роблять це "напевно". Однак така процедура є неправильною. Лікарі та медичні установи зобов'язані обробляти персональні дані безпосередньо із Закону про охорону здоров'я та інших відповідних правових норм, і тому персональні дані повинні оброблятися в основному на законних підставах виконання юридичного зобов'язання, або на іншій відповідній правовій основі.
Якщо ви запитуєте згоди пацієнтів на обробку персональних даних, хоча ви можете обробляти їх персональні дані на іншій правовій основі, ви ризикуєте отримати великий штраф.

4. Лікарі не повинні інформувати зацікавлених осіб

Одним із обов’язків лікаря та медичного закладу є інформування пацієнтів та, можливо, інших зацікавлених осіб про умови обробки їхніх персональних даних. Саме це зобов’язання, як правило, є проблематичним. Деякі лікарі взагалі не надають цю інформацію пацієнтам, тоді як інші надають її певною мірою, але це застаріло, не відповідає дійсності або є неповною.
GDPR та Закон про захист даних чітко визначають, яку інформацію ви повинні надавати своїм пацієнтам. Для того, щоб мати можливість підготувати політику конфіденційності, спочатку потрібно провести аудит персональних даних, щоб визначити точний потік даних до амбулаторного відділення та з нього. Потім ви включите отриману інформацію до політики конфіденційності, яку ви зможете опублікувати на своєму веб-сайті та розмістити в залі очікування.

5. Недостатня безпека

Ви також придбали новий шафку і вважаєте, що ваші особисті дані надійно захищені? Забезпечення захисту персональних даних повинно бути набагато ширшим та всебічнішим. Одним з основних обов’язків контролера є вжиття відповідних технічних та організаційних заходів безпеки для забезпечення захисту персональних даних. Вирішуючи, які заходи безпеки необхідні, потрібно враховувати засоби, за допомогою яких обробляються персональні дані та де вони знаходяться. Вивчіть ризики, пов’язані з обробкою персональних даних за допомогою цих засобів, та оберіть відповідні заходи безпеки на основі результату.