Federacja Porozumienie Zielonogórskie: jak uniknąć kar za nieprzestrzeganie RODO?
Autor: Marta Koblańska
Data: 26.09.2019
Źródło: Federacja Porozumienie Zielonogórskie
Działy:
Aktualności w Lekarz POZ
Aktualności
Komu placówki medyczne mogą udostępniać dokumentację pacjenta? W jakich sytuacjach mają prawo pobierać za to opłaty i w jakiej wysokości? Kiedy należy odmówić ubezpieczycielowi udostępnienia dokumentacji medycznej? Jakie prawa ma pacjent na mocy RODO? Odpowiadają Jacek Krajewski i eksperci Federacji Porozumienie Zielonogórskie.
Od wejścia w życie przepisów o RODO za naruszenie przepisów o ochronie danych osobowych grożą gigantyczne kary. W ich uniknięciu pomóc może praktyczna wiedza na temat szczegółowych przepisów RODO, zawarta w pierwszym kodeksie postępowania RODO, opracowanym przez Federację Porozumienie Zielonogórskie we współpracy eksperckiej z firmą JAMANO specjalnie dla małych placówek medycznych. 25 września 2019 r. na zaproszenie UODO przedstawiciele PZ i JAMANO po raz kolejny mieli okazję przedyskutować szczegółowe uwagi organu nadzorczego do dokumentu.
- Było to kolejne robocze spotkanie, ale widać, że prezesowi UODO zależy na szybkim zatwierdzeniu treści kodeksu – mówi Jacek Krajewski, prezes Federacji Porozumienie Zielonogórskie. - Nadal toczy się dyskusja m.in. dotycząca zasad przetwarzania danych osobowych w związku z prowadzeniem przez placówki medyczne badań jakości oraz prowadzeniem monitoringu wizyjnego - dodaje.
- Większość tekstu została już uzgodniona, niebawem planowane jest kolejne spotkanie i liczymy, że uda się wtedy uzgodnić finalną treść kodeksu – mówi Jan Wus, prezes Jamano.
Autorzy kodeksu podkreślają, że do tej pory w całej Unii Europejskiej nałożono już ponad 150 kar pieniężnych za naruszenia RODO. W Polsce na razie były trzy takie przypadki. Jeden ze sklepów internetowych musi zapłacić ponad 2,8 mln zł kary za to, że osoby nieuprawnione uzyskały dostęp do danych osobowych ponad 2 milionów klientów. Zdaniem prezesa UODO, spółka nie wdrożyła odpowiednio bezpiecznych środków technicznych ochrony danych, przez co naraziła klientów na ryzyko ujawnienia ich danych i dostania się informacji na ich temat w niepowołane ręce. Konsekwencją takiego zaniedbania może być np. kradzież tożsamości. Wcześniej sankcję w wysokości ok. 1 mln zł nałożono na firmę przygotowującą rejestry osób i podmiotów prowadzących działalność gospodarczą. Ukarana ona została za niespełnienie obowiązku informacyjnego wobec kilku milionów osób, znajdujących się w rejestrach. 55 tysięcy zł musiał z kolei zapłacić Dolnośląski Związek Piłki Nożnej, który na swojej stronie internetowej publikował zbyt szczegółowe dane na temat 600 sędziów piłkarskich, podając m.in ich numery PESEL i adresy zamieszkania.
Administracyjne kary pieniężne to niejedyny element odpowiedzialności administracyjnej placówek medycznych. Prezes UODO może również przeprowadzić w nich kontrolę, podczas której sprawdzi jak przetwarzane są dane osobowe. Może również w drodze decyzji administracyjnej zakazać wykorzystania danych osobowych. Co więcej, wykorzystywanie danych osobowych w sytuacji, gdy nie jest to dopuszczalne albo gdy robi to osoba nieuprawniona, jest zagrożone sankcją karną – karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat trzech.
Powyższe sankcje to niejedyne konsekwencje nieprzestrzegania RODO. Należy się także liczyć z odpowiedzialnością cywilną: osoba poszkodowana może domagać się odszkodowania za naruszenie dóbr osobistych lub za szkodę, którą poniosła w wyniku naruszenia RODO przez placówkę. Taka sytuacja zdarzyła się np. w jednym z polskich szpitali, gdzie pacjentowi zmarłemu w grudniu ubiegłego roku przypisano przez pomyłkę dane innego pacjenta. Obaj nosili to samo imię i nazwisko, urodzili się w tym samym roku. Zdaniem pokrzywdzonego zawinił szpital, dlatego domaga się od placówki zadośćuczynienia. Nie wiadomo jeszcze, jak skończy się inna historia z naszego kraju. Personel jednego z oddziałów, podczas wypisu pomylił pacjentki. W efekcie karetka zawiozła do domu nie tę kobietę. W szpitalu ruszyło wewnętrzne śledztwo, które ma znaleźć winnych. Obie kobiety były pacjentkami oddziału neurologii. Są po udarze mózgu i cierpią na afazję, kontakt z nimi jest utrudniony. Jedna mieszka w woj. kujawsko-pomorskim, druga w pomorskim. Obie wypisano ze szpitala tego samego dnia i obie do domów miały pojechać karetką. Personel pomylił pacjentki i do domu odwiózł nie tę kobietę. Jedną z pacjentek odebrała opiekunka, która także nie zauważyła, że to inna osoba. Karetka wróciła do szpitala. Zorientowano się dopiero wówczas, kiedy jeden z mężczyzn zapytał pielęgniarkę dlaczego jego mama wciąż jest w szpitalu. Szpital przyznaje się do pomyłki i tłumaczy, że taka sytuacja nie powinna się zdarzyć.
Zapisy do Kodeksu RODO dla placówek medycznych zrzeszonych w Federacji Porozumienie Zielonogórskie będą dostępne na stronie.
- Było to kolejne robocze spotkanie, ale widać, że prezesowi UODO zależy na szybkim zatwierdzeniu treści kodeksu – mówi Jacek Krajewski, prezes Federacji Porozumienie Zielonogórskie. - Nadal toczy się dyskusja m.in. dotycząca zasad przetwarzania danych osobowych w związku z prowadzeniem przez placówki medyczne badań jakości oraz prowadzeniem monitoringu wizyjnego - dodaje.
- Większość tekstu została już uzgodniona, niebawem planowane jest kolejne spotkanie i liczymy, że uda się wtedy uzgodnić finalną treść kodeksu – mówi Jan Wus, prezes Jamano.
Autorzy kodeksu podkreślają, że do tej pory w całej Unii Europejskiej nałożono już ponad 150 kar pieniężnych za naruszenia RODO. W Polsce na razie były trzy takie przypadki. Jeden ze sklepów internetowych musi zapłacić ponad 2,8 mln zł kary za to, że osoby nieuprawnione uzyskały dostęp do danych osobowych ponad 2 milionów klientów. Zdaniem prezesa UODO, spółka nie wdrożyła odpowiednio bezpiecznych środków technicznych ochrony danych, przez co naraziła klientów na ryzyko ujawnienia ich danych i dostania się informacji na ich temat w niepowołane ręce. Konsekwencją takiego zaniedbania może być np. kradzież tożsamości. Wcześniej sankcję w wysokości ok. 1 mln zł nałożono na firmę przygotowującą rejestry osób i podmiotów prowadzących działalność gospodarczą. Ukarana ona została za niespełnienie obowiązku informacyjnego wobec kilku milionów osób, znajdujących się w rejestrach. 55 tysięcy zł musiał z kolei zapłacić Dolnośląski Związek Piłki Nożnej, który na swojej stronie internetowej publikował zbyt szczegółowe dane na temat 600 sędziów piłkarskich, podając m.in ich numery PESEL i adresy zamieszkania.
Administracyjne kary pieniężne to niejedyny element odpowiedzialności administracyjnej placówek medycznych. Prezes UODO może również przeprowadzić w nich kontrolę, podczas której sprawdzi jak przetwarzane są dane osobowe. Może również w drodze decyzji administracyjnej zakazać wykorzystania danych osobowych. Co więcej, wykorzystywanie danych osobowych w sytuacji, gdy nie jest to dopuszczalne albo gdy robi to osoba nieuprawniona, jest zagrożone sankcją karną – karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat trzech.
Powyższe sankcje to niejedyne konsekwencje nieprzestrzegania RODO. Należy się także liczyć z odpowiedzialnością cywilną: osoba poszkodowana może domagać się odszkodowania za naruszenie dóbr osobistych lub za szkodę, którą poniosła w wyniku naruszenia RODO przez placówkę. Taka sytuacja zdarzyła się np. w jednym z polskich szpitali, gdzie pacjentowi zmarłemu w grudniu ubiegłego roku przypisano przez pomyłkę dane innego pacjenta. Obaj nosili to samo imię i nazwisko, urodzili się w tym samym roku. Zdaniem pokrzywdzonego zawinił szpital, dlatego domaga się od placówki zadośćuczynienia. Nie wiadomo jeszcze, jak skończy się inna historia z naszego kraju. Personel jednego z oddziałów, podczas wypisu pomylił pacjentki. W efekcie karetka zawiozła do domu nie tę kobietę. W szpitalu ruszyło wewnętrzne śledztwo, które ma znaleźć winnych. Obie kobiety były pacjentkami oddziału neurologii. Są po udarze mózgu i cierpią na afazję, kontakt z nimi jest utrudniony. Jedna mieszka w woj. kujawsko-pomorskim, druga w pomorskim. Obie wypisano ze szpitala tego samego dnia i obie do domów miały pojechać karetką. Personel pomylił pacjentki i do domu odwiózł nie tę kobietę. Jedną z pacjentek odebrała opiekunka, która także nie zauważyła, że to inna osoba. Karetka wróciła do szpitala. Zorientowano się dopiero wówczas, kiedy jeden z mężczyzn zapytał pielęgniarkę dlaczego jego mama wciąż jest w szpitalu. Szpital przyznaje się do pomyłki i tłumaczy, że taka sytuacja nie powinna się zdarzyć.
Zapisy do Kodeksu RODO dla placówek medycznych zrzeszonych w Federacji Porozumienie Zielonogórskie będą dostępne na stronie.