Szpitale niegotowe do ochrony danych osobowych pacjentów

Drakońskie kary administracyjne, przepisy karne i nowe podstawy odpowiedzialności cywilnoprawnej administratora przewiduje za nieprawne udostępnienie danych unijne rozporządzenie o ochronie danych osobowych (RODO) i implementujący je do prawa polskiego projekt ustawy o ochronie danych osobowych.

Za wyciek danych ich administrator zapłaci do 20 mln euro i do 4 proc. światowego obrotu, gdy będzie to firma międzynarodowa. Przewidziana jest też administracyjna kara grzywny. Dla instytucji publicznych ma wynieść do 100 tys. zł (placówki prywatne zapłacą nawet 1 mln 80 tys. zł).

Dyrektywa RODO obowiązuje od 25 maja 2016 r., a dwuletni okres dostosowawczy kończy się 25 maja 2018 r.

Mimo to nasze placówki lecznicze, które administrują jednymi z najbardziej wrażliwych danych, są w ocenie ekspertów nieprzygotowane na wejście surowych przepisów.

– Choć z ochroną danych osobowych mają do czynienia od dawna, jak chyba wszyscy przedsiębiorcy nie są gotowi na skokowe podwyższenie wymagań – ocenia prof. Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali. I dodaje, że chodzi o usprawnienie nie tylko systemów elektronicznych, ale kulturę organizacji i walkę z zaszłościami: – Do dziś w wielu szpitalach żąda się od pacjentów numeru dowodu osobistego czy imion rodziców, podczas gdy do identyfikacji pacjenta wystarczy PESEL. Należy przeszkolić personel, jakie dane może gromadzić – mówi prof. Fedorowski.

Krzysztof Nyczaj, specjalista ds. informatyzacji ochrony zdrowia, były naczelnik wydziału rejestrów publicznych i identyfikatorów elektronicznych w Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ), uważa, że podmioty lecznicze powinny być przygotowane do RODO:

– Każdy z nich z definicji powinien mieć instrukcję bezpieczeństwa danych osobowych, a wiele z nich, szczególnie duże szpitale, ma wdrożone certyfikaty ISO 27001, premiowane podczas procedur konkursowych – tłumaczy.

Poza oceną skutków przetwarzania danych osobowych na wypadek ich utraty każda z placówek będzie musiała także przeszkolić pracowników i ustanowić inspektora ochrony danych, który będzie podlegał bezpośrednio prezesowi Urzędu Ochrony Danych Osobowych, który po wejściu w życie ustawy zastąpi GIODO.

Przedstawiciele branży opracowują branżowy kodeks postępowania dla podmiotów ochrony zdrowia.

– Pomoże placówkom doprecyzować zakres zastosowania przepisów RODO – mówi prof. Fedorowski, którego organizacja opracowuje kodeks m.in. razem z CSIOZ, resortem zdrowia czy Naczelną Radą Aptekarską.

etap legislacyjny: konsultacje społeczne