Регламент GDPR: як медзакладам пристосуватися

1420
Теми:
Медичне право ... всі
Європейський Союз запровадив нові правила обробки персональних даних. Чи поширюються вони на ваш заклад охорони здоров’я і як не наразитися на мільйонні штрафи — читайте в статті!
Зміст статті:
Що таке регламент GDPR Кому дотримувати Регламенту GDPR Хто працюватиме з персональними даними згідно з регламентом GDPR  Як дотримати вимог регламенту GDPR

Україна приваблює іноземних пацієнтів невисоким рівнем цін (порівняно із закордонними клініками) та висококваліфікованою медичною допомогою. Такі умови сприяють припливу на ринок медичних послуг України іноземних пацієнтів, зокрема й із країн — учасниць Європейського Союзу (ЄС): Франції, Італії, Німеччини, Польщі тощо.

До основних напрямів в’їзного медичного туризму в Україні належать:

  • стоматологія;
  • лікування безпліддя;
  • відновлювальна медицина;
  • офтальмологія;
  • кардіологія;
  • лікування стовбуровими клітинами.
Аби залучити іноземних пацієнтів, заклади охорони здоров’я запрошують і заохочують їх або самостійно, або за допомогою агентств, що спеціалізуються на міжнародному туризмі. Для цього вони поширюють інформацію про послуги, які надає заклад охорони здоров’я, зокрема й на інтернет-ресурсах, доступних користувачам із ЄС.

Однак на такі заклади очікує штраф у 20 млн євро, якщо вони не виконуватимуть вимог нового регламенту про захист персональних даних.


Що таке регламент GDPR


У травні набув чинності Загальний регламент захисту персональних даних GDPR (англ. General Data Protection Regulation GDPR; Regulation (EU) 2016/679; далі — Регламент GDPR). Цим документом Європейський парламент, Рада Європейського Союзу та Європейська комісія посилюють і уніфікують захист персональних даних усіх осіб у ЄС.

Регламент GDPR вплине на діяльність закладів охорони здоров’я, що мають представництва в країнах ЄС або обслуговують громадян країн — учасниць ЄС.

Регламент GDPR обов’язковий до виконання. Він не вимагає від урядів країн — учасниць ЄС змінювати локальні нормативно-правові акти. А оскільки Україна 2014 року підписала Угоду про асоціацію з ЄС, українські заклади, які використовують персональні дані громадян ЄС, уже з 25.05.2018 зобов’язані застосовувати норми нового документа.

За невиконання норм Регламенту GDPR заклад можуть оштрафувати на суму до 20 млн євро або до 4% від річного фінансового обороту за попередній фінансовий рік.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Алгоритм надання першої допомоги за опіків: скачайте!"

Кому дотримувати Регламенту GDPR


Сфера безпосередньої дії Регламенту GDPR обмежується кордонами ЄС. Однак юрисдикція документа поширюється й на осіб за межами ЄС. Так суб’єкти даних не будуть позбавлені захисту, на який вони мають право.

Суб’єкт даних (data subject) — фізична особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами, як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор, або за одним чи декількома чинниками, визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Тож обробляти персональні дані згідно з Регламентом GDPR заклад охорони здоров’я має у випадках, якщо:
  • має представництво чи філію в ЄС;
  • пропонує товари або послуги суб’єктам даних у ЄС — незалежно від того, платні вони чи ні. Для цього —
– використовує мову чи валюту однієї або кількох країн — учасниць ЄС;
– надає можливість зробити замовлення цією мовою й оплатити його цією валютою;
– згадує споживачів чи користувачів, що перебувають у ЄС;
  • моніторить дії/поведінку суб’єктів даних у ЄС, зокрема за допомогою технології обробки персональних даних.

Заклад охорони здоров’я, який обслуговує туристів з ЄС мовами ЄС та надає можливість оплатити послуги у євро, має обробляти персональні дані згідно з Регламентом GDPR.

Дотримувати нових правил обробки персональних даних ЄС зобов’язані також усі заклади, які обробляють персональні дані європейців в Україні під час онлайн-продажів.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Звіт лікаря — рекомендації щодо складання"

Хто працюватиме з персональними даними згідно з регламентом GDPR 

Регламент GDPR передбачає такі нові категорії осіб щодо захисту персональних даних:
  • data controller — контролер;
  • data processor — оператор;
  • data protection оfficer — співробітник з питань захисту даних.
Розглянемо їх детальніше.

Data Сontroller

Організацію, яка збирає дані від резидентів ЄС, називають контролером. Він зобов’язаний:

  • вести облікову документацію;
  • оцінювати вплив обробки персональних даних на права суб’єктів даних для деяких видів обробки даних;
  • упроваджувати механізми захисту даних;
  • надавати суб’єктам даних повну інформацію про мету збору персональних даних, про права суб’єктів даних тощо у момент збору персональних даних;
  • повідомляти національні органи із захисту даних (Data Protection Authorities), якщо виявить витоки персональних даних, і відповідних суб’єктів персональних даних — упродовж 72 годин.
У деяких випадках контролер співпрацює з обробниками даних.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Дезінфекція зі зрошувальними установками: правила"

Data Рrocessor

Фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера, — оператор. Він зобов’язаний:

  • вести письмовий реєстр операцій з обробки персональних даних, виконаних від імені та за дорученням контролера;
  • призначити свого представника в ЄС — за потреби;
  • вчасно повідомляти контролера про витоки персональних даних;
  • брати участь у діяльності щодо транскордонної передачі даних.

Обробником може бути, наприклад, постачальник хмарних послуг.

 Читайте: 

Data Protection Officer

Контролер і оператор призначають співробітника з питань захисту даних. Він зобов’язаний:
  • інформувати та надавати рекомендації контролеру або оператору і працівникам, які опрацьовують дані, щодо їхніх обов’язків;
  • здійснювати моніторинг відповідності Регламенту GDPR іншим положенням про захист даних та політиці контролера або оператора щодо захисту персональних даних;
  • надавати рекомендації щодо оцінювання впливу на захист даних і здійснювати моніторинг його проведення — на запит;
  • співпрацювати з наглядовим органом;
  • діяти як координаційний центр для наглядового органу з питань, що стосуються опрацювання даних.
Співробітник з питань захисту даних звітує безпосередньо до найвищого управлінського рівня контролера або оператора.

Читайте: "Відрядження медичних працівників: оплата, документація, порядок"

Як дотримати вимог регламенту GDPR

Якщо ваш заклад надає послуги з медичного туризму, адаптуйте до Регламенту GDPR внутрішні документи, зокрема політику конфіденційності. Така робота — не шаблонна, оскільки Регламент GDPR уводить нові поняття, як-от «транскордонна передача даних», «псевдоанонімізація», «право на забуття або бути забутим» тощо. До того ж він розширює поняття «персональних даних»:

Персональні дані (personal data) — будь-яка інформація, що стосується ідентифікованої фізичної особи або особи, яку ідентифікують («суб’єкт даних»).

Регламент GDPR зараховує до персональних даних, зокрема, IP-адресу та ідентифікатори пристроїв.

Якщо назва компанії чи контактна адреса електронної пошти містить прізвище фізичної особи, то ці дані належать до персональних даних і підлягають обробці відповідно до вимог Регламенту GDPR.

За потреби призначте співробітника з питань захисту даних, а також представника із захисту персональних даних в ЄС, адже медичний заклад обробляє спеціальні дані про стан здоров’я пацієнтів.

Установіть програми, що видаляють дані після закінчення строку зберігання.

Читайте більше:

Статичний блок для статей

Останні новини

Усі новини

Гарячі запитання

Усі питання і відповіді