Polskie podmioty i ich przygotowania do ustawy RODO, czy placówki publiczne i prywatne są na to gotowe?
Już 25 maja 2018 roku wchodzi w życie RODO, czyli unijne rozporządzenie dotyczące ochrony danych osobowych. Wydaje się, że w ciągu 8 miesięcy można odpowiednio przygotować się do wdrożenia unijnego prawa, jednak w wielu przypadkach maj w 2018 roku będzie trudny dla przedsiębiorców i instytucji publicznych. Rozporządzenie RODO, które przyjął Parlament Europejski w sprawie przepisów dotyczących ochrony danych osobowych w krajach członkowskich narzuca wyjątkowo trudne regulacje na wszelkie podmioty przetwarzające dane osobowe, nakładając tym samym wyjątkowe obostrzenia w przetwarzaniu danych również na placówki publiczne w tym szpitale.
Kogo dotyczy RODO, czyli Rozporządzenie Ogólne o Ochronie Danych Osobowych?
Czy polskie szpitale są gotowe na wdrożenie RODO i wiedzą jak wprowadzić zmiany?
Wiele placówek nie wie jak dbać o prawa pacjenta pomimo faktu, że za kilka miesięcy wchodzą nowe przepisy o przetwarzaniu danych osobowych. Zgodnie z nowymi przepisami, za wyciek danych pacjentów placówka może zapłacić nawet do 20 mln zł euro kary. W celu min. egzekucji kary powołany zostanie Prezes Urzędu Ochrony Danych Osobowych , który może nakładać kary pieniężne sięgające nawet 20 mln euro dla przedsiębiorców i 100 tys. zł dla administracji publicznej. Wyjątkiem będą instytucje takie jak: muzea, biblioteki, kina czy teatry, które generalnie nie gromadzą danych wrażliwych.
Zmiany, zmiany, zmiany…
Rozporządzenie to wiele zmian. Podstawą, z której wynika owe rozporządzenie docelowo ma być zabezpieczenie interesów obywateli. Już na etapie pozyskiwania naszych danych administrator danych osobowych (ADO) będzie zobowiązany do podania informacji o okresie ich przechowywania, zamiarze ich przekazania do osób trzecich, etc. Prawdopodobnie będzie to stanowić możliwość na wyeliminowanie dziesiątek telefonów i maili po zakupie np. telewizji kablowej, abonamentów telefonicznych itp., które w dużej ilości zaczynają występować akurat po zakupie.
Pojawi się obowiązek prowadzenia rejestru czynności przetwarzania wewnątrz organizacji.
Obecnie nie ma obowiązku powoływania administratora bezpieczeństwa informacji, a unijne rozporządzenie obliguje do takiej zmiany. Od maja 2018 będzie to obligatoryjne w ramach ochrony danych przedsiębiorstwo, placówka szpitalna itp. będzie musiała powołać Inspektora Ochrony Danych (IOD). Klienci, pacjenci i osoby, których dane będą przetwarzane będą miały prawo kontaktować się z nim w sprawach dotyczących przetwarzania danych osobowych. Ich zakres powiększył się o dane genetyczne i biometryczne.
Chodzi tu o prawo do usunięcia danych (zwane wcześniej prawem do bycia zapomnianym) i prawo przenoszenia danych w zakresie internetowych potentatów jak Google i Facebook, itp.
„Donosicielstwo na samego siebie” ??
Nowe przepisy obligują do donoszenia na siebie, gdy dane osobowe wyciekną. W momencie, w którym sami przyznajemy się do popełnionego błędu możemy liczyć na łagodniejsze potraktowanie przez GIODO. Co więcej, w niektórych wypadkach trzeba będzie też poinformować o incydencie osoby, których dane wyciekły (np. klientów). Przypominamy w tym momencie o karach nawet do 20 mln euro lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku.
Zatem jak nowe prawodawstwo wpłynie na korporacje, duże podmioty, małe i średnie firmy, ale również na placówki publiczne? Poczekamy, zobaczymy..