Au nevoie spitalele de un responsabil cu protecţia datelor? Prevederile GDPR şi ale autorităţilor locale

Noul Regulament de Protecţie a Datelor cu Caracter Personal devine un subiect tot mai discutat, pe măsură ce termenul-limită se apropie (mai 2018).

Noul Regulament de Protecţie a Datelor cu Caracter Personal devine un subiect tot mai discutat, pe măsură ce termenul-limită se apropie (mai 2018). Articolul 3 din legea de punere în aplicare a reglementărilor UE face precizări privind datele referitoare la sănătate, datele genetice şi biometrice, a căror prelucrare este interzisă pentru oricare alte scopuri în afara celor efectuate de şi sub controlul autorităţilor publice. Pentru că spitalele colectează şi stochează astfel de date, foarte sensibile, se vor supune unor reguli speciale, indiferent că sunt publice sau private. Un alt aspect relevant este acela că spitalele sunt în zona de risc ridicat, din cauza numărului mare de interacţiuni cu pacienţii şi a complexităţii relaţiilor cu aceștia. O cunoscută companie de consultanţă avertizează că, începând din luna mai a.c., GDPR (General Data Protection Regulation) poate genera un număr mare de procese, mai ales în cadrul companiilor/organizaţiilor cu număr mare de clienţi şi de relaţii conflictuale, inclusiv procese colective. Prin urmare, numirea unui responsabil este recomandabilă/obligatorie pentru oricare instituţie din sistemul de sănătate.

Cine poate fi responsabil cu protecţia datelor şi cum arată fişa postului? Articolul 8 din aceeaşi lege este relativ evaziv, prin faptul că prevede doar obligativitatea numirii acestei persoane. În cazul unui organism cu autoritate publică poate fi desemnat un responsabil pentru mai multe organizaţii. Este important de precizat că nu există o certificare profesională pentru funcţia de responsabil cu protecţia datelor (calificare, studii) şi nici un profil profesional explicit. Cerinţele se referă la cunoştinţe de specialitate în dreptul şi practicile legate de protecţia datelor, ceea ce indică o combinație între juridic şi cyber-security. Persoana poate avea mai multe funcţii, însă nu poate fi şeful unui serviciu care procesează date, inclusiv IT, marketing, operaţional, HR etc. Responsabilul va ţine legătura cu autoritatea, va urmări aplicarea GDPR, va trimite notificări în cazul unor breşe de securitate, va răspunde la solicitările pacienţilor etc.