Regulamentul (UE) 2016/679 privind protecția datelor cu caracter personal, impact major asupra activităților medicale!

La data de 25 mai 2018, în toate statele membre ale Uniunii Europene se va aplica Regulamentul (UE) 2016/679 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal (prescurtat în engleză - GDPR).

GDPR prezintă cele mai ambițioase și cuprinzătoare modificări ale regulilor de protecție a datelor din întreaga lume în ultimii 20 de ani. Conceptul de responsabilitate se află în centrul regulilor GDPR, ceea ce înseamnă că operatorii vor trebui să demonstreze că au analizat cerințele GDPR în ceea ce privește prelucrarea datelor cu caracter personal și că au implementat reguli/sisteme/proceduri și programe pentru a se conforma.

Prelucrare de date cu caracter personal înseamnă orice operațiune efectuată asupra datelor cu caracter personal, cu sau fără utilizarea de mijloace automatizate, cum ar fi colectarea, înregistrarea, organizarea, structurarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, divulgarea prin transmitere, diseminarea sau punerea la dispoziție în orice alt mod, alinierea sau combinarea, restricționarea, ștergerea sau distrugerea.

Intră în categoria datelor cu caracter personal: numele și prenumele, data și locul nașterii, seria și numărul actului de identitate, CNP, studiile, adresa e-mail, locul de muncă, apartenența sindicală, starea de sănătate, profesiea, situația financiară, originea rasială, telefonu, faxul, originea etnică, vocea, imaginea, apartenența politică, cetățenia, religia, datele genetice.

Amenzile maxime pentru nerespectarea obligațiilor sunt cele mai ridicate de 20 de milioane de euro și 4% din cifra de afaceri globală a organizației.

Normele GDPR se aplică tuturor operatorilor de date cu caracter personal, însă au un impact mai mare asupra anumitor profesii sau activități, în special asupra acelora care prelucrează date cu caracter personal sensibile.

Activitățile de natură medicală reprezintă una dintre categoriile mai sus descrise, care, în lumina GDPR, pot genera riscuri considerabile la adresa drepturilor şi libertăţilor fundamentale.

GDPR folosește noțiunea de risc ridicat, identificat inclusiv atunci când operatorul sau persoana împuternicită prelucrează date sensibile, cum sunt cele privind sănătatea, sau atunci când este implicată vulnerabilitatea persoanelor vizate (angajați, pacienți, copii, persoane aflate în situații de asistență). În cazurile în care se apreciază că există un risc ridicat legat de prelucrarea datelor personale sunt impuse o serie de obligații speciale, inclusiv realizarea de către operator a unei evaluări de impact.

Potrivit Rec. (35) datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informaţii despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informaţii despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistenţă medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză, astfel cum sunt menţionate în Directiva 2011/24/UE a Parlamentului European şi a Consiliului (1 ); un număr, un simbol sau un semn distinctiv atribuit unei persoane fizice pentru identificarea singulară a acesteia în scopuri medicale; informaţii rezultate din testarea sau examinarea unei părţi a corpului sau a unei substanţe corporale, inclusiv din date genetice şi eşantioane de material biologic; precum şi orice informaţii privind, de exemplu, o boală, un handicap, un risc de îmbolnăvire, istoricul medical, tratamentul clinic sau starea fiziologică sau biomedicală a persoanei vizate, indiferent de sursa acestora, ca de exemplu, un medic sau un alt cadru medical, un spital, un dispozitiv medical sau un test de diagnostic in vitro. (1) Directiva 2011/24/UE a Parlamentului European şi a Consiliului din 9 martie 2011 privind aplicarea drepturilor pacienţilor în cadrul asistenţei medicale transfrontaliere (JO L 88, 4.4.2011, p. 45).

Potrivit Rec. (63) o persoană vizată ar trebui să aibă drept de acces la datele cu caracter personal colectate care o privesc şi ar trebui să îşi exercite acest drept cu uşurinţă şi la intervale de timp rezonabile, pentru a fi informată cu privire la prelucrare şi pentru a verifica legalitatea acesteia. Acest lucru include dreptul persoanelor vizate de a avea acces la datele lor privind sănătatea, de exemplu datele din registrele lor medicale conţinând informaţii precum diagnostice, rezultate ale examinărilor, evaluări ale medicilor curanţi şi orice tratament sau intervenţie efectuată. Orice persoană vizată ar trebui, prin urmare, să aibă dreptul de a cunoaşte şi de a i se comunica în special scopurile în care sunt prelucrate datele, dacă este posibil perioada pentru care se prelucrează datele cu caracter personal, destinatarii datelor cu caracter personal, logica de prelucrare automată a datelor cu caracter personal şi, cel puţin în cazul în care se bazează pe crearea de profiluri, consecinţele unei astfel de prelucrări. Dacă acest lucru este posibil, operatorul de date ar trebui să poată furniza acces de la distanţă la un sistem sigur, care să ofere persoanei vizate acces direct la datele sale cu caracter personal. Acest drept nu ar trebui să aducă atingere drepturilor sau libertăţilor altora, inclusiv secretului comercial sau proprietăţii intelectuale şi, în special, drepturilor de autor care asigură protecţia programelor software. Cu toate acestea, consideraţiile de mai sus nu ar trebui să aibă drept rezultat refuzul de a furniza toate informaţiile persoanei vizate. Atunci când operatorul prelucrează un volum mare de informaţii privind persoana vizată, operatorul ar trebui să poată solicita ca, înainte de a îi fi furnizate informaţiile, persoana vizată să precizeze informaţiile sau activităţile de prelucrare la care se referă cererea sa.

Ce trebuie să facă operatorii de date până în 25 mai și după 25 mai?

Până în 25 mai operatorii au obligația să evalueze dacă și în ce măsură gestionează conform GDPR modul de prelucrare a datelor cu caracter personal, au obligația specifică de a pune în aplicare măsurile adecvate de conformare a personalului la prevederile GDPR și de a implementa măsuri tehnice și organizatorice cu scopul de a securiza prelucrarea datelor și de a asigura proceduri interne pentru conformarea la cerințele GDPR.

După 25 mai operatorii trebuie să ia măsuri pentru a arăta că au respectat protecția datelor și au pus în aplicare măsuri adecvate de conformitate cu activitățile de prelucrare a datelor, trebuie să efectueze evaluări ale impactului asupra vieții private atunci când prelucrarea datelor ar putea duce la un risc ridicat pentru drepturile și libertățile indivizilor, trebuie să poată demonstra că a fost acordat consimțământul atunci când se bazează pe consimțământ ca motiv pentru prelucrarea datelor cu caracter personal, trebuie să poată demonstra că s-au conformat cerințelor GDPR, trebuie să-și numească DPO atunci când este cazul, și să coopereze cu Autoritatea de supraveghere din România privind îndeplinirea sarcinilor lor.

Având în vedere numeroasele cerințe noi introduse prin Regulament, consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează sau decid prelucrarea datelor cu caracter personal, și în mod special a sancțiunilor administrative deosebit de mari ce au fost stabilite, se impune ca operatorii de date cu caracter personal să trateze cu maximă prudență și diligență conformarea la prevederile Regulamentului.

Autor: Monica Jantea

Managing Partner Jantea și Asociații