In 2018, moment in care a devenit obligatoriu, regulamentul GDPR le-a adus companiilor noi reguli de aplicat.
Nu era foarte clar pe atunci de ce trebuie ca fiecare companie sa aiba o persoana dedicata pentru implementarea acestui Regulament, de ce contractele trebuiesc actualizate cu normele GDPR sau, pe scurt, cum sa ne protejam de amenzi.
Ce este GDPR?
GDPR este un instrument legislativ European al carui scop este asigurarea protejarii datelor cu caracter personal ale cetatenilor din statele membre UE. Chiar daca GDPR le ofera persoanelor fizice mai multa transparenta, drepturi si control asupra datelor lor, creand obligatii pentru companiile care le utilizeaza, aplicat corect devine un mecanism prin care companiile pot sa sporeasca increderea si sa imbunatateasca relatia pe care o au cu angajatii, clientii, pacientii, participantii la studiul clinic (subiecti) sau medici, denumiti generic de GDPR ca “persoane vizate”.
Ce sunt datele personale?
Datele personale reprezinta o gama larga de informatii care privesc o persoana fizica identificata sau care poate fi identificata.De exemplu nume, adrese de e-mail, date de contact, etc. O atentie deosebita trebuie acordata categoriilor speciale de date, mai exact cele privind sanatatea subiectilor, precum si cele legate de afectiuni, efecte si reactii la medicamente, istoricul medical etc., dar si datelor genetice sau biometrice.
GDPR se aplica atunci cand o companie prelucreaza aceste date in desfasurarea activitatii sale. Cei care stabilesc cum vor fi prelucrate datele se numesc operatori. Prelucrarea cuprinde orice operatiuni desfasurate asupra unor date, cum ar fi colectarea lor si completarea diverselor formulare ( de ex. consimtamant informat,formulare de raportare etc.) sau oricaror documente din dosarul persoanei vizate care contin astfel de date,deschiderea unui e-mail care contine date personale sau utilizarea unor aplicatii ori sisteme informatice care stocheaza astfel de date.
In studiile clinice, de cele mai multe ori sunt utilizate, insa, date pseudonimizate (prin atribuirea unui cod care permite identificarea in continuare a subiectului studiului) ceea ce nu le scuteste de aplicarea si respectarea GDPR.
5 reguli simple pentru conformarea GDPR
1.Informarea persoanelor vizate si temeiul legal de prelucrare
Operatorii au obligatia de a informa persoanele vizate cu privire la modul in care le prelucreaza datele.Regulmentul GDPR stabileste categoriile de informatii specifice care trebuie incluse in aceasta informare.
Un alt aspect important care trebuie stabilit de la inceputul unei prelucrari si inclus in nota de informare este temeiul legal al prelucrarii.Desi consimtamantul poate parea cel mai la indemana temei pentru prelurarea datelor personale, nu este intotdeauna asa.De fapt, chiar este recomandat ca si consimtamantul sa fie luat in calcul la finalul epuizarii tuturor celorlalte temeiuri din care amintim obligatia legala sau interesul legitim.
2.Numirea unui DPO ( Data Protection Officer)
In functie de activitatile desfasurate si de volumul de date prelucrate (rezidenti, pacienti, angajati, colaboratori, prestatori de servicii etc.), companiile trebuie sa numeasca un Responsabil cu Protectia Datelor.
Acesta are rolul de consiliere, informare si monitorizare a conformarii cu GDPR la nivelul companiei
3.Reglementarea transferurilor de date
Transferurile de date sunt necesare fiecarei companii. Fie ca le transferam unui prestator de servicii extern cum ar fi medicul de medicina muncii, sau in baza unei obligatii legale cum ar fi ITM, ANAF etc.ele exista in cadrul fiecarei societati.
Regulamentul GDPR prevede adoptarea de masuri tehnice si organizatorice eficiente pentru ca aceste transferuri sa se desfasoare in siguranta si intr-un cadru legal. Totodata, Regulamentul GDPR prevede si obligatia de a incheia contracte specifice cu entitatile care prelucreaza date pe seama si la instructiunea operatorului, dar si pentru operatorii care stabilesc impreuna cum vor fi prelucrate datele, denumiti generic “operatori asociati”.
De asemenea, GDPR prevede anumite obligatii specifice si atunci cand datele sunt transferate in afara UE/SEE, obligatii ce sunt in sarcina companiei aflate in interiorul UE/SEE.
4.Mecanisme pentru respectarea drepturilor persoanelor vizate
Regulamentul GDPR ofera persoanelor vizate drepturi specifice cu privire la datele lor, cum ar fi dreptul de a accesa datele prelucrate de un operator, de a solicita actualizarea lor, de a-si retrage consimtamantul pentru prelucrare, de a se opune prelucrarii sau de a solicita stergerea datelor.
Pentru companii, asta inseamna ca trebuie sa implementeze reguli despre cum vor fi gestionate asemenea cereri si sa poata identifica datele pe care le prelucraza despre o anumita persoana.
5.Asigurarea securitatii datelor
Securitatea trebuie asigurata atat pentru documentele fizice,cat si pe cele stocate electronic care cuprind date personale. Lipsa masurilor de securitate, dezvaluirea/accesul neautorizat la date este si una dintre incalcarile GDPR cele mai frecvente pentru care Autoritatea Nationala de Supraveghere a Prelucrarii datelor cu Caracter Personal aplica cele mai mari amenzi.
Va prezentam mai jos, o scurta lista,din ultimele 12 luni,a amenzilor aplicate operatorilor din domeniul medical:
1.Farmacia Arealul – 2.500 euro – instalare neautorizata program malware pe site-ul operatorului
2.Medlife – 3.000 euro – dezvaluire neautorizata de date personale prin e-mail
3.Centrul medical Dr.Furtuna – 1.000 euro – dezvaluire neautorizata de date personale prin WhatssApp
4.Dent Estet Clinic – 2.000 euro – clinica si medicul colaborator au divulgat date in mediul online
5.Medicover – 1.000 euro – dezvaluire neautorizata de date personale prin e-mail
Vrei sa implementezi GDPR cu costuri reduse? Noi avem Solutia! Hai sa ne cunoastem!
