Регламент GDPR: як медзакладам пристосуватися

22 серпня 2018
831
Середній бал: 5 із 5

Європейський Союз запровадив нові правила обробки персональних даних. Чи поширюються вони на ваш заклад охорони здоров’я і як не наразитися на мільйонні штрафи — читайте в статті!

Україна приваблює іноземних пацієнтів невисоким рівнем цін (порівняно із закордонними клініками) та висококваліфікованою медичною допомогою. Такі умови сприяють припливу на ринок медичних послуг України іноземних пацієнтів, зокрема й із країн — учасниць Європейського Союзу (ЄС): Франції, Італії, Німеччини, Польщі тощо.

До основних напрямів в’їзного медичного туризму в Україні належать:

  • стоматологія;
  • лікування безпліддя;
  • відновлювальна медицина;
  • офтальмологія;
  • кардіологія;
  • лікування стовбуровими клітинами.
Аби залучити іноземних пацієнтів, заклади охорони здоров’я запрошують і заохочують їх або самостійно, або за допомогою агентств, що спеціалізуються на міжнародному туризмі. Для цього вони поширюють інформацію про послуги, які надає заклад охорони здоров’я, зокрема й на інтернет-ресурсах, доступних користувачам із ЄС.

Однак на такі заклади очікує штраф у 20 млн євро, якщо вони не виконуватимуть вимог нового регламенту про захист персональних даних.


Що таке регламент GDPR


У травні набув чинності Загальний регламент захисту персональних даних GDPR (англ. General Data Protection Regulation GDPR; Regulation (EU) 2016/679; далі — Регламент GDPR). Цим документом Європейський парламент, Рада Європейського Союзу та Європейська комісія посилюють і уніфікують захист персональних даних усіх осіб у ЄС.

Регламент GDPR вплине на діяльність закладів охорони здоров’я, що мають представництва в країнах ЄС або обслуговують громадян країн — учасниць ЄС.

Регламент GDPR обов’язковий до виконання. Він не вимагає від урядів країн — учасниць ЄС змінювати локальні нормативно-правові акти. А оскільки Україна 2014 року підписала Угоду про асоціацію з ЄС, українські заклади, які використовують персональні дані громадян ЄС, уже з 25.05.2018 зобов’язані застосовувати норми нового документа.

За невиконання норм Регламенту GDPR заклад можуть оштрафувати на суму до 20 млн євро або до 4% від річного фінансового обороту за попередній фінансовий рік.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Алгоритм надання першої допомоги за опіків: скачайте!"

Кому дотримувати Регламенту GDPR


Сфера безпосередньої дії Регламенту GDPR обмежується кордонами ЄС. Однак юрисдикція документа поширюється й на осіб за межами ЄС. Так суб’єкти даних не будуть позбавлені захисту, на який вони мають право.

Суб’єкт даних (data subject) — фізична особа, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами, як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор, або за одним чи декількома чинниками, визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи.

Тож обробляти персональні дані згідно з Регламентом GDPR заклад охорони здоров’я має у випадках, якщо:
  • має представництво чи філію в ЄС;
  • пропонує товари або послуги суб’єктам даних у ЄС — незалежно від того, платні вони чи ні. Для цього —
– використовує мову чи валюту однієї або кількох країн — учасниць ЄС;
– надає можливість зробити замовлення цією мовою й оплатити його цією валютою;
– згадує споживачів чи користувачів, що перебувають у ЄС;
  • моніторить дії/поведінку суб’єктів даних у ЄС, зокрема за допомогою технології обробки персональних даних.

Заклад охорони здоров’я, який обслуговує туристів з ЄС мовами ЄС та надає можливість оплатити послуги у євро, має обробляти персональні дані згідно з Регламентом GDPR.

Дотримувати нових правил обробки персональних даних ЄС зобов’язані також усі заклади, які обробляють персональні дані європейців в Україні під час онлайн-продажів.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Звіт лікаря — рекомендації щодо складання"

Хто працюватиме з персональними даними згідно з регламентом GDPR 

Регламент GDPR передбачає такі нові категорії осіб щодо захисту персональних даних:
  • data controller — контролер;
  • data processor — оператор;
  • data protection оfficer — співробітник з питань захисту даних.
Розглянемо їх детальніше.

Data Сontroller

Організацію, яка збирає дані від резидентів ЄС, називають контролером. Він зобов’язаний:

  • вести облікову документацію;
  • оцінювати вплив обробки персональних даних на права суб’єктів даних для деяких видів обробки даних;
  • упроваджувати механізми захисту даних;
  • надавати суб’єктам даних повну інформацію про мету збору персональних даних, про права суб’єктів даних тощо у момент збору персональних даних;
  • повідомляти національні органи із захисту даних (Data Protection Authorities), якщо виявить витоки персональних даних, і відповідних суб’єктів персональних даних — упродовж 72 годин.
У деяких випадках контролер співпрацює з обробниками даних.

Регламент GDPR: як медзакладам пристосуватисяЧитайте: "Дезінфекція зі зрошувальними установками: правила"

Data Рrocessor

Фізична або юридична особа, державний орган, агентство або інший орган, який обробляє персональні дані від імені та за дорученням контролера, — оператор. Він зобов’язаний:

  • вести письмовий реєстр операцій з обробки персональних даних, виконаних від імені та за дорученням контролера;
  • призначити свого представника в ЄС — за потреби;
  • вчасно повідомляти контролера про витоки персональних даних;
  • брати участь у діяльності щодо транскордонної передачі даних.

Обробником може бути, наприклад, постачальник хмарних послуг.

Data Protection Officer

Контролер і оператор призначають співробітника з питань захисту даних. Він зобов’язаний:
  • інформувати та надавати рекомендації контролеру або оператору і працівникам, які опрацьовують дані, щодо їхніх обов’язків;
  • здійснювати моніторинг відповідності Регламенту GDPR іншим положенням про захист даних та політиці контролера або оператора щодо захисту персональних даних;
  • надавати рекомендації щодо оцінювання впливу на захист даних і здійснювати моніторинг його проведення — на запит;
  • співпрацювати з наглядовим органом;
  • діяти як координаційний центр для наглядового органу з питань, що стосуються опрацювання даних.
Співробітник з питань захисту даних звітує безпосередньо до найвищого управлінського рівня контролера або оператора.

Читайте: "Відрядження медичних працівників: оплата, документація, порядок"

Як дотримати вимог регламенту GDPR

Якщо ваш заклад надає послуги з медичного туризму, адаптуйте до Регламенту GDPR внутрішні документи, зокрема політику конфіденційності. Така робота — не шаблонна, оскільки Регламент GDPR уводить нові поняття, як-от «транскордонна передача даних», «псевдоанонімізація», «право на забуття або бути забутим» тощо. До того ж він розширює поняття «персональних даних»:

Персональні дані (personal data) — будь-яка інформація, що стосується ідентифікованої фізичної особи або особи, яку ідентифікують («суб’єкт даних»).

Регламент GDPR зараховує до персональних даних, зокрема, IP-адресу та ідентифікатори пристроїв.

Якщо назва компанії чи контактна адреса електронної пошти містить прізвище фізичної особи, то ці дані належать до персональних даних і підлягають обробці відповідно до вимог Регламенту GDPR.

За потреби призначте співробітника з питань захисту даних, а також представника із захисту персональних даних в ЄС, адже медичний заклад обробляє спеціальні дані про стан здоров’я пацієнтів.

Установіть програми, що видаляють дані після закінчення строку зберігання.
logo