Ce trebuie sa stim despre GDPR ?

GDPR

Vizualizari: 31321

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

 

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Parlamentul European și Consiliul au adoptat, în data de 27 aprilie 2016, Regulamentul (UE) 2016/679 privind protecţia persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter
personal și privind libera circulaţie a acestor date și de abrogare a Directivei 95/46/CE (Regulamentul general privind protecţia datelor - GDPR).
Regulamentul (UE) 2016/679 a fost publicat în Jurnalul Oficial al Uniunii L119 din 4 mai 2016, iar prevederile lui vor fi direct aplicabile în toate statele membre ale Uniunii Europene, începând cu
data de 25 mai 2018.
Regulamentul (UE) 2016/679 impune un set unic de reguli în materia protecţiei datelor cu caracter personal, înlocuind Directiva 95/46/CE și, implicit, prevederile Legii nr. 677/2001.

NOUTĂŢI

  • Regulamentul (UE) 2016/679 pune accent pe transparenţa faţă de persoana vizată și responsabilizarea operatorului de date faţă de modul în care prelucrează datele cu caracter personal.
  • Regulamentul (UE) 2016/679 stabilește o serie de garanţii specifice pentru a proteja cât mai eficient viaţa privată a minorilor, în special în mediul on-line.
  • Regulamentul (UE) 2016/679 consolidează drepturile garantate persoanelor vizate și introduce noi drepturi: dreptul de a fi uitat, dreptul la portabilitatea datelor și dreptul la restricţionarea prelucrării.
  • Regulamentul (UE) 2016/679 introduce sancţiuni severe, pâna la 10 – 20 milioane de euro sau între 2% și 4% din cifra de afaceri la nivel internaţional, pentru operatorii din sectorul privat

GDPR se aplică:

  • Prelucrării datelor cu caracter personal în cadrul activităţilor derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
  • Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activităţile de prelucrare sunt legate de:
    - oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăţi de către persoana vizată; sau
    -  monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
  • Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internaţional public.

CARE SUNT PRINCIPALELE OBLIGAŢII PENTRU OPERATORII DE DATE ÎN APLICAREA GDPR ?

1. DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

2. CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

3. PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

4. GESTIONAREA RISCURILOR

5. ORGANIZAREA PROCEDURILOR INTERNE

 

DESEMNAREA UNUI RESPONSABIL CU PROTECŢIA DATELOR

Pentru a îndruma modul în care sunt gestionate datele cu caracter personal în cadrul unui operator sau al unei persoane împuternicite de operator, în anumite situaţii, este necesară o persoană care să exercite o misiune de informare, de consiliere și de control în plan intern: responsabilul cu protecţia datelor.
Desemnarea unui responsabil cu protecţia datelor este obligatorie din 25 mai 2018, raportat la dispoziţiile art. 37 - 39 din Regulamentul General privind Protecţia Datelor, în cazul în care operatorul sau persoana împuternicită de operator:
- este o autoritate publică sau un organism public, cu excepţia instanţelorîn exercitarea funcţiei lor jurisdicţionale;
- desfășoară o activitate principală care conduce la realizarea unei monitorizări constante și sistematice pe scară largă a persoanelor;
- desfășoară o activitate principală care constă în prelucrarea pe scară largă de date sensibile (cum ar fi : date privind originea rasială sau etnică, convingerile religioase, apartenenţa sindicală, date genetice, biometrice, privind starea de sănătate) sau referitoare la condamnări penale și infracţiuni.

Chiar dacă entitatea nu are obligaţia expresă de a desemna un responsabil cu protecţia datelor, ANSPDCP recomandă numirea acestuia, în considerarea efectului benefic al activităţii responsabilului în vederea asigurării respectării Regulamentului General de Protecţia Datelor de către operatorul respectiv sau persoana împuternicită de operator.
Un responsabil cu protecţia datelor reprezintă un avantaj major pentru operator în vederea înţelegerii și respectării obligaţiilor prevăzute de GDPR, dialogului cu autorităţile pentru protecţia datelor și reducerii riscurilor apariţiei unor litigii.

Rolul responsabilului cu protecţia datelor
- să informeze și să consilieze operatorul sau persoana împuternicită de operator, precum și angajaţii acestora cu privire la obligaţiile existente în domeniul protecţiei datelor cu caracter
personal;
- să monitorizeze respectarea GDPR și a legislaţiei naţionale în domeniul protecţiei datelor;
- să consilieze operatorul sau persoana împuternicită în legătură cu realizarea de studii de impact privind protecţia datelor și să verifice efectuarea acestora;
-  să coopereze cu autoritatea pentru protecţia datelor și să reprezinte punctul de contact în relaţia cu aceasta.

 

CARTOGRAFIEREA PRELUCRĂRILOR DE DATE CU CARACTER PERSONAL

Toţi operatorii din sistemul public, persoanele împuternicite de operator, precum și operatorii din sistemul privat cu peste 250 de angajaţi, au obligaţia cartografierii prelucrărilor de date cu caracter personal efectuate, raportat la prevederile art. 30 din Regulamentul General privind Protecţia Datelor.
Chiar și operatorii din sistemul privat cu mai puţin de 250 de angajaţi au obligaţia cartografierii prelucrărilor în cazurile în care prelucrarea pe care o efectuează este susceptibilă să genereze un risc pentru drepturile și libertăţile persoanelor vizate, în cazul în care prelucrarea nu este ocazională sau prelucrarea include categorii speciale de date ori date cu caracter personal referitoare la condamnări penale și infracţiuni.

În acest sens:
Pentru a evalua în mod eficient impactul GDPR asupra activităţii entităţii, este necesară identificarea prelucrărilor de date cu caracter personal efectuate și păstrarea evidenţei activităţilor de prelucrare.
Pentru a avea o evidenţă completă și exactă a prelucrărilor de date cu caracter personal efectuate și pentru a răspunde noilor exigenţe, trebuie identificate, în prealabil, cu precizie:
- diferitele prelucrări de date cu caracter personal;
- categoriile de date cu caracter personal prelucrate;
- scopurile urmărite prin operaţiunile de prelucrare a datelor;
- persoanele care prelucrează aceste date;
- fluxurile de date, indicând originea și destinaţia datelor, în special pentru a identifica eventualele transferuri de date în afara Uniunii Europene.

Evidenţa păstratăde operator va cuprinde:
(a) numele și datele de contact ale operatorului și, după caz, ale operatorului asociat, ale reprezentantului operatorului și ale responsabilului cu protecţia datelor;
(b) scopurile prelucrării;
(c) o descriere a categoriilor de persoane vizate și a categoriilor de date cu caracter personal;
(d) categoriile de destinatari cărora le-au fost sau le vor fi divulgate datele cu caracter personal, inclusiv destinatarii din ţări terţe sau organizaţii internaţionale;
(e) dacă este cazul, transferurile de date cu caracter personal către o ţară terţă sau o organizaţie internaţională, inclusiv identificarea ţării terţe sau a organizaţiei internaţionale respective și, în cazul transferurilor menţionate la articolul 49 alineatul (1) al doilea paragraf din Regulamentul General privind Protecţia Datelor, documentaţia care dovedește existenţa unor garanţii adecvate;
(f) acolo unde este posibil, termenele-limită preconizate pentru ștergerea diferitelor categorii de date;
(g) acolo unde este posibil, o descriere generală a măsurilor tehnice și organizatorice de securitate menţionate la articolul 32 alineatul (1) din Regulamentul General privind Protecţia Datelor.

Ca atare, pentru fiecare prelucrare de date cu caracter personal, este necesar a se avea în vedere urmatoarele:

CINE ?
Se înscriu în evidenţa numele și coordonatele operatorului (și ale reprezentantului sau legal) și, dupa caz, ale responsabilului cu protecţia datelor; Se întocmește lista persoanelor împuternicite, după caz.

CE ?
Se identifică categoriile de date cu caracter personal prelucrate; Se identifică datele susceptibile de a prezenta riscuri datorită naturii lor sensibile deosebite (datele privind sănătatea sau infracţiunile)

DE CE ?
Se precizează scopul sau scopurile în care sunt colectate sau prelucrate datele cu caracter personal (ex. gestionarea relaţiei comerciale, managementul resurselor umane, geolocalizare, videosupraveghere etc.)

UNDE ?
Se stabilește locaţia sistemului de evidenţă și, dacă e cazul, destinatarii datelor. Se stabilesc statele către care sunt, eventual, transferate datele.

PÂNĂ CÂND?
Se precizează, pentru fiecare categorie de date, perioada de stocare.

CUM ?
Se precizează masurile de securitate implementate pentru a reduce la minimum riscurile de acces neautorizat la date și, în consecinţa, impactul asupra vieţii private a persoanelor vizate.

 

PRIORITIZAREA ACŢIUNILOR DE ÎNTREPRINS

Operatorul și persoana împuternicită de operator identifică acţiunile care trebuie întreprinse pentru conformarea la cerinţele impuse de GDPR
Se prioritizează aceste acţiuni în funcţie de riscurile pe care le prezintă prelucrările efectuate pentru drepturile și libertăţile persoanelor vizate. După identificarea prelucrărilor de date cu caracter personal efectuate în cadrul entităţii, se stabilesc, pentru fiecare dintre acestea, acţiunile care trebuie întreprinse în vederea respectării obligaţiilor impuse de Regulamentul General privind Protecţia Datelor.
Indiferent de prelucrările efectuate, se vor avea în vedere, în principal, următoarele aspecte:

- colectarea și prelucrarea doar a datelor strict necesare pentru realizarea scopurilor;
- identificarea temeiului legal în baza căruia se efectuează prelucrarea raportat la art. 6 din Regulamentul General privind Protecţia Datelor (ex. consimţământul persoanelor vizate,
contract, obligaţie legală);
- revizuirea/completarea informaţiilor furnizate persoanelor vizate, astfel încât să respecte cerinţele impuse de Regulamentul General privind Protecţia Datelor (articolele 12, 13 și 14);
- asigurarea că persoanele împuternicite își cunosc noile obligaţii și responsabilităţi;
- verificarea existenţei clauzelor contractuale și actualizarea obligaţiilor persoanelor împuternicite privind securitatea, confidenţialitatea și protecţia datelor cu caracter personal
prelucrate;
- stabilirea modalităţilor de exercitare a drepturilor persoanelor vizate (ex. dreptul de acces, dreptul de rectificare, dreptul la portabilitate, retragerea consimţământului);
- verificarea măsurilor de securitate implementate.

Se pot aplica măsuri speciale, precum: evaluarea impactului asupra protecţiei datelor, extinderea dreptului la informare al persoanelor vizate, obţinerea consimţământului persoanelor vizate (după caz), obţinerea autorizării pentru transferurile de date în state terţe (dacă este cazul), în cazul în care prelucrările de date cu caracter personal efectuate în cadrul operatorului sau persoanei împuternicite de operator îndeplinesc următoarele caracteristici:
- Prelucrarea efectuată vizează și categorii de date precum:

  • date care dezvăluie originea rasială sau etnică, opiniile politice, filozofice sau religioase, apartenenţa sindicală;
  • date privind sănătatea sau orientarea sexuală, date genetice sau biometrice;
  • date referitoare la infracţiuni sau condamnări penale;
  • date referitoare la minori.

- Prelucrarea efectuată are ca scop și ca efect:

  • monitorizarea permanentă pe scară largă a unei zone accesibile publicului;
  • evaluarea sistematică și aprofundată a unor aspecte personale, inclusiv profilarea, pe baza căreia sunt luate decizii care produc efecte juridice referitoare la o persoană fizică sau care o afectează pe aceasta în mod semnificativ.

- Prelucrarea efectuată implică transferuri de date în afara Uniunii Europene, către state care nu asigură un nivel de protecţie adecvat recunoscut de Comisia Europeană.
Se realizează o analiză aprofundată a legislaţiei privind protecţia datelor și a cerinţelor impuse de Regulamentul General privind Protecţia Datelor pentru a stabili măsurile care trebuie aplicate la nivelul fiecărui operator, în funcţie de sectorul de activitate și specificul prelucrării/prelucrărilor efectuate.

GESTIONAREA RISCURILOR

În cazul în care au fost identificate prelucrări de date cu caracter personal susceptibile de a prezenta riscuri ridicate pentru drepturile și libertăţile persoanelor fizice, operatorul va efectua o evaluare a impactului asupra protecţiei datelor, în condiţiile art. 35 din Regulamentul General privind Protecţia Datelor.
Evaluarea impactului asupra protecţiei datelor se realizează anterior colectării datelor cu caracter personal și efectuării prelucrării.
Se va pune accent pe estimarea riscurilor asupra protecţiei datelor din punctul de vedere al persoanelor vizate, luând în considerare natura datelor, domeniul de aplicare, contextul și
scopurile prelucrării și utilizarea noilor tehnologii.
Evaluarea impactului asupra protecţiei datelor presupune:
- o descriere a prelucrării de date efectuate și a scopurilor acesteia;
- o evaluare a necesităţii și a proporţionalităţii prelucrării de date efectuate;
- o estimare a riscurilor asupra drepturilor și libertăţilor persoanelor vizate;
- măsurile prevăzute pentru a trata riscurile și a asigura conformitatea cu dispoziţiile GDPR.

Evaluarea impactului asupra protecţiei datelor permite:
- realizarea unei prelucrări de date cu caracter personal sau a unui produs care respectă viaţa
privată;
- estimarea impactului asupra vieţii private a persoanelor vizate;
- demonstarea faptului că principiile fundamentale ale Regulamentul General privind Protecţia Datelor sunt respectate.

Evaluarea impactului asupra protecţiei datelor se impune, mai ales, în cazul:
(a) unei evaluări sistematice și cuprinzătoare a aspectelor personale referitoare la persoane fizice, care se bazează pe prelucrarea automată, inclusiv crearea de profiluri, și care stă la baza unor decizii care produc efecte juridice privind persoana fizică sau care o afectează în mod similar într-o măsură semnificativă;
(b) prelucrării pe scară largă a unor categorii speciale de date, menţionată la articolul 9 alineatul (1), sau a unor date cu caracter personal privind condamnări penale și infracţiuni, menţionată la articolul 10; sau
(c) unei monitorizări sistematice pe scară largă a unei zone accesibile publicului.

Când evaluarea de impact indică riscuri ridicate, în absenţa unor măsuri luate de operator pentru atenuarea acestora, se consultă Autoritatea naţională de supraveghere

ORGANIZAREA PROCEDURILOR INTERNE

Pentru a asigura permanent un nivel ridicat de protecţie a datelor cu caracter personal, operatorul trebuie să elaboreze proceduri interne care să garanteze respectarea protecţiei datelor în orice moment, luând în considerare toate evenimentele care pot apărea pe parcursul efectuării prelucrărilor de date, precum:
- breșe de securitate;
- solicitări privind exercitarea drepturilor persoanelor vizate;
- modificarea datelor cu caracter personal colectate;
- schimbarea prestatorului.

Organizarea procedurilor interne implică, în special: 

  •  luarea în considerare a protecţiei datelor cu caracter personal încă de la momentul conceperii (privacy by design) unei aplicaţii sau a unei prelucrări: minimizarea colectării
    datelor în funcţie de scop, cookie-uri, perioada de stocare, informaţiile furnizate persoanelor vizate, obţinerea consimţământului persoanelor vizate, securitatea și confidenţialitatea datelor
    cu caracter personal, garantarea rolului și responsabilităţii părţilor implicate în efectuarea prelucrării datelor;
  • aplicarea de măsuri tehnice și organizatorice adecvate pentru a asigura că, în mod implicit, sunt prelucrate numai date cu caracter personal care sunt necesare pentru
    fiecare scop specific al prelucrării (privacy by default), având în vedere: volumul de date colectate, gradul de prelucrare a acestora, perioada de stocare și accesibilitatea lor, astfel încât
    datele cu caracter personal să nu fie accesate, fără intervenţia persoanei, de un număr nelimitat de persoane;
  • sensibilizarea și organizarea diseminării informaţiei, în special prin stabilirea unui plan de pregătire și de comunicare cu persoanele care prelucrează date cu caracter personal;
  • soluţionarea plângerilor și cererilor adresate de persoanele vizate în exercitarea drepturilor lor, stabilind părţile implicate și modalităţile de exercitare a acestora; exercitarea
    drepturilor trebuie să se poată realiza inclusiv pe cale electronică, în cazul în care datele au fost colectate prin astfel de mijloace;
  • anticiparea unei posibile încălcări a securităţii datelor specificând, pentru anumite cazuri, obligativitatea notificării autorităţii pentru protecţia datelor în termen de 72 de ore și a persoanelor
    vizate în cel mai scurt timp;
  • asigurarea confidenţialităţii și securităţii prelucrării prin adoptarea de măsuri tehnice și organizatorice adecvate, incluzând printre altele, după caz:
    a) pseudonimizarea și criptarea datelor cu caracter personal;
    b) capacitatea de a asigura confidenţialitatea, integritatea, disponibilitatea și rezistenţa
    continue ale sistemelor și serviciilor de prelucrare;
    c) capacitatea de a restabili disponibilitatea datelor cu caracter personal și accesul la acestea
    în timp util în cazul în care are loc un incident de natură fizică sau tehnică;
    d) un proces pentru testarea, evaluarea și aprecierea periodice ale eficacităţii măsurilor
    tehnice și organizatorice pentru a garanta securitatea prelucrării.

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

 

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Lorena Macnaughtan: GDPR – „25 mai este doar începutul”

GDPR

Vizualizari: 7163

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

Lorena Macnaughtan, MBA, este directorul iCEE.health, eveniment în inovația digitală în sănătate, destinat tuturor participanților în sistem: pacienți, doctori, asistenți, studenți, entreprenori, manageri, autorități. 

Acesta are loc în acest an pe 14 iunie, în București, sub umbrela iCEE.fest, unul dintre cele mai mari festivaluri de technologie digitală din Europa Centrală și de Est.

Lorena își scrie teza doctorală în inovația digitală în sănătate, în cadrul programului multidisciplinar Horizon Digital Economy Institute, Universitatea din Nottingham.

Lorena este activă în comunitatea internațională, fiind una dintre semnatarii actului Patients Included (https://patientsincluded.org/ ), a participat la multe conferințe internaționale: TEDx Praga, Doctors 2.0 and You (Paris, Franța), Stanford Medicine X (Stanford, SUA), Giant Health Event (Londra, UK) printre altele, iar opiinile sale au fost publicate pe diverse platforme, precum Digital Catapult CentreInnovate MedtecMayo Clinic Centre for Innovation sau Medtech Engine.

Lorena a fost inclusă in acest în comunitatea europeană HIMSS Future50 în sănătate digitală, iar în România, pe langa iCEE.health, este afiliată Institutului de Dezvoltare în Sănătate și Educație, susține startupuri ca mentor și ca juriu național în Central European Startup Awards. 
  1. Despre GDPR

Regulamentul a fost conceput ca urmare a avansului tehnologic și al necesității protejării datelor personale, dar și pentru a realiza o pieță digitală unică în Europa, pentru a stimula economia prin inovație și cercetare.

Acest regulament marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale. Și acest fapt trebuie înțeles foarte bine de societate, în ansamblul său.

Regulamentul oferă astfel o legislație unică și exhaustivă la nivel European, care protejează în mod egal toți cetățenii statelor membre și crează un cadru adecvat pentru formarea unei piețe digitale unice - portabilitatea datelor la nivel personal și fluidizează colaborarea în domeniul economic și cel al cercetării.

Regulamentul, și ghidurile emise pe marginea acestuia, oferă prin textul său toate pârghiile necesare statelor membre pentru protecția persoanei vizate și a datelor sale.

Prelucrarea datelor personale, se bazează astfel pe principii – "legalitate, echitate şi transparenţă”, limitare la scopul procesării, minimizarea colectării, exactitate, limitarea stocării, integrității și confidențialității și responsabilitatea pentru aceste date (colectare și stocare) - și drepturi ale persoanelor – informare și transparență, acces, rectificare, restricționare, de „a fi uitat”, portabilitate, refuz la prelucrarea datelor, refuz de a fi evaluat exclusiv în bază automată.

Un extras privind drepturile persoanelor vizate este disponibil pe website-ul Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal, precum si alte documente relevante – Regulament, ghiduri...

 

  1. Aplicarea Regulamentului și sănătatea

Există zone cu precizări speciale sau suplimentare – sănătate, cercetare, dreptul muncii, presă… pe care le regăsiți în principal în Capitolul 9 al Regulamentului.

Pentru sănătate, merită precizate următoarele aspecte:

  • Pentru că în sănătate vorbim de date personale sensibile, cerințele de protecție sunt sporite, astfel și răspunderea și riscul de sancționare.
  • Răspunderea este solidară, a operatorului și a terților implicați. Consimțământul este alt aspect relevant, pentru că el va trebui să îndeplinească anumite condiții conform Regulamentului.
  • Sunt prevederi speciale, precum cele din recitalurile 53 și 54, și mult discutatul Articol 9, privind categoriile speciale de date cu caracter personal, în vederea protecției sporite, a limitării drastice la scopul procesării, dar și a realizării unui echilibru între interesul vital și drepturile persoanei vizate sau a echilibrului dintre interesul personal și cel al societății.
  • Există limitări ale drepturilor personale vizate pentru că sunt balansate de interesul public (politici și intervenții ce țin de sănătatea publică, cercetare). În anumite situații, există limitări care nu pot fi ridicate prin consimțământ, în funcție de reglementări naționale.
  • Articolul 9, 37, precum și recitalurile 35 și 91, recunosc categorii profesionale care au un statut aparte (guvernate de “secretul profesional”), precum doctorii sau avocații. Doctorii nu necesită desemnarea unui responsabil cu protecția datelor pentru cabinete individuale. Această opinie este susținută de Cristiana Deca, Decalex.
  • Operatorii de date personale în sănătate (publici sau privați) vor trebui să acorde atenție foarte mare drepturilor pacienților și portabilității datelor (ca element de noutate).
  • Conform principiului „responsabilității”, vor trebui să acorde atenție sporită consimțământului (există spațiu amplu în Regulament despre cum trebuie formulat, obținut, menținut), securității datelor, trasabilității, relațiilor cu terți.
  • Sunt prevederi speciale pentru prelucrarea de date genetice și biometrice, de profilare și luare de decizii automată (a se vedea Ghidul privind deciziile automate individuale și profilare).
  • De reținut este faptul ca regulamentul oferă destul spațiu Statelor Membre pentru a impune prevederi specifice (Articolul 9, alineatul 4) în domeniul sănătății.

La crearea textului Regulamentului, Comisia Europeană a avut în vedere evoluția tehnologică din sănătate, importanța acesteia. Uniunea Europeană și-a propus să fie un pol de inovație în sănătate, nu a restricționat ca atare prelucrarea datelor medicale și genetice, ci a creat un cadrul sănătos pentru astfel de prelucrări. Acest cadrul are ca temelie asigurarea drepturilor, libertăților și intereselor legitime ale persoanei vizate. Dacă această condiție e respectată, regulamentul permite prelucrarea datelor medicale și genetice. (Cristiana Deca, Decalex)

 

  1. Care sunt drepturile si obligatiile participantilor la sistemul de sanatate conform noului Regulament European privind Datele cu Caracter Personal?

Participanții la sănătate sunt foarte diverși (farma, instituții de învățământ și cercetare, doctori, pacienți, furnizori de servicii medicale, companii din zona IT și de sănătate digitală, laboratoare… ), ar necesita discuții ample pentru fiecare dintre ei. Pe parcursul acestui articol, am atins mai mult drepturile și obligații privitoare la cetățeni și profesioniști în sănătate.

Dar, la recentul eveniment pe care l-am organizat prin Institutul de Dezvoltare în Sănătate și Educație, cu sprijinul Administrației Prezidențiale a României, în parteneriat eHealth Romania, iCEE.health și APAA, pe 20 Aprilie, în aprilie, la Palatul Cotroceni, Aplicarea Regulamentului European privind Datele cu Caracter Personal în Sănătate, am obținut perspective din partea mai multor participanți la sănătate, precum și din partea guvernelor Estoniei și Olandei. Înregistrarea evenimentului poate fi urmărită online.

Partea 1 - Impactul GDPR în politicile de sănătate

Partea 2 - Masterclass : Aplicarea GDPR în Sănătate

Partea 3 - Protejarea datelor cu caracter personal, o provocare pentru IT și Datele din sănătate – bun public și bun personal

 

Iată cateva dintre recomandările specialiștilor prezenți la acest eveniment.

Cristina Deca, Decalex, despre condițiile de prelucrare a datelor de sănătate:

  • Consimțământ explicit si fără echivoc pentru utilizarea datele sale
  • Persoana face publice datele sale
  • Când este vorba despre interesul vital
  • În bază contractuală, cu scopul de a benefica de servicii medicale
  • În vederea unui interes public general
  • Din alte motive mai specifice obiectului de activitate - Fundațiile, asociațiile pot prelucra datele membrilor, foștilor membri sau persoanelor cu care se află adesea în contact în timpul activităților lor, cu condiția sa aplice garanții adecvate pentru protecția acestor date.
  • Datele privind sănătatea și datele genetice ale pacienților pot fi, de asemenea, procesate în cazul unei reclamații legale

Ecaterina Burlacu, PeliFilip, consideră că organizațiile care gestionează date medicale, trebuie să:

Aibă temei juridic (fundamentat prin lege sau consimțământ), să efectueze un studiu de impact, să aibă un ofițer de protecția datelor, să aibă măsuri stricte de securitate pentru stocarea și transferul datelor și să țină cont de reglementările naționale din acest domeniu. Prezentarea Ecaterinei, PeliFilip, o gasiti integral aici.

Repet, conform Cristianei Deca, Decalex, doctorii (și avocații) nu necesită desemnarea unui responsabil cu protecția datelor pentru cabinete individuale.

Rezerva fiind că există o lege în dezbatere în Parlament și vom vedea ce forma finală va avea.

 

4.Ce sanctiuni se vor aplica pentru incalcarea Regulamentului?

Conform etosului Regulamentului, menirea nu este de a acorda sancțiuni (Capitolul 6 și 7), ci de a educa în spiritual transparenței, demnității, libertății și interesului persoanelor, în balans cu interesul social atunci când se impune (sănătatea fiind unul dintre aceste domenii).

Dar, autoritățile naționale au la dispoziție și posibilitatea de a suspenda procesarea datelor, ceea ce pentru multe companii poate avea consecințe foarte serioase, sau de acorda amenzi administrative substanțiale în sectorul privat de până la 20 000 000 EUR sau de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exerciţiului financiar anterior. În sectorul public, Statele Membre au libertatea de a decide în ce măsură și situații vor fi aplicate amenzi. În România, există în prezent un proiect de lege în Parlament care va stabili când și în ce cuantum vor fi acordate amenzi în sectorul public.

Monitorizarea Regulamentului la nivel național va fi făcută de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, prevederi care urmează a fi definite prin legea în lucru.

Cum? Tot conform Regulamentului, dar... urmează de văzut ce reglementări suplimentare va aduce proiectul de lege menționat mai sus, inclusiv dacă vor fi desemnate și alte organisme de control și monitorizare la nivel național.

 

Impactul GDPR

Toate domeniile vor fi afectate, în domeniul public și privat. Impactul cel mai mare va fi asupra celor care gestionează date personale sensibile (sănătate,, cercetare) sau care folosesc algoritmi și automatizare (marketing, domeniul financiar și de asigurare, sănătate...).

Evoluția va fi treptată și sperăm că va fi pozitivă, în ciuda efortului de adaptare din prezent. Cu siguranță, vor mai exista clarificări și modificări ulterioare, chiar unele sunt în lucru. Trebuie să privim acest Regulament ca pe un organism care va evolua în următorii ani, pentru că și tehnologia evolueaza dramatic. Numai dacă ne uităm la inteligența artificială, robotică sau genomică realizăm cât de „aproape” este viitorul.

Scopul Regulamentului nu este punitiv, ci de armonizare, de acordare a dreptului asupra datelor personale fără echivoc persoanelor vizate și de a deschide cooperarea în toate domeniile în Europa, mai ales cercetare, inovație și sănătate.

Sperăm că acest etos este asimilat și de Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal, care va avea în principal misiunea de a ghida și a educa societatea, și doar apoi de a aplica măsuri punitive. Sperăm la o schimbare… culturală, la mai multă colaborare, mai ales într-un domeniu atat de dinamic, unde și Autoritatea are nevoie de input.

Revenind la sănătate, pacienții vor beneficia de mai multă transparență, va trebui asigurată portabilitatea datelor.

Pentru inovație și cercetare, se oferă un cadru sănătos pentru procesarea datelor din sănătate.

 

Beneficiarii GDPR

Suntem noi, în primul rând, cetățenii. Repet, marchează o schimbare de paradigmă, în care persoana fizică, cetățeanul, deține libertatea de a decide ce face cu datele sale personale.

În al doilea rând, economia, prin stimularea cooperării, cercetării și inovației, prin creșterea competitivității datorită creării pieței digitale unice.

Impactul se simte deja, avem de la începutul anului multe evenimente, seminare, cursuri...

Unde se resimte mai mult acum? În mediul privat... multe companii sunt „prinse” în pregătiri.

Eventual, peste tot. Sperăm că vom vedea efecte cât mai curând și la nivelul organizațiilor publice.

Din păcate, consider că autoritățile au o latență mare în România și nu au făcut suficient până în prezent pentru a informa și pregăti sectoarele public și privat, deși dau dovadă de deshidere prin participarea la evenimente, în ultima perioadă. Ar fi utile comunicate specifice pentru anumite zone, sau ghiduri. Mai ales pe sănătate unde avem și un sistem informatizat național. Am să dau exemplul Biroului de Comisiei Informatice din Marea Britanică, pentru că au generat materiale online extrem de bune și ușor de parcurs de publicul neantrenat juridic.

Multe state europene au luat acest regulament foarte în serios și sunt destul de bine pregătite pentru el. În România, există un proiect de lege nefinalizat și niciun ghid special generat de autorități.

Data intrării în vigoare este 25 mai. Trebuie însă înțeles foarte bine faptul că acest Regulament necesită armonizare cu legislația locală. Astfel, deși acesta va intra în vigoare la data de 25 mai, este de așteptat să intre în conflict cu anumite legi și să atragă modificări legislative ulterioare.

Statelor Membre li s-au solicitat explicit ca anumite modificări să fie realizate până la data de 25 mai, de exemplu în legislația muncii. Chiar proiectul de lege existent în Parlament nu satisface această cerință în totalitatea și complexitatea sa, în opinia mea, și cred că vom mai avea modificări în această direcție și nu numai.

Societatea, în ansamblu, trebuie să devină mai activă în modificările din această zonă, orice poate semnala un conflict cu legislația există. Este un exercițiu bun.

Astfel, pe 25 mai este doar începutul.

 

 

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Cursuri GDPR pentru angajatii din sistemul sanitar

GDPR

Vizualizari: 62962

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

 

Ce trebuie sa stim despre GDPR ?

Incepand cu 25 mai 2018 intra in vigoare Regulamentul UE nr. 679/2016, cunoscut drept Regulamentul General privind Protectia Datelor Personale (GDPR), care spune in principiu ca informatiile pe care le detineti despre pacienti (nume, adresa, CNP, diagnostice, antecendente, tratamente medicamentoase, internari, analize etc) sunt informatii CONFIDENTIALE si nu pot circula liber! Aceste date trebuie protejate, iar responsabilitatea protejarii lor revine in intregime operatorilor ( medici si farmacisti)
Regulamentul este foarte strict in acest sens si prevede sanctiuni aspre pentru abateri. Specialistii spun ca el introduce o adevarata revolutie in domeniu, prin prisma impactului pe care il va avea asupra bunului mers al tuturor afacerilor, mici sau mari, din Europa si nu numai.
Regulamentul se aplica practic oricarei firme, indiferent de domeniul de activitate, conceptul de “date personale” devenind atat de larg incat orice firma care lucreaza cu astfel de date – fie ca e vorba despre datele angajatilor sau ale clientilor/pacientilor – devine instantaneu subiect al Regulamentului.
E adevarat, in Romania exista deja Legea nr. 677/2001 cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, doar ca Regulamentul nr. 679/2016 este superior acestei legi. La 25 mai 2018 el va intra in vigoare direct, fara nicio formalitate, in toate statele Uniunii Europene. Si important este ca noile sanctiuni nici nu se compara cu cele vechi.  Legea nr. 677/2001 prevede o amenda maxima de 50.000 de lei, Regulamentul UE prevede o amenda de 20 de milioane de euro sau de 4% din cifra de afaceri anuala, luandu-se in consideratie cea mai mare valoare.
 

GDPR - cateva elemente importante:

1. Acest Regulament nu are nevoie de o lege nationala care sa transpuna prevederile sale in legislatia Romaniei. Pe 25 mai 2018 el va intra in vigoare direct, fara nicio formalitate, in toate statele Uniunii Europene.
2. Regulamentul a fost emis in 2016, dar a fost acordat un termen de 2 ani pana la aplicarea lui efectiva, tocmai pentru ca firmele sa aiba timp sa i se conformeze. Dupa 25 mai 2018, amenzile pentru lipsa de conformitate sunt de ordinul a 20 de milioane de euro sau 4% din cifra de afaceri!
3. Prevederile GDPR nu se aplica doar companiilor cu sediul in Uniunea Europeana, ci si celor din spatiul non-UE (retaileri) care livreaza bunuri catre persoane din UE.
4. Regulamentul extinde definitia datelor cu caracter personal si include noi definitii. 
5. Regulamentul prevede ca:
• acordarea de catre client a consimtamantului pentru prelucrarea datelor sale personale trebuie sa fie explicit. O inactiune sau tacerea nu mai pot constitui consimtamant;
• declaratia de acordare a consimtamantului trebuie sa fie distincta de declaratii cu privire la alte aspecte (de exemplu, de acceptare a termenilor si conditiilor generale);
• consimtamantul poate fi retras de catre persoana vizata.
 6. Persoanele vizate au “dreptul de a fi uitate”, adica de a li se sterge la solicitarea lor datele personale din baza de date.
7. Anumite firme au obligatia de a numi un responsabil cu protectia datelor cu caracter personal. Acesta va putea fi un angajat sau un prestator extern de servicii si va raspunde in mod direct in fata conducerii firmei. 

 

Participa la Cursul "GDPR Ready ? - Suntem pregatiti pentru GDPR ? - Protectia DCP in domeniul sanitar"

Pentru a veni in intampinarea nevoii de informare a tuturor organizatiilor din domeniul sanitar, HEALTH.RO  organizeaza cursuri  cu tema "GDPR Ready ? - Suntem pregatiti pentru GDPR ? - Protectia DCP in domeniul sanitar."
Prin inscrierea la curs se formeaza grupe de maxim 30 de persoane, cursurile fiind organizate dupa urmatorul calendar:
Tirgu Mures, Sala de Conferinte a Muzeului de Istorie situat in Cetatea Tirgu Mures
  • 4 Aprilie 2018 – ( 16.00 – 20.00) 
  • 5 Aprilie 2018 – ( 16.00 – 20.00) 
  • 11 Aprilie 2018 – ( 16.00 – 20.00)
  • 12 Aprilie 2018 – ( 16.00 – 20.00)
  • 18 Aprilie 2018 – ( 16.00 – 20.00)
  • 19 Aprilie 2018 – ( 16.00 – 20.00)
  • 9 Mai 2018 – ( 16.00 – 20.00) 
  • 10 Mai 2018 – ( 16.00 – 20.00)
  • 16 Mai 2018 – ( 16.00 – 20.00)
  • 17 Mai 2018 – ( 16.00 – 20.00)
  • 24 Mai 2018 – ( 16.00 – 20.00)
  • 30 Mai 2018 – ( 16.00 – 20.00)
  • 31 Mai 2018 – ( 16.00 – 20.00) 
  • 6 Iunie 2018 – ( 16.00 – 20.00)
  • 7 Iunie 2018 – ( 16.00 – 20.00)

Pitesti, Jud. Arges, Colegiul Farmacistilor Arges, Cart. Craiovei, Str. Constructorilor nr. 4B, bloc Izvor

  • 23 Aprilie 2018 – ( 09.00 – 13.00) - nu mai sunt locuri disponibile
  • 23 Aprilie 2018 – (15.00 - 19.00)

Odorheiu Secuiesc, jud. Harghita, Hotelul Târnava

  • 14  Mai 2018 – ( 09.00 – 13.00)
  • 14 Mai 2018 – (15.00 - 19.00)

Sfantu Gheorghe, jud. Covasna, Spitalul Județean „Fogolyán Kristóf”

  • 22  Mai 2018 – ( 09.00 – 13.00)
  • 22 Mai 2018 – (15.00 - 19.00)

Miercurea Ciuc, jud. Harghita, Spitalul Județean de Urgență Miercurea Ciuc

  • 23  Mai 2018 – ( 09.00 – 13.00)
  • 23 Mai 2018 – (15.00 - 19.00)

Sighisoara, jud. Mures, locatia se va anunta ulterior

  • 11  Iunie 2018 – ( 15.00 – 19.00)
Fiecare participant primeste un certificat care atesta participarea iar taxa de participare este 300 ron ( include mapa de curs, certificatul  si pauza de cafea).
Lector: Marius Dumitrescu - consultant Management&IT cu o experienta de 15 ani in domeniul medical si farmaceutic, Director editorial al Revistei Health.
 
"Acest curs de informare are o durata de 4 ore si este dedicat tuturor persoanelor interesate de modul in care GDPR-ul le va schimba viata si mai ales afacerea. Fiecare participant va avea acces la resurse si infomatii corecte care ajuta fiecare organizatie, indiferent de marime, sa inteleaga, sa respecte si sa inspire si pe ceilalti parteneri sa adere la principiile GDPR.", declara Marius Dumitrescu, Director General CRX Mures.
 
Cursul GDPR-ul nu este despre "cum sa nu fiu prins", ci despre " cum sa fiu "marfa" in ochii angajatilor, clientilor si partenerilor. Mai mult, cred ca a obtine "conformitatea GDPR" nu este doar o obligatie. Este o manifestare naturala a responsabilitatii si respectului individual pentru imaginea, viata si informatiile personale ale celor din jur.

Nu puteti participa la acest curs ? Doriti o evaluare rapida absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Inscrierile la curs se vor putea face incepand cu 10.04.2018 completand urmatorul formular. 

Campurile marcate cu * sunt obligatorii













Tematica cursului

1. Contextul aparitiei GDPR
GDPR-ul nu este o REVOLUTIE, este mai mult o EVOLUTIE
- Incidente de securitate a datelor personale
- TOP 10 – incidente de securitate
- 2017 Romania – incidente de securitate
- Tipuri de abordari „romanesti”

2. Studiu privind constientizarea
Romania ocupa ultimele locuri privind gradul de constientizare asupra importantei protectiei DCP.

3. Ce este GDPR?
- GDPR vs. ISO 27001 / 9001
- Cadru legal
- Ce aduce nou GDPR-ul ?
- Sanctiunile
- Pachet legislativ in domeniul protectiei datelor cu caracter personal
- Ghiduri pentru interpretarea si aplicarea GDPR

4. GDPR - termeni si definitii
Este extrem de important sa avem o terminologie si o sfera de interpretare unica
- Date cu caracter personal
- Prelucrarea
- Operator - Imputernicit - Reprezentant

5. Principiile GDPR si obligatiile operatorului
Unul dintre obiectivele GDPR este acela de a mari nivelul de protectie al persoanelor vizate, aspect care se reflecta in obligatiile operatorului.

Principiile GDPR
- Legalitatea prelucrarii DCP GENERALE
- Legalitatea prelucrarii DCP SPECIALE
- Transparenta prelucrarii DCP
- Limitari legate de scop
- Reducerea la minimum a datelor
- Limitari legate de stocarea DCP

Obligatiile operatorului
- Notificarea incalcarii securitatii DCP. Exceptii
- Numirea Responsabilului cu protectia DCP
- Responsabilitatile DPO-ului
- Cine poate fi DPO?
- Statul DPO-ului
- Evaluarea impactului si consultarea prealabila
- Cartografierea
- Cartografierea diferentiata
- Evaluarea de impact
- Implementarea de masuri adecvate
- Imputerniciti verificati
- Pastrarea evidentelor
- Transparenta informatiei

6. Etapele implementarii
Abordarea sistematica si aprofundarea analizelor de impact si de risc reprezinta succesul implementarii GDPR
- Etapele implementarii GDPR

7. Consimtamantul
Modalitatile de exteriorizare a consimtamantului sunt: in scris, verbal si prin gesturi sau fapte concludente.
- Consimtamantul. Descriere comparativa D95/46 vs GDPR

8. Drepturile persoanelor vizate
O data ce ai consimtit ca datele sa fie prelucrate de o organizație, devii o persoană vizata. Acest fapt nu diminuează drepturile.
- Drepturile persoanelor vizate
- Exercitarea drepturilor
- Dreptul la informare – sursa directa
- Dreptul la informare – sursa indirecta
- Dreptul la informare – exceptii
- Dreptul la acces
- Dreptul la rectificare
- Dreptul la stergere (Dreptul de a fi uitat)
- Dreptul la stergere (Dreptul de a fi uitat) - exceptii
- Dreptul la restrictionare
- Dreptul la portabilitate
- Dreptul la opozitie
- Decizii automate, profilare

9. Proceduri de securitate
Problemele de securitate informatica sunt inregistrate zilnic, in absolut toate domeniile de activitate
- Cauze principale
- Securitatea sistemelor informatice

10. Protectia DCP in domeniul sanitar
Domeniul sanitar este puternic afectat de normele GDPR datorita procesarii datelor personale cu caracter sensibil.
- Cine sunt operatorii din sistemul sanitar ?
- Reguli de prelucrare a datelor sensibile
- Obligatiile operatorilor din domeniul sanitar
- Numirea Responsabilului cu protectia DCP
- Alte obligatii ale institutiile de sanatate
- Studiu de caz: DES
- Studiu de caz: Cardul de sanatate
- Drepturile pacientilor ( GDPR)
- Brese de securitate in domeniul sanitar
- Proceduri de securitate – domeniu sanitar
- Ce proceduri trebuie actualizate ?
- Sunem pregatiti pentru GDPR ?

11. Jurisprudenta
Chiar daca GDPR-ul intra in vigoare in 25.05.2018, exista foarte multe cazuri solutionate din prisma Directivei 95/46 si a legilor nationale.
- CEDO: Cauza Barbulescu vs. Romania
- CEDO: Mockute vs. Lituania
- CJUE: Smaranda Bara vs. CNAS
- RO: ANSPDCP vs CNAS(Cas BV, CT, BN)
- RO: ANSPDCP vs ANAF
- RO: PRIMARIA GIURGIU
- CEDO: V&EPDS vs PARLAMENTUL EUROPEAN

 

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.

Peste 33.000 de persoane s-au abonat la Newsletterul saptamanal. O poti face si tu chiar acum!

Inainte de a prelua informatii de pe acest site va rugam sa cititi TERMENII SI CONDITIILE DE UTILIZARE

Legea GDPR in Romania creeaza tensiuni

  Aparitia unei Legi „GDPR” in Romania este o initiativa asteptata de intreaga comunitate a organizatiilor din domeniul sanitar, existand mai multe proiecte in acest moment. Chiar daca […]

Piața serviciilor medicale și primele confuzii alarmante în implementarea GDPR

La nivelul unei companii cu peste 1.400 de angajați , implementarea greșită a regulilor de protecție a datelor personale a fost relevată de transmiterea unui e-mail către destinatarul necorespunzător. Importanța nu […]

Noi reglementări privind protecția datelor cu caracter personal în domeniul medical

Articol publicat in Revista Health Anul 6 – Nr. 53 – editia tiparita – Martie 2018

GDPR: „Îmi pare rău nu este de ajuns”

Grupul de Lucru Art. 29 (WP 29) privind protecţia datelor este un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele […]

Contextul aparitiei GDPR in Romania

Noul Regulament privind protectia datelor cu caracter personal va intra in vigoare in toate statele membre ale Uniunii Europene incepand cu data de 25 Mai 2018. In ultimele […]

Este obligatoriu a desemna un DPO în unități farmaceutice? – punct de vedere juridic

Articol publicat sub egida Colegiului Farmaciștilor din România –Filiala Cluj Autor: Av. Oana Murariu   Începând cu data de 25 mai 2018 Regulamentul (UE) 2016/679[i] privind protecția persoanelor […]

Dezbatere publica pe proiectul Legii pentru aplicarea GDPR in Romania

A fost publicata propunerea legislativa privind masuri de punere in aplicare a Regulamentului (UE) 2016/679 privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal […]

A aparut standardul ocupational pentru DPO

Autoritatea Nationala pentru Calificari a aprobat conform deciziei 74/19.03.2018 standardul ocupational pentru educatia si formare profesionala a Responsabililor cu protectia datelor cu caracter personal – cod COR 242231. […]

Conferință despre protecția datelor cu caracter personal în domeniul medical, la UMF Tîrgu Mureș

Universitatea de Medicină și Farmacie (UMF) din Tîrgu Mureș și Universitatea „Petru Maior” (UPM) din Tîrgu Mureș, în parteneriat cu alte instituții, organizează mâine, 22 martie 2018, în intervalul […]

GDPR Medical – revoluția relațiilor interumane în era informatică

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.   Articol publicat in Revista Health Anul 6 […]

Conferință despre protecția datelor cu caracter personal în domeniul medical

Doriti o evaluare absolut GRATUITA a riscurilor GPDR la care este expusa organizatia pe care o reprezentati ? CLICK AICI.   Universitatea de Medicină și Farmacie (UMF) din […]

Colegiul Pacientilor invoca normele GDPR

Colegiul Pacientilor cere primariei orasului Giurgiu stergerea imediata a  afectiunilor medicale ale asistatilor sociali. Primaria din Giurgiu incalca legea prin acest demers. Situatia de fapt:  Primarul orasului Giurgiu […]