Готова ли е вашата дентална практика за GDPR?

Dental Tribune Bulgaria

чт. 15 март 2018

сподели

запази

Общият регламент за защита на личните данни (накратко GDPR) е нов регламент, приложим за всички организации, които събират или съхраняват лична информация за граждани на Европейския съюз. Регламентът цели да стандартизира законодателството и механизмите, засягащи поверителността на информацията, както и да гарантира, че фундаменталните права на европейските граждани са защитени в съвременната все по-дигитализирана икономика. В контекста на денталната практика е изключително важно всички служители да са информирани за новите правила. Подготовката за GDPR ще наложи някои промени, които трябва да бъдат имплементирани до 25 май 2018 г., когато влиза в сила регламентът.

Тук са представени 6 ключови аспекта на GDPR, за които трябва да подготвите вашата практика.

Съгласие за обработване на лични данни
Според новия регламент денталните практики ще трябва да документират как и кога даден пациент дава съгласието си неговата лична информация да бъде записвана и съхранявана. Съгласието трябва да бъде недвусмислено, конкретно и разграничимо от други форми на съгласие, както и да бъде изявено в разбираема и леснодостъпна форма, която използва ясен и прост език. Съгласието не може да се „подразбира“ от липсата на активност от страна на пациента.

Изискванията за получаване на съгласие за обработване на лични данни трябва да бъдат конкретно дефинирани. На практика това означава, че трябва ясно да обясните на вашите пациенти какво възнамерявате да правите с техните данни.

Имайте предвид, че пациентът може да оттегли съгласието си по всяко време, така че начинът за това трябва да бъде също лесен и достъпен.

Освен това GDPR въвежда и изискване за получаване на родителско съгласие. Когато дадени услуги биват предлагани на дете под 16-годишна възраст, денталните практики ще трябва да получат съгласие за обработване на неговите данни от родителите.

Какво да направите:
– Определете категориите на лична информация, които практиката ви обработва.
– Дефинирайте правното основание за обработване на лични данни във вашата практика и се уверете, че то съответства на GDPR.
– Когато изисквате съгласие от вашите пациенти, то трябва да бъде свободно изразено, конкретно, информирано и недвусмислено.
– Помислете за въвеждането на процедури за действие в случай на оттегляне на съгласие.
– Уверете се, че пазите документацията за полученото съгласие, за да сте в състояние да докажете, че спазвате регламента.

Поверителност на данните
Освен че трябва да получите съгласие от вашите пациенти, практиката ви ще бъде задължена да гарантира, че обработва данните по законосъобразен и добросъвестен начин. Също така пациентите трябва да бъдат информирани относно начините, по които техните данни са използвани. Обикновено това се случва под формата на документ за поверителност на данните. GDPR включва задължителен списък на информацията, която трябва да бъде предоставена на пациентите, независимо дали данните са получени директно или индиректно от тях. Очаква се да обясните на вашите пациенти какви данни ще бъдат събирани, как ще бъдат използвани, за какви цели и как ще бъдат споделяни.

Какво да направите:
– Запознайте се с личните данни на вашите пациенти, с които разполагате. Помислете какви данни събирате, кой е отговорен за събирането им, как и защо ги събирате.
– Определете как данните ще бъдат използвани и с кого ще бъдат споделяни.
– Вземете предвид какви възможни последици може да имат данните върху субектите.
– Създайте регистър на личните данни (ако вече не разполагате с такъв) и документ за поверителността на данните.

Отчетност
Това е ново задължение на администраторите на лични данни. GDPR вече не различава между вътрешни и външни регистри. Всяка дентална практика ще трябва да разполага с вътрешен регистър на дейностите по обработване на лични данни, който да бъде предоставен при поискване. Практиката ще трябва да документира целия процес по вътрешната обработка на данните. Освен това тази документация трябва да бъде достъпна за надзорните органи при поискване.

Какво да направите:
– Въведете мерки, с които да подготвите регистър на дейностите по обработване на данни във вашата практика.
– Помислете за въвеждане на цялостна вътрешна политика за защита на личните данни в практиката, като включите процеси като редовни одити, прегледи на политиките за човешките ресурси и обучения.

Длъжностно лице по защита на данните (DPO)
Трябва да назначите длъжностно лице по защита на данните (DPO), ако денталната ви практика е:
– публичен орган или орган на местно самоуправление;
– администратор, който извършва системно и мащабно наблюдение на субектите на данните;
– администратор, който извършва мащабно обработване на специални (чувствителни) лични данни.

Организациите, за които тези изисквания не са приложими, също могат да назначат DPO.

Какво да направите:
– Идентифицирайте дали вашата практика е длъжна да назначи DPO.
– Определете кого бихте назначили за DPO.
– Решете дали вашата практика ще ползва услугите на външен или вътрешен DPO.
– Съберете информация относно обработването на данни в практиката.
– Уверете се, че задълженията на служителя, на когото сте възложили тази отговорност, не предизвикват конфликт на интереси.

Право на преносимост на данните
Според GDPR пациентите ще имат правото да получат личните данни, които са ви предоставили, в структуриран, широко използван и пригоден за машинно четене формат, както и да прехвърлят тези данни към друг администратор. Тази информация трябва да бъде предоставена безплатно. Това се отнася единствено до данни, обработвани електронно, а не на хартиени носители.

Какво да направите:
– Проверете дали техническите възможности на вашата практика отговарят на изискванията за преносимост на данните.
– Уведомете пациентите си относно тяхното право на преносимост на данните. Практиката ви изпраща ли електронни бюлетини и/или нюзлетъри? Информирайте абонатите си, като включите кратко обяснение в края на публикацията.

Санкции
Всяка дентална практика, която нарушава GDPR, може да бъде глобена до 4% от годишния оборот на практиката или 20 млн. евро – която сума е по-голяма. Тази санкция може да бъде наложена за най-сериозните нарушения, например при липса на достатъчно съгласие от клиентите за обработване на техните лични данни. Освен това денталните практики могат да бъдат глобени до 2% от годишния им оборот, в случай че регистрите им не са организирани съгласно регламента, или ако практиката не уведоми властите и засегнатите субекти на данните в случай на нарушение на сигурността на личните данни, или при липса на оценка на риска. В случай на нарушение на сигурността практиката трябва да уведоми съответните органи и субекти на данните в рамките на 72 часа. Практиката ще бъде длъжна да предостави пълна информация относно нарушението на сигурността и да предложи решения за смекчаването на последиците от него.

Какво следва?
При подготовката за новите изисквания не допускайте, че ще имате възможност да предявите невинност поради неинформираност относно правилата – смисълът на GDPR е да направи вашата практика по-добре защитена, както и да ви подготви за евентуални нарушения на сигурността. Ако следвате стъпките за съответствие с новия регламент, практиката ви ще бъде добре подготвена навреме и бизнесът ви ще бъде защитен години наред.

За повече информация посетете сайта на Комисията за защита на личните данни.

Редакционна бележка: Текстът е информативен и не може да служи като правен съвет.