Info World – „Ready” pentru implementarea GDPR în domeniul medical

Cu peste 17 ani de experiență exclusivă în domeniul eHealth, atât în plan naţional, cât şi  internaţional, compania Info World are ca misiune protecţia şi securitatea datelor medicale. Acest regulament european şi, implicit adoptarea lui, vin de fapt să confirme ceea ce noi avem deja implementat în produsele şi serviciile noastre dedicate zonei medicale. 

Pe scurt, GDPR îşi propune să ofere cetățenilor Uniunii Europene controlul asupra datelor lor personale, iar pentru îndeplinirea acestui scop enunță anumite principii, unele cu impact asupra sistemului medical. În primul rând, pentru datele colectate şi pentru scopul utilizării acestora trebuie să existe un consimțământ valid, explicit din partea cetățeanului. Există totuși o serie de excepții, cum ar fi furnizarea de îngrijiri medicale sau sociale, tratament în scopul protejării intereselor vitale ale persoanei vizate.

O noutate care va avea impact major asupra sistemului medical şi chiar asupra cetăţeanului este reprezentată de oferirea posibilităţii ca persoana vizată să îşi administreze singură dosarul medical. Apare astfel dreptul persoanei vizate de a-şi transfera datele sale personale dintr-un sistem electronic de procesare în altul, fără a fi împiedicat de operatorul de date să facă acest lucru. Datele furnizate de operatorul de date trebuie să fie într-un format electronic standard, deschis şi utilizat în mod obișnuit.

În ceea ce priveşte domeniul sănătăţii, cel căruia Info World îi este integral dedicat, articolul 15 defineşte faptul că pacientul are dreptul să obţină de la operatorul de date confirmarea că datele sale personale sunt prelucrate sau nu, şi după caz, accesul la datele personale, precum şi o copie a acestor date care fac obiectul unei prelucrări. În cazul în care persoana vizată depune cererea prin mijloace electronice şi nu solicită altfel, informaţiile pot fi furnizate într-o formă electronică utilizată în mod obişnuit, ceea ce înseamnă un fişier uzual, de tip PDF sau alt format de uz general. Acest aspect permite persoanelor fizice să obţină şi să reutilizeze datele lor personale şi medicale în diverse scopuri, cum ar fi: a doua opinie medicală, schimbarea furnizorilor de asistenţă medicală, păstrarea datelor intr-un sistem de tip dosar personal de sănătate. În acest mod, persoanele vizate pot să copieze sau să transfere cu uşurinţă informaţiile dintr-un sistem informatic în altul.

Portabilitatea datelor se aplică acelor date cu caracter personal referitoare la persoana vizată şi anume:

  • Sunt procesate automat – chiar dacă pacientul beneficiază de dreptul de a-şi accesa toate înregistrările medicale, portabilitatea datelor este limitată doar la datele colectate în format electronic;
  • Sunt furnizate de persoana vizată – informaţii funizate verbal sau scris de pacient şi/sau rezultatul examinărilor, analizelor de laborator, investigaţii imagistice, etc.;
  • Sunt procesate pe baza consimţământului persoanei vizate sau pentru executarea unui contract – există excepţii care pot scoate datele medicale de sub dreptul de portabilitate, dar ca principiu general, orice procesare sau schimb de date care necesită consimţământul pacientului intră sub incidenta dreptului de portabilitate a datelor.

Considerăm că dreptul la portabilitatea datelor va genera un impact major asupra întregii activităţi medicale şi în special eHealth. Operatorii de date vor trebui să garanteze că datele cu caracter personal sunt transmise într-un format electronic standard, deschis şi utilizat în mod obişnuit şi vor trebui să asigure interoperabilitatea formatului de date în cazul unei solicitări de portabilitate a datelor.

Nivelul de cooperare dintre industria de eHealth şi asociaţiile profesionale va creşte datorită necesităţii de a elabora împreună un set de standarde şi formate de interoperabilitate pentru a îndeplini cerinţele dreptului la portabilitatea datelor.

Din punct de vedere tehnic, punerea la dispoziţia persoanelor vizate a datelor cu caracter personal se va putea face fie printr-un mecanism de transmitere directă a setului global de date al persoanei vizate, fie prin utilizarea unui instrument automatizat de extragere a datelor relevante.

Costurile generate de implementarea modificărilor nu vor putea fi imputate persoanelor vizate şi nici nu vor putea fi folosite ca justificare a refuzului de a răspunde solicitărilor de portabilitate a datelor. Desigur că intrarea în vigoare a acestui regulament, începând cu 25 mai 2018, presupune o pregătire amplă a infrastructurii la nivel gurvernamental şi privat în ceea ce priveşte furnizorii de servicii şi produse în domeniul eHealth.

«Info World „ready” înseamnă foarte mult. Dincolo de Privacy by design & Privacy by default, de gradul înalt de conformitate cu toate prevederile regulamentului european, de securitatea datelor şi de garanţia unor servicii care să onoreze experienta şi reputaţia consolidată în peste 17 de ani de actitivitate, Info World „ready” înseamnă investiţii, inovaţie, dialog şi comunicare cu toţi factorii implicaţi în proces, reacţie rapidă şi garanţia serviciilor şi aplicaţiilor la cele mai înalte standarde.» – Daniel Nistor, CEO Info World

Articol publicat de compania Info World în Catalogul GDPR Ready, Octombrie 2017

Advertisements

GDPR explicitat (7): Dreptul la portabilitatea datelor, obiecții și luarea automată a deciziilor

AU MAI RĂMAS 259 zile!

Noul regulament pe care îl discutam sub titulatura generica de GDPR vine cu unele drepturi noi pentru indivizi și consolidează unele dintre drepturile care existau deja in Legislația Europeana. GDPR oferă persoanelor fizice vizate de prelucrarea datelor cu caracter personal următoarele drepturi generale: Dreptul de a fi informat, de acces, de rectificare, de ștergere,  de a restricționa procesarea, dreptul la portabilitatea datelor,  la obiecții, precum și drepturi legate de luarea automatizată de decizii și profilare.

Iată-ne ajunși la cel de-al 7-lea articol din seria GDPR Explicitat. După ce în articolul precedent am prezentat și comentat dreptul de acces, rectificare, ștergere sau restricționare, continuăm cu prezentarea drepturilor și a excepțiilor legate de dreptul la portabilitatea datelor, dreptul la obiecție și dreptul de a decide dacă datele personale pot fi incluse în operațiuni de prelucrare automatizată și profilare.

Dreptul la portabilitatea datelor

Dreptul la portabilitatea datelor permite persoanelor să obțină și să reutilizeze datele lor personale în scopuri proprii în cadrul diferitelor servicii. Acest drept permite mutarea, copierea sau transferul datele personale cu ușurință de la un mediu IT la altul, într-un mod sigur. Multe organizații europene oferă deja servicii de portabilitate a datelor, care permit persoanelor interesate să  vizualizeze, să acceseze și să utilizeze datele personale de consum și tranzacții într-un mod portabil și sigur. Mai mult, există operatori internaționali care permit consumatorilor să profite de aplicații și servicii care pot utiliza aceste date pentru a le găsi o afacere mai bună sau pentru a le ajuta să-și înțeleagă obiceiurile de cheltuieli.

Conform Articolului 20, persoana vizată are dreptul să transmită date cu caracter personal altui operator de date. Operatorul de date trebuie să furnizeze persoanei vizate o copie a datelor cu caracter personal într-un format structurat, utilizat în mod obișnuit și care poate fi citit automat. Mai mult, operatorul de date nu trebuie să împiedice transmiterea datelor cu caracter personal unui nou operator de date.

Dreptul de portabilitate a datelor se aplică numai în cazul în care:

  • datele sunt procesate prin mijloace automate;
  • persoana vizată a dat consimțământul pentru prelucrare;
  • prelucrarea este necesară pentru a îndeplini condițiile stipulate printr-un contract.

Ce trebuie să facem pentru a asigura conformitatea cu acest drept? La solicitarea explicită a persoanei vizate trebuie să furnizăm datele personale într-o formă structurată, utilizată frecvent și care poate fi citită în mod automatizat.  Formatele deschise includ fișierele CSV. Prin intermediul unei mașini de citire se înțelege că informațiile sunt structurate astfel încât software-ul să poată extrage elemente specifice ale datelor. Acest lucru permite altor organizații să utilizeze datele. Informațiile trebuie furnizate gratuit.

Este posibil să ni se solicite să transmitem datele direct unei alte organizații, dacă acest lucru este fezabil din punct de vedere tehnic. Cu toate acestea, nu suntem obligați să adoptăm sau să menținem sisteme de procesare care sunt compatibile din punct de vedere tehnic cu alte organizații. Dacă datele personale se referă la mai multe persoane, trebuie să verificăm dacă furnizarea informațiilor ar aduce atingere drepturilor oricărei alte persoane.

În cât timp trebuie să răspundem solicitărilor de portare? Avem la dispoziție, fără întârzieri nejustificate, o perioadă de o lună, de la primirea solicitării. În cazul în care primim o cerere mai complexă, care include și alte tipuri de solicitări, timpul de răspuns poate ajunge la două luni. În cazul în care, din diferite motive, nu putem să furnizăm un răspuns la o cerere, trebuie să explicăm solicitantului că are dreptul de a se plânge autorității de supraveghere și de a deschide o cale de atac, fără întârzieri nejustificate și cel mult într-o lună.

Pentru o mai buna informare despre Dreptul la portabilitatea datelor, cititi si indrumarul “Guidelines on the right to data portability” realizat de Grupul de lucru ARTICLE 29 DATA PROTECTION si publicat si pe site-ul ANSPDCP la sectiunea Ghiduri ale Grupului de Lucru Art.29. 

Dreptul de a ridica obiecții

Unul dintre principalele drepturi ale persoanei vizate, stipulate de GDPR este dreptul la obiecții sau de a se opune anumitor tipuri de prelucrări.

Care sunt aceste tipuri de prelucrări ale persoanelor vizate? Conform Articolului 21 persoana vizată are dreptul de a se opune la:

  • prelucrarea datelor personale în scopuri de marketing direct;
  • prelucrarea datelor pentru realizarea de profiluri;
  • prelucrarea datelor prin mijloace automate;
  • prelucrarea în scopuri științifice sau istorice.

Situațiile de excepție care anulează dreptul la obiecții al persoanelor vizate apar atunci când, în calitatea de operator de date personale, putem să demonstrăm că există motive legitime convingătoare pentru susținerea prelucrării, care depășesc interesele, drepturile și libertățile persoanei vizate. Alte situații de excepție sunt motivate de stabilirea, exercitarea sau apărarea unor revendicări legale sau în situațiile în care prelucrarea este necesară pentru îndeplinirea unei sarcini de interes public.

Haideți să discutăm puțin câteva dintre aceste situații de excepție.

Dacă scopul primar al procesării datelor personale este de natură legală sau în interesul legitim al organizației noastre – în momentul în care primim vreo obiecție legată de natura acestor procesări, trebuie să încetăm prelucrarea datelor respective numai dacă nu putem demonstra cu claritate că prelucrarea se face pentru stabilirea, exercitarea sau apărarea revendicărilor legale. Toate acestea trebuie explicate clar și concis persoanei vizate care a ridica vreo obiecție.

Dacă facem procesarea de date personale în scop de marketing direct, trebuie să încetăm orice operațiune de prelucrare de îndată ce primim o obiecție. În aceste situații nu există excepții sau motive de refuz pentru luarea în considerare a unei obiecții. Trebuie să răspundem obiecțiilor împotriva procesării în scopuri de marketing direct cât mai rapid și în mod gratuit. Chiar dacă în anumite circumstanțe a exist un consimțământ inițial pentru prelucrarea datelor, ridicarea unei obiecții explicite pentru interzicerea prelucrării datelor personale în scopuri de marketing direct trebuie acceptată fără întârziere și comunicată persoanei vizate ”în mod clar și separat de orice altă informație”. Toate aceste condiții trebuie stipulate de la bun început, chiar prin contractual de confidențialitate.

Dacă procesăm date personale în scopuri legate de cercetare științifică sau istorică, sau în scopuri statistice, persoanele fizice trebuie să aibă “motive legate de situația lor particulară” pentru a-și exercita dreptul de a se opune prelucrării în scopuri de cercetare. Dacă scopul principal al proiectului de cercetare este legat în mod direct de îndeplinirea unei sarcini de interes public, nu suntem obligați să ne conformăm unei obiecții față de prelucrarea datelor. Evident că această situație și motivarea clară și precisă a naturii cercetării trebuie comunicate în cel mai scurt timp persoanei vizate care s-a opus prelucrării.

Drepturi legate de luarea automată a deciziilor și profilare

Iată o categorie specială de drepturi, prezentă în legislația anterioară dar mult mai bine explicitată prin noul Regulament  GDPR, care oferă persoanelor fizice garanții împotriva riscului ca o decizie potențial dăunătoare să fie luată fără intervenția omului.

Ce avem de făcut pentru asigurarea conformității cu acest drept? Nu trebuie decât să identificăm  dacă oricare dintre operațiunile noastre de procesare include un proces automat de luare a deciziilor și, bineînțeles, trebuie să ne actualizăm procedurile,  pentru a răspunde cerințelor GDPR.

Când se aplică acest drept? Conform Articolului 22, persoanele fizice au dreptul de a nu face obiectul unei decizii atunci când aceasta se bazează pe prelucrarea automată și poate produce un efect juridic sau un efect semnificativ similar asupra individului.

Dreptul se aplică tuturor deciziilor automate? Nu. Dreptul nu se aplică în cazul în care decizia:

  • este necesară pentru încheierea sau executarea unui contract între dvs. și persoana fizică;
  • este autorizată prin lege (de exemplu, în scopuri de fraudă sau prevenirea evaziunii fiscale)
  • pe baza consimțământului explicit. (Articolul 9, Alineatul (2));
  • atunci când o decizie nu are un efect legal sau similar semnificativ asupra unei persoane.

Ce reprezintă profilarea, în viziunea GDPR?

GDPR definește profilarea ca orice formă de procesare automată destinată să evalueze anumite aspecte personale ale unei persoane, în special pentru a le analiza sau a prezice:

  • performanța la locul de muncă;
  • situația economică;
  • starea de sănătate;
  • preferințele personale;
  • fiabilitatea;
  • comportamentul;
  • locația
  • deplasările.

La prelucrarea datelor cu caracter personal în scopuri de realizare a unui profil, trebuie să ne asigurăm că există garanții adecvate și să respectăm o serie de proceduri:

  • Trebuie mai întâi să ne asigurăm că procesarea este corectă și transparentă prin furnizarea de informații semnificative despre logica implicată, precum și despre semnificația și consecințele avute în vedere;
  • De preferat să folosim procedurile matematice sau statistice adecvate pentru profilare;
  • Se recomandă implementarea măsurilor tehnice și organizatorice adecvate care să ne permită remedierea erorilor și minimizarea riscului de eroare;
  • Trebuie să asigurăm datele personale într-o manieră proporțională cu riscul pentru interesele și drepturile individului și să prevenim efectele discriminatorii.

Urmăriți articolele publicate în cadrul inițiativei GDPR Ready!  În următorul material ne vom ocupa de Responsabilitate și Guvernanță în viziunea GDPR.

Articole anterioare:

%d bloggers like this: