лекарите

GDPR е в сила повече от 18 месеца. През този период много неща станаха ясни, предприемачите получиха отговори на проблеми с кандидатстването, Службата издаде няколко насоки и съдилищата се произнесоха по редица дела. Въпреки това с нас често се свързват лекари по въпроси, свързани с GDPR. Повечето от тези проблеми възникнаха, тъй като лекарите обръщаха само незначително внимание на GDPR и не придаваха голяма тежест на регламента.

1. Те ​​са оставили въпроса за защитата на личните данни на своите служители

Администраторът винаги е отговорен за спазването на законодателството за защита на личните данни. Администраторът е физическо или юридическо лице, което е определило целта и средствата за обработка на лични данни. Операторът може да бъде лекар, медицинска клиника или болница.
Повечето лекари не познават или не се интересуват от правната уредба на GDPR и нямат време да се занимават със създаването на съответната GDPR документация. Поради това те оставят въпроса за защитата на личните данни в ръцете на медицински сестри, асистенти или други служители.
Ние обаче не препоръчваме тази процедура. Вашата медицинска сестра или асистент не е експерт по защита на данните и освен това вие като оператор носите отговорност за всички грешки и пропуски.

2. Лекарите не са приложили GDPR документацията на практика

Много лекари обаче наистина са се справили с новите правила за поверителност. Някои поръчаха експерти по GDPR, други сами направиха документацията. Често обаче срещаме ситуация, при която лекарите са подготвили документация за GDPR, но на практика изобщо не спазват правилата за защита на личните данни.
GDPR не е просто административна тежест, а въпрос, който трябва да се приложи на практика. Ако сте посетени от инспекция, не е достатъчно да сте подготвили документация. По-специално администраторите проверяват дали администраторът спазва взетите мерки за сигурност и основните принципи за обработката на лични данни.

3. Съгласие за обработване на лични данни като правно основание

Лекарят може да обработва лични данни на няколко правни основания. В зависимост от целта, за която обработва личните данни, той трябва да избере правилното правно основание. Личните данни могат да бъдат обработвани и на правно основание за изпълнение на договора, изпълнение на законово задължение, законен интерес, ако това е необходимо за защита на жизненоважен интерес или със съгласието на пациента.
Лекарите и здравните заведения често избират съгласието на пациента като правно основание за обработване на лични данни. Правят го „със сигурност“. Подобна процедура обаче е неправилна. Лекарите и лечебните заведения са задължени да обработват лични данни директно от Закона за здравеопазването и други съответни законови разпоредби и поради това личните данни трябва да се обработват предимно на правното основание за изпълнение на законовото задължение, или на друго подходящо правно основание.
Ако попитате пациентите за съгласието им за обработката на лични данни, въпреки че можете да обработвате личните им данни на друго правно основание, рискувате да получите тежка глоба.

4. Лекарите не информират засегнатите лица

Едно от задълженията на лекар и медицинско заведение е да информира пациентите и евентуално други субекти на данни за условията за обработка на личните им данни. Това задължение обикновено е проблематично. Някои лекари изобщо не предоставят тази информация на пациентите, докато други я предоставят до известна степен, но това е остаряло, невярно или непълно.
GDPR и Законът за защита на данните определят точно каква информация трябва да предоставяте на своите пациенти. За да можете да изготвите политика за поверителност, първо трябва да извършите одит на личните данни, за да определите точния поток от данни към и от амбулаторния отдел. След това ще включите получената информация в политика за обработка на лични данни, която можете да публикувате на вашия уебсайт и да публикувате в чакалнята.

5. Недостатъчна сигурност

Също така сте закупили ново шкафче и смятате, че личните ви данни са добре защитени? Осигуряването на защита на личните данни трябва да бъде много по-широко и всеобхватно. Едно от основните задължения на администратора е да предприеме подходящи технически и организационни мерки за сигурност, за да осигури защитата на личните данни. Когато решавате какви мерки за сигурност са необходими, трябва да вземете предвид средствата, чрез които личните данни се обработват и къде се намират. Проучете рисковете, свързани с обработката на лични данни чрез тези средства и изберете подходящи мерки за сигурност въз основа на резултата.