Comunitatea DPOCategory: Evaluarea impactului asupra protecţiei datelorEvaluarea impactului asupra protectiei datelor cu caracter personal
Nicoleta Bakk asked 6 months ago

Buna ziua! Spitalul trebuie sa faca evaluarea impactului asupra protectiei datelor cu caracter personal?

Sunt DPO intr-un spital municipal. Spitalul in calitate de operator pe scara larga a datelor cu caracter personal nu este obligat sa faca DIPIA? sunt in dilema, deoarece prelucreaza date cf. art.6 alin.(1), lit.(c) si (e) din Regulamentul UE 2016/679 si eu intelega ca nu este obligat. Va rog sa-mi scrieti opinia dvs.la aceasta problema. Va multumesc. Cu stima, Bakk Nicoleta.

2 Answers
Darius Farcas answered 6 months ago

Bună ziua,

doar acum am văzut întrebarea, mă scuzați pentru întârziere.

Probabil dilema vine din înțelegerea acestei activităi – evaluarea de impact asupra protecției datelor – aceasta nu este o chestiune generală ci raportată la un set de proceduri, practici, la un soft / platformă folosită etc.

Astfel, deși spitalul prelucrează datele în baza unui temei legal precum obligația legală (legea sănătății, ordine HG, OUG-uri etc), prin activitatea specifică gestionează date cu privire la starea de sănătate sau date genetice etc., uneori chiar pe scară largă, caz în care trebuie realizată evaluarea de impact.

Evaluările se fac asupra unor chestiuni concrete cum ar fi: evaluarea unor softuri / platforme informatice de gestiune a pacienților, evaluarea procedurilor de comunicare / transmitere a documentelor, utilizarea/generarea rezultatelor automate la analize de tip tomograf/rmn etc.

În susținerea acestui punct de vedere, mai jos găsiți răspunsul Comisiei Europene cu privire la necesitatea evaluărilor, care oferă în mod concret exemplul spitalelor:

„un spital este pe punctul să implementeze o nouă bază de date cu informații despre sănătate, care conține date privind sănătatea pacienților;”

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_ro

Totodată, conform Deciziei 174 a ANSPDCP – pag. 12 – un spital trebuie să realizeze astfel de evaluări

https://www.dataprotection.ro/servlet/ViewDocument?id=1439

Cu toate acestea lucrurile deseori nu se întâmplă fie din necunoaștere a obligației sau a modalității de realizare a acesteia. În acest sens, mai ales în contextul pandemiei și a forțării digitalizării, riscurile la adresa protecției datelor persoanelor vizate pot fi deosebit de mari, vulnerabilitățile pot fi mari și bineînțeles problemele care pot să reiasă din aceasta.

Dacă vă putem ajuta cu oferirea de consultanță pentru îndeplinirea funcției de Responsabil cu Protecția Datelor, vă rugăm să ne scrieți la contact@gdprcomplet.ro și vă vom sprijini în toate demersurile pe care trebuie să le întreprindeți.

O zi frumoasă!

Darius Farcas answered 6 months ago

Rectificare*

Voiam să menționez că în GHIDUL privind Evaluarea impactului asupra protecției datelor (DPIA) și stabilirea dacă o

prelucrare este „susceptibilă să genereze un risc ridicat” în sensul Regulamentului 2016/679

https://www.dataprotection.ro/servlet/ViewDocument?id=1439

se face referire la pagina 12 de un spital care trebuie să facă DPIA