A GDPR több mint 18 hónapig érvényes. Ebben az időszakban sok minden kiderült, a vállalkozók válaszokat kaptak a pályázati problémákra, a Hivatal több irányelvet adott ki, és a bíróságok számos esetben döntöttek. Azonban az orvosok gyakran fordulnak hozzánk GDPR-kérdésekkel. E problémák többsége azért merült fel, mert az orvosok csak marginális figyelmet fordítottak a GDPR-re, és nem tulajdonítottak nagy jelentőséget a rendeletnek.
1. A személyes adatok védelmét az alkalmazottaikra bízták
Az adatkezelő mindig felelős a személyes adatok védelméről szóló jogszabályok betartásáért. Az adatkezelő természetes vagy jogi személy, aki meghatározta a személyes adatok feldolgozásának célját és eszközeit. A kezelő lehet orvos, orvosi rendelő vagy kórház.
A legtöbb orvos nem ismeri vagy nem érdekli a GDPR jogi szabályozását, és nincs ideje foglalkozni a vonatkozó GDPR dokumentáció elkészítésével. Ezért a személyes adatok védelmének kérdését ápolók, asszisztensek vagy más alkalmazottak kezébe hagyják.
Ezt az eljárást azonban nem javasoljuk. A nővér vagy asszisztens nem adatvédelmi szakértő, és emellett Ön, mint üzemeltető felelős minden hibáért és mulasztásért.
2. Az orvosok nem alkalmazták a gyakorlatban a GDPR dokumentációját
Sok orvos azonban valóban foglalkozott az új adatvédelmi szabályokkal. Néhányan a GDPR szakértőit bízták meg, mások maguk készítették el a dokumentációt. Gyakran találkozunk azonban olyan helyzettel, amikor az orvosok dokumentációt készítettek a GDPR-ről, de a gyakorlatban egyáltalán nem tartják be a személyes adatok védelmének szabályait.
A GDPR nem csupán adminisztratív teher, hanem a gyakorlatban is átültetendő kérdés. Ha egy ellenőrzés meglátogatja Önt, akkor nem elég, ha elkészítette a dokumentációt. Az adatkezelők különösen azt vizsgálják meg, hogy az adatkezelő megfelel-e a meghozott biztonsági intézkedéseknek és a személyes adatok feldolgozásának alapelveinek.
3. Hozzájárulás a személyes adatok jogalapként történő kezeléséhez
Az orvos több jogi alapon kezelheti a személyes adatokat. A személyes adatok feldolgozásának céljától függően a megfelelő jogalapot kell választania. A személyes adatok kezelhetők a szerződés teljesítésének, a jogi kötelezettség teljesítésének, a jogos érdeknek a teljesítésén alapuló jogalapon is, amennyiben ez létfontosságú érdek védelme érdekében szükséges, vagy a beteg beleegyezésével.
Az orvosok és az egészségügyi intézmények gyakran a beteg beleegyezését választják a személyes adatok feldolgozásának jogalapjául. "Biztosan" ezt teszik. Egy ilyen eljárás azonban helytelen. Az orvosok és az egészségügyi intézmények kötelesek a személyes adatokat közvetlenül az egészségügyi ellátásról szóló törvény és más vonatkozó jogszabályok alapján feldolgozni, ezért a személyes adatokat elsősorban a jogi kötelezettség teljesítésének jogalapján kell feldolgozni, ill. más megfelelő jogi alapon.
Ha a betegek hozzájárulását kéri a személyes adatok feldolgozásához, annak ellenére, hogy személyes adatait más jogi alapon kezelheti, akkor súlyos pénzbírság kockázata áll fenn.
(4) Az orvosok nem tájékoztatják az érintett személyeket
Az orvos és az egészségügyi intézmény egyik feladata a betegek és esetleg más érintett személyek tájékoztatása a személyes adataik feldolgozásának körülményeiről. Ez a kötelezettség általában problémás. Egyes orvosok egyáltalán nem nyújtják ezt az információt a betegeknek, míg mások bizonyos mértékben, de ez elavult, valótlan vagy hiányos.
A GDPR és az adatvédelmi törvény pontosan meghatározza, hogy milyen információkat kell megadnia a betegeknek. Az adatvédelmi irányelvek elkészítéséhez először el kell végeznie a személyes adatok ellenőrzését a járóbeteg osztályra és az onnan érkező pontos adatáramlás megállapítása érdekében. Ezután beépíti a megszerzett információkat a személyes adatok feldolgozására vonatkozó irányelvekbe, amelyeket közzétehet a webhelyén, és közzéteheti a váróban.
5. Nem megfelelő biztonság
Új szekrényt is vásárolt, és úgy gondolja, hogy személyes adatai biztonságban vannak? A személyes adatok védelmének sokkal szélesebb körűnek és átfogóbbnak kell lennie. Az adatkezelő egyik alapvető kötelezettsége a megfelelő technikai és szervezeti biztonsági intézkedések meghozatala a személyes adatok védelmének biztosítása érdekében. Annak eldöntésekor, hogy milyen biztonsági intézkedésekre van szükség, figyelembe kell vennie a személyes adatok feldolgozásának és helyének módját. Vizsgálja meg a személyes adatok ilyen módon történő feldolgozásával járó kockázatokat, és az eredmény alapján válassza ki a megfelelő biztonsági intézkedéseket.