Amendă de 20 de milioane de euro dacă nu corespunzi noului GDPR

În sectorul privat medical poți primi o amendă de 20 de milioane de euro dacă nu corespunzi noului GDPR

Noua directivă GDPR afectează sectorul sănătății din Uniunea Europeană, și pe cel din România. Cele 5 noțiuni cheie au un impact major asupra sectorului privat medical. Iată la ce trebuie să fii atent, dacă conduci sau lucrezi la o afacere în domeniu:

1. Colectarea datelor personale. Regulamentul se aplică tuturor formelor de colectare a datelor, indiferent dacă aceste date au fost colectate online sau offline. Înaintea colectării datelor personale, companiile trebuie să furnizeze o notificare cu privire la datele pe care intenționează să colecteze, precum și modul în care aceste date vor fi utilizate. Mai mult, obținerea consimțământului pacientului și/sau clientului înainte ca datele lui să fie colectate este aspectul cel mai important. Acesta fiind o mare provocare pentru companiile digitale.

2. Transparența este esențială. Datele trebuie să fie procesate într-un mod cât mai transparent și ușor de înțeles pentru pacienți și/sau clienți. Informațiile colectate trebuie să fie oricând disponibile și în format digital pentru proprietari, iar contextul și motivul utilizării datelor personale trebuie explicat afirmativ pentru fiecare. Când consimțământul unui pacient și/sau client este cerut, acesta trebuie să fie într-un mod clar și ușor de înțeles. Pacienții și/sau clienții au dreptul să cere ștergerea tuturor informațiilor aflate în posesia companiilor din industria medicală.

3. Securitatea datelor personale. Companiile din industria medicală trebuie să se asigure ca măsurile tehnice adoptate sunt corespunzătoare și suficient de sigure pentru protejarea securității datelor personale. Aceste măsuri includ: criptarea datelor cu caracter personal; asigurarea confidențialității, integrității, disponibilității și rezistenței continue ale sistemelor și serviciilor de prelucrare; restabilirea disponibilității datelor cu caracter personal;

4. Acordare acces digital la date. Pacienții și/sau clienții unui institut al sănătății trebuie să aibă acces la propriile date în mod digital, datele lor fiind accesibile oricând, cu posibilitatea de ștergere – în cazul unei solicitări – a tuturor informațiilor aflate în posesia companiei și/sau organizației. Pacienții și/sau clienții au dreptul să-și transfere datele personale de la un furnizor de servicii la un altul în orice moment. Aceste companii și/sau organizații au obligația să informeze pe proprietari în mod activ despre posibile atacuri și probleme care pot interveni. De asemenea, este obligația companiei și/sau organizației să informeze autoritățile în astfel de cazuri.

5. Responsabilitate. Companiile și/sau organizațiile care procesează date cu caracter personal trebuie să-și asumă responsabilitate, asigurând sisteme digitale sigure pentru protejarea datelor personale. Companiilor din industria medicală le revine o responsabilitate foarte mare, dar și o obligație deosebită.

Penalități. Nerespectarea prevederilor Regulamentului poate aduce amenzi severe, până la 4% din cifra de afaceri mondială sau 20 de milioane de euro. Mai mult, persoana care a suferit prejudiciul material sau moral, poate să obțină despăgubiri pentru daunele suferite. Dar în afară de riscul financiar, există și riscul reputației ruinate. Nimic nu este mai defăimător pentru o companie în industria medicală, decât obligaţia de a informa pe toți pacienții și/sau clienții săi despre faptul că datele lor au fost pierdute, sau și mai rău, furate.