Noțiunea de „date cu caracter personal”, înțeleasă parțial în unitățile sanitare

Experții din domeniul GDPR au realizat un studiu la finele anului trecut, din care reiese că multe categorii de informații nu sunt conștientizate de personalul din unitățile sanitare ca fiind date cu caracter personal.

 

Un studiu dat publicității cu ocazia celei de-a doua ediții a Conferinței Naționale pentru Protecția Datelor în domeniul Sanitar confirmă faptul că personalul sanitar din România este insuficient pregătit în ceea ce privește protecția datelor cu caracter personal, aspect relevat și cu ocazia primei ediții a conferinței, care a avut loc în toamna anului trecut.

În aceeași perioadă a fost demarat și un studiu inițiat de Asociația Specialiștilor în Confidențialitate și Protecția Datelor (ASCPD), împreună cu Centrul pentru Protecția Datelor din cadrul UMFST Târgu Mureș și Safetech Innovation.

În perioada 15 octombrie 2018 – 1 decembrie 2018, în cadrul studiului au fost colectate date de la 195 de unități sanitare, din 36 de județe din România, utilizându-se tehnica chestionarului, prin intermediul a 44 de întrebări. Astfel, au fost  au fost evaluați trei indicatori ai fiecărei organizații și anume structura organizatorică, conștientizarea nevoii de conformare și protecție a datelor cu caracter personal și securitatea informațiilor.

Rezultatele cercetării au fost prezentate de Marius Dumitrescu, președintele ASCPD, în cadrul conferinței găzduite de Palatul Culturii din Târgu Mureș, confirmând faptul că multe dintre unitățile sanitare mai au mult de lucru pentru a se pune la punct în privința protecției datelor cu caracter personal.

 

Acesta a precizat că 38% dintre unitățile incluse în studiu au fost spitale, 14% farmacii, 12% clinici medicale, 9% cabinete medicale, 8% autorități în domeniul sanitar, 7% organizații profesionale, restul fiind laboratoare, ONG-uri, furnizori de dispozitive medicale și servicii de formare.

În cadrul eșantionului selectat activează 45.400 de angajați, dintre care 2.140 dețin funcții de conducere, aceste organizații asigurând servicii și medicamente pentru aproximativ 2.582.338 de pacienți, într-un an calendaristic.

O primă concluzie desprinsă în urma analizei a fost că gradul de conștientizare a măsurilor care trebuie adoptare în relația cu Regulamentul(UE) 2016/679 este mare, 81.03% dintre organizații implementând măsuri minime pentru a obține conformitatea, însă, cu toate acestea, 42.05% încă nu și-au desemnat un responsabil cu protecția datelor (DPO). Marius Dumitrescu a menționat însă că nu toți operatorii intervievați au această obligație.

Totodată, studiul a confirmat că multe categorii de informații precum imagini video, coordonate GPS, fotografii, nu sunt conștientizate ca fiind date cu caracter personal, principalele date conștientizate fiind cele prezente în actul de identitate.

 

Președintele ASCPD a subliniat că s-a constatat că peste 70% dintre unitățile din domeniul sanitar nu au un plan de reacție la incidentele de securitate, deși mai mult de o treime din ele s-au confruntat deja cu astfel de incidente.

„Studiul relevă că 37,44% dintre organizaţii s-au confruntat cu incidente de securitate şi cu toate acestea 73,85% nu au implementat un plan de reacţie la incidentele de securitate. Remarcăm faptul că 79.49% dintre organizaţii au contractate servicii externalizate, având astfel obligaţia să verifice activitatea acestora din punct de vedere al respectării Regulamentului (UE) 2016/679, ţinând cont şi de faptul că răspunderea este solidară între operator şi împuternicit. De asemenea, 73,85% dintre organizaţiile din sistemul sanitar au sisteme de supraveghere video instalate, 55,90% monitorizând şi personalul în timpul orelor de lucru, 74,36% deţin şi actualizează informații pe website şi 37,44% au pagină pe Facebook. Am mai stabilit că 73,33% dintre organizaţii au implementat proceduri de securitate tehnică şi 76,41% au realizat o instruire cu privire la securitatea datelor cu caracter personal, 70,26% folosesc adrese de email @yahoo.com şi @gmail.com în interes profesional, domenii din afara Uniunii Europene, iar 11,28% nu au implementat sisteme tehnice de protecţie antivirus”, a mai declarat Marius Dumitrescu în cadrul conferinței.

 

Evenimentul de la Târgu Mureș a inclus și lansarea unui curs postuniversitar de formare și pregătire a responsabililor cu protecția datelor, ce va avea loc în cadrul UMFST Târgu Mureș.  Acesta este adresat absolvenților de învățământ superior cu diplomă de licență sau echivalent, dornici să dobândească cunoștințe în ceea ce privește conformitatea cu Regulamentul European nr. 2016/679 și exercitarea unei profesii de viitor.

Cursul se desfășoară pe o perioadă de aproximativ 6 luni, în care cursanții vor avea parte de pregătirea teoretică și practică necesară, iar la absolvire vor obține atât un certificat, cât și un supliment descriptiv care va atesta certificarea ca Responsabil cu Protecția Datelor cu Caracter Personal conform Standardului Ocupațional aferent DPO.

„Cursul are 188 de ore, repartizate în mod flexibil, în așa fel încât să se ajungă la o școlarizare și o dobândire de competențe suficiente și adecvate de către cursanți. Cursantul învaţă că nu el răspunde pentru neconformare, ci operatorul de date. Cursantul învață că această informare și consiliere pe care el o oferă are la bază măsuri tehnice clare și organizatorice pentru securitatea informației”, a declarat cu ocazia lansării, conf. univ. dr. Nicolae Ploeșteanu.