Înapoi

Înainte

  • Enumerarea măsurilor care trebuie luate în raporturile de muncă de către un operator (o unitate medicală, o clinică, un spital ș.a.) pentru a respecta normele specifice protecției datelor

  • Explicarea conținutului și importanței existenței acestor norme

  • Exemple concrete și cazuistică relevantă

Fie că medicul este angajat al unei unități medicale (spital, clinică ș.a. numit generic operator de date), fie că ocupă o funcție de conducere în această unitate sau, mai mult, este administratorul ei, se impun a fi luate măsuri specifice protecției datelor în relațiile de muncă desfășurate în acea unitate.

Pentru aceasta, din momentul semnării contractului individual de muncă (C.I.M.), a fișei postului, a luării la cunoștință de Regulamentul Intern, angajatului – medic i se recunosc anumite drepturi și i se impun anumite obligații.

În rândurile care urmează ne propunem să atingem acest subiect: ce clauze relevante există sau pot fi adăugate la nivelul documentelor menționate mai sus pentru a fi în conformitate cu normele R.G.P.D. Această secțiune nu caută să acopere în mod exhaustiv toate măsurile care pot fi luate, ci doar să ușureze medicilor înțelegerea necesității existenței clauzelor de protecția datelor.

Astfel, în linii mari, indiferent de forma sub care apar, clauzele pot acoperi aspecte precum:

  • Obligația de confidențialitate: Angajații (medici, asistenți medicali ș.a.) trebuie să păstreze confidențialitatea datelor cu caracter personal pe care le prelucrează și să nu le divulge terților fără autorizare expresă.

  • Obligația de a respecta bunele practici specifice protecției datelor cu caracter personal în relațiile de muncă: Angajații trebuie să fie conștienți, respectiv să fie conștientizați, asupra bunelor practici de către unitatea medicală la care își desfășoară activitatea.

  • Obligația de a raporta încălcări ale securității datelor: Angajații trebuie să raporteze orice încălcare a securității datelor la care au luat parte sau despre care au cunoștință.

Includerea acestor tipologii de clauze în documentele menționate (C.I.M., C.C.M., Fișa Postului, Regulament Intern) asigură în primul rând responsabilizarea angajaților, dar și evitarea sancțiunilor sau amenzilor care pot apărea atât pentru operator (unitate medicală) cât și pentru medic (atunci când acesta, în calitate de persoană fizică, devine operator de date).

Clauze relevante

Pentru a se asigura de cele de mai sus, este recomandat să fie incluse următoarele tipuri de clauze:

  • Regulament Intern (R.I.): obligația generală de respectare a principiilor R.G.P.D.; drepturile angajatului în calitate de persoană vizată; obligațiile acestuia; răspunderea sa.

  • Contract individual de muncă (C.I.M.): în principal ne rezumăm la drepturi și obligații specifice protecției datelor.

  • Fișa Postului: aici putem identifica sau particulariza mai mult obligațiile care pot surveni angajatului.

Toate acestea se regăsesc ca exemplu în Anexa 1 Model de clauze care ar trebui luate în relație cu angajații.

Important de știut:

  • Sarcina probei în relațiile de muncă revine angajatorului – deși putem vedea în practică multe situații în care medicul, ca angajat al unei unități medicale, comite o faptă ce reprezintă un incident de securitate (ex. din eroare), operatorul, ca unitate medicală, este cel mai adesea sancționat pentru lipsa de: adoptare de politici și proceduri, instruire a persoanelor pentru a gestiona în mod corect datele cu caracter personal ș.a. În acest sens, fără a încuraja relele practici, medicul nu trebuie să fie speriat de apariția acestor clauze în contractele sale.

    • Exemplu: Un medic își folosește telefonul personal pentru a fotografia fișa medicală a unui pacient și apoi trimite fotografia unui coleg, încălcând astfel obligația de confidențialitate și securitate a datelor. În acest caz, prezența unei clauze în CIM și în Regulamentul intern care subliniază obligația de confidențialitate ar putea determina angajatorul să ia măsuri disciplinare împotriva medicului și să prevină astfel de situații în viitor. Lipsa dovezilor privind instruirea medicului de către unitatea medicală cu privire la acest aspect atrage responsabilitatea unității.

  • Procesul de conștientizare a fenomenului protecției datelor se realizează într-un mod mult mai eficient atunci când este asumat prin luarea la cunoștință a drepturilor și obligațiilor prin acest fel.

    • Exemplu: Un medic specialist primește o cerere de la un pacient să transmită fișa sa medicală unui alt medic, din afara unității medicale la care lucrează, pentru o a doua opinie. Medicul specialist nu verifică dacă are acordul pacientului pentru transferul datelor și nu urmărește procedura internă stabilită de către unitatea medicală pentru astfel de situații. Prin urmare, medicul nu respectă prevederile GDPR și ale legislației naționale privind protecția datelor.

Cazuistică relevantă

Un exemplu:

Un medic radiolog, în timpul pauzei de masă, lasă deschis pe ecranul laptopului o imagine radiologică a unui pacient, într-un spațiu accesibil altor angajați și vizitatori. Acest comportament expune datele cu caracter personal ale pacientului, încălcând normele de confidențialitate și securitate a datelor. Prin includerea unor clauze specifice în CIM, fișa postului și Regulamentul intern, angajații vor fi conștienți de responsabilitățile lor legate de protecția datelor și de consecințele nerespectării acestor prevederi.

O cauză:

Sentinta nr. 2280/2017 din 07-nov-2017 a Tribunalului Neamt: În acest caz, acțiunile asistentei medicale de a înregistra convorbiri între pacienți și medici și de a scoate în afara unității medicale acte medicale care conțin informații personale ale pacienților încalcă principiile de protecție a datelor cu caracter personal prevăzute în GDPR. Prin urmare, această speță este relevantă pentru GDPR, deoarece subliniază importanța respectării regulilor privind protecția datelor personale în contextul muncii și sancțiunile care pot fi aplicate în cazul nerespectării acestora.

 Înapoi

Înainte