Aici descoperim
dreptul tehnologiei

young-handsome-physician-medical-robe-with-stethoscope_1303-17818.jpg

Prelevarea de organe este o procedură medicală practicată la nivel intern și la nivel internațional. La nivelul statului român, această procedură este aplicabilă atât donatorilor decedați, cât și donatorilor aflați în moarte cerebrală (a nu se confunda cu donarea organelor ca urmare a consimțământului persoanei în viață în momentul efectuării procedurii). Problematicile care apar odată cu această procedură sunt nenumărate. Acestea țin de reglementarea de la nivel intern, de confidențialitatea datelor privind prelevarea de organe, înlăturarea protecției datelor privind prelevarea de organe.

Prelevarea de organe – cadrul normativ de la nivel intern

În conformitate cu Protocolul Adițional din 20 februarie 2015 la Convenția la Convenţia privind drepturile omului şi biomedicina, referitor la transplantul de organe şi ţesuturi de origine umană, art. 16, prelevarea de organe sau de ţesuturi de la o persoană decedată nu poate fi efectuată decât dacă decesul a fost constatat în mod corespunzător, conform legii. Medicii care constată decesul unei persoane trebuie să fie diferiţi de cei care participă direct la prelevarea de organe sau ţesuturi de la persoana respectivă, precum şi de cei însărcinaţi cu îngrijirea eventualilor primitori ai organelor sau ţesuturilor respective.

Protocolul cuprinde dispoziții cu privire la consimțământ, în sensul că nu pot să fie prelevate organe sau ţesuturi de la corpul unei persoane decedate decât dacă s-a obţinut consimţământul sau autorizaţia prevăzută de lege. Prelevarea nu trebuie efectuată dacă persoana decedată era împotriva acesteia.

 

Te-ar putea interesa și:

 

Conform art. 18 din Protocol, în cadrul prelevării, corpul uman trebuie tratat cu respect şi trebuie luată orice măsură rezonabilă pentru a se restaura înfăţişarea corpului. În materie de confidențialitate, sunt conturate următoarele aspecte:

  • Toate datele cu caracter personal referitoare la persoana de la care s-a realizat prelevarea de organe sau de ţesuturi, precum şi datele referitoare la primitor trebuie să fie considerate confidenţiale. Ele nu pot fi colectate, tratate sau comunicate decât cu respectarea regulilor referitoare la secretul profesional şi protecţia datelor cu caracter personal;
  • Dispoziţiile precedente se interpretează fără a aduce atingere dispoziţiilor care permit, sub rezerva garanţiilor adecvate, colectarea, tratarea şi comunicarea informaţiilor necesare referitoare la persoana de la care s-a făcut prelevarea sau la primitorul (primitorii) de organe sau de ţesuturi, dacă acest lucru este necesar din motive medicale, inclusiv trasabilitatea, în conformitate cu Protocolul.

În privința prelevării de organe, prin raportare la legislația de la nivel național, considerăm ca fiind relevant art. 147 din Legea nr. 95/2006 privind reforma în domeniul sănătății, privind condițiile în care se va realiza procedura, astfel:

  • se definește ca donator decedat fără activitate cardiacă persoana la care s-a constatat oprirea cardiorespiratorie iresuscitabilă și ireversibilă, confirmată în spital de 2 medici primari. Confirmarea donatorului decedat fără activitate cardiacă se face conform protocolului de resuscitare, conform modelului de formular aprobat prin ordin al ministrului sănătății, excepție făcând situațiile;
  • se definește ca donator decedat cu activitate cardiacă persoana la care s-a constatat încetarea ireversibilă a tuturor funcțiilor creierului, conform protocolului de declarare a morții cerebrale conform modelului de formular aprobat prin ordin al ministrului sănătății;

 

 

  • declararea morții cerebrale se face de către medici care nu fac parte din echipele de coordonare, prelevare, transplant de organe, țesuturi și celule de origine umană;
  • prelevarea de organe, țesuturi și/sau celule de la persoanele decedate se face numai cu consimțământul scris al cel puțin unuia dintre membrii majori ai familiei sau al rudelor, în următoarea ordine: soț supraviețuitor, părinți, descendenți, frate/soră, altă rudă în linie colaterală până la gradul al IV-lea inclusiv, conform modelului de formular aprobat prin ordin al ministrului sănătății;
  • prelevarea se poate face fără consimțământul membrilor familiei dacă, în timpul vieții, persoana decedată și-a exprimat deja opțiunea în favoarea donării, printr-un act notarial de consimțământ pentru prelevare și înscrierea în Registrul național al donatorilor de organe, țesuturi și celule, conform modelului de formular aprobat prin ordin al ministrului sănătății;
  • prelevarea nu se poate face sub nicio formă dacă, în timpul vieții, persoana decedată și-a exprimat deja opțiunea împotriva donării, prin act de refuz al donării. Actul de refuz al donării va fi prezentat de către aparținători coordonatorului de transplant.

Consecințe juridice privind acordul în materia prelevării de organe de la un donator aflat în moarte cerebrală

Respectând cadrul normativ actual, în situația în care o persoană și-a manifestat acordul în timpul vieții să îi fie prelevate organele în caz de deces, acestea vor putea fi prelevate în mod liber, fără existența unui consimțământ ulterior din partea rudelor persoanei decedate. Totodată, dacă nu există un act de refuz al donării în timpul vieții, formulat de către o persoană, în caz de deces al acesteia organele pot să fie prelevate în cazuri date.

În situațiile precizate, se trece chiar peste consimțământul membrilor de familie, dacă persoana decedată și-a exprimat în timpul vieții opțiunea de a face obiectul donării. Consimțământul este astfel înlăturat, prevalând voința persoanei decedate, peste voința membrilor săi de familie.

KIT GDPR Premium

 

Care sunt criteriile de diagnostic pentru confirmarea morții cerebrale și, implict, pentru conferirea posibilității prelevării organelor?

Prin raportare la prevederile Legii nr. 2 din 8 ianuarie 1998 privind prelevarea şi transplantul de ţesuturi şi organe umane, criteriile de diagnostic sunt următoarele:

  • reflectate prin examen clinic: starea de comă profundă, flască, areactivă, absența reflexelor de trunchi cerebral (în mod special, absența reflexelor fotomotor şi corneean);
  • reflectate prin absența ventilației spontane: test apnee (la un Pa CO/2 de 60 mm Hg);
  • reflectate prin două trasee EEG (electroencefalograf), efectuate la 6 ore, care să ateste lipsa electrogenezei corticale[1].

Regulamentul general privind protectia datelor (RGDP) – protecția datelor în materie de prelevare de organe

Conform pct. (35) din Regulamentul privind protecția datelor cu caracter personal, datele cu caracter personal privind sănătatea ar trebui să includă toate datele având legătură cu starea de sănătate a persoanei vizate care dezvăluie informații despre starea de sănătate fizică sau mentală trecută, prezentă sau viitoare a persoanei vizate. Acestea includ informații despre persoana fizică colectate în cadrul înscrierii acesteia la serviciile de asistență medicală sau în cadrul acordării serviciilor respective persoanei fizice în cauză. Aceste date necesită protecție specială.

Cu toate acestea, GDPR nu se aplică persoanelor decedate, ci protecția datelor acestora este asigurată prin legislația internă. 

S-a menționat faptul că informațiile dintr-un dosar medical se află în sfera de aplicare a Legii nr. 46/2003. Conform art. 21-25 din prezenta Lege:

  • toate informaţiile privind starea pacientului, rezultatele investigaţiilor, diagnosticul, prognosticul, tratamentul, datele personale sunt confidenţiale chiar şi după decesul acestuia;
  • informaţiile cu caracter confidenţial pot fi furnizate numai în cazul în care pacientul îşi dă consimţământul explicit sau dacă legea o cere în mod expres;
  • în cazul în care informaţiile sunt necesare altor furnizori de servicii medicale acreditaţi, implicaţi în tratamentul pacientului, acordarea consimţământului nu mai este obligatorie;
  • pacientul are acces la datele medicale personale;
  • orice amestec în viaţa privată, familială a pacientului este interzis, cu excepţia cazurilor în care această imixtiune influenţează pozitiv diagnosticul, tratamentul ori îngrijirile acordate şi numai cu consimţământul pacientului;
  • sunt considerate excepţii cazurile în care pacientul reprezintă pericol pentru sine sau pentru sănătatea publică.

Prelevarea organelor în contextul apariție COVID-19

Deși prelevarea de  organe este reglementată la nivel intern și internațional prin documente speciale și acte de natură oficială, în contextul apariției virusului COVID-19 apare problematica posibilității prelevării organelor. În sensul precizat, autoritățile îndreptățite și alte organe ale statului trebuie să normeze și modalitatea în care se va/nu se va realiza prelevarea de organe de la un donator purtător de virus. În materie de drept internațional, autoritățile publice au stabilit în anumite state ca, în urma decesului produs ca urmare a infectării cu virusul COVID-19, corpurile persoanelor decedate să fie arse.

 

Te-ar putea interesa și:

 

Vrei să înveți cum să implementezi corect GDPR? Îți recomandăm cursul nostru online cu 28 de module care acoperă integral, teoretic și practic, materia. La finalul cursului vei obține certificatul de absolvire și documentația GDPR (șabloane editabile în Word și Excel) pentru a implementa cu succes. Află mai multe aici 

[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]



light-bulb-people-discussing-ideas-working_1262-19265.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

După aplicarea directă a Regulamentului General privind Protecția datelor organizațiile au efectuat analize pentru a vedea ce date personale prelucrează.  În unele cazuri s-au ajustat procedurile existente, s-au  implementate proceduri noi, astfel încât să fie respectă legislația.

Numai că mesajul privind protecția datelor cu caracter personal ar trebui să ajungă la toți membrii personalului indiferent dacă colectează, prelucrează, utilizează și partajează date cu caracter personal sau nu.

De ce? 

Deoarece în conformitate cu noul regulament, întreaga echipă este responsabilă pentru protecția datelor, nu numai departamentul IT.

GDPR afectează toate laturile unei activități și de aceea toți membrii personalului trebuie să joace un rol activ în protejarea datelor cu caracter personal. Pentru a menține conformitatea cu GDPR, angajații trebuie să înțeleagă cum și unde circulă datele. De asemenea, trebuie să știe unde sunt riscurile și care sunt responsabilitățile lor individuale.

Scopul instruirii este încurajarea unei culturi a protecției datelor prin întreaga companie. Este util dacă toată lumea are aceeași pregătire generală, astfel încât în ​​rândul colegilor să planeze încrederea că participă cu toții la un obiectiv comun, respectiv angajamentul pentru protecția datelor. Desigur, nu toți membrii personalului au nevoie de o cunoaștere detaliată a reglementării protecției datelor, dar toată lumea trebuie să știe despre ce este vorba și cum afectează activitatea.

Factorul care va face cea mai mare diferență pentru implementarea GDPR este protecția personalului.

La fel cum într-un lanț ești la fel de puternic ca cea mai slabă verigă, angajamentul organizației de respectare a GDPR este la fel de puternic ca disponibilitatea personalului de a-și asuma răspunderea și de a face ceea ce trebuie atunci când vine vorba de date cu caracter personal – legate de client sau organizație.

Acest lucru face ca alinierea la GDPR să fie o problemă de resurse umane, indiferent cât de mult ar părea că aparține IT, marketing-ului sau unui alt departament, în majoritatea cazurilor, așa cum am văzut, scurgerile de date și încălcările nu sunt doar o problemă IT. Cele mai multe sunt cauzate de erori ale personalului, datorită lipsei de cunoștințe despre cele mai bune practici de protecție a datelor și prin ignoranța consecințelor.

Fundamental, cu toții trebuie să schimbăm nu doar ceea ce facem cu datele, ci și cum gândim despre protecția acestora, iar personalul trebuie să fie instruit corespunzător pentru a ști cum să protejeze datele, cum să prevină și să recunoască un incident de securitate și ce să facă atunci când intervine un incident de securitate.

Cum facem?

Prin programe de formare cu scopul de a convinge forța de muncă că respectarea GDPR-ului  este o prioritate. Întreg personalul are nevoie atât de o înțelegere la nivel înalt a GDPR – chiar dacă este simplificată – cât și de o vedere clară a impactului asupra activității lor. Trebuie să înțeleagă în primul rând  problemele legate de consimțământul personalului, securitatea și responsabilitatea pentru sine, despre ce trebuie făcut și ce nu trebuie făcut, și tot ceea ce înseamnă GDPR.

Când personalul aude de incident de securitate, se gândește la actori externi. Dar incidentele reale de securitate sunt aproape toate interne.  De ex: o persoana care, în mod involuntar, trimite un e-mail către persoana greșită sau lasă date descoperite pe cloud-ul public al companiei (sau tava imprimantei), care învinge cu adevărat eforturile organizației de conformitate GDPR.

Luați în considerare implementarea instrumentelor care fac dificilă partajarea informațiilor accidental, dar educați personalul despre ce înseamnă cerințele GDPR pentru comunicațiile interne. Îmbunătățiți măsurilor de control al accesului către sistemele care dețin date cu caracter personal asigurați-vă numai persoanelor autorizate li se acordă drepturi de acces corecte.

Instruirea ar trebui să fie un proces continuu, GDPR este un fapt de viață și orice personal trebuie să știe despre asta.

 

 


corporate-suit-white-man-background_1150-1776.jpg

Autor Elena Marc – Specialist Protecția Datelor, Consultant EMPIRE LOGISTICS SRL

Dreptul persoanelor fizice la despagubire pentru prejudiciul cauzat

Cu toate că amenzile din GDPR sunt semnificative, companiile trebuie să fie preocupate de încă două lucruri.

  1. faptul că persoanele vizate pot să aibă opțiunea de a solicita despăgubiri în cazul în care acțiunile operatorului sau ale operatorului împuternicit duc la daune. 
  2. amenzile sunt, de asemenea, susceptibile de a crea daune reputaționale, care nu pot fi cuantificate cu ușurință.

Deocamdată nu se sție ce nivel de compensare va fi  acordat  victimelor  unei încălcări a datelor. GDPR afirmă că persoanele fizice pot solicita despăgubiri (fie de la operatorul  de date, fie de la persoana împuternicită de operatorul de date) dacă au suferit daune ca rezultat al încălcării GDPR. Considerentul 146 afirmă că există o obligație de răspundere:

”Operatorul sau persoana împuternicită de operator ar trebui să plătească despăgubiri pentru orice prejudiciu pe care o persoană îl poate suferi ca urmare a unei prelucrări care încalcă prezentul regulament.”  Ceea ce înseamnă  că este probabil ca o organizație să fie, de asemenea, răspunzătoare pentru cererile de despăgubire, în cazul în care aceasta va fi amendată de autoritate.

În schimb, pretenția persoanelor vizate ar putea fi bazată pe daune nefinanciare, cunoscute sub denumirea de daune morale, un exemplu ar putea fi epuizare emoțională. Cu toate acestea, nu există încă exemple privind cât de mult ar putea fi acordat astfel în cazul unei încălcări a datelor.

Citește mai multe despre daunele morale în temeiul GDPR în articolul nostru: 10.000 lei- daune morale. Prelucrarea excesivă a datelor personale. Judecătoria Sectorului 5.

GDPR face obligatorie, în unele cazuri, notificarea încălcării, ceea ce va spori gradul de conștientizare al clientului și, astfel, ar putea să complice probabilitatea creanțelor. Unii dintre cei afectați au fost ulterior victime ale fraudei și astfel au suferit o pierdere financiară care ar putea fi evaluată separat. Cei care nu au suferit o pierdere financiară ar fi putut fi totuși extrem de îngrijorați de ceea ce sa întâmplat. Unii ar putea fi  îngrijorați că vor fi victime în viitor sau că ar fi putut fi furați banii din conturile lor. Acest lucru poate însemna că au avut un caz de daune morale.

În timp ce unele companii încalcă în mod intenționat legea, putem supune că majoritatea încălcărilor se datoreze lipsei de pregătire.

Articolul 83 din GDPR prevede 11 considerente diferite de care se ține cont  la stabilirea mărimii amenzii.Vezi: http://www.privacy-regulation.eu/ro/83.htm

Acestea includ factori precum:

  • natura, gravitatea și durata încălcării
  • încălcarea intenționată sau din neglijență
  • categoriile de date cu caracter personal afectate
  • numărul de persoane vizate și impactul asupra acestora
  • măsurile care au fost în vigoare pentru a proteja datele
  • nivelul de cooperare cu autoritatea de supraveghere
  • respectarea standardelor din industrie
  • istoric al încălcărilor anterioare

Există o mulțime de discuții despre amenzi, dar cel mai bine este să învățăm o lecție din acestea și să începem să ne pregătim  de conformare. Deci, nu așteptați și acționați înainte de a fi prea târziu.

Mai jos găsiți o lista de verificare, sub forma de întrebări care vă vor ajuta să evaluați dacă sunteți OBLIGAT să respectați GDPR sau nu.

Dacă toate răspunsurile dvs. sunt DA, nu există nici o îndoială că trebuie să vă conformați. Dacă majoritatea răspunsurilor dvs. sunt NU, dar câteva sunt DA, vă rugăm să consultați un specialist.

  1. Compania dvs. colectează date personale?
  2. În mod regulat, vă ocupați de activități cum ar fi salarizarea lunară, pregătirea și trimiterea de facturi, trimiterea de e-mailuri promoționale, prelucrarea și colectarea cererilor de la solicitanții de locuri de muncă, administrarea pacienților?
  3. Firma dvs. procesează orice tip de date speciale (cum ar fi date privind sănătatea, date generice sau biometrice, date care dezvăluie originea rasială sau etnică, opiniile politice, credințele religioase, calitatea de membru al sindicatelor, datele privind viața sexuală a unei persoane fizice sau orientarea sexuală )?
  4. Firma dvs. prelucrează date cu caracter personal privind condamnările penale și infracțiunile sau măsurile de securitate aferente?
  5. Este probabil ca prelucrarea datelor să ducă la un risc pentru drepturile și libertățile persoanelor vizate (adică supravegherea video, procedurile de evaluare a creditului și de prevenire a fraudei, localizarea angajaților)?

 

Te-ar putea interesa și:

 

 

 

 


empireee-1200x675.jpg

Securitatea datelor medicale și instruirea personalului

Autori:

Elena Marc – Consilier juridic în domeniul sanitar / Formator / Specialist protectia datelor / Membru ASCPD

 

Există întotdeauna riscuri implicate atunci când lucrați cu date cu caracter personal, dacă este vorba despre un dosar electronic al pacientului sau pe suport de hârtie. Acesta este motivul pentru care GDPR prevede dispoziții referitoare la securitatea datelor medicale și a celorlalte date cu caracter personal. Securitatea informațiilor acoperă trei aspecte:

  1. Confidenţial;
  2. Integritate;
  3. Disponibilitate.

Pentru a asigura un nivel adecvat de protecție și a contribui la securitatea datelor medicale, GDPR prevede că trebuie luate măsuri tehnice și organizatorice adecvate, cum ar fi anonimizarea, pseudonimizarea sau criptarea datelor, dar și politicile specifice organizației care abordează riscurile procesării respectivei organizații. Aceste politici sunt necesare, având în vedere că riscurile nu pot fi întotdeauna evitate.

Unul dintre riscurile implicate este accesul neautorizat. Dacă un fișier al unui pacient este accesat de cineva care nu este autorizat, din punct de vedere GDPR există o încălcare a datelor. Această încălcare trebuie notificată Autorității Naționale de Supraveghere și, în unele cazuri, comunicată pacientului.

O altă modalitate de a preveni încălcarea datelor este păstrarea datelor atat cât este necesar. Atunci când datele de sănătate nu mai sunt necesare pentru tratamentul pacientului, GDPR stabilește că pacientul are dreptul de a solicita ștergerea acestor date. În plus, legea prevede că datele sunt păstrate pentru o perioadă maximă de timp. Durata de păstrare a datelor depinde de scopul pentru care au fost colectate inițial datele personale, ceea ce înseamnă că este important ca acest scop este clar pentru persoana vizată. Dacă este necesar în scopuri de tratament, datele privind sănătatea pot fi păstrate mai mult de 15 ani. Dacă vorbim de cercetare medicală, ar putea fi importantă stocarea datelor pentru o perioadă mai lungă de timp.

O altă protecție importantă pe care GDPR o oferă persoanei vizate este desemnarea unui responsabil de protecție a datelor (DPO) ( articolul 37 GDPR ). GDPR cere ca, în anumite cazuri, inclusiv atunci când datele sensibile sunt prelucrate pe scară largă, trebuie să fie desemnat un DPO. Instituțiile mari de asistență medicală, cum ar fi spitalul, trebuie să desemneze un DPO, având în vedere că procesează datele de sănătate pe scară largă.

Tehnologiile moderne implică multe riscuri, cu toate acestea, există o mulțime de modalități de a proteja datele de sănătate și de îmbunătățire a  tehnicilor. Ca atare va invitam sa urmati acest plan simplu pe care orice angajat il poate respecta pentru un grad de siguranța cibernetică la locul de munca:

  1. Numai încredere în https-URL-uri! Utilizați site-urile de încredere numai când furnizați informațiile personale. O regulă bună este să verificați adresa URL. Dacă site-ul include “https: //”, atunci este un site securizat. Dacă adresa URL include “http: //” – notați “s” lipsă – evitați introducerea informațiilor sensibile cum ar fi datele cărții de credit.
  2. Nu deschideți atașamente / link-uri necunoscute! Nu deschideți atașamentele de e-mail sau faceți clic pe link-uri din e-mailuri din surse necunoscute. Unul dintre cele mai frecvente moduri în care oamenii sunt atacați este prin e-mailuri deghizate ca fiind trimise de cineva în care aveți încredere.
  3. Păstrați-vă dispozitivele actualizate! Mențineți întotdeauna dispozitivele actualizate.Actualizările de software conțin update-uri importante pentru a remedia problemele de securitate. Cyber-attackerii se dezvoltă pe dispozitivele depășite, deoarece nu au cel mai actual software de securitate.
  4. Actualizați în mod regulat fișierele! Faceți copii de rezervă în mod regulat pentru a preveni atacurile de securitate cibernetică.

Pentru ca tinem la siguranta PC-ului d-voastra la locul de munca, va oferim cateva tips-uri orientative in plus privind securitatea datelor medicale:

  1. Investiti intr-un antivirus cu licenta actualizata. Cu totii ne amagim cand vine vorba de un program la care trebuie reinoita licenta anual, DAR totul raul inspre bine. ’’Da dar imi mananca din resurse.’’ Printr-o defragmentare periodica a unitatii de lucru (eliminati fisierele temporale si documentele de care nu aveti nevoie) este un ’’win’’ mult mai mare decat sa iti manance altii datele printr-un banal Keylogger sau KeySniffer doar pentru ca nu aveti un paravan de protectie.
  2. Parole mai puternice, si nu glumesc. Ionut1234 sau lipsa in totalitate a parolelor nu va va salva prea mult timp de un potential atac mai ales daca detineti informatii de mare pret pentru cel care le vrea. In caz ca aveti probleme in a va genera parole mai complexe, sau nu le puteti tine evidenta, folositi un Password Manager cum ar fi Password Generator, Dashlane, LastPass, Roboform.
  3. Software de criptare a datelor in momentul cand efectuati un back-up, astfel banala encriptie AES-256 byti va salveaza de multe peripetii. Va recomandam unele dintre cele mai uzuale la ora actuala: VeraCrypt, Bitlocker sau PGP (Pretty Good Privacy).
  4. Evident, procesul de educare privind noile ’’security threats’’ ce apar zi de zi nu tine doar de un sector anume, toate departamentele operatorului ar trebui implicate in training-uri periodice care sa ridice pragul de awareness in acest domeniu, si aici vorbim de marketing, front-end desk, etc. Investiti in educatia d-voastra sau a angajatilor!