U pacjentów z rekombinantnym erytropoetinowym erytropoetinowym erytropoetinowym erytropoetinowymOgólne rozporządzenie o ochronie danych (GDPR)określa wytyczne obejmujące różne aspekty ochrony danych i prywatności osób fizycznych w Unii Europejskiej (UE) i Europejskim Obszarze Gospodarczym (EOG), w tym sposób, w jaki organizacje powinny przetwarzać, przetwarzać i chronić dane osobowe. Poniżej znajduje się przegląd głównych elementów objętych wytycznymi GDPR:

1.Zakres i zastosowanie

Dotyczy:

• Wszystkie organizacje(w tym firmy, organizacje non-profit i rządy), które przetwarzają dane osobowe osób fizycznych w UE lub EOG, niezależnie od miejsca siedziby organizacji.
• Administratorzy danych(którzy określają cel i środki przetwarzania) orazPodmiotów przetwarzających dane(którzy przetwarzają dane w imieniu administratorów).

Ma zastosowanie do wszelkiego rodzaju przetwarzania danych osobowych, w tym gromadzenia, rejestrowania, przechowywania, modyfikacji, pobierania, konsultacji, wykorzystywania, ujawnienia, usuwania i zniszczenia.

2.Kluczowe definicje

• Dane osoboweWszelkie informacje, które mogą bezpośrednio lub pośrednio zidentyfikować osobę (np. imię i nazwisko, adres e-mail, adres IP, dane o lokalizacji itp.).
• Wrażliwe dane osoboweSpecjalne kategorie danych wymagających dodatkowej ochrony, takie jak pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne, dane zdrowotne, dane biometryczne i orientacja seksualna.
• Osoba, której dane dotycząOsoba, do której należą dane osobowe.
• Administrator danychPodmiot określający cele i środki przetwarzania danych osobowych.
• Podmiot przetwarzający danePodmiot przetwarzający dane w imieniu administratora.

3.Zasady przetwarzania danych

GDPR opiera się na następującychSiedem kluczowych zasadPrzetwarzania danych:

1. Prawość, sprawiedliwość i przejrzystośćDane muszą być przetwarzane legalnie, sprawiedliwie i przejrzysty sposób. Osoby fizyczne muszą być poinformowane o przetwarzaniu swoich danych.
2. Ograniczenie celuDane osobowe muszą być gromadzone w określonych, wyraźnych i uzasadnionych celach i nie wykorzystywane w sposób niezgodny z tymi celami.
3. Minimalizacja danychZebrane dane muszą być odpowiednie, istotne i ograniczone do tego, co jest niezbędne do przeznaczenia.
4. DokładnośćDane osobowe muszą być dokładne i aktualizowane.
5. Ograniczenie przechowywaniaDane nie mogą być przechowywane dłużej niż to konieczne do celów, dla których zostały zebrane.
6. Uczciwość i poufnośćDane muszą być przetwarzane bezpiecznie, zapewniając ochronę przed nieautoryzowanym lub niezgodnym z prawem dostępem, utratą lub uszkodzeniem.
7. OdpowiedzialnośćAdministratorzy danych są odpowiedzialni za zapewnienie zgodności z powyższymi zasadami i muszą być w stanie wykazać zgodność.

4.Podstawy prawne przetwarzania

Dane osobowe mogą być przetwarzane tylko wtedy, gdy istnieje ważna podstawa prawna, taka jak:

• ZgodaOsoba wyraziła wyraźną zgodę na określony cel.
• UmowaPrzetwarzanie jest niezbędne do wykonania umowy z osobą fizyczną.
• Obowiązek prawnyPrzetwarzanie jest wymagane do zgodności z prawem.
• Odsetki ważnePrzetwarzanie jest niezbędne do ochrony czyjegoś życia.
• Zadanie publicznePrzetwarzanie jest niezbędne do wykonania zadania w interesie publicznym.
• Uzasadnione interesyPrzetwarzanie jest niezbędne dla uzasadnionych interesów administratora danych, chyba że jest nadrzędne nad prawami danej osoby.

5.Prawa osoby, której dane dotyczą

GDPR przyznaje kilku praw osobom fizycznym dotyczące ich danych osobowych:

1. Prawo do bycia informowanymOsoby fizyczne mają prawo wiedzieć, w jaki sposób ich dane są gromadzone, wykorzystywane i udostępniane (za pośrednictwem polityki prywatności).
2. Prawo dostępuOsoby fizyczne mogą zażądać dostępu do swoich danych osobowych i sposobu ich przetwarzania.
3. Prawo do poprawkiOsoby fizyczne mogą zażądać poprawy niedokładnych lub niekompletnych danych.
4. Prawo do usunięcia ("Prawo do zapomnienia")Osoby fizyczne mogą zażądać usunięcia swoich danych osobowych w pewnych okolicznościach (np. gdy dane nie są już potrzebne).
5. Ograniczenie prawa przetwarzaniaOsoby fizyczne mogą zażądać ograniczenia ich danych do przetwarzania na pewnych warunkach.
6. Prawo do przenośności danychOsoby fizyczne mogą zażądać przekazania ich danych do innej organizacji lub bezpośrednio do siebie w ustrukturyzowanym, powszechnie używanym i czytelnym maszynowym formacie.
7. Prawo do sprzeciwuOsoby fizyczne mogą sprzeciwić się przetwarzaniu swoich danych osobowych w pewnych celach, w tym marketingu bezpośredniego.
8. Zawiązane z automatycznym podejmowaniem decyzji i profilowaniemOsoby fizyczne mają prawo nie podlegać decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, chyba że spełnione są pewne warunki.

6.Oceny oddziaływania na ochronę danych (DPIA)

DPIA muszą być prowadzone, gdy działania przetwarzania danych mogą skutkować wysokim ryzykiem dla praw i wolności osób fizycznych. Dotyczy to zazwyczaj przetwarzania, profilowania lub przetwarzania wrażliwych danych.

7.Powiadomienia o naruszeniu danych

Organizacje muszą powiadomić odpowiedni organ ochrony danych (w Wielkiej Brytanii jest to Biuro Komisarza Informacji lub ICO) w ramach72 godzinyświadomość naruszenia danych osobowych, które stwarza zagrożenie dla praw i wolności osób fizycznych. Jeżeli naruszenie może spowodować wysokie ryzyko, osoby dotknięte muszą być również informowane.

8.Transmisje danych poza UE/EOG

Przekazywanie danych osobowych do krajów spoza UE/EOG jest dozwolone tylko wtedy, gdy:

• Państwo przyjmujące oferujeOdpowiedni poziom ochronyustalonych przez Komisję Europejską.
• Odpowiednie zabezpieczenia, takie jakStandardowe klauzule umowne (SCC)lubZasady korporacyjne (BCR), są na miejscu.
• Osoba, której dane dotyczą, wyraziła wyraźną zgodę.

9.Ochrona danych przez projekt i domyślnie

Organizacje muszą włączyć środki ochrony danych od samego początku każdego projektu lub procesu obejmującego przetwarzanie danych osobowych. Zasada ta znana jest jakoPrywatność według projektu i domyślnie, co oznacza prywatność musi być rozważona na etapie projektowania i przez cały cykl życia przetwarzania danych.

Dziesięć.Inspektor ochrony danych (DPO)

DPO musi zostać mianowany, jeżeli:

• Organizacja jest organem publicznym.
• Podstawowe działania obejmują regularne i systematyczne monitorowanie osób na dużą skalę.
• Organizacja przetwarza duże ilości wrażliwych danych osobowych.

Obowiązki inspektora obejmują:

• Monitorowanie zgodności z GDPR.
• doradztwo w sprawie obowiązków ochrony danych.
• działając jako punkt kontaktowy z organami ochrony danych.

Jedenaście.Grzywny i kary

Organizacje, które nie przestrzegają RODO, mogą grozić znacznym grzywnom:

• Do20 mln eurolub4% globalnych rocznych obrotów firmyW zależności od tego, co jest wyższe, w przypadku najpoważniejszych naruszeń.
• Mniejsze naruszenia mogą skutkować grzywnami do10 mln eurolub2% rocznego obrotu- Nie.

12.Rozliczalność i prowadzenie rejestrów

Organizacje muszą utrzymywać dokumentację w celu wykazania zgodności z RODO, w tym:

• rejestrów działalności przetwarzającej.
• polityki i procedury ochrony danych.
• DPIA w razie potrzeby.
• Rejestry wniosków i odpowiedzi, których dane dotyczą.

13.Wymagania zgody

Opierając się na zgodzie jako podstawie prawnej przetwarzania danych osobowych, należy przestrzegać następujących wytycznych:

• Zgoda musi być wyrażana swobodnie, konkretna, informowana i jednoznaczna.
• Zgoda musi być udzielona poprzez wyraźne działanie pozytywne (np. zgłoszenie), a nie za pośrednictwem wstępnie zaznaczonych pol.
• Organizacje muszą mieć możliwość udowodnienia uzyskania zgody.
• Osoby fizyczne muszą mieć prawo do wycofania zgody w dowolnym momencie.

RODO ustanawia wysokie standardy ochrony danych i ma na celu zapewnienie osobom większej kontroli nad swoimi danymi osobowymi. Przestrzegając tych wytycznych, organizacje mogą zapewnić zgodność i uniknąć ryzyka kar.