top of page
  • kcelinska

Nowojorska ustawa o prywatności informacji zdrowotnych: Aktualizacja ustawy Assembly Bill A4983D

28 maja 2024 r. ustawa Assembly Bill 4983 została zmieniona i przekształcona na Assembly Bill A4983D dla nowojorskiej ustawy o ochronie informacji zdrowotnych. Ustawa jest obecnie rozpatrywana przez Komisję Zasad Zgromadzenia Stanu Nowy Jork. Oto szczegółowy podział jej zakresu, obowiązków i praw konsumentów:

 

Zakres:

Regulowane informacje zdrowotne: A4983D ma zastosowanie do „regulowanych informacji zdrowotnych”, zdefiniowanych jako wszelkie informacje, które można powiązać z osobą lub urządzeniem, gromadzone lub przetwarzane w odniesieniu do zdrowia fizycznego lub psychicznego danej osoby. Obejmują ne informacje o lokalizacji lub płatności związanych ze zdrowiem lub wszelkie wnioski dotyczące zdrowia, które można w uzasadniony sposób powiązać z osobą lub urządzeniem.

 

Podmiot regulowany: Podmiotem regulowanym jest każdy podmiot, który kontroluje przetwarzanie regulowanych informacji zdrowotnych mieszkańca Nowego Jorku.

Kontroluje przetwarzanie regulowanych informacji zdrowotnych osoby fizycznej, która przebywa w Nowym Jorku oraz kontroluje przetwarzanie informacji zdrowotnych podlegających regulacjom.

 

Obowiązki

Standardy komunikacji: Wszystkie komunikaty muszą być przekazywane prostym językiem, bez technicznego lub prawnego żargonu i za pośrednictwem interfejsów regularnie używanych przez osoby fizyczne. Muszą być one również dostępne dla osób niepełnosprawnych, przy użyciu narzędzi cyfrowych i w razie potrzeby powinny posiadać alternatywne formaty.

 

Podmiotom podlegającym regulacji zabrania się:

Sprzedawania regulowanych informacji zdrowotnych osoby fizycznej stronom trzecim.

 

Przetwarzania regulowanych informacji zdrowotnych danej osoby, chyba że:

Osoba fizyczna dostarczyła ważne upoważnienie.

Przetwarzanie jest niezbędne do określonych celów, takich jak dostarczanie żądanego produktu/usługi, prowadzenie wewnętrznych operacji biznesowych (z wyłączeniem marketingu, reklamy i badań i rozwoju), reagowanie na incydenty związane z bezpieczeństwem, ochrona żywotnych interesów osoby fizycznej lub roszczenia/zobowiązania prawne.

 

Wnioski o autoryzację:

Wnioski o przetwarzanie regulowanych informacji zdrowotnych muszą

być oddzielone od innych transakcji.

Zostać złożone co najmniej 24 godziny po tym, jak dana osoba po raz pierwszy skorzysta z usługi.

Wykluczać wnioski o działania, dla których autoryzacja została wcześniej wstrzymana lub cofnięta w ciągu ostatniego roku.

 

Ważny wniosek o autoryzację musi określać:

Rodzaje regulowanych informacji zdrowotnych, które mają być przetwarzane.

Charakter i konkretne cele przetwarzania.

Nazwy lub kategorie usługodawców i stron trzecich.

Mechanizm żądania dostępu do informacji zdrowotnych i ich usunięcia.

 

Prawa konsumenta i zarządzanie danymi

Żądania usunięcia: Podmioty regulowane muszą zapewnić osobom fizycznym mechanizmy umożliwiające usunięcie ich regulowanych informacji zdrowotnych, z jasnymi ramami czasowymi i warunkami zgodności.

 

Przechowywanie danych i zabezpieczenia:

Harmonogram przechowywania danych dla regulowanych informacji zdrowotnych.

Rozsądne zabezpieczenia administracyjne, techniczne i fizyczne.

Wymogi umowne dla usługodawców i stron trzecich.




New York Health Information Privacy Act: Assembly Bill A4983D Update 


On May 28, 2024, Assembly Bill 4983 was amended and renumbered to Assembly Bill A4983D for the New York Health Information Privacy Act. The bill is now under review by the New York State Assembly Rules Committee. Here’s a detailed breakdown of its scope, obligations, and consumer rights:


Scope:

Regulated Health Information: A4983D applies to 'regulated health information,' defined as any information linkable to an individual or device, collected or processed concerning an individual’s physical or mental health. This includes location or payment information related to health, or any inferences about health that are reasonably linkable to an individual or device.


Regulated Entity:

A regulated entity is any entity that:Controls the processing of regulated health information of a New York resident.Controls the processing of regulated health information of an individual physically present in New York.Is located in New York and controls the processing of regulated health information.


Obligations Communication Standards:

All communications must be in plain language, free of technical or legal jargon, and provided through interfaces regularly used by individuals. They must also be accessible to individuals with disabilities, using digital tools and alternative formats as needed.


Regulated entities are prohibited from:

Selling an individual's regulated health information to third parties.


Processing an individual's regulated health information unless:

The individual has provided valid authorization.

Processing is necessary for specific purposes like providing a requested product/service, conducting internal business operations (excluding marketing, advertising, and R&D), responding to security incidents, protecting an individual’s vital interests, or legal claims/obligations.


Authorization Requests: Requests to process regulated health information must:

Be separate from other transactions.Be made at least 24 hours after the individual first uses the service.Exclude requests for activities for which authorization was previously withheld or revoked within the past year.


A valid authorization request must specify:Types of regulated health information to be processed.Nature and specific purposes of processing.Names or categories of service providers and third parties.Mechanism for requesting access to and deletion of health information.


Consumer Rights and Data ManagementDeletion Requests: Regulated entities must provide mechanisms for individuals to request deletion of their regulated health information, with clear timeframes and conditions for compliance.


Data Retention and Safeguards:A data retention schedule for regulated health information.Reasonable administrative, technical, and physical safeguards.Contract requirements for service providers and third parties.



Autor: Sebastian Burgemejster



3 wyświetlenia0 komentarzy

Commentaires


bottom of page