RODO w podmiocie leczniczym

Umowa o udzielanie świadczeń opieki zdrowotnej

Jarosław Peplinski

Od 25 maja 20218 r. – data ta wyznacza początek stosowania RODO w naszym kraju – minęło już sporo czasu. Mimo tego wciąż jeszcze pozostaje wiele do zrobienia. Ochrona danych osobowych to zagadnienie interdyscyplinarne i wymagające ciągłego reagowania oraz dostosowywania działań do obecnych okoliczności. Dotyczy to nie tylko procedur ochrony danych osobowych, ale przede wszystkim praktyki.

Jak powinno być stosowane RODO w podmiocie leczniczym? Wskażę w tym artykule podstawowe elementy systemu ochrony danych osobowych, które związane są z prowadzeniem działalności leczniczej.

Dlaczego RODO w placówkach medycznych jest ważne?

Odpowiedź na to pytanie jest prosta. Podmioty lecznicze i działający w ich ramach lekarze i pozostały personel potrzebują danych osobowych do udzielania świadczeń zdrowotnych. Te z kolei nierozłącznie wiążą się z koniecznością przetwarzania danych dotyczących zdrowia. Dla przypomnienia, dane te stanowią tzw. szczególną kategorię danych osobowych, których przetwarzanie jest co do zasady zabronione. Lekarze mają oczywiście do tego prawo, co znajduje swoją podstawę w przepisie art. 9 ust. 2 lit. h) RODO.

Wszystkie dane dotyczące pacjentów są przetwarzane przy wykorzystaniu rozmaitych systemów informatycznych, które umożliwiają prowadzenie elektronicznej dokumentacji medycznej, czy też umawianie wizyt. Korzystanie z takich systemów jest obarczone ryzykiem wynikającym z korzystania z Internetu oraz cyberprzestępczością. Dlatego tak ważne jest zastosowanie odpowiednich środków zabezpieczeń i ich aktualizowanie, gdy tylko jest to potrzebne.

RODO w podmiocie leczniczym – jakie procedury?

RODO nie wskazuje konkretnych procedur, które powinny zostać wdrożone w podmiocie leczniczym. Bazując jednak na naszym doświadczeniu, możemy wskazać procedury związane z:

  • podejmowaniem współpracy i przetwarzania danych osobowych przez personel placówki;
  • zabezpieczaniem sprzętu IT i zasadami korzystania z niego;
  • udzielaniem dostępu do systemów informatycznych;
  • zgłaszaniem i oceną naruszeń ochrony danych osobowych;
  • realizacją praw osób fizycznych, w tym udostępnianiem dokumentacji medycznej i informowaniem o stanie zdrowia pacjenta.

To oczywiście nie wszystkie obszary, które wymagają uwagi administratora będącego podmiotem leczniczym. O tym, które z nich zostaną opisane w ramach polityk ochrony danych osobowych decyduje administrator.

Szacowanie ryzyka i rejestr czynności przetwarzania

RODO wprowadza tzw. podejście oparte na ryzyku. Oznacza to, że każdy administrator jest zobowiązany do szacowania ryzyka podejmowanych przez siebie działań. W zależności od wyniku takiego szacowania, powinien następnie dopasować odpowiednie środki ochrony danych, które pozwolą zapewnić prywatność pacjentów. Konieczne jest więc ustalenie metodyki analizy ryzyka i okresowe sprawdzanie na jej podstawie, czy stosowane zabezpieczenia są adekwatne do zagrożeń.

Administrator powinien również prowadzić rejestr czynności przetwarzania danych osobowych, w którym byłyby zestawione informacje dotyczące konkretnych procesów, jak np. prowadzenie rekrutacji pracowniczych, czy udzielanie świadczeń zdrowotnych. Obowiązek prowadzenia takiego rejestru wynika z RODO.

Czy podmiot leczniczy musi wyznaczyć Inspektora Ochrony Danych?

Zgodnie z RODO, obowiązek wyznaczenia Inspektora Ochrony Danych obejmuje taki podmiot, którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 RODO, a więc również danych dotyczących zdrowia.

Wraz z zatwierdzeniem przez Prezesa UODO kodeksu branżowego skierowanego do małych podmiotów leczniczych, pojawiła się kolejna wskazówka, co rozumieć przez pojęcie dużej skali. Zgodnie z postanowieniami tego kodeksu należy uznać, że Inspektora Ochrony Danych z pewnością powinny wyznaczyć szpitale; obowiązek ten dotyczy najprawdopodobniej również pozostałych placówek medycznych. Zwolnione z tego obowiązku są co do zasady indywidualne praktyki lekarskie. Więcej na temat inspektora ochrony danych możecie Państwo przeczytać tutaj.

Powierzanie i udostępnianie danych osobowych

Prowadzenie działalności leczniczej wymaga udostępniania danych osobowych, m.in. przy przekazywaniu danych do innego lekarza lub laboratorium. Warto więc przyjąć zasady, które zapewnią bezpieczne przekazanie danych.

Podmioty lecznicze korzystają też często z usług podmiotów zewnętrznych, np. biur rachunkowych lub informatyków. W takim przypadku konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. Potrzeba taka występuje również w odniesieniu do dostawców stron internetowych i poczty elektronicznej, a także systemów służących do prowadzenia dokumentacji medycznej i umawiania wizyt.  

RODO a tajemnica zawodowa lekarza

RODO dotyczy ochrony danych osobowych osób fizycznych, do których w przypadku placówek medycznych należy zaliczyć przede wszystkim pacjentów. Nie można jednak zapominać, że zapewnienie ochrony danych pacjentów służy również zachowaniu tajemnicy zawodowej lekarza. Przykładowo, udostępnienie dokumentacji medycznej osobie nieuprawnionej może stanowić naruszenie zarówno tej tajemnicy jak i podlegać zgłoszeniu do Prezesa UODO. Naruszeniami ochrony danych osobowych pacjentów interesuje się również Rzecznik Praw Pacjenta.

Szkolenia personelu i poszerzanie świadomości

Kluczową dla ochrony danych osobowych jest świadomość personelu. Nawet najlepiej napisane procedury nie zastąpią prawidłowej praktyki. Dlatego tak istotne jest szkolenie personelu, aby każdy jego członek wiedział jak zachować się w konkretnych sytuacjach.

Dobrze jest przyjąć jako podstawowe założenie, że każdy powinien chronić dane pacjentów w taki sposób, którego oczekiwałby, gdyby znajdował się po drugiej stronie. Bazując na naszej praktyce z zakresu obsługi naruszeń mogę stwierdzić, że ich najczęstszymi przyczynami jest właśnie czynnik ludzki, w postaci roztargnienia lub nieświadomości podstawowych zasad ochrony danych, jak zamykanie drzwi na klucz, blokowanie dostępu do komputera, czy sprawdzanie adresu mailowego, aby nie dotarł on do niezamierzonego adresata.  

Potrzebujesz wsparcia?

Mam nadzieję, że ten artykuł był dla Państwa wartościowy i przybliżył Państwu, jakie obowiązki z zakresu ochrony danych osobowych spoczywają na podmiocie leczniczym. Chociaż wiele zasad ochrony danych jest uniwersalnych, to nie ma jednakowych rozwiązań, które zadziałałyby w każdej placówce. Z pewnością jednak warto poświęcić więcej uwagi temu zagadnieniu.  

A jeżeli prowadzisz podmiot leczniczy lub indywidualną praktykę lekarską i brakuje Ci pewności, czy prawidłowo podchodzisz do ochrony danych osobowych swoich pacjentów, możemy Ci w tym pomóc przeprowadzając audyt lub opracowując niezbędne procedury.

 

Skontaktuj się z nami!

Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.

Podstawą prawną Polityki jest RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).