Dokumentacja RODO w podmiocie leczniczym

Kontrola nad podmiotami leczniczymi

Jarosław Peplinski

Spośród wielu obowiązków, z którymi mierzą się na co dzień podmioty lecznicze w całym kraju, nie
można zapomnieć o tych związanych z ochroną danych osobowych. W pełni zdajemy sobie sprawę,
że dla wielu nie jest to priorytet… i nawet się temu nie dziwimy. Ostatecznie głównym celem
placówki medycznej jest udzielanie pomocy lekarskiej pacjentom.
Uważamy jednak, że na ochronę danych osobowych należy spojrzeć nie tylko jak na kolejny
obowiązek z długiej listy zadań, a jako przejaw troski o prywatność pacjenta. Jest to też obszar
bezpośrednio związany z tajemnicą zawodową – trudno mówić o jej zachowaniu, gdy dane osobowe
nie są należycie chronione.
W tym artykule postaram się w nieco innej niż zazwyczaj formie podpowiedzieć Państwu, jak możecie
zadbać o tę sferę w swojej placówce medycznej.

Część prawna: Dlaczego podmiot leczniczy powinien prowadzić dokumentację
RODO?

RODO jest aktem prawnym, który jest neutralny technologicznie. Oznacza to, że nie wskazuje
konkretnych rozwiązań, pozostawiając ich wybór administratorowi, którym w omawianym przypadku
jest świadczeniodawca.
Nie można jednak stosować RODO w oderwaniu od polskiej rzeczywistości. Wprawdzie samo
rozporządzenie nie nakłada wielu konkretnych obowiązków, to jednak jest ono doprecyzowywane
szeregiem wytycznych i oczekiwań organów kontrolnych w Polsce, m.in. Prezesa UODO. W tym
zakresie opieramy podejście na stanowiskach organu oraz decyzjach w sprawach naruszeń przepisów
ochrony danych.
Koniecznie trzeba w tym miejscu wyjaśnić jeszcze, czym jest rozliczalność. Termin ten wprowadza
przepis art. 5 ust. 2 RODO, który opisuje zasady dotyczące przetwarzania danych osobowych.
Rozliczalnością jest wykazanie przez administratora przestrzeganie przepisów, za które jest on
odpowiedzialny. Najistotniejszym czynnikiem umożliwiającym udowodnienie zgodności z przepisami
jest oczywiście praktyka. Wiemy jednak, że w rzeczywistości kontrolnej nieoceniona jest
prawidłowo prowadzona dokumentacja.

Część żartobliwa: Czym jest „zgodoza” i jak jej uniknąć?

„Zgodoza” to określenie stosowane wśród praktyków ochrony danych, które oznacza „chorobę”
polegającą na nadmiernym zbieraniu zgód na przetwarzanie danych. Jakie są jej powody?
Moim zdaniem, problem wynika z niezrozumienia pozostałych podstaw przetwarzania, których jest
przecież niemało. Z punktu widzenia administratora, zgoda jest najsłabszą z nich. Jest tak dlatego, że
w przypadku jej wycofania – takie prawo przysługuje osobie fizycznej – należy zaprzestać dalszego
przetwarzania. A przecież nie jest to możliwe – świadczeniodawcę obowiązują chociażby okresy
przechowywania dokumentacji medycznej. Tu dochodzimy do zgód pozyskiwanych przez podmioty
lecznicze.
Najprawdopodobniej praktyka ta wynika z rzekomego podobieństwa do zgody na leczenie. Jest to
jednak zupełnie inna zgoda niż ta na przetwarzanie danych osobowych. Udzielanie świadczeń
zdrowotnych nie wymaga samo w sobie zgody pacjenta na przetwarzanie jego danych osobowych.
Lekarze działają głównie w oparciu o przepisy:

 art. 9 ust. 2 lit. h) RODO, tj. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej
lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej,
zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania
systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie
prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby
zdrowia i z zastrzeżeniem warunków i zabezpieczeń o których mowa w ust. 3 (zachowanie
tajemnicy), oraz
 6 ust. 1 lit. c) RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego
ciążącego na administratorze.

Jeżeli więc korzystacie Państwo z dokumentów, w ramach których pacjenci udzielają zgody na
przetwarzanie danych osobowych w celu udzielenia świadczeń zdrowotnych, to
najprawdopodobniej wymagają one aktualizacji.

Część praktyczna: Lista dokumentów RODO w podmiocie leczniczym

Tak jak wspomniałem wcześniej, RODO nie określa wielu konkretnych rozwiązań, jednak jego treść
połączona z rozliczalnością i wytycznymi organów daje możliwość ustalenia, jakie obszary powinny
zostać uregulowane. Poniżej znajdziecie Państwo listę, której wypełnienie da Państwu ogląd, czy
posiadana przez Państwa dokumentacja jest wystarczająca.
Czy ustaliliście Państwo zasady:
☐dopuszczania współpracowników do przetwarzania danych osobowych, określające m.in.
nadawanie upoważnień do przetwarzania danych i zapewnienie poufności informacji;
☐korzystania ze sprzętu informatycznego, jak laptopy, komputery lub telefony komórkowe i sprzęt
diagnostyczny;
☐udzielania dostępu do systemów informatycznych, jak oprogramowanie do prowadzenia
dokumentacji medycznej lub poczta elektroniczna;
☐realizacji praw osób fizycznych, w szczególności pacjentów;
☐szacowania ryzyka i prowadzenia oceny skutków dla praw lub wolności osób fizycznych;
☐prowadzenia wymaganego przez RODO rejestru czynności przetwarzania;
☐oceny naruszeń ochrony danych osobowych;
☐realizacji obowiązku informacyjnego;
☐wyboru podmiotu przetwarzającego i powierzenia przetwarzania danych osobowych;
☐udostępniania danych osobowych, w tym dokumentacji medycznej i informacji ostanie zdrowia
pacjenta, a także przekazywania danych między podmiotami leczniczymi;
☐prowadzenia okresowych audytów zgodności z przepisami prawa oraz adekwatności
zastosowanych środków zabezpieczeń;
☐szkoleń poszerzających świadomość metod ochrony danych osobowych;
☐przechowywania i usuwania danych osobowych, niezależnie od formy w jakiej są
przechowywane;
☐stosowania privacy by design i privacy by default;

☐polityki kluczy, czystego biurka i czystego ekranu.

Zaproszenie

Na dokumentację RODO należy spojrzeć przez pryzmat korzyści, bo tylko wtedy, gdy sami nadamy
jej wartość praktyczną, będzie w pełni przydatna. Przyjęcie odpowiednich procedur, poza ochroną
danych osobowych pacjentów, zapewnia bezpieczeństwo również placówce. Może też pozytywnie
przyczynić się organizacyjnie i wpłynąć na rozwój podmiotu.
Jeżeli natomiast po uzupełnieniu listy z Części praktycznej artykułu pozostało Państwu sporo pustych
okienek, zapraszamy do wspólnego poprawienia tej sytuacji.

Skontaktuj się z nami!

Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.

Podstawą prawną Polityki jest RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).