Dokumentacja RODO w podmiocie leczniczym

Spośród wielu obowiązków, z którymi mierzą się na co dzień podmioty lecznicze w całym kraju, nie można zapomnieć o tych związanych z ochroną danych osobowych. W pełni zdajemy sobie sprawę, że dla wielu nie jest to priorytet… i nawet się temu nie dziwimy. Ostatecznie głównym celem
placówki medycznej jest udzielanie pomocy lekarskiej pacjentom. Uważamy jednak, że na ochronę danych osobowych należy spojrzeć nie tylko jak na kolejny obowiązek z długiej listy zadań, a jako przejaw troski o prywatność pacjenta. Jest to też obszar bezpośrednio związany z tajemnicą zawodową – trudno mówić o jej zachowaniu, gdy dane osobowe nie są należycie chronione. W tym artykule postaram się w nieco innej niż zazwyczaj formie podpowiedzieć Państwu, jak możecie zadbać o tę sferę w swojej placówce medycznej.

Część prawna: Dlaczego podmiot leczniczy powinien prowadzić dokumentację RODO?

RODO jest aktem prawnym, który jest neutralny technologicznie. Oznacza to, że nie wskazuje konkretnych rozwiązań, pozostawiając ich wybór administratorowi, którym w omawianym przypadku jest świadczeniodawca. Nie można jednak stosować RODO w oderwaniu od polskiej rzeczywistości. Wprawdzie samo rozporządzenie nie nakłada wielu konkretnych obowiązków, to jednak jest ono doprecyzowywane szeregiem wytycznych i oczekiwań organów kontrolnych w Polsce, m.in. Prezesa UODO. W tym zakresie opieramy podejście na stanowiskach organu oraz decyzjach w sprawach naruszeń przepisów ochrony danych.

Koniecznie trzeba w tym miejscu wyjaśnić jeszcze, czym jest rozliczalność. Termin ten wprowadza przepis art. 5 ust. 2 RODO, który opisuje zasady dotyczące przetwarzania danych osobowych. Rozliczalnością jest wykazanie przez administratora przestrzeganie przepisów, za które jest on odpowiedzialny. Najistotniejszym czynnikiem umożliwiającym udowodnienie zgodności z przepisami jest oczywiście praktyka. Wiemy jednak, że w rzeczywistości kontrolnej nieoceniona jest prawidłowo prowadzona dokumentacja.

Część żartobliwa: Czym jest „zgodoza” i jak jej uniknąć?

„Zgodoza” to określenie stosowane wśród praktyków ochrony danych, które oznacza „chorobę” polegającą na nadmiernym zbieraniu zgód na przetwarzanie danych. Jakie są jej powody? Moim zdaniem, problem wynika z niezrozumienia pozostałych podstaw przetwarzania, których jest przecież niemało. Z punktu widzenia administratora, zgoda jest najsłabszą z nich. Jest tak dlatego, że w przypadku jej wycofania – takie prawo przysługuje osobie fizycznej – należy zaprzestać dalszego przetwarzania. A przecież nie jest to możliwe – świadczeniodawcę obowiązują chociażby okresy przechowywania dokumentacji medycznej. Tu dochodzimy do zgód pozyskiwanych przez podmioty lecznicze. Najprawdopodobniej praktyka ta wynika z rzekomego podobieństwa do zgody na leczenie. Jest to jednak zupełnie inna zgoda niż ta na przetwarzanie danych osobowych. Udzielanie świadczeń zdrowotnych nie wymaga samo w sobie zgody pacjenta na przetwarzanie jego danych osobowych. Lekarze działają głównie w oparciu o przepisy:

art. 9 ust. 2 lit. h) RODO, tj. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń o których mowa w ust. 3 (zachowanie tajemnicy), oraz

6 ust. 1 lit. c) RODO, tj. przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

Jeżeli więc korzystacie Państwo z dokumentów, w ramach których pacjenci udzielają zgody na przetwarzanie danych osobowych w celu udzielenia świadczeń zdrowotnych, to najprawdopodobniej wymagają one aktualizacji.

Część praktyczna: Lista dokumentów RODO w podmiocie leczniczym

Tak jak wspomniałem wcześniej, RODO nie określa wielu konkretnych rozwiązań, jednak jego treść połączona z rozliczalnością i wytycznymi organów daje możliwość ustalenia, jakie obszary powinny zostać uregulowane. Poniżej znajdziecie Państwo listę, której wypełnienie da Państwu ogląd, czy posiadana przez Państwa dokumentacja jest wystarczająca. Czy ustaliliście Państwo zasady:

• dopuszczania współpracowników do przetwarzania danych osobowych, określające m.in. nadawanie upoważnień do przetwarzania danych i zapewnienie poufności informacji;
• korzystania ze sprzętu informatycznego, jak laptopy, komputery lub telefony komórkowe i sprzęt
  diagnostyczny;
• udzielania dostępu do systemów informatycznych, jak oprogramowanie do prowadzenia dokumentacji medycznej lub poczta elektroniczna;
• realizacji praw osób fizycznych, w szczególności pacjentów;
• szacowania ryzyka i prowadzenia oceny skutków dla praw lub wolności osób fizycznych;
• prowadzenia wymaganego przez RODO rejestru czynności przetwarzania;
• oceny naruszeń ochrony danych osobowych;
• realizacji obowiązku informacyjnego;
• wyboru podmiotu przetwarzającego i powierzenia przetwarzania danych osobowych;
• udostępniania danych osobowych, w tym dokumentacji medycznej i informacji ostanie zdrowia pacjenta, a także przekazywania danych między podmiotami leczniczymi;
• prowadzenia okresowych audytów zgodności z przepisami prawa oraz adekwatności zastosowanych środków zabezpieczeń;
• szkoleń poszerzających świadomość metod ochrony danych osobowych;
• przechowywania i usuwania danych osobowych, niezależnie od formy w jakiej są przechowywane;
• stosowania privacy by design i privacy by default;
• polityki kluczy, czystego biurka i czystego ekranu.

Zaproszenie

Na dokumentację RODO należy spojrzeć przez pryzmat korzyści, bo tylko wtedy, gdy sami nadamy jej wartość praktyczną, będzie w pełni przydatna. Przyjęcie odpowiednich procedur, poza ochroną danych osobowych pacjentów, zapewnia bezpieczeństwo również placówce. Może też pozytywnie przyczynić się organizacyjnie i wpłynąć na rozwój podmiotu. Jeżeli natomiast po uzupełnieniu listy z Części praktycznej artykułu pozostało Państwu sporo pustych okienek, zapraszamy do wspólnego poprawienia tej sytuacji.