Przetwarzanie danych osobowych w placówce medycznej pociąga za sobą konkretne obowiązki. Wywiązywanie się z nich ma natomiast ogromne znaczenie. Chodzi przecież o dane wrażliwe, dotyczące m.in. stanu zdrowia, do których zdecydowanie nie mogą mieć dostępu osoby nieuprawnione. Co więcej, dane te można przetwarzać jedynie w konkretnych sytuacjach oraz w sposób przewidziany przez przepisy. W przeciwnym razie placówka naraża się na kary i na utratę zaufania pacjentów. O czym trzeba więc pamiętać, by działać zgodnie z prawem?
Podmiot leczniczy jako administrator danych osobowych – jak powinien przetwarzać dane osobowe?
Podmiot leczniczy w rozumieniu RODO jest administratorem danych osobowych. I to zarówno, gdy mowa o szpitalu, jak i o małej placówce medycznej. Musi zadbać, by przetwarzanie odbywało się w sposób zgodny z prawem, zrozumiały dla osób, których dane dotyczą i tylko w określonych celach. Placówka medyczna może przy tym zbierać jedynie dane adekwatne do realizacji celu, a ponadto przechowywać je tylko przez niezbędny czas, jednocześnie zabezpieczając je przed dostępem ze strony osób nieupoważnionych.
Wszystkie wyżej wymienione zasady przetwarzania danych osobowych w placówce medycznej wiążą się już natomiast z konkretnymi obowiązkami. 5 z nich ma szczególne znaczenie.
1. Obowiązek wyznaczenia Inspektora Ochrony Danych w służbie zdrowia
RODO wymienia 3 główne przypadki, w których konieczne będzie powołanie Inspektora Ochrony Danych. Wśród nich znajduje się także sytuacja, gdy dane te przetwarza:
„podmiot, którego główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych […]”.
Przepis wspomina więc o 2 wymogach: przetwarzania szczególnej kategorii danych osobowych oraz przetwarzania ich na dużą skalę. Do „szczególnej kategorii” danych zdecydowanie należą te dotyczące zdrowia. Jeśli zaś chodzi o warunek „dużej skali”, to zwykle nawet małe placówki medyczne przetwarzają dane setek, jak nie tysięcy pacjentów. W takiej sytuacji zdecydowanie spełniają oba wymogi, a tym samym – powołanie Inspektora Ochrony Danych jest konieczne.
2. Zawarcie odpowiednich umów o powierzenie danych medycznych
Działanie placówek medycznych zwykle wiąże się także z przetwarzaniem tych danych przez inne podmioty, nazywane podmiotami przetwarzającymi lub procesorami. Mowa tu m.in. o księgowych, kadrowych czy podmiotach dostarczających oprogramowanie niezbędne do prowadzenia placówki.
Tylko pod warunkiem zawarcia umowy procesor może wykonywać czynności w imieniu administratora związane z przekazywaniem danych. Brak takiej umowy oznacza natomiast naruszenie przepisów i może wiązać się z nałożeniem wysokiej kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych.
Umowę trzeba przy tym zawrzeć w taki sposób, by była zgodna z wymogami stawianymi przez przepisy. A tych jest dużo: od formy (pisemnej lub elektronicznej), przez określenie warunków zabezpieczenia danych wrażliwych, aż po uregulowanie ewentualnego dalszego ich powierzenia.
3. Przetwarzanie danych osobowych w placówce medycznej zgodnie z prawami pacjenta
Przetwarzanie danych osobowych przez placówkę medyczną pociąga za sobą także obowiązki związane z prawami pacjenta. Administrator danych osobowych musi poinformować pacjenta m.in. o tym, kto jest administratorem danych osobowych, jakie są cele przetwarzania danych, jak długo te dane będą przetwarzane i jakie prawa w związku z tym przysługują. Placówka medyczna powinna więc opracować klauzulę informacyjną. Zwykle ma ona postać dodatkowego formularza, który pacjent otrzymuje przy pierwszej wizycie.
Jednym z najważniejszych praw pacjenta jest przy tym prawo do uzyskiwania informacji o stanie zdrowia oraz otrzymania dostępu do dokumentacji medycznej. W świetle RODO oznacza to konieczność wdrożenia odpowiednich rozwiązań pozwalających na bezpieczne przekazywanie danych. Na przykład, w razie udostępniania danych w systemie elektronicznym, ich bezpieczne przekazywanie to korzystanie z odpowiedniego oprogramowania, haseł oraz przeprowadzanie weryfikacji tożsamości.
4. Prowadzenie i przechowywanie dokumentacji medycznej
Placówka medyczna musi również prowadzić, przechowywać i udostępniać dokumentację medyczną zgodnie z obowiązującymi przepisami, jednocześnie zapewniając tej dokumentacji odpowiednią ochronę.
Oznacza to między innymi konieczność zadbania o prawidłowość, integralność i poufność danych. Powinny one być przy tym przechowywane w sposób umożliwiający identyfikację osoby, której dane dotyczą i przechowywane przez okres nie dłuższy, niż jest to niezbędne do realizacji celów.
Jednocześnie dokumentacja powinna zawierać jedynie dane niezbędne do udzielenia konkretnych świadczeń zdrowotnych oraz dostarczone przez pacjenta. Konieczne jest również zabezpieczenie danych osobowych w 3 aspektach: fizycznym, technicznym i informatycznym oraz organizacyjnym, a także zadbanie, by zapisy w dokumentacji mogły dokonywać wyłącznie osoby uprawnione.
5. Regularny audyt RODO w placówce medycznej
Jednokrotne wdrożenie odpowiednich rozwiązań nie wystarczy. Przepisy i wyzwania związane z przetwarzaniem danych się zmieniają. Placówka powinna więc stale monitorować stosowane rozwiązania i wprowadzać odpowiednie zmiany czy ulepszenia.
Śledzenia zmian wprawie na własną rękę, właściwie ich interpretowanie, a potem stosowanie w praktyce bez odpowiedniego wykształcenia i wiedzy może okazać się jednak trudne, a nawet niemożliwe. Audyt można jednak zlecić profesjonalistom – m.in. w ramach przystąpienia do Kodeksu RODO Federacji Porozumienie Zielonogórskie dla ochrony zdrowia. Opracowaliśmy go właśnie z myślą o placówkach medycznych, które chcą działać w pełni zgodnie z prawem, uniknąć kosztownych kar, zyskać zaufanie pacjentów i móc całą energię poświęcić świadczeniu opieki zdrowotnej.
My w tym czasie zajmiemy się resztą. Przeprowadzimy wstępny audyt, sprawdzając, czy placówka spełnia wymogi Kodeksu i przedstawimy zalecenia zmian, przygotujemy aktualną dokumentację, wyszkolimy personel w zakresie postępowania z danymi osobowymi zgodnie z wymogami RODO, wyznaczymy Inspektora Ochrony Danych i zapewnimy bieżącą obsługę zespołu ekspertów. Będziemy czuwać nad zmianami w przepisach, przeprowadzać regularne audyty i dbać o wprowadzenia uaktualnień dostosowanych do zmieniających się standardów. Jeśli więc prowadzisz placówkę medyczną, przystąp do kodeksu i miej pewność, że działasz zgodnie z RODO!