Dołącz do czytelników
Brak wyników

Funkcjonowanie gabinetów stomatologicznych w świetle reformy przepisów
o ochronie danych osobowych

artykuły | 1 lutego 2019 | NR 44
234

RODO – zwane także GDPR lub Ogólnym Rozporządzeniem o Ochronie Danych – to Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. W Polsce zacznie ono obowiązywać od 25 maja 2018 r. Rozporządzenie to będzie wiązać wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną działalnością gospodarczą, w tym również lekarzy stomatologów.

Zarówno stomatolog prowadzący działalność jako osoba fizyczna, jak i spółki prowadzące podobnego rodzaju działalność w większej skali są administratorami danych osobowych – przede wszystkim swoich pacjentów, lecz także osób przez siebie zatrudnionych i osób, które w inny sposób świadczą na ich rzecz usługi – a w konsekwencji zobowiązane są do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.
Rozporządzenie wprowadza szereg zmian oraz poszerza zakres obowiązków administratorów i podmiotów przetwarzających dane. Celem nowych przepisów jest także wyposażenie osób fizycznych oraz organów nadzorujących ich działalność w skuteczne narzędzia reagowania na naruszenia rozporządzenia. 
Bardzo istotną, a zarazem niezwykle dotkliwą dla przedsiębiorców kwestią są możliwe sankcje za naruszenia.
Pojęcie „danych osobowych”
Polskie ustawodawstwo już bardzo wcześnie dostrzegło problem wrażliwości danych osobowych i w 1997 r. powstała pierwsza ustawa o ich ochronie. Obecnie jest ona najważniejszym aktem prawnym określającym obowiązki administratorów danych osobowych (a więc także i podmiotów prowadzących gabinety stomatologiczne), jednak już od 25 maja 
2018 r. zostanie przyjęte do stosowania tzw. RODO, czyli rozporządzenie Unii Europejskiej o ochronie danych osobowych. Będzie ono bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej – tak, jakby było ustawą. Spowoduje to uchylenie z dniem 25 maja 2018 r. obecnie obowiązującej ustawy o ochronie danych osobowych z 1997 roku. 
Ustawa z 1997 r. bardzo wyraźnie sprecyzowała ochronę danych, określając jednocześnie, co rozumiemy pod pojęciem „danych osobowych”. Danymi takimi są wszystkie informacje, które gromadzi się o osobie, o pacjencie, pozwalające na możliwie łatwe zidentyfikowanie tej osoby. W praktyce w ramach rozwoju technologii zidentyfikowanie poprzez różnego rodzaju programy szperające w sieci, 
na podstawie nieraz bardzo szczątkowych danych jest coraz łatwiejsze, stąd bardzo duże wzmocnienie uwagi na to, by dane odpowiednio przechowywać i zabezpieczać, jak również systematycznie realizować obowiązek szkoleniowy w tej materii. Jest to konieczne z tego względu, że cały czas systematycznie powstają kolejne i to całkiem nowe zagrożenia. 
W związku z wdrożeniem nowego prawa istnieją pewne wymogi, które dotyczą również praktyk stomatologicznych prowadzących dokumentację elektroniczną w formie zarówno tradycyjnej, jak i elektronicznej. 
Wymogi dotyczą przede wszystkim opracowania zasad bardzo jasnej, spójnej i klarownej polityki bezpieczeństwa, w których zawarte zostaną informacje o tym, w jaki sposób system jest zabezpieczony. Nowy reżim bezpieczeństwa przewiduje szereg obowiązków, które zostaną omówione bardziej szczegółowo w dalszej części artykułu, w tym głównie takie, jak: powołanie administratora danych osobowych oraz administratora bezpieczeństwa informacji. W małych praktykach zazwyczaj funkcję tę będzie pełnić jedna i ta sama osoba. Podmioty te mają za zadanie czuwać nad tym, aby dane pacjentów były odpowiednio zabezpieczone, ich obowiązkiem jest też stworzenie całego systemu zabezpieczeń oraz przygotowania pełnej dokumentacji. Polityka poprzez to, że zawiera konkretne procedury, określa, kto i za co jest odpowiedzialny, a także nadaje w formie załączników upoważnienia do korzystania z systemu osobom, które są pracownikami lub osobami współpracującymi z praktyką stomatologiczną. Drugim, niezwykle istotnym dokumentem jest instrukcja zarządzania systemem informatycznym, w której zawarte są wszystkie polityki bezpieczeństwa dotyczące programów komputerowych instalowanych na komputerze, zabezpieczenia antywirusowego, antywłamaniowego, informacje dotyczące prowadzenia polityki haseł, zmiany haseł, logowania do systemu, wylogowywania się z systemu, tworzenia kopii zapasowych i przechowywania ich. Jest to szereg dodatkowych czynności do tej pory niepotrzebnych, zbędnych z tego względu, że nie było aż tak postępującego rozwoju internetu. Obecnie jednak w interesie wspólnym lekarzy i pacjentów, a także personelu jest troska o to, by dane osobowe odpowiednio zabezpieczyć w różnych sytuacjach życia nie tylko zawodowego, ale i codziennego. Świadomość odpowiedniego zabezpieczenia musi również obejmować urządzenia przenośne: tablety, smartfony, laptopy itp., na których dane osobowe można wynieść z miejsca pracy na zewnątrz w inne środowisko społeczne.
Oprócz wprowadzenia różnego rodzaju wymogów prawodawca ma również możliwość sprawowania kontroli nad realizacją ich w praktyce, funkcjonowaniem polityki bezpieczeństwa. Przepisy dają upoważnienie do kontrolowania o każdej porze każdej z praktyk stomatologicznych. Warto zatem sporządzić podstawową dokumentację, określić upoważnienia dla poszczególnych osób, sprecyzować umowy z wszystkimi dostawcami, którzy korzystają z danych osobowych, którym powierzamy przetwarzanie danych osobowych, w tym różnego rodzaju biurom rachunkowym, z którymi współpracujemy, czy też osobom, które w naszym imieniu prowadzą działania, np. informacyjne wśród pacjentów – wszystko po to, by mieć pewność, że przesłanie tej dokumentacji i danych osobowych pacjentów będzie następowało w sposób bezpieczny. 
Właściciel praktyki stomatologicznej, administrator danych osobowych, jeśli równocześnie jest administratorem bezpieczeństwa informacji, powinien śledzić nowe zabezpieczenia na rynku, konsultować to z osobami, które zawodowo tym się trudnią lub też samemu zdobywać wiedzę w tym zakresie i przekazywać ją swojemu personelowi. Dane osobowe pacjentów są obecnie walutą, za którą każda firma ubezpieczeniowa, banki czy też inne instytucje zajmujące się np. profilowaniem naszych zwyczajów zakupowych, są w stanie bardzo dużo zapłacić. Są one bardzo dobrą bazą do oceny np. naszego stanu zdrowia. Przykładowo na podstawie danych pozyskanych z kartoteki medycznej osoba, która nas ubezpiecza, jest w stanie określić: na co chorujemy, jakie choroby przeszliśmy w przeszłości, jaką powinniśmy w związku z tym mieć wysokość składki ubezpieczeniowej, jakie jest ryzyko, że tę składkę ubezpieczeniową towarzystwo ubezpieczeniowe samodzielnie będzie musiało zapłacić. W przypadku banku udzielającego kredytu na dłuższy czas pojawia się pytanie, na jak długi okres go udzielić: 10, 20 czy 30 lat. Prześledzenie danych osobowych konkretnej osoby daje jej obraz i możliwość stwierdzenia, na ile realna będzie spłata przez nią kredytu, jakie może być ryzyko jego spłaty i ostatecznie – na podstawie powyższych danych podjęcie decyzji, czy takiej osobie kredytu w ogóle udzielać. 
Zagrożenia płynące z nieuprawnionego dostępu do danych osobowych należy śledzić i odpowiednio wcześnie na nie reagować, zabezpieczając swoją praktykę stomatologiczną przed taką inwigilacją, wyposażając ją w odpowiedni program antywirusowy, antyspamowy, ale co najważniejsze – dbać o rzetelne przygotowanie i przeszkolenie personelu. 
Już proste metody, takie jak niepozostawianie komputera bez opieki, niezostawianie panelu monitora do podglądu pacjentom przychodzącym do praktyki czy niewychodzenie w momencie, kiedy jest włączony program komputerowy, by uniemożliwić osobom trzecim ściągnięcie danych poprzez pendrive, bluetooth czy też inne narzędzia, może okazać się wystarczające dla zabezpieczenia praktyki przed wyciekiem danych. 
Przygotowanie do wdrożenia przepisów
By sprawnie wdrożyć przepisy RODO, najlepiej zacząć od audytu wewnętrznego, dzięki któremu zostanie ustalony stan faktyczny, czy obecnie dane są chronione zgodnie z przepisami i co ewentualnie wymaga poprawy. Dopiero wtedy można przejść do etapu analizy, które obszary wymagają zmian w związku z wejściem w życie unijnego rozporządzenia i przeszkolić personel w tym zakresie.
Szkolenie zacząć należy od najprostszych kwestii, nie tylko tych związanych z RODO. W dalszym ciągu bowiem zdarzają się przypadki związane z niewłaściwą ochroną danych osobowych, które nie powinny mieć miejsca zgodnie z już obowiązującymi przepisami. Jako przykłady wymienić można sytuacje braku upoważnień dla lekarzy stażystów i studentów na przetwarzanie danych osobowych czy ignorowanie obowiązku niszczenia dokumentów zawierających dane wrażliwe w niszczarce.
Poniżej zostaną szerzej omówione najważniejsze zmiany wynikające z rozporządzenia, a wiążące się z nowymi obowiązkami ciążącymi na przedsiębiorcach gromadzących dane osobowe.
Inspektor ochrony danych 
Nowym obowiązkiem ujętym w art. 37 RODO jest wyznaczenie inspektora ochrony danych osobowych (ang. data protection officer) w podmiotach, które przetwarzają na „dużą skalę” dane osobowe dotyczące zdrowia. W samym rozporządzeniu nie zostało jednak doprecyzowane, co należy rozumieć poprzez określenie „duża skala”. W początkowym etapie prac postulowano ilościowe określenie granicy, po której przekroczeniu powstawałby obowiązek wyznaczenia inspektora ochrony danych. Taką granicą miało być 5 tys. rekordów. Ostatecznie zrezygnowano z takiego dookreślenia i posłużono się pojęciem niedookreślonym „duża skala”, co może nastręczać pewnych trudności i problemów interpretacyjnych. 
Mimo braku doprecyzowania przez samo rozporządzenie, w wytycznych grupy roboczej art. 29 ds. ochrony danych z 13 grudnia 2016 r. dotyczących inspektorów ochrony danych wskazano, że „Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów […] i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia […]”. 
Obowiązek powołania inspektora ochrony danych nie będzie zatem powstawał w gabinetach stomatologicznych prowadzonych przez pojedynczych 
lekarzy stomatologów jako osoby fizyczne prowadzące działalność gospodarczą. Konieczność taka będzie występowała jednak w szczególności w odniesieniu do podmiotów skupiających w działalności większą liczbę specjalistów, niezależnie od prowadzenia działalności w formie spółki osobowej, kapitałowej czy jako osoba fizyczna prowadząca działalność gospodarczą. Co więcej, grupa robocza wskazała, że nawet w sytuacji, w której z przepisów nie wynika obowiązek wyznaczenia inspektora ochrony danych, administratorzy danych osobowych powinni przeprowadzić udokumentowaną analizę w celu ustalenia zastosowania obowiązku wyznaczenia inspektora (lub braku tego obowiązku) do ich konkretnej sytuacji. Należy podkreślić, że w obecnym stanie prawnym za przestrzeganie przepisów o ochronie danych osobowych odpowiadają tzw. administratorzy danych, nie istnieje obowiązek, lecz możliwość wyznaczania administratora bezpieczeństwa informacji (którego następcą będzie inspektor ochrony danych), ponieważ w prawie polskim jest to jedynie możliwość – i to niezależnie od skali oraz rodzaju działalności.
W przypadku kliniki stomatologicznej mającej setki czy wręcz tysiące pacjentów z całego kraju czy nawet Europy obowiązek taki należałoby już jednak wziąć pod uwagę. Nie ulega również wątpliwości, że dane wrażliwe dotyczące między innymi stanu zdrowia muszą być szczególnie chronione, z najwyższą starannością. Niezależnie więc od tego, czy mamy do czynienia z małym gabinetem, czy większą kliniką – każdy z tych podmiotów ma obowiązek zapewnić odpowiednie środki bezpieczeństwa, zarówno organizacyjne, jak i techniczne, gwarantujące ochronę danych na adekwatnym, możliwie najwyższym poziomie. Środki takie muszą być na bieżąco nadzorowane, a  decyzja, czy będzie to robić osobiście właściciel gabinetu, czy wyznaczona do tego osoba z personelu, czy też zostanie powołany inspektor ochrony danych, zależy od wewnętrznej organizacji administratora danych. Wprawdzie w przypadkach innych niż wymienione powyżej wyznaczenie inspektora jest fakultatywne, to jednak jest ono zalecane.
Inspektor ochrony danych to osoba odpowiedzialna za nadzór nad przestrzeganiem przepisów związanych z ochroną danych osobowych, pełniąca ten obowiązek w imieniu administratora danych osobowych. W tym miejscu należy podkreślić, że żadne przepisy nie nakładają na inspektorów konieczności posiadania certyfikatów czy też specjalistycznego wykształcenia. Od takich osób wymagane jest jedynie posiadanie stosownej wiedzy, tj. inspektor nie tylko będzie musiał cechować się odpowiednią wiedzą teoretyczną, 
ale również wiedzą praktyczną. Obowiązek weryfikacji tej wiedzy spoczywa tylko na powierzającym tę funkcję, czyli na administratorze danych.
Inspektor będzie podlegać bezpośrednio najwyższemu kierownictwu administratora. Za prawidłowe wypełnianie swoich zadań inspektor ochrony danych nie będzie mógł być przez administratora karany ani odwołany. Administrator zobowiązany będzie do terminowego i właściwego angażowania inspektora ochrony danych we wszystkie sprawy dotyczące ochrony danych osobowych – powinien on korzystać z jego wiedzy i umiejętności.
W odniesieniu do inspektora rodzi się pytanie, czy ocenie podlegać mają tylko czynności przetwarzania danych, które wprowadzone zostaną po wejściu w życie RODO, czy wszystkie, które już odbywają się w placówce? Rozporządzenie jest bardzo ogólne i wymaga własnej interpretacji lub uszczegółowienia na gruncie przepisów krajowych, a te dopiero są dostosowywane. Jeśli proces ten miałby objąć całość, a chyba taką wersję należy przyjąć, będzie to stanowiło kolejny koszt dla placówek medycznych. 
Ogólne rozporządzenie o ochronie danych za niewyznaczenie inspektora ochrony danych, gdy jest to obowiązkowe, przewiduje karę w wysokości do 10 mln euro, a w przypadku przedsiębiorstw – w wysokości do 2% ich całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – zastosowanie będzie miała wyższa kara. 
Nowe kary finansowe
Ustalenie, czy w przypadku danej działalności będzie zachodził obowiązek wyznaczenia inspektora ochrony danych, ma przełożenie na nowy instrument w postaci kar finansowych, w jaki zostanie wyposażony nowy organ nadzorczy zajmujący się ochroną danych osobowych – zgodnie z projektem Ministerstwa Cyfryzacji z 28 marca 2017 r. nie będzie to już GIODO, a Prezes Urzędu Ochrony Danych. Tym samym rozporządzenie przyniesie również zmianę nazwy organu nadzorczego z GIODO na Urząd Ochrony Danych Osobowych. Trzeba w tym miejscu dodać, że ma to być silna instytucja, która będzie miała odpowiednie narzędzia do działania oraz będzie dysponować szerokim dostępem do sankcji.
Nowe kary finansowe będą nakładane w trybie administracyjnym, a ich wysokość może sięgać nawet 20 mln euro (choć w przypadku braku wyznaczenia obowiązkowego inspektora ochrony danych maksymalna kara może wynosić mniej, bo 10 mln euro). Powstaje zatem zupełnie nowe ryzyko dla przedsiębiorców, których główna działalność związana jest z przetwarzaniem danych osobowych, jak ma to miejsce w przypadku prowadzenia gabinetów stomatologicznych.
Kary przewidziane nowymi przepisami kształtują się w następujący sposób: 
kary do 10 mln EUR lub do 2% jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: rejestrowania czynności przetwarzania, współadministrowania, współpracy z UODO oraz z podmiotem przetwarzającym, upoważniania, wdrożenia zabezpieczeń, zgłaszania naruszeń, oceny skutków, pracy IOD;
kary do 20 mln EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu za naruszenia w zakresie: 
legalności przetwarzania, warunków zgód, celowości, adekwatności, czasowości, obowiązku informacyjnego, praw osób, niezgodnego z prawem przetwarzania oraz ochrony przed utratą, zniszczeniem lub usz-
kodzeniem danych;
kary do 100 tys. zł dla podmiotów publicznych.

Przedstawione wyżej kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego. 
Zapis ten ma być doprecyzowany na gruncie polskich przepisów i w przypadku podmiotów publicznych kara może wynieść, jak to zostało wskazane, maksymalnie 100 tys. zł. W efekcie inne kary będą dla medycznych placówek prywatnych, a inne dla publicznych, co nieco złagodzi charakter i siłę represji.
Szacowanie ryzyka i mechanizmy ochrony
By m...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Forum Stomatologii Praktycznej
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy