Dołącz do czytelników
Brak wyników

To wiedzieć powinniśmy

28 września 2021

NR 64 (Wrzesień 2021)

Obowiązki gabinetów stomatologicznych jako administratorów danych osobowych
oraz inne obowiązki w związku z wykonywaniem RODO

0 21

Podmioty prowadzące gabinety lekarskie, w tym również stomatologiczne, najczęściej samodzielnie występują w roli administratorów danych osobowych i chociażby z tego względu są zobowiązane do przestrzegania ustawy w sprawie RODO (Dz. U. z 2018 r., poz. 1000). W związku z koniecznością przestrzegania przepisów wypływających z regulacji o RODO ciąży na nich także szereg innych obowiązków, o czym w poniższym artykule. 

Do maja 2018 r. gabinety stomatologiczne w zakresie ochrony danych osobowych pacjentów obowiązywała ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz wydane na jej podstawie akty wykonawcze. Na mocy tejże ustawy do obowiązków pracowników gabinetu należało m.in. uzyskanie zgody pacjenta na przetwarzanie danych, udzielanie informacji na temat zakresu ich przetwarzania oraz szczególna staranność przy ich przetwarzaniu. 
25 maja 2018 r. weszły w życie przepisy RODO, czyli unijnego rozporządzenia dotyczącego ochrony danych osobowych, które w dalszym ciągu pozostaje dokumentem wiążącym państwa członkowskie. Nowe regulacje nałożyły określone wymogi i restrykcje na wszystkie podmioty – zarówno publiczne, jak i działające w sektorze prywatnym, duże i małe. Zmiany objęły również gabinety stomatologiczne jako gromadzące i przetwarzające dane osobowe swoich pacjentów, ale nie tylko. Do ich głównych obowiązków wynikających z nowych regulacji należy powołanie wewnętrznych inspektorów ochrony danych osobowych oraz wdrożenie całego szeregu rozwiązań organizacyjnych, a także infrastruktury IT, które mają na celu zagwarantowanie maksymalnego poziomu bezpieczeństwa tychże informacji. 

POLECAMY

Gabinet stomatologiczny jako administrator danych osobowych

Każdy właściciel praktyki stomatologicznej, o ile nie oddeleguje tego obowiązku, automatycznie staje się administratorem danych osobowych. Równocześnie może zdecydować o pełnieniu osobiście funkcji administratora bezpieczeństwa informacji.

Administrator może być podmiotem jednoosobowym bądź też przybierać postać spółki. Każda działalność, w której przetwarzane są dane osobowe, powinna mieć wdrożone obowiązujące od 2018 r. zasady ochrony danych osobowych. W przypadku bowiem ich wycieku czy też nieprawidłowego przetwarzania brak wdrożenia regulacji może pociągnąć za sobą odpowiedzialność finansową. 

Podsumowując, stomatolog prowadzący działalność – czy to jako osoba fizyczna, czy to w formie spółki – jest administratorem danych osobowych. Zasadniczo stomatolodzy są administratorami danych swoich pacjentów, a także osób przez siebie zatrudnionych i osób, które w inny sposób świadczą na ich rzecz usługi – a w konsekwencji są zobowiązane do realizacji obowiązków określonych w przepisach dotyczących ochrony danych osobowych.

W sytuacji gdy firma zleca wykonanie poszczególnych czynności na zewnątrz, przykładowo księgowość, obsługę poczty elektronicznej, niszczenie czy archiwizację dokumentów, RODO zobowiązuje do wyboru takiego podmiotu przetwarzającego, który zapewni właściwą ochronę danych osobowych i zarazem zobowiąże się do podejmowania odpowiednich środków zaradczych służących zabezpieczeniu danych wymaganych przez regulacje prawne RODO. 

Z perspektywy gabinetów stomatologicznych jako pełniących funkcję administratora danych osobowych zgłaszających się do nich pacjentów najistotniejsze są dane dotyczące stanu zdrowia tychże osób, a także dane biometryczne, które często są zbierane nawet przy wykonywaniu podstawowych zabiegów.

Na początku wizyty, gdy zgłasza się nowy pacjent, należy przekazać mu stosowną klauzulę informacyjną w zakresie RODO, której przykładowy wzór został zamieszczony poniżej.

KLAUZULA INFORMACYJNA DLA PACJENTA

Zgodnie z art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) informuję, iż:

Administratorem Pani/Pana danych osobowych jest (nazwa oraz adres podmiotu, opcjonalnie adres e-mail).

Pani/Pana dane osobowe będą przetwarzane w celach niezbędnych do zapewnienia ciągłości i kompleksowości opieki zdrowotnej zgodnie z obowiązującymi w Polsce przepisami prawa w zakresie: diagnostyki, leczenia, rehabilitacji, profilaktyki, w tym promocji zdrowia oraz ochrony stanu zdrowia i zarządzania udzielanymi usługami medycznymi.

Pani/Pana dane osobowe będą przetwarzane na podstawie art. 9 ust. 2 lit. h RODO w zw. z przepisami ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej oraz ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, tj.:

  1.  przetwarzanie danych osobowych Pacjenta w celu profilaktyki zdrowotnej odbywa się na podstawie art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 2 ustawy o działalności leczniczej oraz art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta;
  2. przetwarzanie danych osobowych Pacjenta w celu diagnozy medycznej i leczenia odbywa się na podstawie art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 1 ustawy o działalności leczniczej oraz art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta;
  3. przetwarzanie danych osobowych Pacjenta w celu zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej odbywa się na podstawie art. 9 ust. 2 lit. h RODO w związku z art. 3 ust. 1 ustawy o działalności leczniczej art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Dochodzenie roszczeń z tytułu prowadzonej działalności gospodarczej i tym samym przetwarzania Pani/Pana danych w tym celu – podstawa prawna: art. 6 ust. 1 lit. b oraz f RODO, jako tzw. prawnie uzasadniony interes Administratora, którym jest dochodzenie jego roszczeń i obrona jego praw.

Prowadzenie ksiąg rachunkowych oraz związanych z tym obowiązków podatkowych, np. rachunki za wykonane usługi, który to obowiązek może się wiązać z koniecznością przetwarzania Pani/Pana danych osobowych. Podstawa prawna: art. 6 ust. 1 lit. c RODO w zw. z art. 74 ust. 2 ustawy z dnia 29 września 1994 r. o rachunkowości.

Przetwarzanie Pani/Pana danych osobowych w innych celach aniżeli opisane w pkt 3, np. w celach marketingowych, w związku z realizacją badań klinicznych czy też badań naukowych, odbywa się na podstawie dobrowolnej, jednoznacznej i świadomej Pani/Pana zgody.

W przypadku gdy jest Pani/Pan przedstawicielem ustawowym/opiekunem Pacjenta będącego osobą małoletnią, całkowicie ubezwłasnowolnioną lub niezdolną do świadomego wyrażania zgody, przetwarzane będą również Pani/Pana dane osobowe – nazwisko i imię, adres zamieszkania.

Administrator nie prowadzi automatycznego profilowania danych osobowych.

Odbiorcami Pani/Pana danych osobowych mogą być podmioty, którym zostały powierzone dane osobowe w ramach umowy powierzenia przez Administratora uczestniczące w obsłudze procesu leczenia, a także organy państwa i inne podmioty uprawnione na podstawie przepisów prawa, w szczególności do kontroli wykonania ciążących na Administratorze obowiązków (w szczególności: urzędy skarbowe, Państwowa Inspekcja Pracy, Zakład Ubezpieczeń Społecznych).

Pani/Pana dane osobowe nie będą przekazywane do państwa trzeciego ani organizacji międzynarodowej bez Pani/Pana zgody.

Pani/Pana dane osobowe będą przechowywane:

  1. przez okres ustawowy wymagany dla danych medycznych wyznaczony właściwym przepisem prawa, tj. art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, a więc nawet do 30 lat;
  2. w przypadku przetwarzania danych osobowych w celu wypełnienia obowiązków wynikających z przepisów prawa lub w związku z realizacją zadań w interesie publicznym (art. 6 ust. 1 lit. c i e) RODO) przez okres konieczny do realizacji obowiązków i zadań wynikających z poszczególnych przepisów prawa;
  3. w przypadku przetwarzania danych w celach wynikających z prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f RODO) dane będą przechowywane nie dłużej niż w okresie sześciu lat od daty rozwiązania umowy lub do momentu wniesienia uzasadnionego sprzeciwu wobec przetwarzania w takim celu.

W związku z przetwarzaniem przez Administratora Pani/Pana danych osobowych przysługuje Pani/Panu:

  • prawo dostępu do treści swoich danych,
  • prawo do sprostowania swoich danych,
  • prawo do usunięcia swoich danych,
  • prawo do ograniczenia przetwarzania swoich danych,
  • prawo do przenoszenia swoich danych,
  • prawo do sprzeciwu.

Informujemy jednocześnie, że przysługujące Pani/Panu prawo do bycia zapomnianym oraz prawo sprzeciwu wobec przetwarzania danych osobowych może zostać ograniczone z uwagi na cel, w jakim dane te są przetwarzane, tj. realizacja świadczeń zdrowotnych.

Jeżeli przetwarzanie Pani/Pana danych osobowych odbywa się na podstawie udzielonej przez Panią/Pana zgody na przetwarzanie danych (art. 6 ust. 1 lit. a RODO), przysługuje Pani/Panu prawo do cofnięcia tej zgody w dowolnym momencie w każdej możliwej formie (pisemnie, ustnie, wyraźne działanie), bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem oraz o trybie wycofania zgody. 

W przypadku uznania przez Panią/Pana, iż przetwarzanie Pani/Pana danych osobowych narusza przepisy RODO, ma Pani/Pan prawo wniesienia skargi do Prezesa Urzędu ds. Ochrony Danych Osobowych.

Korzystanie z usług (nazwa podmiotu) jest dobrowolne, jednakże jako podmiot leczniczy jesteśmy zobowiązani do prowadzenia dokumentacji medycznej w sposób określony przepisami prawa, w tym do oznaczenia tożsamości pacjenta z wykorzystaniem jego danych osobowych. Wobec powyższego niepodanie danych może skutkować odmową rezerwacji wizyty czy udzielenia świadczenia zdrowotnego.

Również ze względów rachunkowych czy podatkowych posiadamy obowiązek prawny przetwarzania Pani/Pana danych, brak ich podania może skutkować np. niemożnością wystawienia faktury czy imiennego rachunku.

Jeżeli podaje Pani/Pan swój numer telefonu czy adres e-mail, odbywa się to na zasadzie dobrowolności. Ich niepodanie nie będzie skutkowało odmową udzielenia świadczenia zdrowotnego, lecz nie otrzyma Pani/Pan potwierdzenia wizyty czy nie będzie miała/miał Pani/Pan możliwości odwołania jej poprzez np. telefon czy SMS.

Instrukcja zarządzania systemem informatycznym 

Kolejnym ważnym dokumentem jest instrukcja zarządzania systemem informatycznym, w której są ujęte wszystkie polityki bezpieczeństwa dotyczące programów komputerowych instalowanych na komputerze, zabezpieczenia antywirusowego, antywłamaniowego, informacje dotyczące prowadzenia polityki haseł, logowania do systemu oraz wylogowywania się z niego, tworzenia kopii zapasowych oraz ich przechowywania. Jest to szereg dodatkowych czynności do tej pory zbędnych z tego powodu, że nie było aż tak szybko postępującego rozwoju internetu. Obecnie jednak w interesie wspólnym zarówno lekarzy, jak i pacjentów, a także pozostałego personelu jest troska, by dane osobowe odpowiednio zabezpieczyć. Świadomość odpowiedniego zabezpieczenia musi obejmować również urządzenia przenośne, na których dane osobowe można wynieść z miejsca pracy na zewnątrz.

Właściciel praktyki stomatologicznej jako administrator danych osobowych, w przypadku gdy równocześnie jest administratorem bezpieczeństwa informacji, powinien śledzić nowe zabezpieczenia pojawiające się na rynku, konsultować ich funkcjonowanie oraz skuteczność z osobami, które zawodowo tym się trudnią, lub też samemu zdobywać wiedzę w tym zakresie i dzielić się nią ze swoim personelem. Dane osobowe pacjentów są informacją, za którą niejedna firma ubezpieczeniowa, bank czy też inna instytucja zajmująca się np. profilowaniem zwyczajów zakupowych byłaby w stanie dużo zapłacić. 

Przy prowadzeniu praktyki stomatologicznej dobrze jest przygotować się na ewentualne zagrożenia płynące z nieuprawnionego dostępu do danych osobowych, a także odpowiednio wcześnie na nie reagować. By zabezpieczyć się przed niepożądaną interwencją, dobrze jest wyposażyć się w odpowiedni program antywirusowy, antyspamowy, a co najistotniejsze – zadbać o rzetelne przygotowanie personelu. Nawet podstawowe czynności, takie jak niepozostawianie komputera bez nadzoru, niezostawianie panelu monitora do podglądu osobom niepowołanym czy niewychodzenie w momencie, gdy uruchomiony jest program komputerowy, by uniemożliwić osobom trzecim ściągnięcie danych, może okazać się wystarczające dla zabezpieczenia przed wyciekiem danych. 

Dane zwykłe i wrażliwe

Zgodnie z rozporządzeniem RODO „dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”). Możliwą do zidentyfikowania osobą fizyczną jest osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. W gabinetach stomatologicznych dochodzi do przetwarzania danych osobowych – zarówno danych zwykłych (takich jak imię, nazwisko, PESEL, adres zamieszkania etc.), jak i danych wrażliwych.

Danymi wrażliwymi – zgodnie z treścią art. 9 RODO – są dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Należy zaznaczyć, że są to wszystkie informacje, które dotyczą sfery prywatnej czy nawet intymnej życia danej osoby, a ich ujawnienie może pociągnąć za sobą np. działania dyskryminujące. Z perspektywy gabinetów stomatologicznych najistotniejsze są jednak dane odnoszące się do stanu zdrowia zgłaszających się do nich pacjentów, a także dane biometryczne, w których posiadanie gabinety często wchodzą nawet przy okazji wykonywania podstawowych zabiegów.

Co więcej, trzeba zwrócić uwagę, że w placówkach medycznych dochodzi do przetwarzania nie tylko danych pacjentów, ale również innych podmiotów, np. usługodawców.

Przetwarzanie danych osobowych

Zgodnie z art. 4 ustawy o RODO „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. To operacje takie jak:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie lub modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesłanie,
  • rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowywanie lub łączenie,
  • ograniczanie,
  • usuwanie lub niszczenie.

Powyższa definicja jest zatem bardzo pojemna. W zasadzie każda czynność wykonywana na danych osobowych stanowi ich przetwarzanie, także zapoznawanie się z nimi oraz dokonywanie na ich podstawie analizy.

Obowiązki ciążące na administratorze danych osobowych

Rozporządzenie RODO nakłada na administratorów danych osobowych szereg obowiązków.

Po pierwsze, powinni oni zrealizować w stosunku do osób, których dane są przetwarzanie, obowiązek informacyjny. Należy poinformować osoby, których danymi administratorzy dysponują, m.in. o tym, jakie dane będą wykorzystywane, w jakim celu i na jakiej podstawie prawnej, a także wskazać przysługujące prawa (jak prawo do sprzeciwu). Gdy do gabinetu zgłasza się nowy pacjent, lekarz jest zobowiązany przekazać mu stosowną klauzulę informacyjną (wzór powyżej).

Kolejnym bardzo ważnym obowiązkiem administratora jest zapewnienie bezpieczeństwa pozyskanych danych. Z uwagi na ten obowiązek dokumentacja medyczna powinna być przechowywana w taki sposób, aby nie uległa utraceniu ani nie dostała się w niepowołane ręce. Przykładowo nie należy wywieszać list zawierających imiona, nazwiska czy numery PESEL pacjentów.

Pracownicy gabinetów stomatologicznych powinni być odpowiednio przeszkoleni w zakresie ochrony danych osobowych. Co istotne, na administratorze danych osobowych spoczywa również obowiązek prowadzenia rejestru ich przetwarzania.

Rejestr czynności przetwarzania

Kolejnym obowiązkiem jest prowadzenie rejestru czynności przetwarzania. W dokumencie tym powinny zostać ujęte następujące informacje:

  • imię i nazwisko lub nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także – gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych,
  • cele przetwarzania,
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych,
  • gdy ma to zastosowanie, przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Przetwarzanie danych

Dane medyczne mają szczególny charakter. Możliwość ich przetwarzania została ściśle uregulowana. Artykuł 9 ust. 2 lit. h RODO wskazuje, że przetwarzanie jest niezbędne do celów profilaktyki z...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Forum Stomatologii Praktycznej
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy