Dołącz do czytelników
Brak wyników

To wiedzieć powinniśmy

3 lutego 2019

NR 48 (Styczeń 2019)

Praktyczne aspekty RODO
wzory dokumentów przydatne dla praktyk stomatologicznych

0 69

Od 25 maja 2018 r. zaczęły obowiązywać przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej w skrócie: RODO). Rozporządzenie to ma bezpośredni, bardzo znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą, w tym również praktyki stomatologiczne

 

Specyfika branży medycznej, w szczególności przetwarzanie danych dotyczących zdrowia, jest źródłem istotnych wyzwań oraz zagrożeń w kontekście RODO, z którymi należy się zmierzyć. Rozporządzenie wprowadza bowiem nowe obowiązki dla administratorów danych oraz nowe uprawnienia dla osób, których dane dotyczą. Prawidłowa realizacja obowiązków wypływających z rozporządzenia jest zatem niezmiernie istotna, zwłaszcza że uchybienia zagrożone są wysokimi karami finansowymi o charakterze administracyjnym. Ponadto administratorzy danych będą ponosić również odpowiedzialność cywilną. Odszkodowania będzie mogła domagać się każda osoba, która poniosła szkodę, majątkową lub niemajątkową, poprzez naruszenie przepisów wynikających z RODO. 

Celem rozporządzenia jest wprowadzenie i ujednolicenie zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej, a w szczególności zadbanie o bezpieczeństwo danych osobowych i ochronę prawa do prywatności. W związku z pojawieniem się nowego prawa niebywale często mnożą się pytania, takie jak: co powinien otrzymać pacjent, czy obowiązkowe jest uzyskanie zgody na przetwarzanie danych medycznych, jaką formę może przybrać kontakt z pacjentem, czy konieczna jest uprzednio pozyskana zgoda na nawiązanie takiego kontaktu.

Rozporządzenie nie wskazuje jednak ani środków, ani metod zabezpieczania danych, daje jedynie wskazówki, co dodatkowo utrudnia proces jego wdrażania. Nie ma gotowych rozwiązań, a administratorzy są zmuszeni samodzielnie ocenić, jakie środki techniczne i organizacyjne są niezbędne dla zapewnienia przetwarzania danych w sposób zgodny z nowymi przepisami. Poniższy artykuł ma na celu przybliżenie praktycznego aspektu nowych przepisów i proponuje gotowe wzory do wdrożenia w praktykach lekarskich, a także podpowiada, jaką dokumentację należy prowadzić w gabinecie stomatologicznym. Materiały te stanowią ogólny wzór, który każdy podmiot wykonujący działalność leczniczą powinien dostosować do realiów swojego funkcjonowania, mając na uwadze specyfikę działalności oraz rodzaj i rozmiar praktyki, a przede wszystkim skalę przetwarzania danych osobowych. 

Porównanie z dotychczasowym stanem prawnym

Zgodnie z do niedawna obowiązującym stanem prawnym, określonym w polskiej ustawie o ochronie danych osobowych (dalej w skrócie: UODO) oraz przepisami wykonawczymi, firmy były zobligowane do posiadania dokumentów dokładnie określonych w ustawie i rozporządzeniach wykonawczych do niej. Ich treść była ściśle sprecyzowana i jednakowa dla wszystkich administratorów danych.

Przyjęcie RODO przyniosło znaczącą zmianę w tej kwestii, ponieważ rozporządzenie co do zasady nie określa, jakie dokumenty należy posiadać ani jaka ma być ich treść. Zgodnie z nowym rozporządzeniem stworzenie odpowiedniej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów musi być uzależniona od oceny ryzyka dla poszczególnych podmiotów. Ponadto dotychczas obowiązujące wymagania UODO dotyczące polityki bezpieczeństwa, ewidencji osób upoważnionych do przetwarzania danych albo też instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych utraciły swoją ważność. Również i w tych kwestiach rozporządzenie pozostawia podmiotom swobodę działania, a wymaga jedynie spełnienia założeń rozporządzenia, tj. poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Formularz informacyjny

Wprowadzanie RODO należy zacząć od pacjenta. Przed rozpoczęciem udostępniania danych osobowych pacjent powinien otrzymać formularz informacyjny, w którego treści musi przynajmniej zostać poinformowany:

  • kto jest administratorem jego danych osobowych,
  • w jakim celu zbierane są dane,
  • w jakim zakresie dane są przetwarzane,
  • czy podanie danych jest dobrowolne, czy też obowiązkowe,
  • z czym wiąże się odmowa udostępnienia danych,
  • czy przetwarzanie danych odbywa się na podstawie przepisu prawa, czy w oparciu o zgodę,
  • o przysługujących pacjentowi prawach związanych z przetwarzaniem danych osobowych. 

Wyżej wskazany obowiązek notyfikacyjny dotyczy każdego przypadku przetwarzania danych osobowych i to niezależnie od tego, czy przetwarzanie odbywa się na podstawie przepisu ustawy, czy też w oparciu o oświadczenia o wyrażeniu zgody.

Fakt, że dane medyczne mogą być przetwarzane na podstawie przepisu ustawy, a w konsekwencji – w takich sytuacjach nie ma konieczności odbierania w tym zakresie zgody, nie zwalnia jednak podmiotu medycznego z wywiązania się z obowiązku informacyjnego.

Najbezpieczniej jednak będzie, gdy poza formularzem informacyjnym pacjent otrzyma również formularz zgody na przetwarzanie danych osobowych w celach innych niż medyczne. Nie będzie błędem ewentualne powielenie zgód. Wręcz przeciwnie, w sytuacjach niejasnych warto taką zgodę uzyskać, by wykluczyć wszelkie spekulacje i zabezpieczyć się przed możliwymi negatywnymi konsekwencjami przetwarzania danych bez zgody. Istnieją bowiem pewne sytuacje graniczne, gdzie nikt nie jest w stanie kategorycznie powiedzieć, czy w danym przypadku przetwarzanie danych osobowych jest dopuszczalne na podstawie przepisu prawa, a co za tym idzie – zgoda nie będzie wymagana, czy też przetwarzanie w danym wypadku wymaga zgody, ponieważ przepis prawa danego stanu faktycznego nie reguluje.

Wzór klauzuli informacyjnej

W klauzuli informacyjnej, zgodnie z treścią art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. o ochronie danych osobowych należy zawrzeć poniższe informacje:

  • kto jest administratorem danych osobowych, podając nazwę administratora wraz ze wskazaniem danych adresowych oraz imię, nazwisko i funkcję osoby reprezentującej,
  • kto jest Inspektorem Danych Osobowych wraz z podaniem sposobu kontaktowania się z nim, czy to drogą tradycyjną, czy telefoniczną i mailową, podając numer telefonu i adres e-mail,
  • cel przetwarzania danych osobowych,
  • kto będzie odbiorcami danych osobowych konkretnej osoby, podając nazwę odbiorców lub ich kategorię,
  • w jakim okresie będą przechowywane dane osobowe, który to okres uznawany będzie za niezbędny do realizacji celów przetwarzania,
  • o prawie do żądania od administratora dostępu do danych osobowych, prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawie do przenoszenia danych,
  • istnieniu możliwości wniesienia skargi do organu nadzorczego na tryb oraz sposób przetwarzania danych osobowych przez administratora,
  • w razie gdy pacjent uzna to za uzasadnione, wskazanie, czy podanie danych osobowych jest obligatoryjne i wynika z mocy przepisu prawa, tj. ustawy o działalności leczniczej i ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, a brak podania danych osobowych będzie skutkował możliwością odstąpienia od udzielenia świadczeń, chyba że inne przepisy stanowią inaczej.

Opcjonalnymi zapisami w treści klauzuli informacyjnej są następujące zapisy:

  • administrator nie będzie przekazywał danych osobowych odbiorcom w państwach trzecich oraz organizacjom międzynarodowym,
  • administrator nie podejmuje czynności związanych ze zautomatyzowanym podejmowaniem decyzji wobec danych osobowych, w tym o profilowaniu.

Formularz zgody pacjenta

Na przetwarzanie danych osobowych potrzebna jest zgoda wyrażona przez pacjenta w specjalnie do tego przeznaczonym formularzu zgody. Należy w nim doprecyzować:

  • przez kogo dane będą przetwarzane,
  • w jakim zakresie i do jakich celów zgoda taka jest pozyskiwana (np. celów mark...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Forum Stomatologii Praktycznej
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy