Dołącz do czytelników
Brak wyników

To wiedzieć powinniśmy

3 lutego 2019

NR 48 (Styczeń 2019)

Praktyczne aspekty RODO
wzory dokumentów przydatne dla praktyk stomatologicznych

0 164

Od 25 maja 2018 r. zaczęły obowiązywać przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, dalej w skrócie: RODO). Rozporządzenie to ma bezpośredni, bardzo znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą, w tym również praktyki stomatologiczne

 

Specyfika branży medycznej, w szczególności przetwarzanie danych dotyczących zdrowia, jest źródłem istotnych wyzwań oraz zagrożeń w kontekście RODO, z którymi należy się zmierzyć. Rozporządzenie wprowadza bowiem nowe obowiązki dla administratorów danych oraz nowe uprawnienia dla osób, których dane dotyczą. Prawidłowa realizacja obowiązków wypływających z rozporządzenia jest zatem niezmiernie istotna, zwłaszcza że uchybienia zagrożone są wysokimi karami finansowymi o charakterze administracyjnym. Ponadto administratorzy danych będą ponosić również odpowiedzialność cywilną. Odszkodowania będzie mogła domagać się każda osoba, która poniosła szkodę, majątkową lub niemajątkową, poprzez naruszenie przepisów wynikających z RODO. 

Celem rozporządzenia jest wprowadzenie i ujednolicenie zasady przetwarzania danych osobowych na terenie całej Unii Europejskiej, a w szczególności zadbanie o bezpieczeństwo danych osobowych i ochronę prawa do prywatności. W związku z pojawieniem się nowego prawa niebywale często mnożą się pytania, takie jak: co powinien otrzymać pacjent, czy obowiązkowe jest uzyskanie zgody na przetwarzanie danych medycznych, jaką formę może przybrać kontakt z pacjentem, czy konieczna jest uprzednio pozyskana zgoda na nawiązanie takiego kontaktu.

Rozporządzenie nie wskazuje jednak ani środków, ani metod zabezpieczania danych, daje jedynie wskazówki, co dodatkowo utrudnia proces jego wdrażania. Nie ma gotowych rozwiązań, a administratorzy są zmuszeni samodzielnie ocenić, jakie środki techniczne i organizacyjne są niezbędne dla zapewnienia przetwarzania danych w sposób zgodny z nowymi przepisami. Poniższy artykuł ma na celu przybliżenie praktycznego aspektu nowych przepisów i proponuje gotowe wzory do wdrożenia w praktykach lekarskich, a także podpowiada, jaką dokumentację należy prowadzić w gabinecie stomatologicznym. Materiały te stanowią ogólny wzór, który każdy podmiot wykonujący działalność leczniczą powinien dostosować do realiów swojego funkcjonowania, mając na uwadze specyfikę działalności oraz rodzaj i rozmiar praktyki, a przede wszystkim skalę przetwarzania danych osobowych. 

Porównanie z dotychczasowym stanem prawnym

Zgodnie z do niedawna obowiązującym stanem prawnym, określonym w polskiej ustawie o ochronie danych osobowych (dalej w skrócie: UODO) oraz przepisami wykonawczymi, firmy były zobligowane do posiadania dokumentów dokładnie określonych w ustawie i rozporządzeniach wykonawczych do niej. Ich treść była ściśle sprecyzowana i jednakowa dla wszystkich administratorów danych.

Przyjęcie RODO przyniosło znaczącą zmianę w tej kwestii, ponieważ rozporządzenie co do zasady nie określa, jakie dokumenty należy posiadać ani jaka ma być ich treść. Zgodnie z nowym rozporządzeniem stworzenie odpowiedniej dokumentacji pozostaje w gestii przedsiębiorców, a treść dokumentów musi być uzależniona od oceny ryzyka dla poszczególnych podmiotów. Ponadto dotychczas obowiązujące wymagania UODO dotyczące polityki bezpieczeństwa, ewidencji osób upoważnionych do przetwarzania danych albo też instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych utraciły swoją ważność. Również i w tych kwestiach rozporządzenie pozostawia podmiotom swobodę działania, a wymaga jedynie spełnienia założeń rozporządzenia, tj. poprawnej i adekwatnej do analizy ryzyka ochrony danych osobowych.

Formularz informacyjny

Wprowadzanie RODO należy zacząć od pacjenta. Przed rozpoczęciem udostępniania danych osobowych pacjent powinien otrzymać formularz informacyjny, w którego treści musi przynajmniej zostać poinformowany:

  • kto jest administratorem jego danych osobowych,
  • w jakim celu zbierane są dane,
  • w jakim zakresie dane są przetwarzane,
  • czy podanie danych jest dobrowolne, czy też obowiązkowe,
  • z czym wiąże się odmowa udostępnienia danych,
  • czy przetwarzanie danych odbywa się na podstawie przepisu prawa, czy w oparciu o zgodę,
  • o przysługujących pacjentowi prawach związanych z przetwarzaniem danych osobowych. 

Wyżej wskazany obowiązek notyfikacyjny dotyczy każdego przypadku przetwarzania danych osobowych i to niezależnie od tego, czy przetwarzanie odbywa się na podstawie przepisu ustawy, czy też w oparciu o oświadczenia o wyrażeniu zgody.

Fakt, że dane medyczne mogą być przetwarzane na podstawie przepisu ustawy, a w konsekwencji – w takich sytuacjach nie ma konieczności odbierania w tym zakresie zgody, nie zwalnia jednak podmiotu medycznego z wywiązania się z obowiązku informacyjnego.

Najbezpieczniej jednak będzie, gdy poza formularzem informacyjnym pacjent otrzyma również formularz zgody na przetwarzanie danych osobowych w celach innych niż medyczne. Nie będzie błędem ewentualne powielenie zgód. Wręcz przeciwnie, w sytuacjach niejasnych warto taką zgodę uzyskać, by wykluczyć wszelkie spekulacje i zabezpieczyć się przed możliwymi negatywnymi konsekwencjami przetwarzania danych bez zgody. Istnieją bowiem pewne sytuacje graniczne, gdzie nikt nie jest w stanie kategorycznie powiedzieć, czy w danym przypadku przetwarzanie danych osobowych jest dopuszczalne na podstawie przepisu prawa, a co za tym idzie – zgoda nie będzie wymagana, czy też przetwarzanie w danym wypadku wymaga zgody, ponieważ przepis prawa danego stanu faktycznego nie reguluje.

Wzór klauzuli informacyjnej

W klauzuli informacyjnej, zgodnie z treścią art. 13 rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. o ochronie danych osobowych należy zawrzeć poniższe informacje:

  • kto jest administratorem danych osobowych, podając nazwę administratora wraz ze wskazaniem danych adresowych oraz imię, nazwisko i funkcję osoby reprezentującej,
  • kto jest Inspektorem Danych Osobowych wraz z podaniem sposobu kontaktowania się z nim, czy to drogą tradycyjną, czy telefoniczną i mailową, podając numer telefonu i adres e-mail,
  • cel przetwarzania danych osobowych,
  • kto będzie odbiorcami danych osobowych konkretnej osoby, podając nazwę odbiorców lub ich kategorię,
  • w jakim okresie będą przechowywane dane osobowe, który to okres uznawany będzie za niezbędny do realizacji celów przetwarzania,
  • o prawie do żądania od administratora dostępu do danych osobowych, prawie do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu wobec przetwarzania, a także prawie do przenoszenia danych,
  • istnieniu możliwości wniesienia skargi do organu nadzorczego na tryb oraz sposób przetwarzania danych osobowych przez administratora,
  • w razie gdy pacjent uzna to za uzasadnione, wskazanie, czy podanie danych osobowych jest obligatoryjne i wynika z mocy przepisu prawa, tj. ustawy o działalności leczniczej i ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, a brak podania danych osobowych będzie skutkował możliwością odstąpienia od udzielenia świadczeń, chyba że inne przepisy stanowią inaczej.

Opcjonalnymi zapisami w treści klauzuli informacyjnej są następujące zapisy:

  • administrator nie będzie przekazywał danych osobowych odbiorcom w państwach trzecich oraz organizacjom międzynarodowym,
  • administrator nie podejmuje czynności związanych ze zautomatyzowanym podejmowaniem decyzji wobec danych osobowych, w tym o profilowaniu.

Formularz zgody pacjenta

Na przetwarzanie danych osobowych potrzebna jest zgoda wyrażona przez pacjenta w specjalnie do tego przeznaczonym formularzu zgody. Należy w nim doprecyzować:

  • przez kogo dane będą przetwarzane,
  • w jakim zakresie i do jakich celów zgoda taka jest pozyskiwana (np. celów marketingowych związanych z udzielaniem świadczeń zdrowotnych przez podmiot leczniczy, czy do udziału w badaniu klinicznym),
  • jeśli zgoda ma dotyczyć dziecka, w jego imieniu oświadczenie składa rodzic bądź opiekun prawny.

Na końcu formularza zgody pacjent musi złożyć czytelnie swój podpis. 

Formularz upoważnienia dla pracowników 

W związku z art. 29 rozporządzenia z 27 kwietnia 2016 r. w sprawie ochrony danych osobowych pracownikom czy też podmiotom, którym powierzono przetwarzanie danych osobowych, należy udzielić upoważnienia do przetwarzania danych pacjentów.

Upoważnienie takie powinno zawierać:

  • zakres upoważnienia (przykładowo: kopiowanie, drukowanie, przeglądanie, wprowadzanie, modyfikowanie, usuwanie, archiwizowanie, przekazywanie na zewnątrz czy też inne czynności niezbędne do realizacji szeroko pojętych zadań konkretnego stanowiska pracy),
  • informację, jakich zbiorów danych dotyczy: dokumentacji papierowej czy systemów informatycznych, czy też obu tych zbiorów – poprzez wskazanie ich nazw, 
  • datę, podpis i pieczęć administratora.

W analogiczny sposób stworzony może zostać formularz odebrania uprawnień. 

Fakultatywnie dla systemów informatycznych może zostać stworzony wykaz zawierający:

  • nazwę zbioru, 
  • nazwę systemu informatycznego,
  • login,
  • datę nadania i odebrania uprawnień,
  • podpis nadającego uprawnienia. 

Pod wykazem dla systemów informatycznych również musi znaleźć się data oraz podpis i pieczęć administratora. 

Oświadczenie o poufności

Przy udzieleniu upoważnienia do przetwarzania danych pracownikowi niezwykle istotną kwestią jest złożenie przez niego równocześnie oświadczenia o poufności, w którym: 
oświadcza, że zapoznano go z przepisami w zakresie ochrony danych osobowych, wynikających z rozporządzania Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz innymi aktami prawnymi i branżowymi regulującymi zasady postępowania w tym zakresie oraz wszystkimi dokumentami wewnętrznymi organizującymi proces zarządzania danymi osobowymi w danym podmiocie,
zobowiązuje się do:

  • zachowania w tajemnicy wszelkich informacji uzyskanych w związku z wykonywaniem obowiązków na rzecz podmiotu leczniczego,
  • przetwarzania powierzonych danych jedynie w zakresie udzielonego upoważnienia,
  • ochrony danych osobowych, do których przetwarzania pracownik został dopuszczony przez administratora,
  • stosowania wszelkich zabezpieczeń w celu ochrony powierzonych danych osobowych w związku z wykonywaniem obowiązków na rzecz podmiotu leczniczego,
  • niewykorzystywania danych osobowych do innych celów niż te wynikające z obowiązków wobec podmiotu leczniczego,
  • zgłaszania wszelkich incydentów, zagrożeń, potencjalnych naruszeń systemu ochrony danych osobowych w podmiocie leczniczym;

jednocześnie składa oświadczenie, że zdaje sobie sprawę, iż postępowania sprzeczne z powyższymi zobowiązaniami będą traktowane jako ciężkie naruszenie obowiązków wobec podmiotu leczniczego i mogą rodzić sankcje karne oraz finansowe, wynikające z przepisów prawa, w tym mogą stanowić podstawę dochodzenia odszkodowań w trybie cywilno-prawnym.

Akceptując warunki zawarte w oświadczeniu, pracownik pod jego treścią składa swój czytelny podpis.

Ewidencja osób upoważnionych do przetwarzania danych osobowych

Dla celów uporządkowania dokumentacji w podmiocie medycznym przydatne jest stworzenie ewidencji osób upoważnionych do przetwarzania danych. Należy w niej zawrzeć:

  • nazwę zbioru,
  • imię i nazwisko upoważnionego,
  • zakres upoważnienia,
  • datę nadania lub odebrania uprawnień,
  • przyczynę odebrania lub zmiany uprawnień,
  • podpis Inspektora Ochrony Danych. 

Ewidencja podmiotów, którym powierzono przetwarzanie danych osobowych

Również dla celów porządkowych warto pokusić się o stworzenie jeszcze jednej ewidencji, tj. ewidencji podmiotów, którym powierzono przetwarzanie danych osobowych, jeśli podmiot pozostaje w stałej współpracy z innymi podmiotami. 

Ewidencja taka powinna zawierać:

  • nazwę podmiotu i jego dane kontaktowe,
  • imię i nazwisko, dane kontaktowe osoby upoważnionej do współpracy w tym zakresie,
  • datę podpisania umowy powierzenia,
  • przedmiot umowy,
  • ewentualnie datę zakończenia współ-
  • pracy,
  • ewentualną przyczynę zakończenia współpracy,
  • informację o rodzajach zbiorów, które obejmuje umowa,
  • podpis Inspektora Ochrony Danych. 

Ewidencja udostępnianej dokumentacji medycznej

Z uwagi na art. 26 i 27 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta warto również zaprowadzić ewidencję udostępnianej dokumentacji medycznej, w której należy zamieścić:

  • imię i nazwisko pacjenta, którego dotyczy wniosek,
  • imię i nazwisko osoby lub podmiotu, któremu została udostępniona dokumentacja medyczna,
  • sposób udostępnienia,...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Forum Stomatologii Praktycznej
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy