Dołącz do czytelników
Brak wyników

To wiedzieć powinniśmy

1 lutego 2019

NR 45 (Lipiec 2018)

RODO w normach prawnych regulujących funkcjonowanie gabinetów oraz klinik stomatologicznych

0 128

Z dniem 25 maja 2018 r. pojawił się obowiązek stosowania unijnego rozporządzenia o ochronie danych osobowych RODO (GDPR), a wraz z nim – normy prawne regulujące funkcjonowanie gabinetów czy klinik stomatologicznych. RODO to powszechnie używany skrót Rozporządzenia o Ochronie Danych Osobowych, jego przepisy dotyczą przetwarzania danych osobowych, zastąpiły one obowiązującą dotychczas ustawę o ochronie danych osobowych z 29 sierpnia 1997 r. Celem RODO jest ustanowienie jednolitych zasad przetwarzania danych osobowych w całej Unii Europejskiej. Obowiązek ten sprowadza się w zasadzie do wprowadzenia kilku najistotniejszych zmian wprowadzonych przez lekarzy praktyków, o czym mowa w niniejszym artykule.

 

Przepisom RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej.

Przepisy te stosuje się do przetwarzania danych osobowych, czyli czynności, takich jak: zbieranie danych, ich przechowywanie, usuwanie, opracowanie oraz udostępnianie. 

Dla placówek medycznych RODO oznacza dodatkowe szkolenia personelu, przygotowanie nowych dokumentów, ale także zweryfikowanie tego, kto z personelu ma dostęp do danych osobowych pacjentów.

Dane osobowe

Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba zidentyfikowana to osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób (np. pracownik, którego dane przetwarza pracodawca; osoba, która w formularzu kontaktowym podaje imię, nazwisko i adres e-mail). Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając ze środków, jakie mamy (nadawca listu poleconego na podstawie numeru przesyłki). 

Dane osobowe to informacje o osobach fizycznych, osoby prawne zaś nie posiadają danych osobowych. 

Możliwe jest wyodrębnienie dwóch kategorii danych osobowych: 

  • tzw. dane zwykłe osobowe, 
  • dane osobowe zaliczające się do szczególnych kategorii (dawniej zwane danymi wrażliwymi), np. dane dotyczące zdrowia, seksualności lub orientacji seksualnej, ujawniające pochodzenie rasowe lub etniczne czy poglądy polityczne itp.

W odniesieniu do zawodów medycznych najczęściej spotykane będą dane osobowe szczególnej kategorii dotyczące zdrowia osoby zgłaszającej się do podmiotu medycznego. Ze względu na swoją istotę zasługują one na szczególną ochronę, a naruszenie ich przetwarzania jest zdecydowanie surowiej oceniane. W efekcie możliwe jest ukaranie wyższymi sankcjami. 

Właściciel praktyki stomatologicznej jest administratorem danych osobowych. Równocześnie może zdecydować się na pełnienie funkcji administratora bezpieczeństwa informacji. Administrator może być podmiotem jednoosobowym bądź przybierać postać spółek. Wszystkie firmy, które przetwarzają dane osobowe, powinny mieć wdrożone nowe zasady ochrony danych osobowych. Jeśli dojdzie do wycieku, ich brak może kosztować miliony.

Każda firma, która systematycznie przetwarza dane, np. pracowników, musi prowadzić rejestr czynności przetwarzania. RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której one dotyczą, szereg informacji, dotyczących m.in. tożsamości administratora danych i jego danych kontaktowych, celów i podstaw przetwarzania danych, odbiorcach danych osobowych, a także czasu ich przechowywania. 

W sytuacji, gdy firma zleca wykonanie poszczególnych czynności na zewnątrz, np. obsługę księgową, obsługę poczty elektronicznej, niszczenie dokumentów, archiwizację itp., RODO zobowiązuje do wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych i który zobowiąże się m.in. do podejmowania środków zabezpieczenia danych wymaganych przez normy prawne RODO. 

Właściciel praktyki stomatologicznej administruje danymi osobowymi nie tylko pacjentów, lecz także pracowników czy współpracowników. Administrator decyduje o celach i sposobach przetwarzania danych. W podmiotach, takich jak gabinety, czy podmiotach większych, takich jak kliniki stomatologiczne, dane osobowe przetwarza prawie każdy z pracowników w ramach wykonywania zadań służbowych czy też mu zleconych. Aby wszystko to mogło odbywać się zgodnie z obowiązującymi procedurami, konieczne jest przygotowanie dla każdej z osób upoważnienia do przetwarzania danych osobowych. 

Upoważnienie do przetwarzania danych osobowych 

Zgodnie z art. 29 ogólnego rozporządzenia o ochronie danych podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. 

Upoważnienie do przetwarzania danych osobowych powinno zawierać następujące elementy:

  • datę, miejscowość,
  • imię, nazwisko oraz stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych,
  • zakres upoważnienia ze szczególnym uwzględnieniem informacji, do jakich zbiorów danych upoważniamy,
  • cel upoważnienia,
  • okres ważności upoważnienia,
  • podpis osoby upoważniającej.

W upoważnieniu należy szczegółowo określić podmiot upoważniający poprzez podanie jego danych, takich jak status prawny, dane adresowe. Powinno również paść określenie, mianowicie że podmiot, który dokonuje upoważnienia, jest zarazem administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Upoważniony pracownik powinien zostać dookreślony w upoważnieniu poprzez wskazanie zajmowanego przez niego stanowiska, ewentualnie wykonywanych przez niego powierzonych mu zadań. Zakres takiego upoważnienia najczęściej będzie się sprowadzał do dostępu do danych osobowych (w tym przypadku danych osobowych oraz medycznych pacjentów, a także danych osobowych pracowników w wersji papierowej bądź/oraz elektronicznej) oraz polecenia przetwarzania tych danych jedynie w zakresie koniecznym do wykonywania obowiązków pracowniczych.

Artykuł 29 RODO w istocie nakłada na podmiot przetwarzający oraz każdą osobę działającą z upoważnienia administratora lub podmiotu przetwarzającego i mającą dostęp do danych osobowych obowiązek przetwarzania danych wyłącznie na polecenie administratora. Z przepisu tego wynika, że już na etapie „dostępu do danych” osoby upoważnione przez administratora lub podmiot przetwarzający są związane poleceniem. Samo upoważnienie bez polecenia administratora danych nie pozwala na ich przetwarzanie zgodne z prawem. Poleceniem administratora związana jest więc zarówno: osoba działająca z upoważnienia administratora danych osobowych, podmiot przetwarzający, a także i osoba działająca z upoważnienia podmiotu przetwarzającego.

Z uwagi na treść art. 28 pkt 2a rozporządzenia nie ulega wątpliwości, że udokumentowane polecenie, jakiego administrator danych osobowych udziela przetwarzającemu, wyznacza jednocześnie granice dla osób przez niego upoważnionych.

Wykroczenie poza zakres polecenia może zatem zostać potraktowane jako przetwarzanie danych osobowych bez uprawnienia, co z kolei może mieć dla takiej osoby doniosłe konsekwencje w postaci m.in. sankcji karnych. 

W art. 32 ust. 4 RODO dotyczącym bezpieczeństwa przetwarzania przesądzono, że zarówno administrator danych, jak i podmiot przetwarzający są obowiązani do podjęcia działań w celu zapewnienia, by każda osoba fizyczna działająca z ich upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora. 

Wyrazem wysokiej staranności będzie zawarcie w upoważnieniu szczegółowego opisu zakresu przetwarzanych danych osobowych oraz sposobu przetwarzania bądź za pomocą dokumentacji papierowej, bądź systemów komputerowych. Warto również uczynić zastrzeżenie, że upoważnienie oraz polecenie obowiązują do odwołania, które potwierdzane jest poprzez odnotowanie na niniejszym formularzu przez osobę reprezentującą administratora czy w osobie samego administratora, nie później jednak niż do zakończenia stosunku pracy.

Bezpiecznie jest również uczynić zastrzeżenie, że osoba upoważniona potwierdza otrzymanie ww. upoważnienia i polecenia do przetwarzania danych objętych zakresem, o którym mowa wyżej, oraz zobowiązuje się do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu. Na samym końcu pisma pod treścią upoważnienia oraz uczynienia zastrzeżenia o dochowaniu w tajemnicy, osoba upoważniona musi złożyć swój podpis.

Warunki przetwarzania danych osobowych

Dane osobowe można przetwarzać pod pewnymi szczególnymi warunkami, mianowicie tylko, gdy istnieje podstawa prawna ich przetwarzania, czyli: 

  • zgoda osoby, której dotyczą,
  • przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dotyczą, lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
  • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
  • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.

W przypadku szczególnych kategorii danych, tj. np. informacji dotyczących zdrowia, typowe podstawy przetwarzania to: 

  • wyraźna zgoda osoby, której dane dotyczą,
  • przetwarzanie danych jest niezbędne do wykonywania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
  • przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
  • przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.

Przepisy RODO wprowadzają zasadę minimalizacji danych osobowych. Polega ona na tym, że można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przykładowo, jeżeli celem przetwarzania jest realizacja zamówienia w sklepie internetowym, przetwarzanie danych o sytuacji rodzinnej czy finansowej pacjenta nie będzie dopuszczalne – przetwarzanie takich danych byłoby dopuszczalne, ale w innym celu (np. marketingowym), przy zastosowaniu innej podstawy prawnej. 

Czas trwania obowiązku przechowywania

Istotną kwestią jest również czas trwania obowiązku przechowywania danych. Jest on uwarunkowany okolicznością, jaka legła u podstaw przechowywania tychże danych. W sytuacji, gdy podstawą ich przetwarzania jest zgoda, obowiązek przechowywania trwa, aż nie zostanie ona odwołana, a po jej odwołaniu 10 lat, ponieważ tyle wynosi obecnie okres przedawnienia roszczeń, jakie mogą być podnoszone wobec administratora i jakie może podnosić administrator. Jeżeli podstawą jest wykonywanie umowy – tak długo, jak jest to niezbędne do wykonywania umowy, a po tym czasie – przez okres odpowiadający okresowi przedawnienia roszczeń, jakie mogą być podnoszone wobec administratora i jakie może podnosić administrator.

Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać lub skracać czas przetwarzania danych osobowych.

Dokumentacja medyczna

Bezsprzecznie dokumentacja medyczna jest wyjątkowo ważkim dokumentem, który nie tylko zawiera szczegółowy opis przebiegu choroby, ale i stanowi podstawę do przyznania renty lub stwierdzenia niezdolności do pracy po przebytej chorobie. Papierowa dokumentacja, od lat piętrząca się w lecznicach, pomału odchodzi do lamusa, ustępując przy tym miejsca nowoczesnej, elektronicznej dokumentacji medycznej. 

Dotychczas obowiązujące przepisy prawa wymagają tego, aby dokumentacja medyczna była przechowywana przez z góry określoną liczbę lat. Według rozporządzenia Ministra Zdrowia z dnia 9 listo-
pada 2015 roku w sprawie rodzaju, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U.
z 2015 r., poz. 2069), dokumentację medyczną przechowuje podmiot, który ją sporządził. Zobligowany jest on do gromadzenia kartotek, gwarantując tym samym odpowiednie warunki chroniące ją przed zniszczeniem, uszkodzeniem oraz dostępem osób nieupoważnionych. 

Według przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (tj. Dz. U. z 2012 r., poz. 159 z późn. zm.) podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez 20 lat, licząc od końca roku kalendarzowego, w którym dokonano w niej ostatniego wpisu. Jest to generalna zasada przechowywania dokumentacji, ale istnieje od niej jednak kilka wyjątków. Jeśli zgon nastąpił na skutek uszkodzenia ciała albo zatrucia, dokumentacja medyczna jest przechowywana dłużej, bo przez okres 30 lat. Zdjęcia rentgenowskie, gromadzone poza dokumentacją medyczną pacjenta, są przechowywane przez 10 lat, licząc od końca roku kalendarzowego, w którym je wykonano. Z kolei skierowania na badania lub zlecenia specjalisty są przechowywane przez 5 lat. W przypadku dzieci, które nie ukończyły 2. roku życia, dokumentacja jest przechowywana przez 22 lata. 

Po upływie wyznaczonego okresu kartoteka jest niszczona przez podmiot udzielający pomocy medycznej, w sposób uniemożliwiający identyfikację chorego. Warto podkreślić, że dokumentacja medyczna może być wydana pacjentowi lub jego przedstawicielowi ustawowemu za pokwitowaniem, jeśli pacjent wyrazi taką wolę. 

W przypadku zakończenia działalności szpitala, przychodni lub gabinetu lekarskiego dokumentacja medyczna zostaje przekazana w nowe miejsce, które wskaże placówka służby zdrowia w chwili
wykreślenia podmiotu z rejestru placówek prowadzących działalność leczniczą. 

W odniesieniu do podmiotu leczniczego, który nie jest przedsiębiorcą, czyli placówki publicznej, takie miejsce wskazuje podmiot, który ją utworzył. Warto dodać, że okręgowa rada lekarska prowadzi rejestr miejsc przechowywania dokumentacji medycznej przez pracowników służby zdrowia, udzielających indywidualne świadczenia medyczne. 

Organizacja przetwarzania danych osobowych

Organizacja przetwarzania danych osobowych polega na należytym ich zabezpieczeniu. Rozporządzenie wprowadza podejście oparte na ryzyku, tzn. podmiot przetwarzający dane powinien samodzielnie określić, jakie konkretnie środki zabezpieczenia danych powinien wdrożyć, by ochrona była sprawowana w sposób efektywny i skuteczny. 

W większości wypadków to nie błąd aplikacji czy sprzętu, lecz ludzka niefrasobliwość jest przyczyną zagrożenia bezpieczeństwa danych osobowych. Za bezpieczeństwo danych odpowiadają wszystkie osoby zatrudnione w danym podmiocie medycznym bądź wykonujące powierzone im przez ten podmiot zadania, które otrzymały od administratora danych prawo do ich przetwarzania. Jeżeli jednak dojdzie do naruszenia bezpieczeństwa danych, należy bezwzględnie i niezwłocznie informować o takich przypadkach osobę wyznaczoną w danym podmiocie (najczęściej będzie to sam właściciel w mniejszych podmiotach, w większych – osoba specjalnie do tego celu wyznaczona). 

Jako przykłady naruszenia ochrony danych mogą posłużyć następujące (najczęstsze zresztą) przypadki: 

  • przypadkowe zniszczenie danych,
  • zagubienie nośnika zawierającego dane pacjentów, 
  • przypadkowe zmodyfikowanie, 
  • uzyskanie dostępu do danych przez osobę nieuprawnioną, 
  • włamanie do systemu służącego do przetwarzania danych,
  • uzyskanie dostępu do loginów i haseł przez osobę nieuprawnioną,
  • wysłanie danych pacjenta na błędny adres e-mail lub korespondencyjny przy przesyłkach tradycyjnych.

Należy pamiętać, że przepisy RODO wprowadzają obowiązek niezwłocznego poinformowania organu nadzorczego o takim naruszeniu (nie później niż w ciągu 72 godzin od stwierdzenia naruszenia). O zaistniałej sytuacji należy także poinformować osobę, której naruszone dane dotyczą. 

Niejako upraszczając przepisy rozporządzenia i dla przejrzystości ich przedstawienia, można ująć je w pewne zasady przedstawione poniżej. 

Zasada prywatności kont w systemach 

W przypadku danych przetwarzanych z użyciem systemów...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • Roczną prenumeratę dwumiesięcznika Forum Stomatologii Praktycznej
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy