POLECAMY
Przepisom RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej.
Przepisy te stosuje się do przetwarzania danych osobowych, czyli czynności, takich jak: zbieranie danych, ich przechowywanie, usuwanie, opracowanie oraz udostępnianie.
Dla placówek medycznych RODO oznacza dodatkowe szkolenia personelu, przygotowanie nowych dokumentów, ale także zweryfikowanie tego, kto z personelu ma dostęp do danych osobowych pacjentów.
Dane osobowe
Dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osoba zidentyfikowana to osoba, której tożsamość znamy, którą możemy wskazać spośród innych osób (np. pracownik, którego dane przetwarza pracodawca; osoba, która w formularzu kontaktowym podaje imię, nazwisko i adres e-mail). Osobą możliwą do zidentyfikowania jest taka osoba, której tożsamości nie znamy, ale możemy poznać, korzystając ze środków, jakie mamy (nadawca listu poleconego na podstawie numeru przesyłki).
Dane osobowe to informacje o osobach fizycznych, osoby prawne zaś nie posiadają danych osobowych.
Możliwe jest wyodrębnienie dwóch kategorii danych osobowych:
- tzw. dane zwykłe osobowe,
- dane osobowe zaliczające się do szczególnych kategorii (dawniej zwane danymi wrażliwymi), np. dane dotyczące zdrowia, seksualności lub orientacji seksualnej, ujawniające pochodzenie rasowe lub etniczne czy poglądy polityczne itp.
W odniesieniu do zawodów medycznych najczęściej spotykane będą dane osobowe szczególnej kategorii dotyczące zdrowia osoby zgłaszającej się do podmiotu medycznego. Ze względu na swoją istotę zasługują one na szczególną ochronę, a naruszenie ich przetwarzania jest zdecydowanie surowiej oceniane. W efekcie możliwe jest ukaranie wyższymi sankcjami.
Właściciel praktyki stomatologicznej jest administratorem danych osobowych. Równocześnie może zdecydować się na pełnienie funkcji administratora bezpieczeństwa informacji. Administrator może być podmiotem jednoosobowym bądź przybierać postać spółek. Wszystkie firmy, które przetwarzają dane osobowe, powinny mieć wdrożone nowe zasady ochrony danych osobowych. Jeśli dojdzie do wycieku, ich brak może kosztować miliony.
Każda firma, która systematycznie przetwarza dane, np. pracowników, musi prowadzić rejestr czynności przetwarzania. RODO nakazuje, aby przy gromadzeniu danych przekazywać osobie, której one dotyczą, szereg informacji, dotyczących m.in. tożsamości administratora danych i jego danych kontaktowych, celów i podstaw przetwarzania danych, odbiorcach danych osobowych, a także czasu ich przechowywania.
W sytuacji, gdy firma zleca wykonanie poszczególnych czynności na zewnątrz, np. obsługę księgową, obsługę poczty elektronicznej, niszczenie dokumentów, archiwizację itp., RODO zobowiązuje do wyboru takiego podmiotu przetwarzającego, który gwarantuje odpowiednią ochronę danych osobowych i który zobowiąże się m.in. do podejmowania środków zabezpieczenia danych wymaganych przez normy prawne RODO.
Właściciel praktyki stomatologicznej administruje danymi osobowymi nie tylko pacjentów, lecz także pracowników czy współpracowników. Administrator decyduje o celach i sposobach przetwarzania danych. W podmiotach, takich jak gabinety, czy podmiotach większych, takich jak kliniki stomatologiczne, dane osobowe przetwarza prawie każdy z pracowników w ramach wykonywania zadań służbowych czy też mu zleconych. Aby wszystko to mogło odbywać się zgodnie z obowiązującymi procedurami, konieczne jest przygotowanie dla każdej z osób upoważnienia do przetwarzania danych osobowych.
Upoważnienie do przetwarzania danych osobowych
Zgodnie z art. 29 ogólnego rozporządzenia o ochronie danych podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Upoważnienie do przetwarzania danych osobowych powinno zawierać następujące elementy:
- datę, miejscowość,
- imię, nazwisko oraz stanowisko osoby, która ma być upoważniona do przetwarzania danych osobowych w zakresie pełnionych obowiązków służbowych,
- zakres upoważnienia ze szczególnym uwzględnieniem informacji, do jakich zbiorów danych upoważniamy,
- cel upoważnienia,
- okres ważności upoważnienia,
- podpis osoby upoważniającej.
W upoważnieniu należy szczegółowo określić podmiot upoważniający poprzez podanie jego danych, takich jak status prawny, dane adresowe. Powinno również paść określenie, mianowicie że podmiot, który dokonuje upoważnienia, jest zarazem administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Upoważniony pracownik powinien zostać dookreślony w upoważnieniu poprzez wskazanie zajmowanego przez niego stanowiska, ewentualnie wykonywanych przez niego powierzonych mu zadań. Zakres takiego upoważnienia najczęściej będzie się sprowadzał do dostępu do danych osobowych (w tym przypadku danych osobowych oraz medycznych pacjentów, a także danych osobowych pracowników w wersji papierowej bądź/oraz elektronicznej) oraz polecenia przetwarzania tych danych jedynie w zakresie koniecznym do wykonywania obowiązków pracowniczych.
Artykuł 29 RODO w istocie nakłada na podmiot przetwarzający oraz każdą osobę działającą z upoważnienia administratora lub podmiotu przetwarzającego i mającą dostęp do danych osobowych obowiązek przetwarzania danych wyłącznie na polecenie administratora. Z przepisu tego wynika, że już na etapie „dostępu do danych” osoby upoważnione przez administratora lub podmiot przetwarzający są związane poleceniem. Samo upoważnienie bez polecenia administratora danych nie pozwala na ich przetwarzanie zgodne z prawem. Poleceniem administratora związana jest więc zarówno: osoba działająca z upoważnienia administratora danych osobowych, podmiot przetwarzający, a także i osoba działająca z upoważnienia podmiotu przetwarzającego.
Z uwagi na treść art. 28 pkt 2a rozporządzenia nie ulega wątpliwości, że udokumentowane polecenie, jakiego administrator danych osobowych udziela przetwarzającemu, wyznacza jednocześnie granice dla osób przez niego upoważnionych.
Wykroczenie poza zakres polecenia może zatem zostać potraktowane jako przetwarzanie danych osobowych bez uprawnienia, co z kolei może mieć dla takiej osoby doniosłe konsekwencje w postaci m.in. sankcji karnych.
W art. 32 ust. 4 RODO dotyczącym bezpieczeństwa przetwarzania przesądzono, że zarówno administrator danych, jak i podmiot przetwarzający są obowiązani do podjęcia działań w celu zapewnienia, by każda osoba fizyczna działająca z ich upoważnienia, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora.
Wyrazem wysokiej staranności będzie zawarcie w upoważnieniu szczegółowego opisu zakresu przetwarzanych danych osobowych oraz sposobu przetwarzania bądź za pomocą dokumentacji papierowej, bądź systemów komputerowych. Warto również uczynić zastrzeżenie, że upoważnienie oraz polecenie obowiązują do odwołania, które potwierdzane jest poprzez odnotowanie na niniejszym formularzu przez osobę reprezentującą administratora czy w osobie samego administratora, nie później jednak niż do zakończenia stosunku pracy.
Bezpiecznie jest również uczynić zastrzeżenie, że osoba upoważniona potwierdza otrzymanie ww. upoważnienia i polecenia do przetwarzania danych objętych zakresem, o którym mowa wyżej, oraz zobowiązuje się do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu. Na samym końcu pisma pod treścią upoważnienia oraz uczynienia zastrzeżenia o dochowaniu w tajemnicy, osoba upoważniona musi złożyć swój podpis.
Warunki przetwarzania danych osobowych
Dane osobowe można przetwarzać pod pewnymi szczególnymi warunkami, mianowicie tylko, gdy istnieje podstawa prawna ich przetwarzania, czyli:
- zgoda osoby, której dotyczą,
- przetwarzanie danych jest niezbędne do wykonania umowy z osobą, której dotyczą, lub do podjęcia działań poprzedzających zawarcie umowy, na żądanie tej osoby,
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
- przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze.
W przypadku szczególnych kategorii danych, tj. np. informacji dotyczących zdrowia, typowe podstawy przetwarzania to:
- wyraźna zgoda osoby, której dane dotyczą,
- przetwarzanie danych jest niezbędne do wykonywania zadań związanych z zatrudnieniem, ubezpieczeniem społecznym pracowników,
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy,
- przetwarzanie danych jest niezbędne w celu dochodzenia praw przed sądem.
Przepisy RODO wprowadzają zasadę minimalizacji danych osobowych. Polega ona na tym, że można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przykładowo, jeżeli celem przetwarzania jest realizacja zamówienia w sklepie internetowym, przetwarzanie danych o sytuacji rodzinnej czy finansowej pacjenta nie będzie dopuszczalne – przetwarzanie takich danych byłoby dopuszczalne, ale w innym celu (np. marketingowym), przy zastosowaniu innej podstawy prawnej.
Czas trwania obowiązku przechowywania
Istotną kwestią jest również czas trwania obowiązku przechowywania danych. Jest on uwarunkowany okolicznością, jaka legła u podstaw przechowywania tychże danych. W sytuacji, gdy podstawą ich przetwarzania jest zgoda, obowiązek przechowywania trwa, aż nie zostanie ona odwołana, a po jej odwołaniu 10 lat, ponieważ tyle wynosi obecnie okres przedawnienia roszczeń, jakie mogą być podnoszone wobec administratora i jakie może podnosić administrator. Jeżeli podstawą jest wykonywanie umowy – tak długo, jak jest to niezbędne do wykonywania umowy, a po tym czasie – przez okres odpowiadający okresowi przedawnienia roszczeń, jakie mogą być podnoszone wobec administratora i jakie może podnosić administrator.
Jeżeli istnieją przepisy szczególne określające czas, przez jaki powinny być przechowywane dane osobowe, wówczas takie przepisy mogą wydłużać lub skracać czas przetwarzania danych osobowych.
Dokumentacja medyczna
Bezsprzecznie dokumentacja medyczna jest wyjątkowo ważkim dokumentem, który nie tylko zawiera szczegółowy opis przebiegu choroby, ale i stanowi podstawę do przyznania renty lub stwierdzenia niezdolności do pracy po przebytej chorobie. Papierowa dokumentacja, od lat piętrząca się w lecznicach, pomału odchodzi do lamusa, ustępując przy tym miejsca nowoczesnej, elektronicznej dokumentacji medycznej.
Dotychczas obowiązujące przepisy prawa wymagają tego, aby dokumentacja medyczna była przechowywana przez z góry określoną liczbę lat. Według rozporządzenia Ministra Zdrowia z dnia 9 listo-
pada 2015 roku w sprawie rodzaju, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U.
z 2015 r., poz. 2069), dokumentację medyczną przechowuje podmiot, który ją sporządził. Zobligowany jest on do gromadzenia kartotek, gwarantując tym samym odpowiednie warunki chroniące ją przed zniszczeniem, uszkodzeniem oraz dostępem osób nieupoważnionych.
Według przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (tj. Dz. U. z 2012 r., poz. 159 z późn. zm.) podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez 20 lat, licząc od końca roku kalendarzowego, w którym dokonano w niej ostatniego wpisu. Jest to generalna zasada przechowywania dokumentacji, ale istnieje od niej jednak kilka wyjątków. Jeśli zgon nastąpił na skutek uszkodzenia ciała albo zatrucia, dokumentacja medyczna jest przechowywana dłużej, bo przez okres 30 lat. Zdjęcia rentgenowskie, gromadzone poza dokumentacją medyczną pacjenta, są przechowywane przez 10 lat, licząc od końca roku kalendarzowego, w którym je wykonano. Z kolei skierowania na badania lub zlecenia specjalisty są przechowywane przez 5 lat. W przypadku dzieci, które nie ukończyły 2. roku życia, dokumentacja jest przechowywana przez 22 lata.
Po upływie wyznaczonego okresu kartoteka jest niszczona przez podmiot udzielający pomocy medycznej, w sposób uniemożliwiający identyfikację chorego. Warto podkreślić, że dokumentacja medyczna może być wydana pacjentowi lub jego przedstawicielowi ustawowemu za pokwitowaniem, jeśli pacjent wyrazi taką wolę.
W przypadku zakończenia działalności szpitala, przychodni lub gabinetu lekarskiego dokumentacja medyczna zostaje przekazana w nowe miejsce, które wskaże placówka służby zdrowia w chwili
wykreślenia podmiotu z rejestru placówek prowadzących działalność leczniczą.
W odniesieniu do podmiotu leczniczego, który nie jest przedsiębiorcą, czyli placówki publicznej, takie miejsce wskazuje podmiot, który ją utworzył. Warto dodać, że okręgowa rada lekarska prowadzi rejestr miejsc przechowywania dokumentacji medycznej przez pracowników służby zdrowia, udzielających indywidualne świadczenia medyczne.
Organizacja przetwarzania danych osobowych
Organizacja przetwarzania danych osobowych polega na należytym ich zabezpieczeniu. Rozporządzenie wprowadza podejście oparte na ryzyku, tzn. podmiot przetwarzający dane powinien samodzielnie określić, jakie konkretnie środki zabezpieczenia danych powinien wdrożyć, by ochrona była sprawowana w sposób efektywny i skuteczny.
W większości wypadków to nie błąd aplikacji czy sprzętu, lecz ludzka niefrasobliwość jest przyczyną zagrożenia bezpieczeństwa danych osobowych. Za bezpieczeństwo danych odpowiadają wszystkie osoby zatrudnione w danym podmiocie medycznym bądź wykonujące powierzone im przez ten podmiot zadania, które otrzymały od administratora danych prawo do ich przetwarzania. Jeżeli jednak dojdzie do naruszenia bezpieczeństwa danych, należy bezwzględnie i niezwłocznie informować o takich przypadkach osobę wyznaczoną w danym podmiocie (najczęściej będzie to sam właściciel w mniejszych podmiotach, w większych – osoba specjalnie do tego celu wyznaczona).
Jako przykłady naruszenia ochrony danych mogą posłużyć następujące (najczęstsze zresztą) przypadki:
- przypadkowe zniszczenie danych,
- zagubienie nośnika zawierającego dane pacjentów,
- przypadkowe zmodyfikowanie,
- uzyskanie dostępu do danych przez osobę nieuprawnioną,
- włamanie do systemu służącego do przetwarzania danych,
- uzyskanie dostępu do loginów i haseł przez osobę nieuprawnioną,
- wysłanie danych pacjenta na błędny adres e-mail lub korespondencyjny przy przesyłkach tradycyjnych.
Należy pamiętać, że przepisy RODO wprowadzają obowiązek niezwłocznego poinformowania organu nadzorczego o takim naruszeniu (nie później niż w ciągu 72 godzin od stwierdzenia naruszenia). O zaistniałej sytuacji należy także poinformować osobę, której naruszone dane dotyczą.
Niejako upraszczając przepisy rozporządzenia i dla przejrzystości ich przedstawienia, można ująć je w pewne zasady przedstawione poniżej.
Zasada prywatności kont w systemach
W przypadku danych przetwarzanych z użyciem systemów informatycznych każdy użytkownik takiego systemu powinien być zobowiązany do pracy jedynie na przypisanych mu kontach, które jednoznacznie go identyfikują i wyróżniają. Stosowanie się do tej reguły pozwoli uniknąć anonimowości oraz wątpliwości w zakresie, kto i kiedy ingerował w treść danych lub z ich użyciem pracował. Najlepiej zatem, by do każdego pracownika przypisane było konkretne stanowisko pracy, wyposażone w oddzielny komputer. Jeśli niemożliwe jest jednak zapewnienie oddzielnego sprzętu, konieczne jest zobligowanie do korzystania przez każdą osobę z odrębnego konta i zabezpieczenie go zindywidualizowanym kodem dostępu, z czym wiąże się kolejna zasada.
Zasada poufności haseł i kodów dostępu
Każdy użytkownik powinien zachowywać poufność oraz nie przekazywać innym osobom udostępnionych mu haseł i kodów dostępu. Reguła ta dotyczy w szczególności osobistych haseł dostępu do systemów informatycznych, a także kodów dostępu do pomieszczeń. Indywidualne hasło należy zachować jedynie dla siebie. Nie należy przekazywać go innym osobom, w tym przełożonemu lub administratorom, a jeśli już do tego doszło, to powinno się je niezwłocznie zmienić.
Zasada czystego ekranu
Zasada czystego ekranu to bardzo prosta metoda zabezpieczająca dane w przypadku nieobecności użytkownika przy stanowisku pracy. Zgodnie z tą zasadą każdy komputer służący do pracy z danymi musi mieć ustawiony, włączający się automatycznie po zdefiniowanym okresie bezczynności użytkownika, wygaszacz ekranu. W przypadku wznowienia aktywności wygaszacz powinien być wyłączany jedynie po podaniu odpowiedniego hasła. Dodatkowo przed pozostawieniem włączonego komputera bez opieki użytkownicy mogą zablokować go – włączając wygaszacz ekranu, a w przypadku dłuższej nieobecności – najlepiej wylogowując go z systemu.
Dodatkowo, by zabezpieczyć komputer podczas pracy przed nieuprawnionym dostępem innych osób, chodzi głównie o pacjentów, dobrym rozwiązaniem jest stosowanie filtrów prywatyzujących nakładanych na monitor lub ekran notebooka, które sprawiają, że obraz na ekranie jest widoczny wyłącznie dla osoby siedzącej naprzeciw ekranu, a nie dla osób znajdujących się obok.
Zasada czystego biurka
Zasada czystego biurka stanowi podstawową zasadę osób pracujących z wykorzystaniem dokumentów w formie papierowej. W trakcie godzin pracy należy unikać pozostawiania dokumentów na biurku bez nadzoru, szczególnie gdy dokumenty te zawierają istotne z punktu widzenia administratora dane. Również po zakończeniu pracy wszystkie dokumenty mogące stanowić tajemnicę przedsiębiorstwa muszą być przechowywane w zamknięciu i nie powinny być eksponowane w miejscu łatwo dostępnym.
Zasada czystych drukarek
Drukując dokumenty z użyciem ogólnodostępnej drukarki, warto pamiętać, że drukowane informacje powinny być zabierane z drukarek niezwłocznie po wydrukowaniu. W przypadku nieudanej próby wydrukowania użytkownik powinien skontaktować się z osobą odpowiedzialną za eksploatację urządzenia, jeżeli zachodzi podejrzenie, że wydruk zostanie wydrukowany bez nadzoru. Podobnie rzecz się ma w odniesieniu do innych sprzętów, takich jak skanery, kserokopiarki, gdzie możliwe jest zostawienie dokumentu, co zwiększa ryzyko jego dostania się w niepowołane do tego ręce.
Zasada czystej tablicy
W większych podmiotach, w których znajdują się pomieszczenia wspólne dla pracowników, w tym sale konferencyjne, w przypadku prowadzenia prac z użyciem innych niż dokumenty materiałów należy pamiętać, że po zakończonej pracy czy spotkaniu należy uprzątnąć wszystkie takie materiały oraz wyczyścić np. tablice, flipchart itp.
Zasada zamkniętego pomieszczenia
Jeżeli opuszcza się pomieszczenie służbowe, niedopuszczalne jest pozostawienie go niezabezpieczonego, zarówno w godzinach pracy, jak i po jej zakończeniu, jeśli nie pozostaje w nim inna osoba upoważniona. Zasada nie powinna dotyczyć pomieszczeń ogólnie dostępnych, takich jak np. salki konferencyjne. Najlepszym rozwiązaniem jest, gdy po zakończeniu dnia pracy ostatnia wychodząca z pomieszczenia osoba zamknie wszystkie okna i drzwi oraz zabezpieczy klucze do pomieszczenia zgodnie z obowiązującymi zasadami nadzorowania kluczy.
W sytuacji gdy klucze pozostają na portierni, odpowiednim zabezpieczeniem będzie spisanie protokołu powierzenia kluczy z portierem, w którym to protokole zawarta zostanie klauzula zakazu dostępu do danego pomieszczenia czy pomieszczeń.
Zasada czystego kosza
W przypadku pracy na dokumentach w formie papierowej należy pamiętać, że dokumenty papierowe i miękkie nośniki danych z wyjątkiem materiałów jawnych, promocyjnych, marketingowych oraz informacyjnych powinny być niszczone w sposób uniemożliwiający ich ponowne odczytanie np. w niszczarce, umieszczane w specjalnie przeznaczonych do tego celu pojemnikach czy też trwale zniszczone w inny sposób, jak chociażby poprzez spalenie. Niedopuszczalne jest, by dokumenty zawierające dane osobowe, w tym tak szczególne dane, jak odnoszące się do stanu zdrowia, znalazły się w koszu bez uprzedniego ich zniszczenia i uniemożliwienia odczytania zawartej w nich treści.
Zasada dyskrecji lekarskiej
W ochronie zdrowia nowa regulacja oznacza m.in, że lekarz nie powinien wywoływać pacjenta do gabinetu po nazwisku. Będzie mógł użyć np. samego imienia, godziny, na którą pacjent był zapisany, lub przydzielonego mu numerka
Informacje o stanie zdrowia pacjenta, czyli dane wrażliwe, nie powinny docierać do innych osób. Każdy pacjent ma prawo pozostać anonimowy. Lekarz podczas wizyty pacjenta w gabinecie nie powinien rozkładać na stole kart innych pacjentów. W ten sposób uniemożliwia się pacjentowi przebywającemu aktualnie w gabinecie dostęp do wiedzy, kto miał wizytę przed nim i kto będzie następny. W większych klinikach warte rozważenia jest zrezygnowanie z oznaczania gabinetów medycznych specjalnością lekarza. Jeżeli pacjent czeka w kolejce do lekarza, ma prawo, aby ci, którzy czekają razem z nim, nie wiedzieli, do jakiego specjalisty czeka.
Lekarz powinien działać w sposób zapewniający pełną poufność komunikacji z pacjentem, dlatego powinien stworzyć ku temu odpowiednie warunki: zachować odpowiedni odstęp pomiędzy pacjentami przy unikaniu zbyt głośnego mówienia, postawić parawan przesłaniający podejmowane czynności albo zaprosić pacjenta do osobnego pomieszczenia, a gdy nie można tego zapewnić –
poprosić inne osoby o opuszczenie sali na czas udzielania świadczenia.
Dodatkowe informacje dla pacjenta
Ze względu na przyznanie pacjentom nowych praw RODO oznacza dodatkowe obowiązki dla placówek medycznych. Najwięcej problemów może przynieść tzw. obowiązek informacyjny (art. 13 i 14 RODO). Oznacza on, że administrator danych podczas pozyskiwania od pacjenta danych musi posługiwać się jasnym i przejrzystym językiem, musi korzystać z czytelnych grafik, ale także musi zamieścić nowe klauzule informacyjne w dokumentach przekazywanych pacjentowi, np. umowie o świadczenie usług medycznych.
Najprostszym rozwiązaniem będzie dołączenie tychże praw do listy praw pacjenta i udostępnienie ich tymi samymi kanałami, a zatem np. poprzez umieszczenie na stronie internetowej, ogólnodostępnej gablocie w placówce czy w uzasadnionych przypadkach również poprzez załączenie dodatkowej informacji do podpisu przez pacjenta przychodzącego po raz pierwszy do danej jednostki ochrony zdrowia. Swego czasu rozważana była również kwestia potwierdzenia zgód przez pacjentów już przynależących do danej placówki medycznej. Od założenia takiego na szczęście odstąpiono i wymóg pozyskiwania zaktualizowanych zgód dotyczy jedynie pacjentów nowych.
Warto zauważyć, że podstawowe formy informowania o prawach dotyczących ochrony danych osobowych winny już być wdrożone w placówkach medycznych, bazując na obecnie obowiązującej ustawie o ochronie danych osobowych, niezależnie od przepisów RODO.
Z kolei samo rozporządzenie RODO nakazuje, aby przy zbieraniu danych osobie, której one dotyczą, przekazywać szereg dodatkowych informacji (tzw. klauzula informacyjna). Pacjenci powinni zostać poinformowani o:
- tożsamości administratora danych i o jego danych kontaktowych,
- jeżeli administrator danych powołał Inspektora Ochrony Danych (IOD) – o jego danych kontaktowych,
- celach i podstawie przetwarzania danych (najczęstszymi celami będą: profilaktyka zdrowotna, diagnoza medyczna, leczenie i zarządzanie usługami opieki zdrowotnej);
- podstawie prawnej przetwarzania danych osobowych (przepisy art. 9 ust. 2 lit. h ogólnego rozporządzenia o ochronie danych),
- odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli takowi występują, którym administrator zobowiązany jest udostępniać dokumentację medyczną,
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego (państwa spoza Unii Europejskiej) oraz do organizacji międzynarodowej,
- okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu (może on wynikać z innych ustaw, np. dokumentacja pracownicza),
- prawie do żądania od administratora dostępu do danych osobowych dotyczących danej osoby, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do ich przenoszenia,
- prawie do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie udzielonej zgody,
- prawie wniesienia skargi do organu nadzorczego – Urzędu Ochrony Danych Osobowych, gdy pacjent uzna, że przetwarzanie danych osobowych jego dotyczących narusza przepisy ogólnego rozporządzenia o ochronie danych,
- o tym, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych (najczęściej podanie danych będzie warunkiem podjęcia procesu leczenia, a konsekwencją ich niepodania może być odmowa świadczenia usług medycznych),
- jeżeli dochodzi do tzw. zautomatyzowanego podejmowania decyzji lub profilowania – należy poinformować o tym fakcie oraz podać istotne informacje o zasadach automatycznego podejmowania decyzji, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Wszystkie powyżej wymienione elementy powinien zawierać formularz klauzuli informacyjnej, a pod jej treścią pacjent musi wpisać datę i złożyć swój podpis.
Warto pamiętać, że RODO przyznaje prawo do bycia zapomnianym. Osoba, której dane dotyczą, może więc żądać od administratora usunięcia jej danych, a także poinformowania o żądaniu innych, którym je upublicznił. Realizacji tego prawa można i należy jednak odmówić w dwóch przypadkach. Po pierwsze, gdy istnieje przepis prawa, który nakazuje przetwarzanie lub przechowywanie danych osobowych przez określony czas, a po drugie, gdy dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń.
Wprowadzenie większości z powyżej wymienionych norm nie wymaga dużego wysiłku, a jedynie systematyki. Przy stosowaniu ich bezpieczeństwo posiadanych danych na pewno się zwiększy, a ich dostępność dla osób nieupoważnionych, jeśli nie całkowicie wyeliminowana, to zostanie znacznie ograniczona.
