Rozporządzenie o Ochronie Danych Osobowych (RODO) w znaczący sposób zmieniło niektóre paradygmaty w zakresie ochrony danych. Tak się składa, że lekarze są jednym z zawodów, którzy musieli wprowadzić wiele zmian w tym zakresie. W związku z możliwymi sankcjami dotyczącymi niestosowania się do Rozporządzenia, bardzo ważne jest, aby lekarze i kliniki prawidłowo wdrożyli RODO w swoich centrach medycznych. Oto, co musisz wiedzieć i czego musisz przestrzegać, będąc lekarzem lub dyrektorem przychodni.
Dane pacjentów
Ochrona danych w przypadku lekarzy i klinik zdrowia jest szczególnie ważna ze względu na ich rodzaj. W szczególności, na mocy rozporządzenia, jako dane osobowe związane ze zdrowiem, mamy do czynienia z informacjami gromadzonymi i przetwarzanymi jako dane wrażliwe. Ustęp 6 Rozporządzenia mówi o tym, że dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych służących jednoznacznej identyfikacji osoby fizycznej, danych dotyczących zdrowia lub danych dotyczących życia seksualnego lub orientacji seksualnej osoby fizycznej to dane szczególnie wrażliwe i dlatego są bardziej proaktywnie chronione przez prawo.
Istotną kwestią poruszaną przez RODO jest to, że każde przetwarzanie danych musi być w jakiś sposób uzasadnione: podstawą ma być umowa zawarta między administratorem danych a osobą, której dane dotyczą. Z tego właśnie powodu lekarze i kliniki, jeśli chcą przestrzegać RODO, muszą mieć dowody na istnienie takiej umowy (NFZ, firma ubezpieczeniowa, itp.), chociaż bezpośrednio z pacjentem jej w żaden sposób nie podpisują.
Zgoda na przetwarzanie danych osobowych pacjentów
Jeśli chcemy wywiązać się z obowiązku przekazywania informacji o ochronie danych we właściwy sposób, powinniśmy okazać pacjentom przychodzącym do gabinetu stosowny dokument do podpisania. Informację o tym, kto jest administratorem danych osobowych należy zamieścić również na stronie internetowej kliniki lub przychodni.
Bezpieczeństwo danych
RODO stawia wobec administratorów danych wymóg dotyczący bezpieczeństwa przechowywanych danych. W przypadku lekarzy i klinik, ze względu na rodzaj informacji, będziemy musieli wziąć pod uwagę, że ryzyko w przypadku utraty, modyfikacji lub dotarcia informacji do osób trzecich jest ogromne, dlatego będziemy musieli zastosować szczególnie delikatne środki.
Zaleca się również zachowanie szczególnej ostrożności w przypadku korzystania z portali społecznościowych, takich jak Facebook, ponieważ istnieje prawdopodobieństwo, że nie spełniają zasad wymienionych w nowym rozporządzeniu.
Czy każda przychodnia i praktyka lekarska ma obowiązek wyznaczenia administratora danych osobowych?
Jeśli mowa o placówkach prywatnych, kryterium oceny konieczności ustanowienia IODO jest skala przetwarzanych danych. Zgodnie z RODO, „jednoosobowy” NZOZ prowadzony przez lekarza nie musi zatrudniać IODO.
Z uwagi na niejednoznaczne wytyczne RODO, zrodziła się konieczność doprecyzowania terminu skali, zaś przychodnie opierają się m.in. na zasadach opisanych w Kodeksie Branżowym z 13 listopada 2018 roku, zgodnie z którym konieczność ustanowienia inspektora danych osobowych:
- dotyczy podmiotów udzielających ambulatoryjnych świadczeń zdrowotnych, w tym w ramach Ambulatoryjnej Opieki Specjalistycznej, które zrealizowały świadczenia dla nie więcej niż 600 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy)
- dotyczy podmiotów udzielających wyłącznie świadczeń POZ i nieposiadających więcej niż 6000 przypisanych Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy wg stanu na ostatni dzień miesiąca)
- dotyczy podmiotów udzielających stacjonarnych i całodobowych świadczeń zdrowotnych:
- możemy tu zaliczyć podmioty szpitalne, które udzielały świadczeń zdrowotnych dla nie więcej niż 200 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy)
- w ich skład wchodzą jednostki inne niż szpitale, które udzielały świadczeń zdrowotnych dla nie więcej niż 300 Unikalnych Pacjentów miesięcznie w ciągu ostatnich 3 miesięcy (średnia z 3 wcześniejszych miesięcy).
RODO w podmiotach leczniczych
Nowe europejskie rozporządzenie o ochronie danych przewiduje wyższe kary niż te, które istniały wcześniej. Zgodnie z art. 83 RODO, teraz, oprócz odszkodowania za szkody, mogą zostać nałożone kary administracyjne w wysokości nawet kilkunastu milionów euro.
Z tego powodu, jeśli prowadzimy własną przychodnię lub klinikę, lepiej nie ryzykować niestosowaniem się do wyżej opisanych norm, biorąc pod uwagę, że wdrożenie RODO w podmiotach leczniczych jest stosunkowo proste.