Łukasz Kulicki
RADCA PRAWNY | PARTNER
Radca prawny, Partner w Kancelarii Linke Kulicki specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.
Opublikowano:
Podmioty zajmujące się świadczeniem usług medycznych powinny wdrożyć przepisy rozporządzenia RODO ze szczególną starannością. Wynika to nie tylko z faktu, że dane osobowe pacjentów są często przetwarzana na dużą skalę, jak w przypadku szpitali czy klinik, ale też z charakteru tych informacji. W znacznym stopniu dochodzi bowiem do przetwarzania danych osobowych szczególnych. O czym pamiętać planując wdrożenie RODO w placówce medycznej?
RODO w służbie zdrowia
Przede wszystkim warto wyjaśnić, dlaczego RODO ma aż tak duże znaczenie dla placówek medycznych. Niezależnie od tego, czy usługi medyczne świadczy niewielki gabinet medyczny czy duża klinika, dochodzi do przetwarzania danych osobowych. W rozumieniu art. 4 pkt 2 RODO za przetwarzanie uważa się bowiem każdą czynność, która w jakikolwiek sposób ingeruje w dane osobowe, jak chociażby ich zbieranie, organizowanie, przeglądanie, łączenie lub dopasowywanie.
Zgodnie z art. 9 RODO dane pacjentów często będzie można uznać za szczególną kategorię danych osobowych (m.in. wyniki badań lekarskich, testów genetycznych, testy psychologiczne wypełnione przez pacjentów). Wiąże się to z większym rygoryzmem przetwarzania oraz większymi ograniczeniami.
Jeżeli świadczysz usługi medyczne – musisz stosować RODO. Od tej zasady nie ma odstępstw, dlatego do zarządzania danymi osobowymi pacjentów należy się dobrze przygotować.
Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?
Obowiązki administratora danych względem pacjentów placówki medycznej
Osoba, która decyduje o określeniu celów i sposobach przetwarzania, w rozumieniu przepisów RODO staje się administratorem danych osobowym. W przypadku lekarzy prowadzących JDG będzie to po prostu indywidualny przedsiębiorca, w przypadku podmiotów leczniczych działających w formie np. spółki z o.o., ta właśnie spółka. Wraz ze statusem administratora na daną osobę nakładane są różnego rodzaju obowiązki.
Jakie elementy musi zawierać klauzula informacyjna RODO?
Pacjenci powinni otrzymywać klauzulę informacyjną dotyczącą przetwarzania danych osobowych, w których zostaną wskazane:
- cele i podstawa przetwarzania danych osobowych;
- uprawnienia osób, których dane dotyczą (m.in. prawo do cofnięcia zgody na przetwarzanie danych, prawo do bycia zapomnianym, prawo złożenia skargi do Prezesa UODO);
- inne podmioty, którym będą przekazywane dane osobowe pacjenta, np. zakład ubezpieczeń;
- okres retencji danych osobowych, czyli czas przez jaki będą one przechowywane;
- dane kontaktowe administratora.
Oczywiście administrator danych musi pamiętać, aby nie gromadzić danych na zapas i przechowywać je wyłącznie tak długo, jak są one niezbędne. Ważne jest, aby treść klauzuli sformułować w sposób zrozumiały dla laika. Musi ona zawierać informacje wskazane w przepisach, ale powinna być napisana przystępnym językiem.
Pacjenci gabinetu nie muszą wprawdzie podpisywać klauzuli informacyjnej, ale powinni móc się z nią zapoznać przed skorzystaniem z usług placówki. Dlatego powinna ona znajdować się w widocznym miejscu, np. na stronie internetowej, w formularzu rejestracyjnym, a nawet przy wejściu do gabinetu.
Inaczej wygląda kwestia zgody na przetwarzanie danych w innym celu niż świadczenie usług medycznych, np. wysyłanie newsletterów lub przypomnienia o terminie wizyty. W takiej sytuacji pacjent musi już wyrazić konkretną i jednoznaczną zgodę na działanie.
W jaki sposób dbać o bezpieczeństwo danych osobowych pacjentów?
Placówka medyczna powinna dołożyć wszelkich starań, aby dane osobowe pacjentów były należycie zabezpieczone przed dostępem osób trzecich. Teoretycznie małe gabinety mogą skorzystać z klasycznych „szafek zamykanych na klucz”, ale w dobie informatyzacji znacznie lepsze efekty daje wdrożenie nowoczesnych technologii.
Unijny ustawodawca zapewnia pod tym względem pełną swobodę wskazując jedynie, że środki techniczne i organizacyjne w zakresie bezpieczeństwa powinny być dopasowane do charakteru, zakresu, kontekstu i celów przetwarzania danych oraz kosztów wdrożenia zabezpieczeń.
Formą ochrony może być np. pseudonimizacja lub szyfrowanie danych osobowych, ale także zastosowanie bezpiecznych technologii chmurowych czy uwierzytelnianie dwuskładnikowe. Czy wdrożenie zaawansowanych zabezpieczeń wystarcza, aby dane pacjentów były należycie chronione?
Jak pokazał przypadek Laboratoriów ALAB (hakerzy wykradli 54 tysiące wyników badań pacjentów) – nawet silne zabezpieczenia cyfrowe nie gwarantują bezpieczeństwa. Dają jednak szansę uniknąć kary administracyjnej, ponieważ administrator będzie mógł wykazać, że uczynił zadość zasadzie rozliczalności. Innymi słowy na zabezpieczeniach nie warto oszczędzać, ponieważ w razie potrzeby to one stanowią bufor chroniący przed dotkliwymi sankcjami RODO.
Sprawdź również: Reklama gabinetu lekarskiego – jak działać zgodnie z prawem?
Jakie dokumenty RODO powinna wdrożyć placówka medyczna?
Przygotowując się do wdrożenia RODO w placówce medycznej nie można zapominać o umowie powierzenia przetwarzania danych osobowych. Jest ona niezbędna w sytuacji, kiedy część usług zostaje powierzona innemu podmiotowi. Mogą to być np. usługi kadrowe czy obsługa informatyczna podmiotu. W umowie powierzenia należy dokładnie określić nie tylko dopuszczalny zakres przetwarzania danych przez procesora, ale także jego obowiązki względem administratora.
Kolejnym obowiązkowym dokumentem jest rejestr czynności przetwarzania, czyli zbiór wszystkich procesów w firmie jakie prowadzą do przetwarzania danych osobowych. Obligatoryjne elementy rejestru zostały wskazane w art. 30 RODO, choć jest to lista otwarta. Warto taki dokument przygotować starannie, ponieważ w razie naruszenia danych osobowych pacjentów będzie on mógł stanowić narzędzie obrony na wypadek kontroli UODO.
Niezależnie od rodzaju zastosowanych zabezpieczeń do wycieku danych osobowych może dojść zawsze. Dlatego trzeba pamiętać, że przepisy RODO nakładają na administratora obowiązek prowadzenia rejestru naruszeń w zakresie rozporządzenia. Powinny w nim znaleźć się informacje dotyczące:
- wszelkie naruszenia danych osobowych;
- skutki naruszeń;
- działania zaradcze w związku z naruszeniami RODO.
Podobnie jak rejestr czynności przetwarzania, także rejestr naruszeń muszą być udostępnione organowi nadzorczemu w razie kontroli. Warto pamiętać, że w przypadku naruszenia poufności lub integralności szczególnych danych osobowych na administratorze spoczywają szczególne obowiązki, w tym zawiadomienie osób, których dane zostały naruszone o potencjalnych skutkach uchybienia i działaniach podjętych przez administratora.
Jeżeli przetwarzanie danych osobowych odbywa się na dużą skalę (np. w centrach medycznych,) niezbędne jest opracowania DPIA, czyli Data Privacy Impact Assessment. Ocena skutków dla ochrony danych to analiza w wyniku której administrator ustala na jakie czynniki ryzyka narażone są procesy przetwarzania danych, w jaki sposób można to ryzyko ograniczyć i czy rzeczywiście każdy proces jest niezbędny.
Oczywiście nie są to wszystkie zagadnienia z zakresu o których trzeba pamiętać decydując się na prowadzenie placówki medycznej. Wypada wspomnieć chociażby jeszcze o ustanowieniu Inspektora Ochrony Danych Osobowych, umowach subprocessingu czy współpracy z podmiotami, które mają siedzibę poza UE (np. w Stanach Zjednoczonych) i świadczą usługi na rzecz placówki medycznej, dostarczając system CRM lub inne wsparcie w zakresie IT. Każde z tych działań powinno być skonsultowane z kancelarią prawną, ponieważ w razie uchybienia kary administracyjne RODO mogą okazać się bardzo wysokie. Dodatkowo każda osoba, która poniosła szkodę w związku z naruszeniem jej danych osobowych może żądać jej naprawienia od administratora.
Obowiązek wdrożenia RODO spoczywa na każdej placówce medycznej, ale wbrew pozorom trudno tutaj znaleźć uniwersalne, sztampowe rozwiązania. Dokumentacja RODO powinna być każdorazowo dopasowana do specyfiki prowadzonej działalności, ponieważ procesy i ich obieg w każdej działalności wyglądają nieco inaczej.
Kancelaria Linke Kulicki zajmuje się kompleksowym wdrażaniem RODO w podmiotach świadczących usługi medyczne. Nasz zespół przygotuje niezbędną dokumentację, zajmie się szkoleniem pracowników oraz służą swoim wsparciem w razie kontroli organu nadzorczego. Skontaktuj się z nami i sprawdź, jak możemy Ci pomóc.