RODO w ochronie zdrowia – aspekty prawne

4 lat temu

RODO w podmiocie leczniczym – wstęp

RODO w ochronie zdrowia jest zagadnieniem względnie nowym, ale istotnym dla prawidłowego pod kątem prawnym funkcjonowania podmiotów leczniczych. W trakcie świadczenia usług prawnych na rzecz podmiotów leczniczych często spotykamy się z pytaniami dotyczącymi ochrony danych medycznych oraz związanych z tym obowiązków.

Wśród przedsiębiorców zobligowanych do stosowania przepisów rozporządzenia o ochronie danych osobowych znajdują się podmioty lecznicze. Wydawać by się więc mogło, iż podmioty lecznicze powinny spełnić obowiązki z zakresu przetwarzania danych osobowych analogicznie jak wszyscy inni przedsiębiorcy, którzy przetwarzają dane. Jest to stwierdzenie prawdziwe, ale niewątpliwie nie mówi wszystkiego o przetwarzaniu danych przez placówki lecznicze.

Jeżeli mówimy bowiem, o RODO w placówce medycznej należy zwrócić uwagę dwie istotne kwestie.

Po pierwsze, dane przetwarzane przez podmiot leczniczy dotyczące stanu zdrowia mają charakter szczególnych kategorii danych (zwanych często jako dane wrażliwe). O definicji danych osobowych, w tym tzw. danych wrażliwych pisaliśmy w artykule: Dane osobowe co to oznacza?

Po drugie, przetwarzanie danych osobowych w podmiocie leczniczym dotyczy zwykle setek lub tysięcy pacjentów (podmiotów danych).

W związku z powyższym przetwarzanie danych medycznych przez podmioty lecznicze wymaga niewątpliwie szczególnego podejścia. W niniejszym artykule omówimy najważniejsze zagadnienia dotyczące ochrony danych osobowych w podmiocie leczniczym. Zapraszamy do lektury.

Przetwarzanie danych medycznych – czy potrzebna jest odrębna zgoda?

Omawianie tematu RODO w ochronie zdrowia warto rozpocząć od ustalenia, na jakiej podstawie podmioty lecznicze przetwarzają dane osobowe pacjentów. Wbrew pozorom określenie tej kwestii ma doniosłe znaczenie praktyczne i w istotny sposób wpływa na zakres obowiązków podmiotu leczniczego w zakresie ochrony danych.

Zasady przetwarzania tzw. szczególnych kategorii danych osobowych określa art. 9 ust. 1 RODO. Przepis ten znacząco ogranicza możliwość przetwarzania szczególnych kategorii danych osobowych, w tym danych dotyczących zdrowia. RODO co do zasady zabrania bowiem przetwarzania wskazanych kategorii danych, chyba iż zachodzi jeden z enumeratywnie wskazanych przypadków wyłączających zakaz. Do wyjątków tych należy sytuacja, gdy: przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej, leczenia, zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

Jednocześnie w świetle przepisów ustawy o działalności leczniczej, ustawy o zawodzie lekarza i lekarza dentysty oraz ustawy o prawach pacjentach i Rzeczniku Praw Pacjenta, przetwarzanie danych o stanie zdrowia jest nie tylko prawem, ale i obowiązkiem podmiotów leczniczych. Dane wrażliwe w medycynie są zatem przetwarzane w oparciu o podstawę jaką jest przepis prawa. Podstawą przetwarzania przez podmiot leczniczy danych o stanie zdrowia nie jest natomiast zgoda osoby poddawanej leczeniu.

Podsumowując powyższe: podmiot leczniczy jako administrator danych osobowych pacjentów przetwarza dane w oparciu o przepisy prawa. Podmiot leczniczy w przeciwieństwie do większości innych administratorów danych (np. firm świadczących usługi konsultingowe, agencji nieruchomości i in.) nie musi uzyskiwać odrębnej zgody pacjenta na przetwarzanie danych osobowych.

W praktyce oznacza to, iż przystępując do wykonywania świadczeń medycznych na rzecz pacjenta nie ma konieczności uzyskiwania jego zgody na przetwarzanie danych osobowych. Nie ma przy tym znaczenia, czy świadczenia udzielane są komercyjnie, czy w ramach umowy z NFZ.

Należy jednak mieć na uwadze, iż brak obowiązku uzyskiwania zgody na przetwarzanie danych nie zwalania podmiotu leczniczego z innych obowiązków określonych w RODO. Wręcz przeciwnie, można powiedzieć, iż podmiot leczniczy w związku z przetwarzaniem danych wrażliwych powinien szczególną starannością podchodzić do zagadnień związanych z zabezpieczeniem danych, o czym szerzej w dalszej części artykułu.

Warto jednak pamiętać, iż czym innym jest zgoda na przetwarzanie danych medycznych, a czym innym zgoda na poddanie pacjenta świadczeniom zdrowotnym. Brak konieczności uzyskiwania przez podmiot leczniczy zgody na przetwarzanie danych pacjenta nie wpływa oczywiście na obowiązek uzyskiwania od niego innych zgód określonych w przepisach z zakresu prawa medycznego, w tym zgody na wykonanie zabiegu.

Obowiązki informacyjne RODO w podmiocie leczniczym

Podmiot leczniczy posiada status administratora danych osobowych w rozumieniu przepisów RODO. W związku z tym ciąży na nim szereg obowiązków uregulowanych w RODO. Jedną z najważniejszych powinności administratora stanowi wykonywanie tzw. obowiązku informacyjnego. Co to oznacza w praktyce?

Podmiot leczniczy jako administrator danych powinien informować pacjentów m.in.:

  • kto jest administratorem ich danych osobowych,
  • w jakim celu dane są przetwarzane,
  • jak długo dane będą przechowywane,
  • komu dane osobowe są przekazywane i udostępniane,
  • jakie prawa przysługują pacjentom w związku z przetwarzaniem ich danych.

Wdrożenie RODO w podmiotach medycznych powinno zatem obejmować w pierwszej kolejności opracowanie wzorów klauzul informacyjnych, które będą wykorzystywane w celu realizacji obowiązku informacyjnego. Klauzula informacyjna dotycząca przetwarzania danych osobowych to dodatkowy formularz, z którym pacjent powinien zapoznać się przy pierwszej wizycie w danym podmiocie leczniczym.

Umowa powierzenia danych medycznych

Placówka medyczna jest zobowiązana zawrzeć umowę o powierzenie przetwarzania danych osobowych w każdym przypadku, gdy zleca innemu podmiotowi wykonanie określonych usług, związanych z przekazaniem dostępu do danych osobowych. Obowiązek zawarcia takiej umowy dotyczy m.in. outsourcingu usług:

  • informatycznych,
  • księgowych,
  • kadrowych,
  • windykacyjnych,
  • prowadzenia dokumentacji medycznej.

O tym, co powinna zawierać poprawnie skonstruowana umowa powierzenia pisaliśmy w artykułach „Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych cz. I” oraz „Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych cz. II”.

Brak umowy powierzenia w sytuacji, gdy jej zawarcie jest obowiązkowe stanowi naruszenie przepisów RODO i może skutkować nałożeniem na administratora kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych.

Zabezpieczenie danych osobowych w placówce medycznej

Jak już zostało stwierdzone – podmiot leczniczy posiada status administratora danych osobowych. Co więcej dane osobowe przetwarzane przez podmiot leczniczy mają charakter szczególnych kategorii danych (danych wrażliwych). Podmiot leczniczy, jak każdy administrator danych powinien, więc wdrożyć zasady ochrony danych wynikające z odpowiednich przepisów prawa. Tym, co odróżnia jednak podmiot leczniczy od większości podmiotów mających status administratora jest właśnie przetwarzanie danych wrażliwych. W praktyce większość administratorów operuje wyłącznie na danych zwykłych. Podmiot leczniczy w przeważającej mierze przetwarza zwykle dane wrażliwe (dane medyczne). Zarówno zakres jak i treść dokumentacji dotyczącej zabezpieczenia danych w podmiocie leczniczym są więc zasadniczo odmienne niż w przypadku innych administratorów.

Podmioty prowadzące działalność leczniczą powinny zatem zadbać o należyte zabezpieczenie danych osobowych. W tym zakresie istotną kwestią jest nie tylko adekwatne zorganizowanie przetwarzania danych osobowych, ale także opracowanie odpowiedniej dokumentacji RODO w placówce medycznej, określającej zasady zabezpieczania danych osobowych oraz procedury postępowania z tymi danymi.

Przystępując do wdrożenia RODO w podmiocie leczniczym, placówka powinna zorganizować zabezpieczenie danych w trzech głównych aspektach:

  • zabezpieczeń fizycznych,
  • zabezpieczeń technicznych i informatycznych oraz
  • zabezpieczeń prawnych i organizacyjnych.

Zabezpieczenia fizyczne powinny zmierzać do zapewnienia jak najwyższego poziomu ochrony danych przetwarzanych w postaci papierowej. Z kolei zabezpieczenia techniczne i informatyczne mają na celu uniknięcie naruszeń bezpieczeństwa danych w postaci elektronicznej. W związku z trwającym procesem elektronizacji dokumentacji medycznej ten obszar zabezpieczeń należy uznać za szczególnie istotny w działalności podmiotu leczniczego.

Ostatni aspekt – zabezpieczenia prawne i organizacyjne – mają na celu stworzenie reguł i procedur postępowania w placówce medycznej w związku z przetwarzaniem danych osobowych. Należy pamiętać, iż zgodnie z RODO, zasady zabezpieczeń powinny być możliwe do wykazania przed organem nadzorczym dokonującym kontroli. Zatem z naszego doświadczenia wynika, iż aby zabezpieczenia prawne i organizacyjne w podmiocie leczniczym były skuteczne, a ich istnienie możliwe do udowodnienia, powinny posiadać postać odpowiedniej dokumentacji.

Dokumentacja RODO w placówce medycznej powinna zawierać przede wszystkim:

  • obowiązki pracowników i osób współpracujących w zakresie ochrony danych osobowych,
  • procedury postępowania na wypadek naruszenia ochrony danych (np. wycieku danych),
  • procedury usuwania danych osobowych, tzw. retencji danych.

Warto, aby powyższe dokumenty były indywidualnie opracowane, z uwzględnieniem specyfiki określonej placówki medycznej lub gabinetu lekarskiego. Korzystanie z gotowych wzorców, które można znaleźć w sieci nie gwarantuje, iż wdrożone zabezpieczenia będą należycie spełniały swoją rolę.

Prawnicy naszej kancelarii maja na swoim koncie znaczą ilość wdrożeń RODO w placówkach medycznych. Przy przeprowadzeniu wdrożeń wyznajemy zasadę – minimum formalności, maksimum bezpieczeństwa. Jak wygląda to praktyce ?

W pierwszej kolejności poznajemy strukturę organizacyjną podmiotu leczniczego, sprawdzamy, jakie dane są przetwarzane, w jaki sposób oraz przez kogo. o ile podmiot leczniczy posiada już dokumentacje z zakresu danych osobowych, podlega ona naszej weryfikacji pod kątem obowiązujących aktualnie przepisów. Niejednokrotnie zdarza się bowiem, iż dokumentacja wymaga jedynie niewielkich korekt i może być z powodzeniem stosowana w dalszym ciągu. o ile podmiot leczniczy nie wprowadził żadnych wymagań formalnych dotyczących przetwarzania danych osobowych, nasza kancelaria opracowuje dokumentację w zakresie niezbędnym do bezpiecznego przetwarzana danych. Po przygotowaniu dokumentacji wspieramy naszych klientów przy jej wdrażaniu. Odpowiadamy na pytania, jakie mogą się pojawić przy praktycznym stosowaniu wdrożonych zasad oraz udzielamy rekomendacji związanych z bieżącymi zagadnieniami związanymi z rodo.

Dokumentacja RODO dla gabinetu lekarskiego

Poza zorganizowanymi podmiotami leczniczymi, dane pacjentów mogą być przetwarzane także przez lekarzy, w ramach prowadzonej przez nich praktyki lekarskiej. Warto pamiętać, iż konieczność przestrzegania przepisów RODO nie została wyłączona w odniesieniu do małych firm, w tym także jednoosobowych działalności gospodarczych. Z tego powodu dokumentacja RODO dla gabinetów lekarskich zasadniczo powinna spełniać wszystkie wymagania określone w Rozporządzeniu, skierowane ogólnie do przedsiębiorców.

Jednocześnie jednak pewne różnice w zakresie wdrożenia RODO w gabinecie lekarskim mogą wynikać ze prowadzonej skali działalności. Lekarz powinien wykonywać obowiązki informacyjne oraz odpowiednio zabezpieczać przetwarzane dane osobowe, zwłaszcza szczególne kategorie danych (dane medyczne). W praktyce jednak zwykle lekarz udziela świadczeń zdrowotnych w odniesieniu do znacznie węższej grupy pacjentów niż podmiot leczniczy. Z tego powodu zakres niezbędnych zabezpieczeń danych osobowych w przypadku indywidulanej praktyki lekarskiej może być zasadniczo mniejszy niż w przypadku podmiotów leczniczych.

Rozmiar niezbędnej dokumentacji RODO w gabinecie lekarskim oraz sposób jej wdrożenia należy jednak ustalać w odniesieniu do konkretnej działalności określonego lekarza. Jak już wspominaliśmy niejednokrotnie w tym artykule i w innych publikacjach na naszym blogu, wdrożenie RODO wymaga bowiem indywidualnych rozwiązań.

Powołanie inspektora ochronny danych (IOD) w podmiocie leczniczym

RODO określa trzy kategorie podmiotów zobowiązanych do powołania IOD. Należą do nich:

  • podmioty publiczne,
  • podmioty, których główna działalność wymaga regularnego i systematycznego monitorowaniu osób i jest prowadzona na dużą skalę,
  • podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych lub danych dotyczących wyroków skazujących i czynów zabronionych.

Placówki medyczne mogą potencjalnie rozważać przynależność do trzeciej z wymienionych kategorii. Istotą działalności podmiotów leczniczych jest świadczenie usług medycznych i tym samym przetwarzanie danych o stanie zdrowia (szczególnych kategorii danych). Zatem kryterium pozwalającym uznać, iż placówka medyczna jest zobligowana do powołania inspektora ochrony danych stanowi skala jej działalności.

Mając na uwadze wspomniany już we wcześniejszej części artykułu fakt, iż podmioty lecznicze posiadają dane setek, a nierzadko choćby tysięcy pacjentów, znaczna część tych podmiotów jest zobowiązana do powołania w swojej strukturze organizacyjnej Inspektora Ochrony Danych Osobowych.

Inspektor ochrony danych osobowych w podmiocie leczniczym ma za zadanie wspierać administratora (podmiot leczniczy) w przestrzeganiu przepisów RODO, udzielać zaleceń, informować o obowiązkach, które na mocy rozporządzenia o ochronie danych ciążą na administratorze.

Niewykonanie obowiązków wynikających z RODO wiąże się zwykle z możliwością nałożenia na administratora kary pieniężnej. Nie inaczej jest w przypadku powołania IOD. Brak wyznaczenia inspektora ochrony danych osobowych przez podmiot należący do jednej z wymienionych wyżej kategorii może skutkować wszczęciem postępowania administracyjnego przez PUODO i wydaniem decyzji o ukaraniu. Z tego względu w związku z rozpoczęciem prowadzenia podmiotu leczniczego lub w przypadku zwiększenia skali jego działalności warto zweryfikować, czy na placówce ciąży obowiązek powołania IOD.

Szerzej o obowiązku powołania IOD pisaliśmy w artykule „Inspektor ochrony danych – kto ma obowiązek powołania inspektora danych?”.

Dane wrażliwe w medycynie – udostępnianie danych pacjentom

Z przepisów RODO, jak i ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wynika prawo pacjenta do uzyskania informacji o stanie zdrowia oraz dostępu do dokumentacji medycznej. W związku z powyższym przyjęte rozwiązania w zakresie RODO dla placówek medycznych powinny uwzględniać także kwestie bezpiecznego przekazywania danych. Zapewnienie ochrony danych medycznych na etapie ich udostępniania pacjentom ma istotne znaczenie zwłaszcza z uwagi na elektronizację dokumentacji medycznej. Tym samym podmiot leczniczy powinien zadbać, aby dane wrażliwe udostępniane pacjentom w systemach informatycznych były odpowiednio chronione przed dostępem osób nieupoważnionych. W tym celu konieczne jest stworzenie odpowiednich rozwiązań informatycznych, haseł dostępu oraz procedur weryfikacji tożsamości. Na analogicznych zasadach należy zapewnić ochronę danych medycznych przekazywanych w formie papierowej. Przed wydaniem dokumentów podmiot leczniczy powinien sprawdzić zgodność danych osobowych na dokumentacji medycznej z danymi osoby odbierającej lub istnienie stosownego upoważnienia do odbioru dokumentacji.

Zapewnienie powyższych zasad przetwarzania danych medycznych pozwala nie tylko uniknąć konsekwencji finansowych wynikających z RODO, ale także konsekwencji związanych z naruszeniem praw pacjenta.

Audyt RODO w placówce medycznej

W świetle obowiązków, jakie nakłada RODO na administratorów danych warto wskazać, iż podmioty lecznicze są zobowiązane nie tylko opracować dokumentację RODO i ją wdrożyć, ale także zapewnić stałe przestrzeganie przepisów obowiązującego prawa oraz wprowadzonych zasad ochrony danych. W związku z tym warto regularnie sprawdzać poprawność przetwarzania danych poprzez zlecanie przeprowadzenia audytów RODO. Ochrona danych medycznych w podmiocie leczniczym powinna być systematycznie weryfikowana. Pozwala to niezwłocznie wychwytywać wszelkie nieprawidłowości i unikać ewentualnych uchybień, a w konsekwencji również kar pieniężnych z tytułu naruszenia RODO.

Nasza kancelaria w ramach praktyki prawa ochrony danych osobowych, regularnie przeprowadza audyty w placówkach medycznych. Audyt wymaga zwykle spotkania w zakładzie podmiotu leczniczego z audytorami oraz rozmowy z zasadniczym personelem administracyjnym podmiotu. Na życzenie Klienta audyt przeprowadzamy razem ze współpracującą z nami firmą IT, która bada aspekty techniczne przetwarzania danych (m. in. istniejące poziomy zabezpieczeń sprzętu i oprogramowania). Audyt w placówce medycznej ma charakter kompleksowy. Na zakończenie audytu przedstawiamy wnioski z audytu w praktycznej i przystępnej formule. W razie potrzeby przygotowujemy lub modyfikujemy dokumentacje z zakresu RODO w podmiocie leczniczym.

Komentarz Capital Legal

Konieczność ochrony danych medycznych odgrywa istotne znaczenie w działalności podmiotu leczniczego. Ze względu na rodzaj danych osobowych, które są przetwarzane w placówkach medycznych (dane wrażliwe w medycynie), nie warto ignorować tych obowiązków. Potencjalnie naruszenie ochrony danych osobowych może wiązać się z konsekwencjami finansowymi w postaci kary pieniężnej w wysokości do 20 mln euro lub 4% rocznego obrotu firmy. Opisanych wyżej kar można uniknąć, powierzając wdrożenie RODO profesjonalnemu podmiotowi.

W naszej praktyce od lat zajmujemy się prawną ochroną danych medycznych. Posiadamy doświadczenie w zakresie wdrażania ogólnego rozporządzenia o ochronie danych oraz świadczenia usług RODO dla placówek medycznych. jeżeli potrzebują Państwo doradztwa w zakresie ochrony danych osobowych w podmiocie leczniczym lub gabinecie lekarskim, zapraszamy do kontaktu z naszą kancelarią.

Idź do oryginalnego materiału
  1. Strona główna
  2. RODO i dane osobowe
  3. RODO w ochronie zdrowia – aspekty prawne

Powiązane

LLM Siri: Oczekiwanie jest frustrujące, ale nagroda za prywatność będzie tego warta

LLM Siri: Oczekiwanie jest frustrujące, ale nagroda za prywa...

1 dzień temu
Szkolenie online: Automatyzacja Decyzji w AI: Prawne Wytyczne i Ryzyka Związane z RODO – 27.11.24 r., 18.00

Szkolenie online: Automatyzacja Decyzji w AI: Prawne Wytyczn...

1 dzień temu
Krajowy Rejestr Oznakowanych Psów i Kotów w ogniu krytyki. Uwagi Prezesa Urzędu Ochrony Danych Osobowych i Głównego Lekarza Weterynarii

Krajowy Rejestr Oznakowanych Psów i Kotów w ogniu krytyki. U...

2 dni temu
Facebook powinien zapłacić odszkodowania tysiącom użytkowników

Facebook powinien zapłacić odszkodowania tysiącom użytkownik...

2 dni temu
Krajowy Rejestr Oznakowanych Psów i Kotów

Krajowy Rejestr Oznakowanych Psów i Kotów

2 dni temu
Uwagi PUODO do projektu ustawy o Krajowym Rejestrze Oznakowanych Psów i Kotów

Uwagi PUODO do projektu ustawy o Krajowym Rejestrze Oznakowa...

3 dni temu
Jak zdobyć dane właściciela konta?

Jak zdobyć dane właściciela konta?

3 dni temu
Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informacji

Dokumentacja SZBI System Zarządzania Bezpieczeństwem Informa...

3 dni temu
Kampania phisingowa umożliwiająca przejęcie danych z dysku komputera

Kampania phisingowa umożliwiająca przejęcie danych z dysku k...

3 dni temu