Podstawowe informacje o RODO

Rozporządzenie nazywane w skrócie RODO zastępuje regulacje prawne dot. Ochrony danych osobowych obowiązujące w krajach członkowskich UE. W Polsce, 25 maja 2018 roku uchylona została ustawa z 29 sierpnia 1997 roku o ochronie danych osobowych.

Polski parlament zdecydował się przygotować nową ustawę, która ma charakter uzupełniający regulacje prawne wynikające z unijnego rozporządzenia. Nowe przepisy wprowadzane przez RODO nadają zagadnieniu ochrony danych osobowych wyższy priorytet oraz przede wszystkim zwiększają poziom zabezpieczeń przetwarzanych danych osobowych. Jako przyczyny nowej regulacji wymienia się postępują globalizację oraz upowszechniony dostęp do Internetu.

RODO dotyczy wszystkich branż, jednak na działalność leczniczą zwraca szczególną uwagę. Placówki medyczne codziennie przetwarzają wrażliwe lub tzw. sensytywne dane osobowe dotyczące zdrowia pacjentów. Wedle unijnego rozporządzenia takie dane mogą przetwarzać tylko podmioty prowadzące działalność leczniczą. 

Każda placówka medyczna gromadzi dane na temat pacjentów, dlatego musi stosować się do przepisów prawnych, dotyczących ochrony danych osobowych. W przypadku rażących zaniechań bądź permanentnego nieprzestrzegania zapisów RODO – właściciela placówki może czekać bardzo wysoka pieniężna kara.

Nowe obowiązki informacyjne w RODO

Placówki medyczne (podobnie jak firmy z każdej branży) otrzymały nowe obowiązki informacyjne względem osób, których dane mają być przetwarzane. Dane przekazywane przez administratora danych osobowych (placówkę medyczną) powinny być przekazywane w sposób jasny i zrozumiały dla każdego. Formalny szablon obowiązku informacyjnego jest obecnie opracowywany w Kodeksie Branżowym* i uzgadniany z Urzędem Ochrony Danych Osobowych. Wywieszenie takiej klauzuli w recepcji bądź poczekalni to podstawa, jeśli chodzi o wypełnienie jednego z obowiązków informacyjnych jakie wprowadza RODO. Jakie informacje powinna zawierać taka klauzula?

W niektórych przypadkach wymagane mogą być również:

• Informacje o zamiarze przekazywania danych osobowych do państwa trzeciego albo organizacji międzynarodowej 
• Informacje o okresie, przez jaki dane będą przechowywane
• Informacje o uprawnieniach pacjenta (Prawo dostępu do danych, Prawo do ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawie do wniesienia sprzeciwu, prawo przenoszenia danych i prawo do cofnięcia zgody na przetwarzanie danych - jeżeli przetwarzanie odbywa się na podstawie takiej zgody)
• Informacje czy podanie danych przez pacjenta jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, czy pacjent jest zobowiązany do ich podania oraz jakie są konsekwencje niepodania danych

Inspektor Ochrony Danych

Nowością jest również obowiązek posiadania przez podmioty wykonujące świadczenia zdrowotne Inspektora Ochrony Danych. Zastępuje on dotychczasowego Administratora Bezpieczeństwa Informacji. Inspektora Ochrony Danych Osobowych nie muszą zatrudniać placówki, które nie przetwarzają danych osobowych „na dużą skalę” – jak czytamy w rozporządzeniu. Co oznacza to w praktyce? Temat ten wywołał niemałe zamieszanie, gdyż RODO nie określiło precyzyjnie progu liczbowego osób, od którego zaczyna się przetwarzanie "na dużą skalę". Aktualnie wiadomo, że małe gabinety lekarskie nie muszą zatrudniać Inspektora – w przeciwieństwie do szpitali.

Wymagania techniczne i organizacyjne

Według zapisów RODO placówka medyczna musi wdrożyć wszelkie niezbędne środki techniczne i organizacyjne w celu bezpiecznego przetwarzania danych zgodnie z unijnym rozporządzeniem. Art. 24 ust. 2 RODO stanowi, iż (jeżeli jest to „przetwarzanie na dużą skalę”) podmiot leczniczy powinien opracować i wdrożyć odpowiednie polityki ochrony danych. Zapisy o organizacji i warunkach gromadzenia dokumentacji warto skonfrontować z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – to na podstawie rozporządzenia polskiego ministra większość polskich placówek medycznych opracowywała warunki przechowywania danych.

Umowa o powierzenie przetwarzania danych

Placówka medyczna, które udostępnia dane o swoich pacjentach innemu podmiotowi leczniczemu (np. Ambulatoryjnej Opiece Specjalistycznej) są zobowiązane do zawarcia z nim umowy o powierzenie przetwarzania danych. Co warte uwagi, unijne rozporządzenie dopuszcza również zawieranie umów w formie elektronicznej. Placówka medyczna, która zobowiąże się do przetwarzania danych pacjentów z innej placówki zobowiązuje się do zapisów w poniższej infografice:

Nowy Rejestr czynności przetwarzania danych

Z unijnego rozporządzenia wynika, że uchylony zostaje obowiązek rejestracji zbiorów danych osobowych w GIODO lub Urzędzie Ochrony Danych Osobowych. Niemniej jednak, art. 30 RODO stanowi, iż podmioty przetwarzające dane wrażliwe, czyli również dane medyczne, są zobowiązane do prowadzenia rejestru czynności przetwarzania danych osobowych, który zawierać będzie w szczególności:

Ocena skutków dla ochrony danych – nowy obowiązek informacyjny

Kolejnym obowiązkiem jaki nakłada RODO na placówki medyczne jest opracowywanie dokumentów oceny skutków dla ochrony danych. Zapisy dotyczącego tego punktu znajdują się w art. 35 RODO. Dokument oceny powinien zawierać:

Kilka słów o RODO od Radcy Prawnego

 „Wejście w życie RODO odbiło się szerokim echem w branży medycznej. Przed 25 maja 2018 r. w większości placówek temat ochrony danych albo nie istniał w ogóle albo nie należał do priorytetów. W chwili obecnej obserwujemy stały wzrost świadomości w tej kwestii zarówno wśród kadry zarządzającej placówkami medycznymi jak i wśród personelu medycznego. Jeżeli chodzi o wdrożenie RODO to najgorzej radzą sobie podmioty, które zdecydowały się zrobić to na własną rękę. Zdecydowanie lepsze efekty widoczne są w przypadku współpracy z firmą, która specjalizuje się w ochronie danych osobowych w branży medycznej. Najwięcej pytań i wątpliwości ze strony podmiotów leczniczych w chwili obecnej dotyczy zasadności zawierania umów powierzenia przetwarzania danych, ich treści oraz kwestie obowiązku informacyjnego względem pacjentów.”

Damian Sawicki, Radca Prawny

Fortak & Karasiński Radcowie Prawni Sp. P.

* Kodeks branżowy ma za zadanie ułatwić stosowanie nowego prawa w danej branży. Art. 40 RODO przewiduje powstawanie takich kodeksów. W Polsce powstaje projektu kodeksu, którego ostateczna wersja ma być gotowa na maj 2019 roku. Kodeks w aktualnej formie można pobrać z tej strony.