RODO w przychodni i RODO w placówce medycznej innego typu
RODO, czyli Rozporządzenie o Ochronie Danych Osobowych, obowiązuje w całej Unii Europejskiej od 25 maja 2018 roku i ma istotne znaczenie w ochronie danych osobowych. Dzieje się tak zwłaszcza w sektorze medycznym. Przychodnie lekarskie, ze względu na charakter przetwarzanych danych, muszą szczególnie skrupulatnie przestrzegać jego przepisów. Ma to miejsce, ponieważ zarządzają wrażliwymi informacjami dotyczącymi zdrowia pacjentów.
Dane dotyczące zdrowia pacjenta danymi szczególnej kategorii
Zgodnie z artykułem 9 RODO, dane dotyczące zdrowia uznawane są za dane szczególnej kategorii. Oznacza to, że ich przetwarzanie jest co do zasady zabronione, chyba że istnieją ściśle określone podstawy prawne do ich przetwarzania. W przychodniach podstawą do przetwarzania tych danych jest głównie artykuł 9 ust. 2 lit. h, który dopuszcza przetwarzanie danych zdrowotnych w celu:
- diagnozy medycznej,
- leczenia,
- a także zarządzania systemami i usługami opieki zdrowotnej.
W praktyce oznacza to, że placówki medyczne mogą legalnie zbierać, przechowywać i przetwarzać dane pacjentów w ramach świadczenia usług zdrowotnych. Muszą jednak przestrzegać ściśle określonych wymagań dotyczących ochrony tych danych.
Placówka medyczna jako administrator danych osobowych
Przychodnia medyczna jako administrator danych osobowych jest zobowiązana zapewnić odpowiednie środki techniczne i organizacyjne. Mają one zagwarantować, że dane pacjentów będą przetwarzane w sposób bezpieczny. Artykuł 32 RODO zobowiązuje administratora do wdrożenia takich środków jak:
- pseudonimizacja,
- szyfrowanie danych,
- zapewnienie stałej poufności, integralności, dostępności i odporności systemów oraz usług przetwarzających dane.
W przychodniach oznacza to konieczność zabezpieczenia systemów informatycznych, które przetwarzają dane pacjentów, przed nieautoryzowanym dostępem oraz zagrożeniami. Mowa tu o takich jak ataki hakerskie czy wycieki danych. Wdrożenie odpowiednich procedur, takich jak regularne aktualizacje systemów, tworzenie kopii zapasowych czy szkolenia personelu, jest nieodzownym elementem przestrzegania przepisów RODO.
Obowiązki informacyjne na podstawie RODO w przychodniach i RODO w placówkach medycznych innego typu
Innym istotnym aspektem RODO w kontekście przychodni lekarskich jest obowiązek informacyjny wobec pacjentów, o którym mowa w artykule 13 i 14 RODO. Pacjenci, jako podmioty danych, mają prawo do informacji na temat przetwarzania ich danych. W przychodni powinno być jasno określone:
- jakie dane są zbierane,
- w jakim celu,
- na jakiej podstawie prawnej,
- jak długo będą przechowywane.
W praktyce oznacza to, że pacjenci powinni być informowani o polityce prywatności placówki, a także o swoich prawach, takich jak:
- prawo dostępu do danych,
- ich poprawiania,
- prawo do ograniczenia przetwarzania,
- a w niektórych przypadkach również prawo do ich usunięcia, czyli prawo do bycia zapomnianym.
W kontekście przychodni lekarskich prawo do usunięcia danych może być ograniczone. Dzieje się tak, ponieważ w wielu przypadkach istnieje obowiązek przechowywania dokumentacji medycznej przez określony czas, zgodnie z krajowymi przepisami.
Zgłaszanie naruszeń w związku z przestrzeganiem RODO w przychodniach i RODO w placówkach medycznych innego typu
RODO nakłada także na przychodnie obowiązek zgłaszania naruszeń ochrony danych osobowych. Zgodnie z artykułem 33 RODO, w przypadku wykrycia naruszenia, które może skutkować ryzykiem dla praw i wolności pacjentów, administrator danych musi zgłosić to naruszenie do odpowiedniego organu nadzorczego (w Polsce jest to Urząd Ochrony Danych Osobowych) w ciągu 72 godzin. Ponadto, jeśli naruszenie mogłoby powodować wysokie ryzyko dla praw i wolności pacjentów, konieczne jest także poinformowanie samych pacjentów o zaistniałej sytuacji. W związku z tym przychodnie powinny opracować odpowiednie procedury postępowania na wypadek incydentów związanych z ochroną danych.
Powołanie Inspektora Ochrony Danych
Kolejną kwestią, którą przychodnie muszą uwzględniać w ramach RODO, jest możliwość powołania Inspektora Ochrony Danych (IOD). Zgodnie z artykułem 37 RODO, obowiązek powołania IOD dotyczy administratorów, którzy na dużą skalę przetwarzają szczególne kategorie danych, takie jak dane o stanie zdrowia. W wielu przypadkach przychodnie medyczne, zwłaszcza te większe, są zobowiązane do wyznaczenia takiej osoby. Inspektor Ochrony Danych pełni kluczową funkcję w monitorowaniu przestrzegania przepisów RODO w placówce, szkoleniu personelu oraz kontaktach z organem nadzorczym.
Zasada minimalizacji danych
Przychodnie muszą także zwrócić szczególną uwagę na zgodność z zasadą minimalizacji danych, o której mowa w artykule 5 ust. 1 lit. c RODO. Oznacza to, że przetwarzane dane muszą być:
- adekwatne,
- stosowne,
- ograniczone do tego, co jest niezbędne dla celów, w jakich są przetwarzane.
W praktyce oznacza to, że przychodnie nie powinny zbierać od pacjentów więcej informacji, niż jest to konieczne do świadczenia usług medycznych. Powinny także unikać przetwarzania danych, które nie mają bezpośredniego związku z opieką zdrowotną.
Sądownictwo administracyjne
Niestety w związku z udzielaniem porad, wizyty czy innej formy kontaktu pacjenta z lekarzem może dojść do wycieku danych. Sprawa z 22 stycznia 2021 r., sygn. II SA/Wa 850/20, rozpoznawana przez Wojewódzki Sąd Administracyjny w Warszawie dotyczyła naruszenia ochrony danych osobowych pacjenta przez Specjalistyczne Centrum Zdrowia, które udostępniło dane osobowe pacjenta Komendzie Głównej Żandarmerii Wojskowej bez odpowiedniej podstawy prawnej do przetwarzania tych danych. W wyniku tego działania, Prezes Urzędu Ochrony Danych Osobowych (UODO) podjął decyzję o nałożeniu upomnienia na Specjalistyczne Centrum Zdrowia za naruszenie art. 9 ust. 1 RODO, które dotyczy ochrony danych osobowych w kontekście przetwarzania danych osobowych dotyczących zdrowia.
Sprawa została zainicjowana po skardze pacjenta na nieprawidłowości w procesie przetwarzania jego danych osobowych przez Centrum Zdrowia i Komendę Główną Żandarmerii Wojskowej. W wyniku skargi, Prezes UODO przeprowadził kontrolę i stwierdził naruszenie przepisów RODO. Dodatkowo UODO nakazał Komendzie Głównej Żandarmerii Wojskowej usunięcie danych osobowych pacjenta pochodzących z jego historii choroby z hospitalizacji w Centrum Zdrowia.
Podsumowanie
Podsumowując, RODO w gabinetach lekarskich ma kluczowe znaczenie dla ochrony prywatności pacjentów i bezpieczeństwa ich danych osobowych. Placówki medyczne są zobowiązane do przestrzegania rygorystycznych wymagań dotyczących:
- bezpieczeństwa informacji,
- spełnienia obowiązków informacyjnych wobec pacjentów,
- zapewnienia zgodności z prawem dotyczącym ochrony danych.
Jest to nieodzownym elementem budowania zaufania w relacjach pacjent-lekarz.
Kancelaria Radcy Prawnego dr Tymoteusz Zych w ramach świadczonych usług udzieli pomocy w dochodzeniu Państwa praw związanych ze sprawą, w której nastąpiło naruszenie RODO.
Zapraszamy do kontaktu pod numerem telefonu 726 003 505.