RODO w służbie zdrowia

RODO SZPITALE, PRZYCHODNIE, OCHRONA ZDROWIA

Wdrażamy RODO w placówkach ochrony zdrowia

Prawo do ochrony danych osobowych jest jednym z podstawowych praw obywatelskich, które gwarantuje nam Konstytucja Rzeczypospolitej Polskiej. Rozwinięciem i udoskonaleniem tej zasady jest projekt RODO – Rozporządzenie o Ochronie Danych Osobowych. To unijny, wiążący akt prawny, który 24 maja 2016 r. wszedł w życie, jednak zacznie obowiązywać dopiero od 25 maja 2018 roku. RODO definiuje zasady przetwarzania, wykorzystywania i przechowywania danych osobowych w trochę odmienny sposób niż dotychczas.

Świadomość dotycząca ochrony danych osobowych jest bardzo ważna. Jedną z grup których dotyczyć będzie wyżej wspomniane rozporządzenie jest służba zdrowia. Dane osobowe w placówce medycznej muszą być chronione na każdym etapie – od recepcji przez laboratoria, aż do lekarzy i ordynatorów oddziałów szpitalnych oraz dyrektorów szpitali.

Jednym z podstawowych warunków jakie każda placówka zdrowia musi spełnić jest powołanie Inspektora Ochrony Danych. Warto dodać, że w tym samych sytuacjach RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych przez tzw. podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowywanie dokumentacji medycznej lub serwis sprzętu informatycznego.

Jego zadaniem jest przestrzeganie RODO w placówkach zdrowia. Do powołania Inspektora Ochrony Danych obligowane są nie tylko wszystkie placówki posiadające umowę z Narodowym Funduszem Zdrowia ale również prywatne kliniki, przychodnie. Art. 91 rozporządzenia, który dotyczy obowiązku prowadzenia oceny skutków działalności dla ochrony danych osobowych, ale też odnosi się do pojęcia dużej skali zobligowanych podmiotów.  

Możemy zatem wnioskować iż w przypadku pojedynczych lekarzy jak i innych osób wykonujących wolny zawód nie ma obowiązku zatrudniania inspektora ochrony danych.

RODO wyraźnie wskazuje, że inspektor ochrony danych osobowych nie musi być pracownikiem zatrudnionym na etat. Może to być także osoba, z którą podpisana zostanie umowa cywilno-prawna. Przepisy stanowią także, że jeden inspektor może obsługiwać kilka podmiotów. Dotyczy to na przykład przedsiębiorstw należących do jednej grupy kapitałowej. Ale z rozwiązania tego mogą też korzystać podmioty publiczne.

Inspektor Ochrony Danych powinien być bezpośrednio podporządkowany osobie odpowiedzialnej za administrację. Ma to na celu skrócenie drogi raportowania w razie wykrycia nieprawidłowości, oraz ułatwi to kontrolę procedur przetwarzania danych.

Jest to jedna z ważnych gwarancji niezależności inspektora.

Fakt, iż placówka powołała Inspektora Ochrony Danych obecne przepisy stanowią, o terminie 30 dni na zgłoszenie tego faktu do GIODO podając jego dane kontaktowe, które powinny być udostępnione wszystkim na przykład na stronie internetowej placówki. Na podstawie art. 83 rozporządzenia ogólnego jeżeli dana placówka nie wyznaczy inspektora ochrony danych, mimo istnienia takiego obowiązku, GIODO będzie uprawniony do podjęcia działań naprawczych, włącznie z zastosowaniem administracyjnej kary pieniężnej.

Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie dyrektor jednostki, szef firmy. W przypadku sektora medycznego będzie to zazwyczaj podmiot leczniczy reprezentowany przez dyrektora czy prezesa, bądź osoba prowadząca indywidualną praktykę leczniczą.

Jeżeli firma zewnętrzna zostanie wynajęta przez te podmioty do przetwarzania danych, to nie będzie miała statusu administratora danych, ale przetwarzającego dane na zlecenie administratora.

Firma zewnętrzna będzie się musiała rozliczyć z wykonywanych zadań, ale nie będzie decydowała o wykorzystywaniu danych.

Od tego momentu każde naruszenie prawa ma być zgłoszone w przeciągu 72 godzin do mogącego skutkować zagrożeniem praw i swobód osób, których dane zostały naruszone, trzeba poinformować właściwy organ nadzoru. Osobą odpowiedzialną będzie Inspektor Ochrony Danych.

Odpowiedzialność za bezpieczeństwo danych nie będzie mogła być przerzucona wyłącznie na rzecz przetwarzającego na jego zlecenie, choć ten ostatni też musi spełnić odpowiednie warunki, określone w zawartej z nim umowie, np. zapewnić poufność dostępu do danych, przeszkolić pracowników itd.

Ta odpowiedzialność jest bezpośrednia i powołanie Inspektora Ochrony Danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia go z tej odpowiedzialności.

Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i  przed sądem cywilnym czy karnym. Nie może przenieść tej odpowiedzialności na innych pracowników.

Dlatego tak ważne jest powołanie Inspektora Ochrony Danych, który jest ekspertem w dziedzinie ochrony danych osobowych oraz RODO.

Musi dysponować odpowiednimi kwalifikacjami na temat praktyk i prawa w dziedzinie ochrony danych osobowych. Zatem liczy się nie tylko wiedza teoretyczna, ale też umiejętności jej praktycznego zastosowania, co najczęściej wynika z doświadczenia zawodowego.

Obejmuje znajomość wszystkich szczegółów dotyczących danych osobowych, tzn. na przykład tego,  jakie dane, w jaki sposób , w jakim celu, przez kogo i konkretnie gdzie są w dalej placówce przetwarzane, jakie osoby mają do nich dostęp oraz jakie zagrożenia dla bezpieczeństwa tych danych zostały dotychczas zidentyfikowane.

Ponadto Inspektor to ta osoba, która ma uświadamiać zagrożenia, ryzyka, związane z przetwarzaniem danych oraz konsekwencje związane z nieprzestrzeganiem przepisów.  

Do zadań Inspektora Ochrony Danych należy przede wszystkim polityka bezpieczeństwa placówki służby zdrowia, odpowiedzialna za bezpieczeństwo danych szczególnie wrażliwych oraz raportowanie wszystkich naruszeń do urzędu kontroli.  

Inspektor szczególną uwagę zwraca na analizę związaną z podjęciem działań podczas tu dla przykładu przetwarzanie danych dotyczących zdrowia pacjenta i jego danych wrażliwych. Przemodelowania wymaga często – ze względu na ryzyko ujawnienia danych wrażliwych osobom trzecim – nie tylko sposób realizacji pracy przy obsłudze pacjentów, ale także proces ich rejestracji, świadczenie określonych usług medycznych, a nawet proces archiwizacji dokumentacji.

Działy administracyjne będą zobligowane do przeprowadzenia istotnych szkoleń wewnętrznych, które będą miały na celu uświadamianie wszystkich pracowników do nowych obowiązków.

Do najczęstszych wad w obszarze sektora zdrowia należą: nienależyte zabezpieczanie dokumentacji medycznej, rozkładanie kart pacjentów w taki sposób, że uzyskują do nich dostęp inni pacjenci.

RODO zwraca szczególną uwagę na ochronę danych o stanie zdrowia, ponieważ ich ujawnianie może dotkliwie naruszać prawa i wolności osób, których one dotyczą. Z punktu widzenia placówek ochrony zdrowia większość przetwarzanych danych to dane sensytywne, które dla celów profilaktyki zdrowotnej, odpowiedniej diagnostyki medycznej muszą być przetwarzane.

Na gruncie RODO dopuszczalne jest przetwarzanie danych dotyczących pacjentów w zakresie, w jakim jest to konieczne dla procesu diagnostycznego lub terapeutycznego lub w interesie publicznym w dziedzinie zdrowia publicznego, jak chociażby w celu poprawy standardów opieki zdrowotnej.

Jeśli chodzi o podstawę prawną uprawniającą placówki medyczne do przetwarzania danych osobowych pacjentów, to najczęściej jest ona określona w szczegółowych przepisach sektorowych.

Zaakcentowania przy tym wymaga, iż przepisy te także muszą być dostosowane do RODO, gdyż w przeciwnym przypadku każda osoba, na podstawie RODO jako aktu stosowanego bezpośrednio, będzie mogła dochodzić swych praw i żądać określonych sankcji przed organem nadzorczym.

Dodatkowo, przepisy RODO wyposażają osoby, których dane są przetwarzane, w wiele nowych uprawnień, do realizacji których powinni być przygotowani wszyscy świadczeniodawcy usług leczniczych z sektora publicznego i prywatnego. Do praw tych należą m.in.: prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych czy też prawo do kopii danych. 

Jedną z naczelnych zasad RODO jest zasada rozliczalności, która oznacza, iż każdy administrator jest nie tylko odpowiedzialny za przestrzeganie wszystkich przepisów o ochronie danych osobowych, ale także musi być w stanie wykazać ich przestrzeganie zarówno wobec organu nadzorczego, osób, których dane przetwarza, jak i ogółu społeczeństwa. Warto pamiętać, że w prawie do bycia zapomnianym, administrator danych osobowych ma obowiązek usunąć dane osoby ze wszystkich miejsc, gdzie owe dane przetwarzał, czyli: z baz, maili, dysków, chmur, segregatorów itd.

Obecnie, w związku ze zbliżającym się rozpoczęciem stosowania przepisów ogólnego rozporządzenia o ochronie danych osobowych, konieczne staje się dokonanie przeglądu zarówno przepisów szczególnych regulujących funkcjonowanie placówek medycznych, tak by były zgodne z przepisami rozporządzenia, jak i przeglądu wszelkich przyjętych w danych placówkach rozwiązań czy praktyk, by ustalić, czy dalej mogą być stosowane, czy znajdują one uzasadnienie w przepisach i czy ich wprowadzenie lub też kontynuacja zostały poprzedzone analizą wpływu na prywatność.

Pod rządami RODO odpowiedzialność administratorów za wyciek będzie bardziej dolegliwa, a osoby, których dane dotyczą, zyskają nowe narzędzia dochodzenia swoich praw.

Gdy placówki nie zastosują odpowiednich procedur i dane pacjentów wyciekną, będą oni mogli co jest nowością złożyć wniosek o odszkodowanie za naruszenie prawa do ochrony danych osobowych, zyskując bezpośrednio prawo do wyegzekwowania tego odszkodowania przed sądem.

Wysokie ryzyko wiążące się z przetwarzaniem wrażliwych danych osobowych takich jak stan zdrowia, bądź orientacja seksualna,  wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych będzie surowo karane. Rozporządzenie stanowi, że administrator będzie miał obowiązek niezwłocznie poinformować o takich zdarzeniach.

Administratorzy danych będą zaś musieli prowadzić rejestr naruszeń, odnotowywać, na czym polegało naruszenie i jakie kroki podjęto w związku z zaistnieniem określonego incydentu.

Ci administratorzy, u których nawet dojdzie do naruszeń ochrony danych, ale zgłoszą ten fakt do GIODO i poinformują o podjętych środkach, aby zapobiec takim zdarzeniom w przyszłości, będą w lepszej sytuacji niż ci, którzy będą to ukrywać.

Nieujawnianie informacji o naruszeniach będzie się wiązać z odpowiedzialnością administracyjną i karną.

Niedopełnienie tych obowiązków skutkować będzie mogło nałożeniem administracyjnych kar porządkowych.

Maksymalna wysokość takich kar może wynosić nawet do 20 milionów euro, w przypadku publicznych jednostek ochrony zdrowia i do 4 procent całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, w odniesieniu do placówek medycznych będących przedsiębiorcami.    

Rozporządzenie zobowiązuje także samorządy lekarskie do opracowania kodeksów postępowań, które będą obowiązywały placówki medyczne.

Dzisiaj funkcjonują one bardziej w charakterze opiniotwórczym, jako kodeksy dobrych praktyk.

Monika Flis

RODO SECURITY Polska

Audyt Zgodności z GDPR

STOPIEŃ OCHRONY

Sprawdzamy procesy i bezpieczeństwo przetwarzania danych osobowych pod kątem zgodności z RODO.

AUDYT BEZPIECZEŃSTWA SYSTEMÓW IT

AUDYT IT

Audyt bezpieczeństwa systemów IT i ochrony informacji oraz utrzymania wymaganego poziomu usług.

OBSŁUGA PRAWNA

Zespół Prawny

Zapewniamy stałą pomoc naszych radców prawnych, adwokatów i prawników specjalizujących się w ochronie danych osobowych.

SZKOLENIA RODO / GDPR

Prowadzimy szkolenia z RODO

Szkolenia dla Zarządu i personelu firm i instytucji. Szkolenia uwzględniające profil firmy.

Inspektor Ochrony Danych

Inspektor Ochrony Danych

Zapewniamy Inspektora Ochrony Danych osobowych, umowy na 12 miesięcy, 24 miesiące lub na stałe.

Wspieramy proces identyfikacji istniejących nieprawidłowości i braków w zakresie ochrony danych osobowych w związku z nowymi wymogami RODO.

Zakres prac obejmuje w szczególności weryfikację dokumentacji, procedur oraz systemów IT, modelu działania systemu, testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. W wyniku naszych prac powstaje raport, pełna dokumentacja wdrożeniowa i przygotowanie Państwa firmy zgodnie z wymogami RODO. Określamy niezbędne działania dostosowawcze dla firmy.

SZKOLENIA, WDROŻENIA, NADZÓR PROCESÓW RODO.

ZAPRASZAMY NA KONSULTACJE

tel. 608 880 819

    Skontaktuj się z namiPoznaj naszą ofertę