RODO w prywatnym gabinecie lekarskim i stomatologicznym

RODO obowiązuje wszystkie podmioty udzielające świadczeń medycznych, nie tylko duże placówki takie jak szpitale czy przychodnie.

Tymczasem wielu lekarzy nie ma świadomości, że prowadząc indywidualną praktykę lekarską lub stomatologiczną, również mają obowiązek stosowania RODO.

Niezależnie od skali działalności, lekarz prowadzący praktykę lekarską lub stomatologiczną jest administratorem danych osobowych, które przetwarza, w tym danych pacjentów, pracowników lub kontrahentów np. dostawców i ma obowiązek stosowania RODO.

Specyfika branży medycznej, w szczególności przetwarzanie danych dotyczących zdrowia, czy danych genetycznych, które należą do szczególnych kategorii danych osobowych, to w kontekście RODO dodatkowe obowiązki, o których należy pamiętać.

Jeżeli jesteś lekarzem prowadzącym indywidualną praktykę lekarską lub stomatologiczną, przygotowaliśmy dla Ciebie krótki przewodnik po RODO w Twoim gabinecie!

Jakie dane przetwarzam?

Oprócz danych osobowych Twoich pracowników czy kontrahentów, przede wszystkim przetwarzasz dane osobowe Twoich pacjentów.

Obok działalności leczniczej, jednym z Twoich podstawowych obowiązków jest prowadzenie, przechowywanie oraz udostępnianie dokumentacji medycznej.

Wiąże się to z dostępem do danych osobowych Twoich pacjentów takich jak imię i nazwisko, miejsce zamieszkania, PESEL, numer telefonu, ale również w przeważającej części do danych dotyczących zdrowia pacjenta, jego seksualności czy danych genetyczne, które stanowią  tzw. dane wrażliwe lub sensytywne.

Dane osobowe wrażliwe

Na początek będzie trochę więcej przepisów 🙂 Ale inaczej tego wyjaśnić nie mogę, więc proszę Cię abyś wytrwał do końca 🙂  Jeśli nie interesuje się czytanie skomplikowanych przepisów prawnych, przejdź do akapitu „Co to dla Ciebie oznacza” 🙂

O danych wrażliwych mówi nam art. 9 ust.1 RODO. Są nimi m.in. dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.

Są to dane osobowe, które stanowią dane szczególnie chronione. RODO wskazuje, że domyślnie istnieje zakaz ich przetwarzania. Są jednak sytuacje, gdy przetwarzanie takich danych będzie – na zasadzie wyjątku – dopuszczalne. Te sytuacje wskazane są w art. 9 ust. 2 RODO.

W pierwszej kolejności dane wrażliwe można przetwarzać jeżeli osoba, której dane dotyczą wyraziła wyraźną zgodę na ich przetwarzanie.

Bez zgody danej osoby, dane wrażliwe można przetwarzać m.in. w sytuacjach określonych w art. 9 ust.2 lit.h , tj. jeżeli przetwarzanie jest niezbędne dla celów:

1. profilaktyki zdrowotnej – chodzi tu o różnego rodzaju działania mające na celu zapobieganie chorobom (np. badania profilaktyczne),
2. medycyny pracy, w tym do oceny zdolności pracownika do pracy – dotyczy to kwestii chorób zawodowych czy wypadków przy pracy, badań wstępnych, okresowych lub kontrolnych pracowników,
3. diagnozy medycznej i leczenia – wiąże się to również z prowadzeniem dokumentacji medycznej,
4. zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej – np. rejestracja pacjenta, odwołanie wizyty,
5. zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego – wystawianie zaświadczeń lekarskich.

Dane te mogą być przetwarzane dla celów określonych powyżej, jeżeli są przetwarzane przez osoby  podlegające  obowiązkowi zachowania tajemnicy zawodowej lub na ich odpowiedzialność.

Co to dla Ciebie oznacza?

Przede wszystkim to, że w większości przypadków nie musisz odbierać od pacjentów zgody na przetwarzanie ich danych.

Przetwarzanie przez Ciebie danych pacjentów takich jak imię i nazwisko odbywa się na podstawie niezbędności takiego przetwarzania w celu wykonania umowy (art. 6 ust.1. lit.b RODO).

W odniesieniu do danych dotyczących zdrowia, czynności przetwarzania danych należy oprzeć w większości sytuacji na przesłance art. 9 ust. 2 lit. h RODO.

Zgoda na przetwarzanie danych osobowych konieczna jest gdy nie istnieje inna podstawa prawna do przetwarzania danych osobowych, np. przetwarzanie danych osobowych pacjentów w celach marketingowych lub w związku z realizacją badań klinicznych lub naukowych.

Czy potrzebujesz powołać Inspektora Ochrony Danych Osobowych?

Z uwagi na fakt, że przetwarzanie danych wrażliwych pacjentów przez pojedynczego lekarza prowadzącego indywidualną praktykę lekarską lub stomatologiczną, w większości przypadków, nie ma charakteru przetwarzania danych na dużą skalę, w takim przypadku nie ma zastosowania wymóg powołania Inspektora Ochrony Danych. Odmienne zasady obowiązują pomioty prowadzące działalność leczniczą w rozmiarze szerszym np. szpitale.

O czym musisz pamiętać?

Poniżej przedstawiam Ci gotową checklistę  dokumentów i czynności, o których musisz pamiętać w związku z wdrożeniem RODO w Twoim gabinecie.

1. Klauzula informacyjna.
2. Rejestr czynności przetwarzania danych osobowych.
3. Rejestr kategorii czynności przetwarzania danych osobowych.
4. Obowiązek zapewnienia bezpieczeństwa przetwarzania danych.
5. Ocena skutków dla ochrony danych.

Klauzula informacyjna

Po pierwsze pamiętaj o obowiązku informacyjnym, którym będzie umieszczenie klauzuli informacyjnej w widocznym miejscu dla Twoich pacjentów. Najlepiej wywiesić ją w poczekalni Twojego gabinetu. Jeżeli nie masz warunków do jej wywieszenia, możesz również przy pierwszej wizycie przedstawić pacjentowi treść tej klauzuli oraz poprosić go o podpisanie oświadczenia, w którym potwierdza zapoznanie się z jej treścią.

W klauzuli informacyjnej musisz podać m.in. tożsamość i dane kontaktowe administratora, cele przetwarzania danych osobowych wraz z podstawą prawną przetwarzania dla każdego celu, informacje o odbiorcach danych osobowych lub o kategoriach odbiorców okresie przechowywania danych, okres, przez który dane będą przechowywane, a gdy nie jest to możliwe –kryteria ustalania tego okresu, informacje o prawach osoby, której dane dotyczą, w tym:  dostępu do danych, sprostowania, usunięcia.

Rejestr czynności przetwarzania danych osobowych i rejestr wszystkich kategorii czynności przetwarzania danych osobowych

Jak wspomniałam wcześniej, prowadząc prywatny gabinet lekarski lub stomatologiczny przetwarzasz dane szczególnie chronione tzw. dane wrażliwe.

W  związku z tym RODO nakłada na Ciebie również dodatkowe obowiązki, związane z dokumentowaniem czynności przetwarzania danych osobowych.

Po pierwsze zgodnie art. 30 ust. 1 w zw. z ust 5. RODO, masz obowiązek przygotowania rejestru czynności przetwarzania danych osobowych.

W rejestrze tym zamieszcza się m.in. dane administratora, cele przetwarzania, opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych. Należy w nim zawrzeć również kategorię odbiorców, którym dane osobowe zostały lub zostaną ujawnione, planowane terminy usunięcia poszczególnych kategorii danych osobowych oraz jeżeli jest to możliwe – ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Po drugie na podstawie art. 30 ust.2 w zw. z ust. 5 RODO, masz obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Rejestr ten zawiera m.in. : dane administratora, kategorię przetwarzań dokonywanych w imieniu administratora, jeżeli jest to możliwe – ogólny opis technicznych i  organizacyjnych środków bezpieczeństwa.

Oba rejestry należy prowadzić w formie pisemnej, w tym elektronicznej.

Te rejestry są kluczowymi  elementami umożliwiającymi realizację zasady rozliczalności.

Zgodnie z tą zasadą jako administrator danych jesteś odpowiedzialny za wykazanie, że dopełniłeś wszystkich obowiązków nałożonych na Ciebie przez RODO i wdrożyłeś odpowiednie środki techniczne i organizacyjne aby przetwarzanie danych odbywało się zgodnie z RODO.

Obowiązek zapewnienia bezpieczeństwa przetwarzania danych

Jako administrator danych osobowych masz obowiązek wdrożenia odpowiednich środków bezpieczeństwa odpowiadających ryzyku naruszenia danych osobowych, które przetwarzasz i archiwizujesz.

RODO nie wskazuje jednak środków i metod zabezpieczania danych, daje jedynie wskazówki.

Dlatego nie ma gotowego rozwiązania i sam musisz ocenić, jakie środki techniczne i organizacyjne są niezbędne dla zapewnienia przetwarzania danych osobowych w Twoim gabinecie w sposób zgodny z RODO. 

Przykładami rozwiązań jakie możesz zastosować jest przechowywanie dokumentacji lub nośników informatycznych zawierających dane osobowe w pomieszczeniach oraz szafach zamykanych na klucz, stosowanie zabezpieczeń sprzętu komputerowego, stosowanie rozwiązań organizacyjnych uniemożliwiających kontakt osób trzecich z informacjami udzielanymi pacjentom.

Czy masz obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA)?

Podobnie jak w przypadku obowiązku powołania Inspektora Ochrony Danych wymóg ten, nie dotyczy większości pojedynczych lekarzy prowadzących indywidualne praktyki lekarskie lub stomatologiczne, jeżeli nie przetwarzają danych wrażliwych na dużą skalę.

Nie oznacza to, że nie powinieneś takiej oceny skutków dla ochrony danych przeprowadzić. Należy każdorazowo ocenić, czy wprowadzenie dodatkowych rozwiązań jest niezbędne w celu zachowania najlepszej formy bezpieczeństwa przetwarzania danych pacjenta.

Jest to bardzo ważne narzędzie rozliczalności, ponieważ  ułatwia nie tylko przestrzeganie wymogów RODO, ale również wykazanie w razie ewentualnej kontroli, że podjąłeś odpowiednie środki do zapewnienia przestrzegania przepisów RODO.

Inne obowiązki

Musisz pamiętać również o bardzo ważnej kwestii, mianowicie, że oprócz Ciebie do danych osobowych, mają wgląd również inne osoby. Mogą to być Twoi pracownicy, jeżeli takowych zatrudniasz lub chociażby firma informatyczna czy księgowa.

Wszystkie osoby, które w jakikolwiek sposób uczestniczą w procesie przetwarzania danych, powinny mieć wiedzę na temat wymogów dotyczących bezpieczeństwa przetwarzania danych. Jako administrator danych jesteś zobowiązany do przeszkolenia w należyty sposób osób, które mogą mieć wgląd w dane osobowe.

Twoi pracownicy powinni być również upoważnieni przez Ciebie na piśmie, do przetwarzania danych osobowych. Co więcej,  powinieneś zobowiązać ich do zachowania tych danych w poufności, najlepiej również na piśmie.

Pamiętaj również o podpisaniu umów powierzenia danych osobowych z podmiotami, którym przekazujesz dane osobowe np. z biurem rachunkowym, firmą serwisującą sprzęt medyczny czy firmą informatyczną.

Jakie są kary za nieprzestrzeganie RODO?

Jak wspomniałam wcześniej jedną z głównych zasad RODO jest zasada rozliczalności.

Zgodnie z tą zasadą jako administrator danych jesteś odpowiedzialny za wykazanie, że dopełniłeś wszystkich obowiązków nałożonych na Ciebie przez RODO.

RODO nakłada na administratorów obowiązek dokumentowania wszystkich działań związanych z ochroną danych. Dokumenty te mogą być kontrolowane przez upoważnionych przez Prezesa UODO pracowników.

Za naruszenie przepisów ochrony danych osobowych RODO przewiduje dla przedsiębiorców karę do 4% całkowitego światowego obrotu z poprzedniego roku.

Wysokość tej kary zależy od wielu czynników, m.in. charakteru, wagi i czasu trwania naruszenia, liczby poszkodowanych osób w wyniku naruszenia i rozmiaru poniesionej przez nie szkody; kategorii danych osobowych, których dotyczyło naruszenie (i tutaj uwaga – jako lekarz przetwarzasz dane wrażliwe , a w przypadku naruszenia przepisów dotyczących tych danych, kara może być wyższa).

RODO to nie tylko odpowiedzialność administracyjna opisana powyżej. Musisz pamiętać o tym, że RODO to również odpowiedzialność cywilnoprawna wobec osoby, której dotyczą przetwarzane dane.

Oznacza to, że jeżeli w wyniku naruszenia Twój pacjent poniósł szkodę majątkową lub niemajątkową, może dochodzić od Ciebie zapłaty odszkodowania.

Na koniec kilka praktycznych wskazówek, które przydadzą Ci się aby prawidłowo chronić dane osobowe Twoich pacjentów, przez osobami postronnymi:

1. Zorganizuj miejsce rejestracji Twoich pacjentów w sposób, który pozwoli zminimalizować ryzyko ujawnienia ich danych osobowych osobom postronnym, np. poprzez wyznaczenie obszaru, w którym może znajdować się jedynie pacjent, ewentualnie osoba towarzysząca, oddzielenie strefy rejestracji ścianką itp.
2. Wzywając pacjentów na wizytę zapewnij im anonimowość np. wywołuj ich z wykorzystaniem numeru nadanego podczas rejestracji lub po imieniu ze wskazaniem godziny wizyty.
3. Nie rozmawiaj z pacjentem o jego stanie zdrowia w obecności osób postronnych np. na korytarzu, rób to wyłącznie w gabinecie lub innym ustronnym miejscu.

Artykuł ten stanowi tylko ogólne wskazówki dotyczące tematu ochrony danych osobowych w indywidualnych praktykach lekarskich lub stomatologicznych.

Dlatego, jeżeli potrzebujesz więcej informacji na temat wprowadzenia RODO w Twoim gabinecie, zapraszamy do kontaktu z nami 🙂

Jeżeli spodobał Ci się ten wpis prosimy o jego udostępnienie 🙂 W ten sposób pozwolisz nam dotrzeć do większej liczby czytelników 🙂