RODO jest skrótem oznaczającym Rozporządzenie o Ochronie Danych Osobowych uchwalone przez Unię Europejską w dniu 25 kwietnia 2016 r. W Polsce zaczęło ono obowiązywać po dwuletnim okresie przejściowym, tj. od dnia 10 maja 2018 r.
Rozporządzenie RODO jest dokumentem zawierającym przepisy dotyczące sposobu gromadzenia danych osobowych, ich przechowywania oraz zarządzania nimi. Głównym celem przepisów ww. ustawy jest ochrona osób fizycznych przed nieodpowiednim rozpowszechnianiem i przetwarzaniem ich danych osobowych, lecz nie tylko. Przepisy RODO wychodzą również naprzeciw podmiotom zbierającym dane osobowe w celu ułatwienia tego procesu oraz procesu udostępniania osobom fizycznym informacji, w jaki sposób ich dane są zbierane i przetwarzane.
Jakie jeszcze zmiany wprowadziło RODO? W przedsiębiorstwach, w których profil działalności opiera się na zbieraniu i przetwarzaniu danych osobowych, została wprowadzona nowa funkcja – Inspektora Ochrony Danych Osobowych. Jego zadaniem jest nadzór nad przestrzeganiem przepisów ustawy RODO poprzez monitorowanie działań administratora danych osobowych.
Jakie zasady RODO znajdują szczególne zastosowanie w placówkach medycznych?
Placówka medyczna, podobnie jak inne przedsiębiorstwa przetwarzające dane osobowe, pełni rolę administratora danych osobowych. W placówkach medycznych przetwarzane są nie tylko dane osobowe osób fizycznych pozwalające na ich identyfikację i kontakt z nimi (np. imię, nazwisko, PESEL, adres zamieszkania, nr telefonu itd.), lecz również dane dotyczące ich historii choroby, schorzeń i stanu zdrowia, należące do innej kategorii. Są to tzw. dane wrażliwe, z którymi większość innych podmiotów i przedsiębiorców nie ma do czynienia.
Z powyższego względu przepisy RODO nakładają na placówkę medyczną więcej wymagań, których spełnienie uzależnione jest przede wszystkim od wiedzy i wprowadzenia skutecznego systemu ochrony danych osobowych, znajdującego zastosowanie jednakowo w dokumentacji, jak i w praktyce.
Jakie dokumenty są niezbędne do wdrożenia RODO w tego rodzaju placówkach?
Placówka lecznicza zobowiązana jest do opracowania odpowiedniej dokumentacji RODO, jej wdrożenia i przestrzegania. Dotyczy to nie tylko dużych placówek medycznych, lecz także małych gabinetów, których działalność oparta jest na prywatnych praktykach lekarskich. W skład dokumentacji powinny wejść procedury, wytyczne i instrukcje określające sposób pozyskania, przechowywania i ochrony danych osobowych.
Należy jednak podkreślić, że określenie rodzaju i ilości potrzebnej dokumentacji RODO oraz sposobu jej wdrożenia w konkretnej placówce medycznej powinno odbyć się po indywidualnym przeanalizowaniu skali działalności danego lekarza i określeniu liczby podmiotów (pacjentów), których dane są przetwarzane. Niemniej jednak niezależnie od tego, czy mamy do czynienia z małym gabinetem lekarskim, czy z dużą placówką leczniczą, wszystkie dokumenty powinny być zgodne z rozporządzeniem RODO.
Obowiązkiem podmiotów leczniczych jest prowadzenie m.in. następującej dokumentacji:
- polityka ochrony danych osobowych,
- dokumentacja dotycząca naruszeń danych osobowych, toku postępowania w przypadku naruszeń danych osobowych i oceny ich skutków,
- dokumentacja dotycząca oceny ryzyka naruszeń danych osobowych,
- dokumentacja zawierająca rejestr czynności lub kategorii przetwarzania,
- zasady pracy w systemach informatycznych,
- dokumentacja dotycząca rozpatrywania wniosków o dostęp do danych osobowych, pozyskania ich kopii, usunięcia danych osobowych z bazy,
- zasady udostępniania informacji i dokumentacji medycznej.
Umowa o powierzenie przetwarzania danych osobowych
Jeżeli placówka medyczna przekazuje dostęp do danych osobowych innemu podmiotowi zewnętrznemu w celu wykonania przez niego określonych zadań, wówczas zobowiązana jest do zawarcia z tym podmiotem umowy o powierzenie przetwarzania danych osobowych.
Brak tego dokumentu, w przypadku gdy jego obecność okaże się niezbędna, może skutkować nałożeniem kary przez Prezesa Urzędu Ochrony Danych Osobowych. Przykładem podmiotów, u których wykonanie zadań jest nieodłącznie związane z pozyskaniem danych osobowych, są biura księgowe, firmy informatyczne, firmy windykacyjne.
Jakie problemy można napotkać podczas wdrażania RODO i jak sobie z nimi poradzić?
Jednym z najczęstszych problemów podczas wdrażania RODO jest obawa przedsiębiorców przed niedostatecznym zrozumieniem i interpretacją przepisów zawartych w Rozporządzeniu o Ochronie Danych Osobowych. Skutkiem tego może być nieprawidłowe lub niepełne wdrożenie przepisów RODO w działalności przedsiębiorstwa, w tym również placówki medycznej. Należy przy tym podkreślić, że wdrożenie wymagań RODO w podmiotach leczniczych nie wiąże się tylko i wyłącznie z opracowaniem obowiązkowej dokumentacji, lecz również z na co dzień podejmowanymi działaniami w celu ochrony danych osobowych i stosowanie w praktyce opracowanych wytycznych i instrukcji. Wdrażanie zasad RODO odbywa się zatem przez cały czas, w sposób cykliczny i nie kończy się na opracowaniu wymaganej dokumentacji.
Innego rodzaju kwestią sprawiającą problemy niektórym instytucjom medycznym jest wybór odpowiedniego systemu informatycznego. Będzie on służył do przechowywania i gromadzenia danych osobowych. Jego wybór powinien być w głównej mierze uzależniony od tego, czy system ten spełnia wymagania RODO.
Wskazówki dotyczące sposobu wprowadzania zasad RODO w podmiotach leczniczych
Wprowadzanie zasad RODO w podmiotach leczniczych powinno odbywać się, począwszy od dokonania analizy, kiedy, jakie i w jakich okolicznościach przetwarzane są dane osobowe. Ma to na celu opracowanie skutecznego systemu ochrony danych osobowych, który powinien obowiązkowo w każdej placówce funkcjonować.
Przetwarzanie danych osobowych związane jest z:
- miejscem ich przetwarzania (np. rejestracja medyczna, gabinet lekarski),
- momentem ich przetwarzania (np. rejestracja pacjentów na wizytę, wykonywanie zabiegu lekarskiego, odbywanie wizyty lekarskiej, odbiór wyników badań),
- ze świadczeniem dodatkowych usług na rzecz placówki (zarządzanie placówką, księgowość i rachunkowość, marketing itp.)
W celu wdrożenia skutecznego systemu ochrony danych osobowych konieczne jest nadanie poszczególnym osobom i podmiotom zgody na dostęp do danych osobowych obejmującej jej różny zakres i poziom, a także wprowadzenie systemu zabezpieczeń chroniących przed pozyskaniem niepowołanego dostępu do danych osobowych (np. hasła, szyfrowanie danych) i uwzględniających stopień ryzyka naruszenia tych zabezpieczeń.