Jak RODO wpływa na obowiązki placówek medycznych?

Dnia 25 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, znanym również jako „RODO”. Poniżej wyjaśnimy, jak wejście w życie tego aktu prawnego wpłynęło na prawa i obowiązki podmiotów w zakresie służbie zdrowia.

Dane osobowe wykorzystywane w służbie zdrowia

Zgodnie z RODO danymi osobowymi według wprowadzonej w nim definicji są wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej.

Danymi osobowymi są więc m. in.:

  1. imię i nazwisko;
  2. numer identyfikacyjny;
  3. dane o lokalizacji;
  4. dane o stanie zdrowia.

Nadto, RODO wprowadziło odrębną definicję danych dotyczących zdrowia, uznając za takie dane o zdrowiu fizycznym lub psychicznym osoby fizycznej, a w tym informacje o korzystaniu przez nią z usług opieki zdrowotnej.

Dane osobowe dotyczące zdrowia zostały dokładniej wyjaśnione w motywach RODO. Są nimi wszystkie dane o stanie zdrowia zawierające informacje o przeszłym, obecnym lub przyszłym stanie zdrowia, zarówno pod względem fizycznym, jak również psychicznym.

Do danych o stanie zdrowia RODO zalicza m. in. informacje:

  1. zbierane podczas rejestracji do usług opieki zdrowotnej;
  2. zbierane podczas świadczenia usług opieki zdrowotnej;
  3. pochodzące z badań;
    1. laboratoryjnych;
    2. lekarskich;
  4. o chorobie;
  5. o niepełnosprawności;
  6. o historii medycznej itp.

Przetwarzaniem danych osobowych jest natomiast operacja lub zestaw operacji na danych, do których należy m. in. zbieranie, przechowywanie, pobieranie oraz wykorzystywanie.

Dane o stanie zdrowia danymi sensytywnymi

Dane o stanie zdrowia, obok takich informacji jak pochodzenie rasowe, etniczne, poglądy polityczne czy przekonania światopoglądowe uznane zostały za szczególne kategorie danych osobowych (dane sensytywne).

Przetwarzanie takich danych jest co do zasady zabronione. Dane sensytywne mogą być jednak przetwarzane, gdy m. in. osoba, której dane dotyczą, udzieliła wyraźnej zgody na przetwarzanie tych danych osobowych bądź gdy jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, diagnozy medycznej czy zapewnienia opieki zdrowotnej.

Obowiązki podmiotów prowadzących działalność w sektorze służby zdrowia

Do podstawowych obowiązków podmiotów prowadzących działalność w sektorze służby zdrowia należą m. in.:

  1. wdrażanie odpowiednich środków technicznych i organizacyjnych celem przetwarzania danych osobowych;
  2. powołanie inspektora ochrony danych osobowych;
  3. prowadzenie rejestru czynności przetwarzania danych osobowych;
  4. przeprowadzenie oceny ryzyka naruszenia danych osobowych;
  5. współdziałanie z Prezesem Urzędu Ochrony Danych Osobowych, a w tym informowanie o naruszeniu ochrony danych osobowych;
  6. archiwizacja dokumentacji medycznej;
  7. obowiązek informacyjny wobec pacjentów w zakresie ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych osobowych

Zgodnie z RODO administrator wyznacza inspektora ochrony danych osobowych m. in. gdy dane osobowe są przetwarzane przez organ lub podmiot publiczny (np. Narodowy Fundusz Zdrowia) bądź gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, do której zaliczają się również dane o stanie zdrowia (np. szpitale). Inspektor ochrony danych osobowych może w szczególności wykonywać zadania na podstawie umowy o świadczenie usług.

Należy mieć również na uwadze, iż zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych z prowadzeniem  jednoosobowej praktyki lekarskiej (prywatny gabinet lekarski) nie jest związane przetwarzanie danych szczególnych na dużą skalę, co oznacza, iż w takich sytuacjach nie jest wymagane powoływanie inspektora ochrony danych osobowych.

Ocena skutków dla ochrony danych

Obowiązkiem nałożonym na podmioty działające w zakresie służby zdrowia jest przeprowadzenie oceny skutków dla ochrony danych osobowych.

Ocena taka zawiera m. in.:

  1. opis planowanych operacji przetwarzania i jego celów;
  2. ocenę, czy są one niezbędne oraz proporcjonalne w stosunku do celów;
  3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  4. planowane środki celem zapobiegnięcia ryzyku.

Archiwizacja dokumentacji medycznej

Zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentacja medyczna jest przechowywana co do zasady przez okres 20 lat od dnia dokonania ostatniego wpisu.

Podsumowanie

Podsumowując, wobec przetwarzania przez placówki medyczne szczególnych kategorii danych osobowych, jakimi są dane o stanie zdrowia swych pacjentów, przepisy RODO nałożyły na nie szereg nowych obowiązków, dotychczas nieznanych. W szczególności na podmiotach tych jako na administratorach danych osobowych ciąży obowiązek informacyjny, konieczność powołania inspektora ochrony danych osobowych oraz dokonania oceny ryzyka dla ochrony danych osobowych.

Powrót do specjalizacji „Audyt RODO”.

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50