RODO
Do odtwarzania na komputerach lub urządzeniach mobilnych przy użyciu słuchawek
13.04.2018 r.
Z dniem 25 maja 2018 r. znajdzie zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – „RODO”, znane także pod angielskim skrótem „GDPR” (General Data Protection Regulation). RODO wiąże w całości i będzie bezpośrednio stosowane we wszystkich państwach członkowskich UE, w tym w Polsce. Regulacje tam zawarte istotnie wpłyną na przetwarzanie danych osobowych w procesie udzielania świadczeń zdrowotnych. W niniejszej zakładce zamieszczać będziemy informacje oraz akty prawne dotyczące tego zagadnienia.
Zgodnie z art. 40 RODO, zrzeszenia oraz inne podmioty reprezentujące określone kategorie administratorów upoważnione są do tworzenia kodeksów postępowania, mających pomóc we właściwym stosowaniu RODO. Celem kodeksów ma być doprecyzowanie pojęć znajdujących się w RODO i opracowanie konkretnych rozwiązań, adekwatnych dla danej branży. W sektorze medycznym również jest opracowywany kodeks postępowania (kodeks branżowy), który zostanie niezwłocznie opublikowany po jego zatwierdzeniu przez publiczny organ nadzorczy (obecnie GIODO).
r.pr. Jakub Frakowski
13.04.2018 r.
Szanowni Państwo
Z dniem 25 maja 2018 r. w naszym porządku prawnym, znajdzie bezpośrednie zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – „RODO”, znane także pod angielskim skrótem „GDPR” (General Data Protection Regulation). Regulacje zawarte w RODO będą miały istotny wpływ na przetwarzanie danych osobowych w procesie udzielania świadczeń zdrowotnych. Wskazać bowiem należy, że przykładowo każda czynność związana z prowadzeniem dokumentacji medycznej, począwszy od jej założenia, poprzez dokonywanie wpisów, a skończywszy na jej przechowywaniu, stanowi przetwarzanie danych osobowych. Wielu z Państwa zadaje sobie pytanie jakie zastosować środki, by prawidłowo „wdrożyć” RODO? Czy istnieją wzory dokumentacji, której posiadanie zagwarantuje zgodność z RODO i uniknięcie kar? Czy dotychczasowa dokumentacja taka jak np. „polityka bezpieczeństwa” będzie wystarczająca?
W przeciwieństwie do dotychczas obowiązujących przepisów, w tym przede wszystkim ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 t.j.) i rozporządzeń wykonawczych, RODO zrywa z katalogiem konkretnych rozwiązań i pozostawia administratorom danych osobowych swobodę w zakresie stosowanych środków, mających na celu prawidłowe i zgodne z prawem przetwarzanie danych osobowych. Nie znajdziemy zatem w RODO gotowych wzorów dokumentów. Próżno ich także będzie szukać w nowej ustawie o ochronie danych osobowych, której projekt został przyjęty przez Radę Ministrów w dniu 27 marca 2018 r. Wskazać w tym miejscu jednak należy, że art. 40 RODO upoważnia i zachęca zrzeszenia oraz inne podmioty reprezentujące określone kategorie administratorów do tworzenia kodeksów postępowania, mających pomóc we właściwym stosowaniu RODO, których celem będzie doprecyzowanie pojęć znajdujących się w RODO i opracowanie konkretnych rozwiązań, adekwatnych dla danej branży. Gwarancją zgodności takiego kodeksu z RODO jest konieczność jego zatwierdzenia i zarejestrowania przez organ nadzorczy jakim obecnie jest Generalny Inspektor Ochrony Danych Osobowych (GIODO), a jakim będzie po wejściu w życie nowej ustawy o ochronie danych osobowych Prezes Urzędu Ochrony Danych Osobowych (PUODO). Kodeks postępowania jest opracowywany również przez sektor medyczny. Zespół radców prawnych ŚIL złożył do tego projektu swoje uwagi. Kodeks ten pozwoli Państwu w sposób prawidłowy stosować przepisy dotyczące ochrony danych osobowych w codziennym wykonywaniu zawodu lekarza i lekarza dentysty.
Co możemy powiedzieć o RODO już dziś, tj. zanim zostanie przyjęty wspomniany kodeks branżowy? Choć RODO wprowadza szereg zasad odnoszących się przetwarzania danych, traktuje dane osobowe dotyczące stanu zdrowia Pacjenta jako dane szczególne, w wielu miejscach proponując odmienne rozwiązania w związku z ich przetwarzaniem. Przykładowo, w przypadku danych osobowych medycznych ograniczone będzie tzw. „prawo do zapomnienia”, zobowiązujące administratora danych, do niezwłocznego usunięcia danych osobowych dotyczących osoby, która tego żąda. Prymat bowiem w tym przypadku, należy dać regulacjom zawartym w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, która nakazuje przechowywanie dokumentacji medycznej przez określony czas (z wyjątkami jest to 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu). Wprowadzony zostanie natomiast rozszerzony obowiązek informacyjny wobec Pacjenta dotyczący przetwarzania jego danych osobowych (informacja na temat tego, co w takim dokumencie powinno się znaleźć, zostanie zamieszczona na stronie internetowej ŚIL, po przyjęciu kodeksu branżowego). Nie każdy z podmiotów przetwarzających dane osobowe Pacjentów będzie zobowiązany do wyznaczenia Inspektora Ochrony Danych (IOD). Zgodnie z art.37 ust. 1c RODO, będzie to podmiot, który przetwarza dane osobowe Pacjentów dotyczące ich stanu zdrowia na dużą skalę, przy czym Rozporządzenie nie wyjaśnia co kryje się pod pojęciem „dużej skali”. W mojej ocenie obowiązek wyznaczenia IOD, z pewnymi wyjątkami, nie będzie dotyczył pojedynczych indywidualnych praktyk lekarskich, a raczej większych podmiotów leczniczych. Nie każdy lekarz prowadzący praktykę lekarską będzie też traktowany jako administrator danych osobowych, a jedynie ten który co do zasady przetwarzał będzie dane we własnym imieniu i na własny rachunek. Nie oznacza to oczywiście, że Ci lekarze którzy będą przetwarzać dane medyczne w imieniu innych podmiotów (np. lekarze na tzw. kontraktach, świadczący usługi w innych podmiotach leczniczych), nie będą musieli przestrzegać zasad wynikających z RODO.
Warto zaznaczyć też, że każdy administrator danych osobowych, będzie zobowiązany do prowadzenia „rejestru czynności przetwarzania danych osobowych”, zawierającego m.in.: imię i nazwisko lub nazwę oraz dane kontaktowe administratora, współadministratorów, a także gdy ma to zastosowanie - inspektora ochrony danych; cele przetwarzania; opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych; kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione; planowane terminy usunięcia poszczególnych kategorii danych; jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. Obowiązek ten dotknie zarówno duże podmioty lecznicze, jak i indywidualne i indywidualne specjalistyczne praktyki lekarskie i dentystyczne.
Nie sposób w tym artykule opisać dokładnie wszystkich zasad i obowiązków wynikających z RODO. W drodze podsumowania stwierdzić należy jednak, że każdy przetwarzający, tak we własnym jak i cudzym imieniu, dane osobowe dotyczące stanu zdrowia ich Pacjentów, zobowiązany będzie czynić to zgodnie z obowiązującymi przepisami, stosownie do rozmiaru swojej działalności i formy w jakiej udziela świadczeń zdrowotnych. RODO dotyczyć będzie zatem dużych podmiotów leczniczych, ale także lekarzy zatrudnionych na podstawie umowy o pracę, lekarzy udzielający świadczeń na podstawie umowy cywilnoprawnej, jak i lekarzy udzielających świadczeń zdrowotnych w ramach prowadzonych praktyk lekarskich. Można jednak z dużym prawdopodobieństwem zakładać, że lekarze i lekarze dentyści przestrzegający na co dzień zasad dotyczących tajemnicy zawodowej oraz praw pacjenta i prowadzący dotychczas w sposób rzetelny i zgodny z prawem dokumentację medyczną „odnajdą się” w rzeczywistości RODO po dniu 25 maja 2018 r.
radca prawny
Jakub Frakowski
Zespół Radców Prawnych ŚIL