Strefa wiedzy Capital Legal

Home > Strefa wiedzy > RODO > RODO w ochronie zdrowia – aspekty prawne

RODO w ochronie zdrowia – aspekty prawne

RODO nakłada na podmioty gospodarcze szereg obowiązków. Wśród przedsiębiorców zobligowanych do stosowania przepisów rozporządzenia o ochronie danych osobowych znajdują się podmioty lecznicze. Odpowiednie wdrożenie RODO w placówce medycznej jest szczególnie istotne z uwagi na to, że przetwarzane przez te podmioty dane medyczne mają charakter danych wrażliwych.

O definicji danych osobowych, w tym danych wrażliwych pisaliśmy w artykule:

https://capitallegal.pl/dane-osobowe-co-to-oznacza/

Podmioty lecznicze mają obowiązek wdrożyć dokumentację RODO, niezależnie od innych obowiązków dotyczących postępowania z dokumentacją medyczną. Konieczność przestrzegania przepisów RODO nie została wyłączona w odniesieniu do małych firm, w tym także jednoosobowych działalności gospodarczych. Z tego powodu dokumentacja RODO dla gabinetów lekarskich zasadniczo powinna spełniać wszystkie wymagania określone w Rozporządzeniu, skierowane ogólnie do przedsiębiorców.

Poniżej przedstawimy najistotniejsze kwestie z zakresu ochrony danych osobowych w placówkach medycznych i odpowiemy na pytanie, jak wdrożyć RODO w gabinecie lekarskim i innych podmiotach leczniczych.

Przetwarzanie danych medycznych

Omawianie tematu RODO w ochronie zdrowia należy rozpocząć od ustalenia, na jakiej podstawie podmioty lecznicze przetwarzają dane osobowe pacjentów.

Artykuł 9 ust. 1 RODO zakazuje przetwarzania tzw. szczególnych kategorii danych osobowych, w tym danych dotyczących zdrowia. Rozporządzenie określa jednocześnie szereg przypadków uchylających ten zakaz. Do wyjątków tych należy sytuacja, gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

Jednocześnie w świetle przepisów ustawy o działalności leczniczej, ustawy o zawodzie lekarza i lekarza dentysty oraz ustawy o prawach pacjentach i Rzeczniku Praw Pacjenta, przetwarzanie danych o stanie zdrowia jest nie tylko prawem, ale i obowiązkiem podmiotów leczniczych. Podstawę przetwarzania danych osobowych pacjenta stanowi zatem przepis prawa. Podstawą taką nie jest natomiast zgoda osoby poddawanej leczeniu. Tym samym przystępując do wykonywania świadczeń medycznych na rzecz pacjenta nie ma konieczności uzyskiwania jego zgody na przetwarzanie danych osobowych.

Powyższe nie uchyla obowiązku uzyskiwania innych zgód określonych w przepisach z zakresu prawa medycznego, w tym zgody na wykonanie zabiegu.

Obowiązki informacyjne z zakresu RODO w podmiocie leczniczym

W świetle art. 13 i 14 RODO z przetwarzaniem danych medycznych wiążą się obowiązki informacyjne. Podmiot leczniczy jest zobligowany poinformować pacjentów m.in. o tym:

  • kto jest administratorem ich danych osobowych,
  • w jakim celu dane są przetwarzane,
  • jak długo dane będą przechowywane,
  • komu dane osobowe są przekazywane i udostępniane,
  • jakie prawa przysługują pacjentom w związku z przetwarzaniem ich danych.

Dokumentacja rodo w gabinecie lekarskim lub innej placówce medycznej powinna zatem obejmować w pierwszej kolejności opracowanie wzorów klauzul informacyjnych, które będą wykorzystywane w celu realizacji obowiązku informacyjnego. Klauzula informacyjna dotycząca przetwarzania danych osobowych to dodatkowy formularz, z którym pacjent powinien zapoznać się przy pierwszej wizycie w danym podmiocie leczniczym.

  • Umowy powierzenia

Placówka medyczna jest zobowiązana zawrzeć umowę o powierzenie przetwarzania danych osobowych w każdym przypadku, gdy zleca innemu podmiotowi wykonanie określonych usług, związanych z przekazaniem dostępu do danych osobowych. Obowiązek zawarcia takiej umowy dotyczy m.in. outsourcingu usług:

  • informatycznych,
  • księgowych,
  • kadrowych,
  • windykacyjnych,
  • prowadzenia dokumentacji medycznej.

O tym, co powinna zawierać poprawnie skonstruowana umowa powierzenia pisaliśmy w artykułach „Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych” dostępnych pod linkami:

https://capitallegal.pl/powierzenie-przetwarzania-na-co-zwracac-uwage-zawierajac-umowe-o-przetwarzanie-danych-osobowych-cz-i/

https://capitallegal.pl/powierzenie-przetwarzania-na-co-zwracac-uwage-zawierajac-umowe-o-przetwarzanie-danych-osobowych-cz-ii/

Zabezpieczenie danych osobowych w placówce medycznej

Podmioty prowadzące działalność leczniczą powinny ponadto zadbać o należyte zabezpieczenie danych osobowych. W tym zakresie istotną kwestią jest nie tylko odpowiednie zorganizowanie przetwarzania danych osobowych, ale także odpracowanie odpowiedniej dokumentacji RODO w placówce medycznej, określającej zasady zabezpieczania danych osobowych oraz procedury postępowania z tymi danymi.

Dokumentacja powinna zawierać przede wszystkich:

  • obowiązki pracowników i osób współpracujących w zakresie ochrony danych osobowych,
  • procedury postępowania na wypadek naruszenia ochrony danych (np. wycieku danych),
  • procedury usuwania danych osobowych, tzw. retencji danych.

Powyższe dokumenty powinny zostać indywidualnie opracowane, z uwzględnieniem specyfiki określonej placówki medycznej lub gabinetu lekarskiego. Korzystanie z gotowych wzorców, które można znaleźć w sieci nie gwarantuje, że wdrożone zabezpieczenia będą należycie spełniały swoją rolę.

Powołanie inspektora ochronny danych (IOD)

Ze względu na specyfikę działalności podmiotów leczniczych, nierzadko przetwarzają one dane wrażliwe na dużą skalę. W związku z tym, na podstawie art. 37 ust. 1 RODO w odniesieniu do wielu placówek medycznych zachodzi obowiązek wyznaczenia inspektora ochrony danych osobowych. Inspektor ma za zadanie wspierać administratora w przestrzeganiu przepisów RODO, udzielać mu zaleceń, informować o obowiązkach, które na mocy rozporządzenia o ochronie danych ciążą na administratorze.

Jeśli masz wątpliwości, czy w Twojej firmie powinien zostać wyznaczony IOD, polecamy nasz artykuł „Inspektor ochrony danych – kto ma obowiązek powołania inspektora danych?”, dostępny pod linkiem: https://capitallegal.pl/inspektor-ochrony-danych-kto-ma-obowiazek-powolania-inspektora-danych/

Audyt RODO w placówce medycznej

W świetle obowiązków, jakie nakłada RODO na administratorów danych warto wskazać, że podmioty lecznicze są zobowiązane nie tylko opracować dokumentację RODO i ją wdrożyć, ale także zapewnić stałe przestrzeganie przepisów obowiązującego prawa oraz wprowadzonych zasad ochrony danych. W związku z tym warto regularnie weryfikować poprawność przetwarzania danych poprzez zlecanie przeprowadzenia audytów RODO. Systematyczne sprawdzanie poziomu ochrony danych osobowych w podmiocie leczniczym pozwala niezwłocznie wychwytywać wszelkie nieprawidłowości i unikać ewentualnych uchybień, a w konsekwencji również kar pieniężnych z tytułu naruszenia RODO.

Komentarz Capital Legal

Konieczność ochrony danych osobowych odgrywa istotne znaczenie w działalności każdego przedsiębiorcy, w tym również podmiotów leczniczych. Ze względu na rodzaj danych osobowych, które są przetwarzane w placówkach medycznych, nie warto ignorować tych obowiązków. Naruszenie ochrony danych osobowych może wiązać się z dotkliwymi konsekwencjami finansowymi w postaci kary pieniężnej w wysokości do 20 mln euro lub 4% rocznego obrotu firmy. Opisanych wyżej kar można uniknąć, powierzając wdrożenie RODO profesjonalnemu podmiotowi.

W naszej praktyce od lat zajmujemy się ochroną danych osobowych. Posiadamy doświadczenie w zakresie wdrażania RODO w podmiotach leczniczych. Jeśli potrzebujesz wsparcia w zakresie przygotowania dokumentacji RODO w placówce medycznej lub gabinecie lekarskim, wsparcia podczas audytu lub porady, czy jesteś zobligowany wyznaczyć IOD, zapraszamy do kontaktu.

 

Udostępnij

Kategorie: RODO | Komentarze: Nic

Inne artykuły

Przeczytaj również

Kary na naruszenie RODO. Kto je ponosi i ile wynoszą.

Co grozi za naruszenie obowiązków określonych w RODO? Wraz z…

Więcej

Badanie stanu prawnego (due diligence) nieruchomości (cz. I)

Nabywanie i inwestowanie w nieruchomości jest jedną z najpopularniejszych transakcji…

Więcej

Wady nieruchomości, a odpowiedzialność dewelopera

Choć od kilku lat na polskim rynku pierwotnym nieruchomości, można…

Więcej

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Strona www.capitallegal.pl używa plików cookies w celach określonych w Polityce plików cookies ,w szczególności w celu zapewnienia prawidłowego działania i dostosowania wyglądu strony do indywidualnych preferencji użytkowników. Naciśnij „Akceptuję”, jeżeli zgadasz się na użycie plików cookies do celów opisanych w Polityce plików cookies . Jeśli nie wyrażasz zgody na używanie plików cookies należy je wyłączyć w ustawieniach Twojej przeglądarki. Wyłączenie plików cookies może jednak spowodować trudności w korzystaniu ze strony.
AKCEPTUJĘ