RODO: nowe zasady ochrony danych pacjenta od 2018 roku
25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (tzw. RODO)1. Nowe przepisy obejmą także placówki ochrony zdrowia. Jak przygotować się do nadchodzących zmian?
Foto: KE
Rozporządzenie zmienia zasady przetwarzania, wykorzystywania i przechowywania danych osobowych osób fizycznych, zwiększając ochronę tych danych i nakładając nowe obowiązki na administratorów. RODO dotyczy podmiotów wszystkich branż, w tym także medycznej.
Każda jednostka zajmująca się działalnością leczniczą prowadzi dokumentację medyczną, siłą rzeczy gromadząc i przetwarzając dane osobowe pacjentów, musi więc przestrzegać przepisów prawnych, dotyczących ochrony danych osobowych, w tym zwłaszcza informacji o stanie zdrowia pacjentów. Trzeba działać wedle obowiązującej obecnie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, zgodnie z dyrektywą 95/46/ WE Parlamentu Europejskiego i Rady WE.
Nowe wytyczne
RODO zastąpi tę dyrektywę, wprowadzając nowe reguły gry. W związku ze zmianą uchylona zostanie nasza krajowa ustawa o ochronie danych osobowych, a w jej miejsce wejdzie nowa, będzie ona jednak tylko uzupełnieniem unijnego rozporządzenia (projekt tej ustawy jest obecnie w trakcie procedowania). Jak bardzo nowe przepisy różnić się będą od obecnie obowiązujących?
Inspektor, ale nie wszędzie
Unijne rozporządzenie nakłada obowiązek powołania inspektora ochrony danych (IOD) na wszystkich, którzy przetwarzają dane osobowe na szeroką skalę. Nie jest niestety precyzyjnie określone, jak wielka musi być skala przetwarzania danych, by taki inspektor został zatrudniony. Temat ten, jak i wiele innych zagadnień, był poruszany w czasie konferencji, która odbyła się w połowie listopada na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.
Więcej o RODO piszemy tutaj.
Zdaniem obecnego na tym spotkaniu dr. Arwida Mednisa z Wydziału Prawa i Administracji UW, taki inspektor przyda się w każdej placówce medycznej, bo dzięki niemu zwiększy się bezpieczeństwo ochrony danych. Zwrócił także uwagę, że RODO narzuca na administratorów obowiązek polegający na tym, że sami będą musieli oceniać ryzyko przetwarzania danych osobowych, z którymi mają do czynienia, i dopasować, wedle własnego uznania, odpowiednie środki zabezpieczenia. Inspektor może więc im znacząco pomóc w realizacji tego zadania.
Rodzą się jednak kolejne pytania. Czy ocenie podlegać mają tylko czynności przetwarzania danych, które wprowadzone zostaną po wejściu w życie RODO, czy wszystkie, które się w ogóle odbywają w placówce? – Rozporządzenie jest bardzo ogólne i wymaga własnej interpretacji lub doszczegółowienia na gruncie przepisów krajowych, a te są dopiero dostosowywane. Jeśli ten proces miałby objąć całość, to byłby to spory koszt dla placówek medycznych – zauważa dr Mednis.
Obowiązek informacyjny
Wprowadzone zostaną też nowe obowiązki w zakresie informowania podmiotu, którego zbierane dane dotyczą. W praktyce oznacza to, że trzeba będzie powiedzieć pacjentowi m.in. o adresie siedziby placówki medycznej i jej pełnej nazwie, określić cel zbierania danych i wytłumaczyć, kto będzie ich odbiorcą, a także poinformować o dobrowolności albo obowiązku podania danych (i z jakiej przesłanki prawnej ten obowiązek wynika).
Więcej o RODO piszemy tutaj.
Ponadto pacjent powinien poznać dane kontaktowe inspektora ochrony danych. Lista jest jeszcze dłuższa. Nasuwa się kolejne pytanie, co z obecnymi zgodami na przetwarzanie danych, które już zostały udzielone przez pacjentów. Czy mogą one pozostać, czy jednak trzeba te osoby od nowa poinformować, zgodnie z nowymi wytycznymi?
Inne problemy
Zmianie ulegnie też m.in. kwestia szczegółowych warunków przetwarzania danych osobowych pacjentów. – Pojawia się prawo do ograniczenia przetwarzania danych, w tym prawo do bycia zapomnianym, prawo do przenoszenia danych, prawo sprzeciwu wobec przetwarzania danych czy prawo do niepodlegania zautomatyzowanym decyzjom – mówi Marta Gadomska-Gołąb, radca prawny jednej z warszawskich kancelarii prawniczych. RODO to jednym słowem – temat rzeka. Jedno jest pewne, dostosowanie się do świata według tego rozporządzenia będzie kolejnym kosztem dla placówek medycznych.
Kary
Organem nadzorującym, czy ochrona danych osobowych jest właściwie realizowana, będzie Urząd Ochrony Danych Osobowych, który ma zastąpić dobrze wszystkim znane GIODO. Urząd ten w razie wykrytych nieprawidłowości będzie mógł nałożyć kary w wysokości do 20 mln euro lub do 4 proc. całkowitego rocznego obrotu z poprzedniego roku obrotowego.
– Przedstawione kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego – uspokaja mec. Marta Gadomska-Gołąb. Zapis ten ma być doprecyzowany na gruncie polskich przepisów i w przypadku podmiotów publicznych kara może wynieść maksymalnie 100 tys. euro. W efekcie inne kary będą dla medycznych placówek prywatnych, a inne dla publicznych.
Przygotowania
Co zrobić, by w miarę płynnie przejść w świat według RODO? Roman Radomski z Polskiej Izby Informatyki Medycznej radzi, aby najpierw zrobić audyt wewnętrzny, dzięki któremu ustalimy stan faktyczny, czy obecnie dane są chronione zgodnie z przepisami i co ewentualnie wymaga poprawy. Dopiero wówczas można przejść do analizy, które obszary wymagają zmian w związku z wejściem w życie unijnego rozporządzenia i przeszkolić personel w tym zakresie.
Monika Borgula, administrator bezpieczeństwa informacji Szpitala Wojewódzkiego w Tarnowie zaleca szkolenie całego personelu placówki medycznej, w którym trzeba mówić nawet o najprostszych kwestiach, nie tylko tych związanych z RODO. W dalszym ciągu bowiem zdarzają się incydenty związane z niewłaściwą ochroną danych osobowych, które nie powinny mieć miejsca zgodnie z obowiązującymi już teraz przepisami. Mówiła m.in. o braku upoważnień dla lekarzy stażystów i studentów na przetwarzanie danych osobowych czy lekceważenie obowiązku niszczenia danych wrażliwych w niszczarce.
Więcej o RODO piszemy tutaj.
Warto też zauważyć, że bezpieczeństwo danych osobowych nie zamyka się na ochronie dokumentacji medycznej, bo przecież mamy odpady medyczne, dane na kroplówkach etc. Czy personel sprzątający ma dostęp do biurka lekarza, na którym leży dokumentacja medyczna pacjentów? Do tego dochodzą dylematy od dawna nierozwiązywalne, m.in. sposób wywoływania pacjenta – po nazwisku czy numerze, czy ochrona danych na salach kilkuosobowych.
Na pomoc: kodeks
Art. 40 unijnego rozporządzenia przewiduje powstanie kodeksów branżowych, które mają ułatwić stosowania nowego prawa w danej branży. Taki kodeks tworzony jest w naszym kraju w obszarze ochrony zdrowia. Całość ma być gotowa do maja przyszłego roku. Zapisy kodeksu mają być kompatybilne z RODO i regulacjami krajowymi. Na razie pozostaje wiele znaków zapytania.
Nie ma jeszcze gotowej legislacji polskiej na gruncie tego rozporządzenia (na razie Ministerstwo Cyfryzacji udostępniło projekt nowej ustawy o ochronie danych osobowych oraz projekt zmian przepisów sektorowych obejmujący ponad 130 ustaw), już teraz jednak warto studiować poszczególne zapisy RODO, by w maju nie być zaskoczonym.
– Zapewnienie bezpieczeństwa pacjentów jest najwyższą wartością wobec innych tworzonych praw. Należy jednak wypracować wewnętrzne procedury, które pozwolą realizować ten cel przy zachowaniu pełnego porządku prawnego – podkreśla dr Beata Jagielska z Centrum Onkologii-Instytutu w Warszawie i prezes Polskiej Koalicji Medycyny Personalizowanej, organizatora konferencji.
Lidia Sulikowska
1 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
