Jak wskazówki przełożyć na procedury RODO?

Niedawno opublikowany „Przewodnik po RODO w służbie zdrowia” przygotował zespół zadaniowy ds. ochrony zdrowia działający w ramach Grupy Roboczej ds. Ochrony Danych Osobowych utworzonej w Ministerstwie Cyfryzacji.

Foto: pixabay.com

Publikację komentuje Magdalena Kogut-Czarkowska, radca prawny z Kancelarii Baker McKenzie.

– Opublikowany 24 września 2018 r. poradnik Ministerstwa Zdrowia oraz Ministerstwa Cyfryzacji pt. „Przewodnik po RODO w służbie zdrowia” zawiera wiele praktycznych wskazówek na temat zasad ochrony danych osobowych w codziennej praktyce pracowników sektora służby zdrowia.

Powstanie tego poradnika należy ocenić jak najbardziej pozytywnie – ze względu na specyfikę i charakter danych dotyczących zdrowia – w sektorze ochrony zdrowia pojawiło się bardzo wiele znaków zapytania dotyczących przełożenia przepisów RODO na praktykę.

Co więcej, trudności w interpretacji przepisów RODO i zbyt restrykcyjne ich rozumienie, spowodowane zapewne strachem przed karami finansowymi, powodowało, że czasami zapominano o pacjencie, który zamiast stanowić centrum zainteresowania placówki ochrony zdrowia, niestety schodził na dalszy plan.

Nierzadko mieliśmy również do czynienia z sytuacjami absurdalnymi, takimi jak głośne odmowy rodzicom udzielania przez szpitale informacji o fakcie hospitalizacji dziecka (głośny przypadek wypadku autobusu w Tenczynie), czy przypadki nadawania pacjentom podczas rejestracji fikcyjnych pseudonimów służących do wywoływania pacjenta przez lekarza.

Wydany przewodnik wskazuje reguły, ale co najistotniejsze – pokazuje przykłady z życia wzięte, jak należy je stosować. Trzymając się przykładu dotyczącego wzywania pacjenta do gabinetu lekarskiego, w „Przewodniku” zaproponowano m.in. przydzielanie unikalnych numerów podczas rejestracji, ewentualnie posługiwanie się samym imieniem pacjenta lub – w przypadku dużej ilości oczekujących pacjentów – kombinacją imienia i godziny, na którą została umówiona wizyta (np. pani Anna z godziny 10.30).

Inny przykład to wskazanie wprost, że w niektórych sytuacjach – w stanach wyższej konieczności – można udzielić poufnych informacji o pacjencie przez telefon, o ile zada się pewne pytania „kontrolne” np. o PESEL pacjenta. Tego typu wskazówki łatwo można potem przełożyć na procedury, które będą prawidłowo chroniły wszystkie prawa pacjentów, nie tylko prawo do prywatności.

Należy trzymać kciuki, żeby zarówno Ministerstwo Cyfryzacji jak też Urząd Ochrony Danych Osobowych wydawało jak najwięcej podobnych publikacji, najlepiej po spotkaniach lub konsultacjach z zainteresowanymi. Brakuje takich wytycznych w szczególności dla przedsiębiorców. Są już pewne sygnały, że to niebawem ma się zmienić – UODO prowadziło wszakże konsultacje dotyczące przetwarzania danych pracowniczych, a obecnie czekamy na rezultat tych działań. Organy nie powinny bać się pokazywania dobrych praktyk które już istnieją na rynku i ograniczać jedynie do przytaczania przepisów.

Do pobrania:

• Przewodnik po RODO w służbie zdrowia (wersja PDF)
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (wersja PDF)