RODO w placówce medycznej
25 maja 2018 r. zacznie być stosowane unijne rozporządzenie o ochronie danych osobowych*. Jak do zmian powinny przygotować się placówki medyczne? Z Moniką Krasińską, dyrektor Departamentu Orzecznictwa, Legislacji i Skarg Biura GIODO, rozmawia Lidia Sulikowska.
Foto: GIODO
Jesteśmy coraz bliżej wejścia w rzeczywistość według RODO. Czy jest się czego obawiać?
Odpowiedzialni administratorzy ochrony danych osobowych, którzy przestrzegają obecnie obowiązujących przepisów, nie mają się czego obawiać, bo wystarczy, że tylko zaktualizują i dostosują swoje procedury do wymagań unijnego rozporządzenia. Jeśli np. wdrożyli politykę bezpieczeństwa w zakresie przetwarzania danych i instrukcję zarządzania systemem informatycznym, stosują klauzule poufności, a nad danymi czuwa administrator bezpieczeństwa informacji (ABI), to są w dobrym punkcie wyjścia.
W gorszej sytuacji są placówki, które do tej pory niefrasobliwie podchodziły do tych kwestii. Do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż wpływają skargi o naruszeniach obecnych przepisów w zakresie ochrony danych osobowych przez podmioty lecznicze i braku zmian w stosowanych od lat nieprawidłowych praktykach. Brakuje przede wszystkim staranności w procesie przetwarzania danych i wiedzy wśród pracowników, jak chronić powierzane im informacje. Wiele pracy przed nami.
Czego najczęściej dotyczą nieprawidłowości?
W jednostkach ochrony zdrowia dochodzi do ujawniania danych pacjentów w obecności osób trzecich, np. poprzez niewłaściwie zorganizowaną pracę w rejestracji. Osoby postronne słyszą imię i nazwisko rejestrowanego, jego numer PESEL, informację, na jakie badanie jest kierowany. Inne przykłady naruszeń to wywieszanie list z danymi pacjentów na drzwiach gabinetów, wywoływanie na wizytę po nazwisku, skanowanie i kopiowanie dowodów osobistych (mimo braku podstaw prawnych i konieczności dokumentowania w takiej formie tożsamości pacjenta), przeprowadzanie wywiadu z chorym na sali w obecności innych pacjentów, brak kontroli nad dokumentacją medyczną, utrata tej dokumentacji, ujawnienie danych medycznych w formie telefonicznej osobom nieuprawnionym czy wysyłka jednobrzmiącej korespondencji e-mailem do wielu pacjentów bez ukrycia adresów mailowych odbiorców.
Więcej o RODO piszemy tutaj.
Przykładów można byłoby wskazywać dużo więcej. W praktyce istotnym problemem jest też korzystanie z usług informatycznych firm zewnętrznych bez zawierania z nimi umów powierzenia przetwarzania danych osobowych i klauzul gwarancyjnych, że te dane będą usuwane po zakończeniu współpracy. Chyba największe wyzwanie stoi przede wszystkim przed indywidualnymi i grupowymi praktykami lekarskimi. Brakuje samej świadomości, że prawo do ochrony danych osobowych jest częścią prawa pacjenta do poszanowania jego godności i wpisuje się w poszanowanie tajemnic prawnie chronionych, np. tajemnicy lekarskiej. Ponadto, o czym wielu zapomina, jest ono zagwarantowane w polskim ustawodawstwie, a nie od chwili rozpoczęcia debaty o unijnej reformie ochrony danych osobowych.
Po 25 maja przepisy jeszcze się zaostrzą.
RODO powtarza wiele już istniejących wymagań płynących z Dyrektywy 95/46/WE. To nie jest coś zupełnie nowego, ale oczywiście są dodatkowe wymogi do spełnienia. Rozszerza się m.in. katalog danych wrażliwych o dane biometryczne, wzrośnie liczba nowych uprawnień osób fizycznych, takich jak m.in. prawo do bycia zapomnianym, prawo do przenoszenia danych do innego usługodawcy, prawo do niepodlegania decyzji opartej wyłącznie na automatycznym przetwarzaniu danych osobowych, w tym profilowaniu, prawo do ograniczenia przetwarzania itd.
RODO wprowadza także nowe mechanizmy związane z wprowadzaniem rozwiązań z użyciem nowych technologii, takich jak uwzględnianie prywatności już na etapie projektowania produktów czy usług, domyślna ochrona czy też ocena skutków dla ochrony danych osobowych, jeżeli przetwarzanie może powodować wysokie ryzyko naruszenia praw i wolności pacjentów. Zmienia się zakres obowiązku informacyjnego, trzeba będzie np. poinformować pacjenta, przez jaki okres będą przechowywane jego dane jakim odbiorcom (pojawia się nowa definicja odbiorcy i jest nim m.in. podmiot, któremu dane powierzamy) będziemy je przekazywać i w jakim celu, a jeśli jego dane osobowe zostaną udostępnione niezgodnie z prawem, trzeba go będzie w określonych w RODO przypadkach o takim incydencie powiadomić.
Więcej o RODO piszemy tutaj.
Należy też pamiętać, że zamiast zgłaszania rejestracji zbiorów danych medycznych do GIODO, administratorzy danych będą prowadzić rejestr czynności przetwarzania danych, w którym trzeba zdefiniować cele przetwarzania, odbiorców oraz przetwarzających. Konieczne będzie też udokumentowanie prowadzenia rejestru naruszeń. Jedną z najważniejszych zmian jest jednak samo podejście do procesu przetwarzania danych. Administrator będzie sam decydować, jakie mechanizmy i procedury wdroży, aby dane były chronione. Musi to zrobić w oparciu o analizę potencjalnych ryzyk, a w razie wystąpienia incydentu lub naruszenia będzie musiał wykazać, dlaczego zastosował akurat taką, a nie inną procedurę bezpieczeństwa. Rozporządzenie w tym zakresie czyni administratora danych niezwykle kreatywnym.
Zamiast administratora bezpieczeństwa informacji (ABI) będzie inspektor ochrony danych (IOD). Kto będzie musiał stworzyć takie stanowisko pracy?
Zgodnie z przepisami rozporządzenia, inspektor będzie musiał został powołany we wszystkich placówkach publicznych, a także w większości placówek prywatnych, ponieważ RODO stanowi, że do wyznaczenia inspektora ochrony danych zobowiązane są m.in. te podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a do takiej kategorii należą dane o stanie zdrowia. Być może sposób sformułowania przepisu określającego obowiązek wyznaczenia inspektora jest mało precyzyjny, ale takie sformułowanie zostało użyte celowo, by administratorzy danych samodzielnie dokonywali analizy sytuacji i oceniali, czy taki obowiązek w ich przypadku istnieje.
W celu ułatwienia im tego zadania, Grupa Robocza Artykułu 29 – organ doradczy Komisji Europejskiej w zakresie ochrony danych osobowych i prywatności, w skład którego wchodzą unijni rzecznicy ochrony danych, a więc także GIODO – w grudniu 2016 r. wydała Wytyczne dotyczące inspektorów ochrony danych. Zawierają one wskazówki, jak należy rozumieć „główną działalność” czy „dużą skalę”, a także wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. W przypadku indywidualnej praktyki lekarskiej czy gabinetu prowadzonego przez lekarza, racjonalnie można przyjąć, że nie ma tutaj mowy o działalności na dużą skalę i taki lekarz nie będzie miał obowiązku zatrudniać inspektora ochrony danych.
Więcej o RODO piszemy tutaj.
Motyw 91 RODO, który dotyczy wprawdzie obowiązku prowadzenia oceny skutków działalności dla ochrony danych osobowych, ale też odnosi się do pojęcia dużej skali, podaje przykłady pojedynczych prawników i lekarzy jako te sytuacje, kiedy nie ma obowiązku zatrudniania inspektora ochrony danych. Choć trzeba pamiętać, że sytuacja ta może się z czasem zmienić, bo np. zwiększy się liczba pacjentów lub działalność lekarza się rozwinie. Warto też dodać, że RODO przewiduje obowiązek wyznaczenia inspektora ochrony danych przez tzw. podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, np. przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.
Wyznaczenie inspektora leży w interesie administratora danych, który mając profesjonalistę z tego zakresu jest w stanie zapewnić rzeczywistą ochronę posiadanym informacjom, kontrolować sytuacje związane z przetwarzaniem, nie dopuścić do powstania naruszeń skutkujących odpowiedzialnością finansową placówki, a tym samym także zwiększyć poziom swojej konkurencyjności na rynku. Nie trzeba od razu tworzyć etatu dla takiego pracownika, to może być osoba z zewnątrz. Na pewno IOD to mocny punkt dla administratora przetwarzającego dane, bo potrafi odnaleźć potencjalne ryzyka.
Przygotowując się do wdrożenia RODO, na co zwrócić uwagę w pierwszej kolejności?
Najpierw należy oszacować poziom wiedzy personelu na temat ochrony danych osobowych, zidentyfikować podmioty, które uczestniczą w procesie ich przetwarzania i wszystkie obszary, gdzie dochodzi do przetwarzania danych. Należy też zadbać o upoważnienia pracowników do przetwarzania danych osobowych i klauzule poufności, zidentyfikować ryzyka związane z ochroną danych, przyjrzeć się organizacji pracy. Stworzyć, o ile jeszcze ich nie ma, procedury bezpieczeństwa, zgodnie z nowymi wytycznymi, właściwie je udokumentować i wdrożyć.
Należy też przeanalizować, czy outsourcingujemy poszczególne usługi, a jeśli tak, to czy zadbaliśmy o zawarcie umowy powierzenia danych z firmami działającymi na nasze zlecenie, czy też takie umowy nie są w ogóle potrzebne, gdyż podmioty te działają jako odrębni administratorzy ponoszący odrębną odpowiedzialność w świetle RODO za przetwarzanie danych. Trzeba też przejrzeć wszystkie aktualne w placówce klauzule informacyjne i zbudować je na nowo, w zgodzie z RODO, bo pamiętajmy, że rozszerza się zakres i forma realizacji obowiązku informacyjnego (przekaz ma być bardziej czytelny, zrozumiały dla przeciętnego odbiorcy).
Więcej o RODO piszemy tutaj.
Polecam też przyjrzeć się obecnie stosowanym klauzulom zgód na przetwarzanie danych osobowych i zweryfikować, czy w ogóle są one potrzebne w konkretnych przypadkach. Przypominam, że taki formularz zgody stosujemy tylko wtedy, gdy z przepisów prawa nie wynika cel ich przetwarzania. Ponadto, zgodnie z obowiązującym już rozporządzeniem, nie będzie można zbierać zgód blankietowych (nieokreślających, na jaki w istocie cel zostały wyrażone), zgód wymuszonych (poprzez brak możliwości wyrażenia odrębnej zgody na każdy z osobnych celów, lub też uzależnionych od innych uwarunkowań, np. zawarcia umowy).
Zwracajmy też uwagę na ryzyka związane z rozwojem technologicznym. Pojawiają się nowe e-usługi, urządzenia elektroniczne, świadczenia w ramach telemedycyny, monitoring, i należy chronić dane przetwarzane za ich pomocą w szczególny sposób, uwzględniając specyfikę tych urządzeń, ich funkcjonalność i ryzyka, jakie niesie brak rzetelnej oceny ich funkcjonowania. Pamiętać należy, iż RODO zapewnia przetwarzaniu danych neutralność technologiczną, co oznacza, iż to nie urządzenie (nowa technologia) ma wyznaczać dopuszczalne standardy ochrony danych, ale administrator danych decydujący się na użycie przetestowanych pod kątem RODO rozwiązań techniczno-organizacyjnych.
RODO wprowadza możliwość nakładania ogromnych kar na administratorów łamiących prawo, tymczasem zapewnienie ochrony danych osobowych już teraz kosztuje, a dostosowanie się do nowych wymogów to kolejny wydatek.
To nie jest tylko kwestia kosztów. Żeby zapobiec wielu nieprawidłowościom, wystarczy przeorganizować pracę. Zmienić sposób myślenia. Najsłabszym ogniwem jest człowiek, co pokazują też doświadczenia z naszych kontroli. RODO wzmacnia uprawnienia podmiotów danych i daje możliwość ukarania za naruszenia w zakresie ochrony danych osobowych (administracyjne kary finansowe, wnioski o odszkodowania), ale umożliwia też aktywną współpracę z naszym urzędem.
Partnerem do podejmowania dyskusji nad zagadnieniami związanymi z ochroną danych w placówce będzie dla GIODO niewątpliwie inspektor ochrony danych. GIODO będzie również wspierał administratorów danych w tzw. procesie uprzednich konsultacji. Doskonałym narzędziem dla ograniczenia ryzyka nakładania kar będzie także stosowanie przez jednostki ochrony zdrowia kodeksów postępowania czy też uwzględnianie w swojej działalności mechanizmów certyfikacji. Proszę nas nie kojarzyć jedynie z organem, który po 25 maja będzie tylko nakładał kary.
Pozostało niewiele czasu na dostosowanie się do nowych przepisów.
RODO będzie w tym samym terminie obecne w codziennej praktyce we wszystkich krajach Unii Europejskiej i tego już nie zmienimy. Dlatego postanowienia rozporządzenia trzeba włączyć w standardy postępowania administratorów danych. Rozporządzenie weszło w życie w połowie 2016 r., mieliśmy dwa lata okresu przejściowego na przygotowanie się do wprowadzenia odpowiednich zmian. Coraz bardziej kurczy nam się czas na zadawanie pytań, a czas na wdrażanie procedur z prawidłowymi odpowiedziami mija 25 maja 2018 r.
Lidia Sulikowska
* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO).