14 kwietnia 2024

Unia funduje nam RODO. Co to za skrót i kogo dotyczy?

25 maja 2018 roku w życie wejdzie unijne rozporządzenie dotyczące ochrony danych osobowych (RODO). Nowelizacja przepisów obejmie także podmioty z branży medycznej. Jak przygotować się do nadchodzących zmian?

Foto: KE

Dokument dotyczy zapewnienia bezpieczeństwa danych osobowych. Jak bardzo różni się od obecnie obowiązujących w Polsce przepisów regulujących tę kwestię? Implementacja zapisów rozporządzenia w sektorze medycznym była tematem konferencji, która odbyła się kilka dni temu na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego.

W gronie ekspertów, którzy podjęli się przybliżenia nowej regulacji prawnej znaleźli się przedstawiciele Kancelarii Prezesa Rady Ministrów, Ministerstwa Zdrowia, Ministerstwa Cyfryzacji oraz Narodowego Funduszu Zdrowia, dyrektorzy zarządzający państwowymi i prywatnymi ośrodkami zdrowia, lekarze, prawnicy i specjaliści, którzy na co dzień stykają się z praktycznymi aspektami ochrony danych osobowych oraz przedstawiciele stowarzyszeń pacjentów.

Nowe wytyczne

– Zapewnienie bezpieczeństwa dla życia oraz zdrowia pacjentów jest i na zawsze pozostanie najwyższą wartością wobec innych tworzonych praw. Należy jednak wypracować wewnętrzne procedury, które pozwolą realizować ten cel przy zachowaniu pełnego porządku prawnego, który powstał w trosce o prawa człowieka, obywatela i pacjenta. Całe środowisko medyczne musi dobrze przygotować się do nowych warunków, aby świadomie realizować nakładane na nie zobowiązania – uważa dr Beata Jagielska, zastępca dyrektora ds. lecznictwa otwartego i rozliczeń świadczeń zdrowotnych w Centrum Onkologii – Instytucie im. Marii Skłodowskiej-Curie, prezes Polskiej Koalicji Medycyny Personalizowanej.

Wśród zmian, które należy wdrożyć w ślad za nowym unijnym rozporządzeniem trzeba wymienić kilka najważniejszych obszarów. Pierwszy z nich to obowiązek powołania inspektora danych osobowych w szpitalach i innych placówkach medycznych, które przetwarzają dane osobowe na szeroką skalę. Zmianie ulegnie również kwestia szczegółowych warunków przetwarzania danych osobowych pacjentów, w tym choćby zróżnicowanie procedury pozyskiwania zgody samych pacjentów ze względu na cel przetwarzania danych.

– Identyfikujemy wiele obszarów, w których wystąpią kłopoty we wdrażanie zapisów RODO w polskich szpitalach. Zakres danych osoby upoważnionej przez pacjenta, problem ochrony danych osobowych na salach kilkuosobowych, wykonywanie drobnych zabiegów w tym wlewów kroplowych z danymi chorych, punkty pielęgniarskie, system kolejkowy w poradniach i na SOR-ach to niektóre obszary, w których personel medyczny będzie miał trudności aby sprostać nowym regulacjom prawnym – ocenia prof. Adam Fronczak z Wojewódzkiego Szpitala Specjalistycznego im. Mikołaja Kopernika w Łodzi.

Kary i inne problemy

W nowym rozporządzeniu szczególne emocje budzą zapisy dotyczące kar finansowych, będących konsekwencją wykrycia nieprawidłowości w wynikach wszczętej kontroli. Ich maksymalna wysokość sięga 20 mln euro, a w przypadku przedsiębiorcy – alternatywnie do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie znajdzie kwota wyższa. – Przedstawione kwoty są jednak karami maksymalnymi, tak więc organ przy ich nakładaniu będzie miarkował wysokość kary do stopnia zawinienia i charakteru podmiotu naruszonego – uspokaja mec. Marta Gadomska-Gołąb z jednej z kancelarii prawniczych.

Wśród tematów podejmowanych w wypowiedziach eksperckich podczas konferencji znalazły się także treści dotyczące roli kadry zarządzającej we wdrażaniu RODO, praktycznych rozwiązań z zakresu ochrony danych osobowych wykorzystywanych na co dzień w szpitalach oraz praw pacjenta wynikających bezpośrednio z unijnego rozporządzenia. Na koniec spotkania zgormadzeni eksperci wypracowali rekomendacje, które mogą być podstawą do stworzenia mechanizmów implementacji wytycznych wynikających z rozporządzenia o ochronie danych osobowych w polskich placówkach medycznych.

Rekomendacje ekspertów

Uzgodnione i zaproponowane w trakcie konferencji przez ekspertów wytyczne przedstawiają się w sposób następujący:

  • należy przeprowadzić audyt/analizę procesów, jakie zachodzą w danej jednostce, w tym ustalić jakie dane i w jakiej komórce organizacyjnej są przetwarzane;
  • należy zidentyfikować obszary ryzyka, w których może dochodzić do „konfliktu procedur/norm”, np. transfuzje krwi, oznaczanie pacjentów (identyfikacja);
  • należy zapewnić odpowiednie zabezpieczenie systemów informatycznych, w których przetwarzane są dane;
  • należy na bieżąco monitorować procedury i dokonywać ich zmian w celu ich optymalizacji;
  • należy wprowadzić odpowiednie procedury postępowań, w których:
    • graniczony zostanie faktyczny dostęp do danych wyłącznie do osób /stanowisk, które tego wymagają,
    • w konkretnych procesach administracyjnych przetwarzane będą jedynie dane niezbędne dla danego celu,
    • wyodrębnione zostaną procedury/procesy, w których do przetwarzania danych potrzebna jest zgodna (np. badania kliniczne, eksperymenty).

Czy powstaną kodeksy?

Dodatkowo eksperci zwracali uwagę na fakt, że organizacje branżowe, które reprezentują określone kategorie administratorów lub podmioty przetwarzające dane, mogą opracowywać kodeksy, w których doprecyzowany zostanie zakres rozporządzenia w stosunku do tej branży. Należy w tym względzie pamiętać, że pomiot, który będzie zobowiązany do monitorowania przestrzegania kodeksu, podlega karze za niedopełnienie swoich obowiązków.

Organizatorem konferencji była Polska Koalicja Medycyny Personalizowanej oraz Wydział Prawa i Administracji Uniwersytetu Warszawskiego, a współorganizatorami m.in.: Centrum Onkologii – Instytut im. Marii Skłodowskiej-Curie, Wojewódzki Szpital Specjalistyczny im. Mikołaja Kopernika w Łodzi oraz Polska Federacja Szpitali. Konferencja została objęta honorowym patronatem ministra zdrowia oraz rektora Warszawskiego Uniwersytetu Medycznego.