Hasło „RODO” było w ostatnich latach odmieniane przez wszystkie przypadki. Narosło wokół niego wiele mitów i półprawd. Jak zapanować nad tematem RODO w gabinecie prowadzonym w formie indywidualnej lub grupowej praktyki zawodowej?
Czym jest RODO?
Pod hasłem „RODO” kryje się Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Jest to najważniejszy akt prawny dotyczący zasada przetwarzania danych osobowych osób fizycznych. Nakłada on na podmioty przetwarzające dane osobowe liczne obowiązki związane z zapewnieniem bezpieczeństwa przetwarzania danych osobowych.
Biorąc pod uwagę, że w ramach swojej działalności przetwarzasz dane osobowe dotyczące zdrowia swoich pacjentów (tzw. dane szczególne), ciąży na Tobie więcej obowiązków, niż na „zwykłym” przedsiębiorcy, nawet jeżeli prowadzisz niewielki gabinet lub przychodnię.
Czym jest przetwarzanie danych osobowych?
RODO definiuje przetwarzanie danych osobowych jako
operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
W uproszczeniu – każda operacja na danych osobowych Twoich pacjentów lub personelu, jest ich przetwarzaniem. Przykładowo, odbieranie danych od pacjenta przy rejestracji wizyty, przeprowadzanie wywiadu, dokonywanie wpisów w dokumentacji medycznej, udostępnianie dokumentacji medycznej, prowadzenie korespondencji z pacjentem, wystawianie faktur, windykacja należności, itd. Każda z tych czynności wiąże się z przetwarzaniem danych osobowych.
Jakie dane przetwarzasz w swoim gabinecie?
W ramach swojej działalności przetwarzasz dwa rodzaje danych osobowych. Są to:
- dane zwykłe (imię, nazwisko, PESEL, adres zamieszkania itd.)
- dane dotyczące zdrowia (wszystkie dane o zdrowiu fizycznym i psychicznym, dane dotyczące leczenia, udzielonych świadczeń, przepisanych leków, zdiagnozowanych dolegliwości itd.)
Najważniejsze zasady
Pozyskując dane osobowe pamiętaj przede wszystkim o zasadach: minimalizacji danych oraz ograniczenia celu przetwarzania. W pewnym uproszczeniu oznaczają one, że możesz przetwarzać tylko dane, które są niezbędne dla określonych celów, a cele te powinny być wyraźnie określone.
Zasada integralności i poufności danych z kolei oznacza, że dane mogą być przetwarzane wyłącznie w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. W tym celu musisz stosować odpowiednie środki techniczne lub organizacyjne.
Musisz wreszcie pamiętać, że RODO wprowadza tzw. „zasadę rozliczalności”. Oznacza ona, że to na Tobie, jako administratorze danych, ciąży obowiązek udowodnienia, że przetwarzasz dane osobowe zgodnie z prawem, rzetelnie w sposób przejrzysty. Zakupione przez Ciebie w naszym sklepie wzory dokumentów pomogą Ci wywiązać się z tego obowiązku.
Dokumentacja RODO w praktyce zawodowej medyka
Jeżeli prowadzisz indywidualną praktykę zawodową, pracujesz sam i nie zatrudniasz żadnego personelu pomocniczego, powinny wystarczyć Ci następujące dokumenty:
- wzór klauzuli informacyjnej dla pacjenta
- dokument, z którym powinien zapoznać się każdy pacjent. Zawiera informacje dotyczące celu, zakresu i podstaw prawnych przetwarzania danych osobowych. Powinieneś go okazać każdemu pacjentowi. Podpis pacjenta nie jest wymagany, ale dobrze byłoby go uzyskać dla tzw. celów dowodowych;
- rejestr czynności przetwarzania danych osobowych;
- dokument do użytku wewnętrznego, wymagany przez RODO. Określa rodzaje czynności związanych z przetwarzaniem danych osobowych w Twojej praktyce zawodowej;
- rejestr naruszeń;
- dokument do użytku wewnętrznego. Rejestrujesz w nim wszystkie zdarzenia, które skutkowały naruszeniem ochrony danych osobowych;
- wzór zgłoszenia naruszenia danych.
- W przypadku naruszenia ochrony danych, masz obowiązek zgłosić takie zdarzenie do Prezesa UODO. Ponieważ masz na to tylko 72 godziny, warto mieć pod ręką wzór zgłoszenia.
Jeżeli prowadzisz grupową praktykę zawodową lub zatrudniasz personel pomocniczy, warto zadbać o dodatkowe dokumenty, takie jak:
- polityka ochrony danych osobowych
- podstawowy dokument do użytku wewnętrznego, który określa, w jaki sposób dbasz o zgodne z prawem przetwarzanie danych osobowych. W przypadku działalności prowadzonej jako praktyka zawodowa dokument ten powinien mieć oczywiście uproszczoną formę, dostosowaną do formy oraz skali działalności;
- klauzula informacyjna dla personelu;
- jeżeli zatrudniasz personel (oczywiście w przypadku praktyki zawodowej mówimy o zatrudnieniu tzw. personelu pomocniczego), masz obowiązek zawiadomienia go o tym jakie dane osobowe, w jakim celu i na jakiej podstawie prawnej przetwarzasz;
- klauzula informacyjna dot. monitoringu wizyjnego;
- Jeżeli stosujesz monitoring pomieszczeń ogólnodostępnych (np. recepcji) powinieneś osoby wchodzące zawiadomić o tym fakcie, wywieszając taką informację np. na drzwiach, lub w innym widocznym miejscu;
- wzór zgody na przetwarzanie danych osobowych dla celów marketingowych;
- jeżeli zamierzasz wykorzystywać dane osobowe w celach marketingowych, musisz uzyskać zgodę osób, których dane dotyczą;
- wzór upoważnienia do przetwarzania danych dla personelu;
- jeżeli zatrudniasz personel pomocniczy, powinien on zostać upoważniony do przetwarzania danych osobowych w ramach swoich obowiązków.
Jeżeli chcesz wynieść ochronę danych osobowych w swojej placówce na zupełnie inny poziom, możesz zadbać o dodatkową dokumentację:
- umowę z inspektorem ochrony danych;
- w zdecydowanej większości przypadków prowadzenie praktyki zawodowej nie wymaga powoływania inspektora ochrony danych. Możesz to jednak uczynić. W ramach pakietu GOLD otrzymujesz gotowy do wykorzystanie wzór umowy cywilnoprawnej z inspektorem;
- raport z oceny ryzyka;
- ocena ryzyka nie jest wymagana, ale jej przeprowadzenie ułatwi Ci realizację zasady rozliczalności;
- raport z oceny skutków przetwarzania;
- ocena skutków przetwarzania również nie jest wymagana, ale jej przeprowadzenie ułatwi Ci realizację zasady rozliczalności;
- raport z audytu ochrony danych osobowych
- masz obowiązek dokonywania monitorowania i oceny zgodności przetwarzania z prawem. Możesz wykorzystać ten wzór raportu z okresowego (np. corocznego) audytu ochrony danych osobowych w Twojej praktyce zawodowej.
Oczywiście nie zapominaj też o tym, że sama dokumentacja to nie wszystko. Najlepiej przygotowane procedury niewiele pomogą, jeżeli nie będziesz ich przestrzegać. Pamiętaj więc, że bezpieczeństwo danych osobowych Twoich pacjentów oraz personelu, zawsze powinno być dla Ciebie priorytetem.
Photo by Hush Naidoo on Unsplash
