Kontrola wojewody w podmiocie leczniczym

RODO w gabinecie. Jakie dokumenty przygotować?

RODO w gabinecie. Jakie dokumenty przygotować?

Czy prowadząc mały gabinet lub poradnię musisz przestrzegać RODO?

Forma prowadzonej przez Ciebie działalności leczniczej nie ma większego znaczenia z punktu widzenia RODO. Prowadząc gabinet jesteś podmiotem wykonującym działalność leczniczą i przetwarzasz dane osobowe swoich pacjentów. I choć prowadzenie praktyki zawodowej różni się pod wieloma względami od prowadzenia podmiotu leczniczego, to jednak nie w tym przypadku.

RODO nikogo nie dyskryminuje – w równym stopniu wiąże zarówno podmioty lecznicze, jak i praktyki zawodowe. Ewentualne różnice nie wynikają z tego, którą z tych form działalności leczniczej wybrałeś. To raczej kwestia skali oraz tego, czyje i jakie dane osobowe przetwarzasz, w jakich celach to robisz i co się z tymi danymi dzieje.

Nawet, jeśli prowadzisz jedynie mały gabinet, nie zatrudniasz personelu i nie przyjmujesz tysięcy pacjentów miesięcznie, pewne obowiązki musisz spełnić. Jakby nie było – przetwarzasz dane osobowe pacjentów i musisz zadbać o ich bezpieczeństwo, czy tego chcesz, czy nie.

Klauzula informacyjna RODO

Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. I nie chodzi tu o informacje o stanie zdrowia. RODO wymaga od Ciebie, abyś poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.

Żeby nie było zbyt prosto, RODO wymaga, by taka informacja zawierała pewne niezbędne elementy. Musisz więc poinformować pacjenta:

  • kto jest administratorem – oczywiście Ty nim jesteś;
  • jak pacjent może się z Tobą skontaktować – podajesz adres, numer telefonu, adres e-mail;
  • w jakim celu przetwarzasz jego dane osobowe – celem tym będzie udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe;
  • na jakiej podstawie prawnej przetwarzasz te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora, czyli Twój – podstawa prawna będzie zależała przede wszystkim od kategorii danych i celu ich przetwarzania;
  • jakie prawa przysługują pacjentowi – informujesz np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO;
  • jak długo będziesz przetwarzać dane – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa;
  • o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.

Jak widzisz, jest tego trochę. Warto więc sobie przygotować przyzwoitą klauzulę informacyjną i jak mawiał klasyk:

Nie giąć, nie niszczyć – dwa lata będzie służyć…

… albo i dłużej 🙂

Jak zrealizować obowiązek informacyjny?

Przede wszystkim pamiętaj, że musi być to informacja zrozumiała. Nie jest dobrą praktyką np. cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Staraj się więc, żeby była to informacja z jednej strony kompletna, ale z drugiej strony – jak najprostsza, zrozumiała dla przeciętnego pacjenta.

Oczywiście najbezpieczniejszym dla Ciebie rozwiązaniem byłoby przedstawianie klauzuli każdemu z pacjentów osobno oraz odbieranie od nich podpisów potwierdzających zapoznanie się z informacją. Chociaż RODO podpisu nie wymaga, to musisz pamiętać, że to Ty będziesz musiał udowodnić, że zrealizowałeś obowiązek informacyjny.

Możesz więc na przykład taką klauzulę informacyjną zawrzeć w formularzu rejestracyjnym (o ile go stosujesz) albo przedstawić pacjentowi w formie odrębnego dokumentu. Może być to również podpis na tablecie. Obowiązek informacyjny musisz wykonać najpóźniej w momencie pozyskania danych.

Znając jednak niechęć właścicieli małych gabinetów do papierologii, zakładam, że i Ty wolałbyś oszczędzić sobie i swoim pacjentom nadmiernych formalizmów. Najprostszym rozwiązaniem będzie więc wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do Twojego gabinetu, czy w poczekalni, tak, żeby pacjenci mogli się z nią zapoznać.

Obowiązkowa dokumentacja RODO w małej placówce medycznej

Oprócz klauzuli informacyjnej, ważnym dokumentem, który musisz przygotować jest rejestr czynności przetwarzania. Określasz w nim m.in.:

  • cele przetwarzania danych osobowych;
  • kategorie osób, których dane przetwarzasz;
  • kategorie przetwarzanych danych osobowych;
  • opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne;
  • kategorie odbiorców, którym przekazujesz dane osobowe.

Co ważne – rejestr ten masz obowiązek udostępnić na każde żądanie UODO. Przygotuj go więc porządnie i prowadź rzetelnie.

Musisz również dokumentować wszelkie naruszenia ochrony danych osobowych. W takiej dokumentacji musisz wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – powinieneś opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.

Dokumentacja nieobowiązkowa ale przydatna

Wdrożenie RODO w małym gabinecie opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.

Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.

Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.

Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na Ciebie nie nakłada.

Polityka ochrony danych osobowych – czy musisz ją mieć?

Prowadząc mały gabinet nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.

Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to Ty musisz udowodnić, że przetwarzasz dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie Ci to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.

Po drugie – taka polityka może stanowić konkretną i realną pomoc dla Ciebie, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.

Jeżeli prowadzisz swój gabinet samodzielnie, nie masz inspektora ochrony danych i nie masz prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego będziesz mógł sięgnąć w razie potrzeby.

Bezpieczeństwo przede wszystkim

I pamiętaj o najważniejszym. Dokumentacja to nie wszystko. Twoim najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych.

Oczywiście prowadząc niewielki gabinet wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne. Również w małym gabinecie obowiązuje zasada:

Keep it secret, keep it safe…

Artykuł pochodzi z bloga: prawodlazdrowia.pl

Newsletter

Podobne Artykuły:

poprzedni

Kontrola wojewody w podmiocie leczniczym

następny

Zgoda na leczenie. Jak ją uzyskać?

Dodaj komentarz
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *