Czy prowadząc mały gabinet lub poradnię musisz przestrzegać RODO?
Forma prowadzonej przez Ciebie działalności leczniczej nie ma większego znaczenia z punktu widzenia RODO. Prowadząc gabinet jesteś podmiotem wykonującym działalność leczniczą i przetwarzasz dane osobowe swoich pacjentów. I choć prowadzenie praktyki zawodowej różni się pod wieloma względami od prowadzenia podmiotu leczniczego, to jednak nie w tym przypadku.
RODO nikogo nie dyskryminuje – w równym stopniu wiąże zarówno podmioty lecznicze, jak i praktyki zawodowe. Ewentualne różnice nie wynikają z tego, którą z tych form działalności leczniczej wybrałeś. To raczej kwestia skali oraz tego, czyje i jakie dane osobowe przetwarzasz, w jakich celach to robisz i co się z tymi danymi dzieje.
Nawet, jeśli prowadzisz jedynie mały gabinet, nie zatrudniasz personelu i nie przyjmujesz tysięcy pacjentów miesięcznie, pewne obowiązki musisz spełnić. Jakby nie było – przetwarzasz dane osobowe pacjentów i musisz zadbać o ich bezpieczeństwo, czy tego chcesz, czy nie.
Klauzula informacyjna RODO
Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. I nie chodzi tu o informacje o stanie zdrowia. RODO wymaga od Ciebie, abyś poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.
Żeby nie było zbyt prosto, RODO wymaga, by taka informacja zawierała pewne niezbędne elementy. Musisz więc poinformować pacjenta:
- kto jest administratorem – oczywiście Ty nim jesteś;
- jak pacjent może się z Tobą skontaktować – podajesz adres, numer telefonu, adres e-mail;
- w jakim celu przetwarzasz jego dane osobowe – celem tym będzie udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe;
- na jakiej podstawie prawnej przetwarzasz te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora, czyli Twój – podstawa prawna będzie zależała przede wszystkim od kategorii danych i celu ich przetwarzania;
- jakie prawa przysługują pacjentowi – informujesz np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO;
- jak długo będziesz przetwarzać dane – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa;
- o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.
Jak widzisz, jest tego trochę. Warto więc sobie przygotować przyzwoitą klauzulę informacyjną i jak mawiał klasyk:
Nie giąć, nie niszczyć – dwa lata będzie służyć…
… albo i dłużej 🙂
Jak zrealizować obowiązek informacyjny?
Przede wszystkim pamiętaj, że musi być to informacja zrozumiała. Nie jest dobrą praktyką np. cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Staraj się więc, żeby była to informacja z jednej strony kompletna, ale z drugiej strony – jak najprostsza, zrozumiała dla przeciętnego pacjenta.
Oczywiście najbezpieczniejszym dla Ciebie rozwiązaniem byłoby przedstawianie klauzuli każdemu z pacjentów osobno oraz odbieranie od nich podpisów potwierdzających zapoznanie się z informacją. Chociaż RODO podpisu nie wymaga, to musisz pamiętać, że to Ty będziesz musiał udowodnić, że zrealizowałeś obowiązek informacyjny.
Możesz więc na przykład taką klauzulę informacyjną zawrzeć w formularzu rejestracyjnym (o ile go stosujesz) albo przedstawić pacjentowi w formie odrębnego dokumentu. Może być to również podpis na tablecie. Obowiązek informacyjny musisz wykonać najpóźniej w momencie pozyskania danych.
Znając jednak niechęć właścicieli małych gabinetów do papierologii, zakładam, że i Ty wolałbyś oszczędzić sobie i swoim pacjentom nadmiernych formalizmów. Najprostszym rozwiązaniem będzie więc wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do Twojego gabinetu, czy w poczekalni, tak, żeby pacjenci mogli się z nią zapoznać.
Obowiązkowa dokumentacja RODO w małej placówce medycznej
Oprócz klauzuli informacyjnej, ważnym dokumentem, który musisz przygotować jest rejestr czynności przetwarzania. Określasz w nim m.in.:
- cele przetwarzania danych osobowych;
- kategorie osób, których dane przetwarzasz;
- kategorie przetwarzanych danych osobowych;
- opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne;
- kategorie odbiorców, którym przekazujesz dane osobowe.
Co ważne – rejestr ten masz obowiązek udostępnić na każde żądanie UODO. Przygotuj go więc porządnie i prowadź rzetelnie.
Musisz również dokumentować wszelkie naruszenia ochrony danych osobowych. W takiej dokumentacji musisz wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – powinieneś opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.
Dokumentacja nieobowiązkowa ale przydatna
Wdrożenie RODO w małym gabinecie opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.
Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.
Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.
Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na Ciebie nie nakłada.
Polityka ochrony danych osobowych – czy musisz ją mieć?
Prowadząc mały gabinet nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.
Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to Ty musisz udowodnić, że przetwarzasz dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie Ci to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.
Po drugie – taka polityka może stanowić konkretną i realną pomoc dla Ciebie, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.
Jeżeli prowadzisz swój gabinet samodzielnie, nie masz inspektora ochrony danych i nie masz prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego będziesz mógł sięgnąć w razie potrzeby.
Bezpieczeństwo przede wszystkim
I pamiętaj o najważniejszym. Dokumentacja to nie wszystko. Twoim najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych.
Oczywiście prowadząc niewielki gabinet wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne. Również w małym gabinecie obowiązuje zasada:
Keep it secret, keep it safe…
Artykuł pochodzi z bloga: prawodlazdrowia.pl