Dane medyczne - pod szczególną ochroną

ms
04-10-2018, 10:00
RODO w istotny sposób ogranicza możliwość przetwarzania niektórych danych przez osoby i instytucje. Czym innym w świetle przepisów jest administrowanie danymi  dotyczącymi chociażby klientów sklepu internetowego, a czym innym przetwarzanie danych pacjentów w gabinetach dentystycznych. Te drugie podlegają znacznie ściślejszym rygorom w celu ochrony prywatności pacjentów. W tym zakresie unijne prawo posługuje się definicją „danych podlegających szczególnej ochronie” czyli danych sensytywnych – informuje mecenas Michał Grabiec.

   Michał Grabiec, radca prawny

Czym są dane podlegające szczególnej ochronie?

Zgodnie z RODO, zabrania się „przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.”

RODO zawiera wyjątki od tej reguły i naturalnie lekarze dentyści mogą przetwarzać dane w celach diagnostycznych i leczniczych, co wprost wynika z art. 9 RODO. Jednak szczególny status danych medycznych pociąga za sobą istotne ograniczenia w możliwości swobodnego przetwarzania danych medycznych oraz nakłada dodatkowe obowiązki na administratorów (np. właścicieli gabinetów, przychodni, klinik).

Jednym z przykładów szczególnego statusu administratorów przetwarzających dane medyczne jest podejście prawodawcy unijnego do obowiązku powołania inspektora ochrony danych.

Samo przetwarzanie danych szczególnych nie wiąże się z koniecznością powołania inspektora. Jednak już przetwarzanie danych na dużą skalę powoduje konieczność wyznaczenia inspektora przez administratora. Co istotne, RODO nie definiuje pojęcia „duża skala”. W obecnych realiach każdy z administratorów musi więc ocenić czy potrzebuje inspektora czy też jest zwolniony z tego obowiązku.

Drugim wymogiem związanym z przetwarzaniem danymi sensytywnymi na dużą skalę jest konieczność dokonania oceny skutków dla ochrony danych. Również w tym zakresie administrator samodzielnie określa czy jest zobowiązany do przygotowania takiego dokumentu.

Jak widać, administrowanie danymi o szczególnym charakterze przez gabinety stomatologiczne nie jest zadaniem prostym i wolnym od rygorów przewidzianych przez RODO, a także krajową ustawę o ochronie danych osobowych.

Czytaj także:
Przetwarzanie danych w świetle RODO
Czy potrzebny inspektor ochrony danych w gabinecie dentystycznym?
RODO a zawarcie umów powierzenia przetwarzania danych osobowych

***
Michał Grabiec, partner w kancelarii GW Legal Grabiec & Wójcik, radca prawny specjalizujący się w tematyce prawa medycznego. Zajmuje się obsługą prawną podmiotów leczniczych i reprezentacją procesową w procesach medycznych.

Autor bloga blogoprawachpacjenta.com.pl i e-booka „Prawa pacjenta dla lekarzy". Wprowadził RODO w kilkunastu podmiotach z branży medycznej. Pełni funkcję inspektora ochrony danych w kilku szpitalach.