Jak realizować obowiązek informacyjny RODO

kan
22-07-2020, 12:35
Właściciel małej praktyki stomatologicznej, nawet jednoosobowej, jeśli nie zatrudnia personelu i nie przyjmuje tysięcy pacjentów miesięcznie, musi wypełniać pewne obowiązki związane z RODO. Wynikają one z faktu, że przetwarza dane osobowe pacjentów i musi zadbać o ich bezpieczeństwo. Co zatem można wdrożyć, a co nie jest konieczne, wyjaśnia prawnik Bartłomiej Achler.

Przede wszystkim  informacja ma być zrozumiała. Dlatego nie jest dobrą praktyką cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Informacja z jednej strony ma być kompletna, ale z drugiej strony – jak najprostsza.

Oczywiście najbezpieczniejszym rozwiązaniem byłoby przedstawianie klauzuli każdemu z pacjentów osobno oraz odbieranie od nich podpisów potwierdzających zapoznanie się z informacją. Chociaż RODO podpisu nie wymaga, to trzeba pamiętać, że to lekarz ma udowodnić, że zrealizował obowiązek informacyjny, przestrzega Bartłomiej Achler, adwokat specjalizujący się w prawnym zabezpieczeniu  działalności placówek medycznych.

Klauzulę informacyjną można zawrzeć:
- w formularzu rejestracyjnym (o ile go stosujesz),
-  w formie odrębnego dokumentu,
- w formie podpisu na tablecie. 

Obowiązek informacyjny należy wykonać najpóźniej w momencie pozyskania danych.

Mało kto przepada za papierologią, zatem najprostszym rozwiązaniem będzie wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do gabinetu, czy w poczekalni, żeby pacjenci mogli się z nią zapoznać.

Obowiązkowa dokumentacja RODO w małym gabinecie
Oprócz klauzuli informacyjnej, ważnym dokumentem  jest rejestr czynności przetwarzania.
Powinny być w nim określone:
- cele przetwarzania danych osobowych;
- kategorie osób, których dane są przetwarzane;
- kategorie przetwarzanych danych osobowych;
-  opis technicznych i organizacyjnych środków bezpieczeństwa, które są stosowane, aby dane osobowe były bezpieczne;

Co ważne – rejestr ten ma być udostępniany na każde żądanie UODO. 

Konieczne jest również dokumentowanie wszelkich naruszeń ochrony danych osobowych. W takiej dokumentacji należy wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – trzeba opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.

Co możesz wdrożyć, ale nie musisz?
Wdrożenie RODO w małym gabinecie opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.

Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.

Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.

Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na nie nakłada.

Czy trzeba mieć politykę ochrony danych?
Prowadząc mały gabinet nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.

Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to dentysta musi udowodnić, że przetwarza dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie  to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.

Po drugie – taka polityka może stanowić konkretną i realną pomoc dla prowadzącego praktykę stomatologiczną, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.

Jeżeli dentysta prowadzi gabinet samodzielnie, nie ma  inspektora ochrony danych i nie ma prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego można sięgnąć w razie potrzeby.

Bezpieczeństwo przede wszystkim
Dokumentacja to nie wszystko. Najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych.

Oczywiście prowadząc niewielki gabinet wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne, podkreśla prawnik.

Więcej: prawodlazdrowia.pl