PARTNERZY PORTALU
partner portalu partner portalu

Co musi gabinet stomatologiczny jako administrator danych osobowych

ms
14-06-2021, 08:06
Co musi gabinet stomatologiczny jako administrator danych osobowych RODO, MDR obowiązki w zakresie ochrony danych osobowych (fot. shutterstock)
Podmioty, które prowadzą gabinety lekarskie, w tym stomatologiczne, najczęściej występują w roli administratorów danych osobowych i w związku z tym są zobowiązane do przestrzegania ustawy w sprawie RODO (Dz. U. 2018 poz. 1000), a także szeregu przepisów szczególnych*. Co to konkretnie oznacza?
  • Z perspektywy gabinetów lekarskich (stomatologicznych) najistotniejsze są dane dotyczące stanu zdrowia, ale również dane biometryczne, które często zbierane są nawet przy okazji wykonywania podstawowych zabiegów.
  • Jeśli do gabinetu zgłasza się nowy pacjent, należy przekazać mu stosowną klauzulę informacyjną w zakresie RODO.
  • Unijne rozporządzenie MDR (Medical Device Regulation), chociaż reguluje przede wszystkim kwestię obrotu wyrobami medycznymi, to odnosi się do ochrony danych osobowych.

Dane osobowe pacjentów: „zwykłe” i „wrażliwe”

W gabinetach przetwarzane są dane osobowe pacjentów – zarówno dane „zwykłe” (takie jak imię, nazwisko, PESEL, adres zamieszkania itp.), jak i dane „wrażliwe”.

Dane wrażliwe, zgodnie z art. 9 RODO, to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Warto podkreślić, że są to wszystkie informacje, które dotyczą sfery prywatnej (a wręcz intymnej) życia danej osoby, a ich ujawnienie może skutkować np. działaniami dyskryminującymi. Z perspektywy gabinetów lekarskich (stomatologicznych) najistotniejsze są dane dotyczące stanu zdrowia, ale również dane biometryczne, które często zbierane są nawet przy okazji wykonywania podstawowych zabiegów.

Warto także pamiętać, że w placówkach medycznych przetwarzane są nie tylko dane pacjentów, ale także innych podmiotów – np. usługodawców.

Czym jest przetwarzanie danych osobowych?

Zgodnie z przepisami RODO (art. 4) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.

Definicja ta jest zatem bardzo szeroka. W zasadzie każda czynność wykonywana na danych osobowych jest ich przetwarzaniem, również zapoznawanie się z nimi, a także dokonywanie analizy na ich podstawie.

Jakie obowiązki ciążą na administratorach danych osobowych?

RODO nakłada na administratorów danych osobowych szereg obowiązków.

Po pierwsze, powinni oni zrealizować w stosunku do osób, których dane są przetwarzanie, obowiązek informacyjny. Należy poinformować osoby, których danymi dysponują m.in. o tym, jakie dane będą wykorzystywane, w jakim celu i na jakiej podstawie prawnej, a także wskazać na przysługujące prawa (np. do sprzeciwu). Przykładowo, jeśli do gabinetu zapisuje się nowy pacjent, lekarz zobowiązany jest przekazać mu stosowną klauzulę informacyjną.

Kolejnym obowiązkiem administratora jest zapewnienie bezpieczeństwa danych. W związku z tym, dokumentacja medyczna powinna być przechowywana w taki sposób, aby nie uległa ona utraceniu ani nie dostała się w niepowołane ręce. Należy oczywiście powstrzymać się od wywieszania list zawierających imiona/nazwiska/PESELE pacjentów.

Osoby pracujące w gabinecie powinny być odpowiednio przeszkolone w zakresie ochrony danych. Co ważne, administrator danych osobowych zobowiązany jest również do prowadzenia rejestru przetwarzania danych.

Dane  medyczne mają charakter szczególny, a możliwość ich przetwarzania jest ściśle regulowana. W art. 9 ustęp 2 lit. h) RODO wskazano, że przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia (…).

Przepis ten wyraźnie reguluje kwestię przetwarzania danych przez podmioty medyczne. Co więcej, w art. 9 ust. 2 lit. c) RODO zaznaczono, że przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Wynika z tego, że norma odnosi się do sytuacji związanych np. z ratowaniem życia ludzkiego.

Archiwizacja danych w gabinecie lekarskim (stomatologicznym)

Archiwizacja dokumentacji medycznej uregulowana została w kilku aktach prawnych. Zgodnie z założeniami ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu (art. 29). W określonych w ustawie przypadkach okres ten ulega wydłużeniu (np. dokumentacja dzieci do 2. roku życia) lub skróceniu (np. przechowywanie zdjęć rentgenowskich, nieudzielenie świadczenia z powodu niezgłoszenia się pacjenta).

Od 1 stycznia 2021 r. wszystkie podmioty lecznicze objęte zostały obowiązkiem prowadzenia dokumentacji medycznej w postaci elektronicznej.

Dane osobowe a rozporządzenie MDR

Przypomnijmy, że 26 maja 2021 r. weszło w życie unijne rozporządzenie MDR (Medical Device Regulation). Chociaż reguluje ono przede wszystkim kwestię obrotu wyrobami medycznymi, nie oznacza to, że w tym przypadku przepisy dotyczące ochrony danych osobowych nie mają zastosowania.

a) baza EUDAMED – MDR zakłada, że informacje przechowywane w bazie EUDAMED (w której zamieszczane będą dane o wyrobach oraz podmiotach gospodarczych, jednostkach notyfikowanych, badaniach klinicznych itd.) powinny ograniczać się do niezbędnego minimum. Administratorem danych jest w tym przypadku Komisja Europejska.

b) badania kliniczne – badania kliniczne służą do wykazania zgodności wyrobu z regulacjami MDR. W art. 73 MDR wskazano, że dane osobowe uczestników badań klinicznych nie mogą być udostępniane publicznie.

Co więcej, we wszystkich innych sytuacjach, gdy przetwarzane są dane osobowe podmiotów zaangażowanych w wyrób/obrót/używanie urządzeń medycznych - czynności te muszą być zgodne z przepisami RODO.

Codzienne obowiązki

Kwestia ochrony danych osobowych nabrała tempa w 2018 r., kiedy w życie wchodziło RODO. Od tego czasu wykształciła się w Polsce dodatkowo praktyka organów i sądów w oparciu o nowe przepisy. Większość podmiotów, które przetwarzają dane wrażliwe, przygotowało się już wówczas na wdrożenie nowych przepisów. Należy jednak pamiętać, że niezbędne jest bieżące, w zasadzie codzienne aktualizowanie dokumentów i koordynowanie realizacji wszystkich zadań wynikających z przepisów.

* Kwestię bezpieczeństwa danych osobowych reguluje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – czyli słynne RODO oraz ustawa z  10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).

r.pr. Justyna Matuszak-Leśny, LL.M.

Agata Grochowska (Junior Associate w esb Adwokaci i Radcowie Prawni)

Podobał się artykuł? Podziel się!

POLECAMY W SERWISACH

Drogi Użytkowniku!

W związku z odwiedzaniem naszych serwisów internetowych możemy przetwarzać Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. O celach tego przetwarzania zostaniesz odrębnie poinformowany w celu uzyskania na to Twojej zgody. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane dodatkowo jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.