• Z perspektywy gabinetów lekarskich (stomatologicznych) najistotniejsze są dane dotyczące stanu zdrowia, ale również dane biometryczne, które często zbierane są nawet przy okazji wykonywania podstawowych zabiegów.
  • Jeśli do gabinetu zgłasza się nowy pacjent, należy przekazać mu stosowną klauzulę informacyjną w zakresie RODO.
  • Unijne rozporządzenie MDR (Medical Device Regulation), chociaż reguluje przede wszystkim kwestię obrotu wyrobami medycznymi, to odnosi się do ochrony danych osobowych.

Dane osobowe pacjentów: „zwykłe” i „wrażliwe”

W gabinetach przetwarzane są dane osobowe pacjentów – zarówno dane „zwykłe” (takie jak imię, nazwisko, PESEL, adres zamieszkania itp.), jak i dane „wrażliwe”.

Dane wrażliwe, zgodnie z art. 9 RODO, to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne, dane dotyczące zdrowia, seksualności lub orientacji seksualnej danej osoby.

Warto podkreślić, że są to wszystkie informacje, które dotyczą sfery prywatnej (a wręcz intymnej) życia danej osoby, a ich ujawnienie może skutkować np. działaniami dyskryminującymi. Z perspektywy gabinetów lekarskich (stomatologicznych) najistotniejsze są dane dotyczące stanu zdrowia, ale również dane biometryczne, które często zbierane są nawet przy okazji wykonywania podstawowych zabiegów.

Warto także pamiętać, że w placówkach medycznych przetwarzane są nie tylko dane pacjentów, ale także innych podmiotów – np. usługodawców.

Czym jest przetwarzanie danych osobowych?

Zgodnie z przepisami RODO (art. 4) „przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie.

Definicja ta jest zatem bardzo szeroka. W zasadzie każda czynność wykonywana na danych osobowych jest ich przetwarzaniem, również zapoznawanie się z nimi, a także dokonywanie analizy na ich podstawie.

Jakie obowiązki ciążą na administratorach danych osobowych?

RODO nakłada na administratorów danych osobowych szereg obowiązków.

Po pierwsze, powinni oni zrealizować w stosunku do osób, których dane są przetwarzanie, obowiązek informacyjny. Należy poinformować osoby, których danymi dysponują m.in. o tym, jakie dane będą wykorzystywane, w jakim celu i na jakiej podstawie prawnej, a także wskazać na przysługujące prawa (np. do sprzeciwu). Przykładowo, jeśli do gabinetu zapisuje się nowy pacjent, lekarz zobowiązany jest przekazać mu stosowną klauzulę informacyjną.

Kolejnym obowiązkiem administratora jest zapewnienie bezpieczeństwa danych. W związku z tym, dokumentacja medyczna powinna być przechowywana w taki sposób, aby nie uległa ona utraceniu ani nie dostała się w niepowołane ręce. Należy oczywiście powstrzymać się od wywieszania list zawierających imiona/nazwiska/PESELE pacjentów.

Osoby pracujące w gabinecie powinny być odpowiednio przeszkolone w zakresie ochrony danych. Co ważne, administrator danych osobowych zobowiązany jest również do prowadzenia rejestru przetwarzania danych.

Dane  medyczne mają charakter szczególny, a możliwość ich przetwarzania jest ściśle regulowana. W art. 9 ustęp 2 lit. h) RODO wskazano, że przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia (…).

Przepis ten wyraźnie reguluje kwestię przetwarzania danych przez podmioty medyczne. Co więcej, w art. 9 ust. 2 lit. c) RODO zaznaczono, że przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody. Wynika z tego, że norma odnosi się do sytuacji związanych np. z ratowaniem życia ludzkiego.

Archiwizacja danych w gabinecie lekarskim (stomatologicznym)

Archiwizacja dokumentacji medycznej uregulowana została w kilku aktach prawnych. Zgodnie z założeniami ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu (art. 29). W określonych w ustawie przypadkach okres ten ulega wydłużeniu (np. dokumentacja dzieci do 2. roku życia) lub skróceniu (np. przechowywanie zdjęć rentgenowskich, nieudzielenie świadczenia z powodu niezgłoszenia się pacjenta).

Od 1 stycznia 2021 r. wszystkie podmioty lecznicze objęte zostały obowiązkiem prowadzenia dokumentacji medycznej w postaci elektronicznej.

Dane osobowe a rozporządzenie MDR

Przypomnijmy, że 26 maja 2021 r. weszło w życie unijne rozporządzenie MDR (Medical Device Regulation). Chociaż reguluje ono przede wszystkim kwestię obrotu wyrobami medycznymi, nie oznacza to, że w tym przypadku przepisy dotyczące ochrony danych osobowych nie mają zastosowania.

a) baza EUDAMED – MDR zakłada, że informacje przechowywane w bazie EUDAMED (w której zamieszczane będą dane o wyrobach oraz podmiotach gospodarczych, jednostkach notyfikowanych, badaniach klinicznych itd.) powinny ograniczać się do niezbędnego minimum. Administratorem danych jest w tym przypadku Komisja Europejska.

b) badania kliniczne – badania kliniczne służą do wykazania zgodności wyrobu z regulacjami MDR. W art. 73 MDR wskazano, że dane osobowe uczestników badań klinicznych nie mogą być udostępniane publicznie.

Co więcej, we wszystkich innych sytuacjach, gdy przetwarzane są dane osobowe podmiotów zaangażowanych w wyrób/obrót/używanie urządzeń medycznych - czynności te muszą być zgodne z przepisami RODO.

Codzienne obowiązki

Kwestia ochrony danych osobowych nabrała tempa w 2018 r., kiedy w życie wchodziło RODO. Od tego czasu wykształciła się w Polsce dodatkowo praktyka organów i sądów w oparciu o nowe przepisy. Większość podmiotów, które przetwarzają dane wrażliwe, przygotowało się już wówczas na wdrożenie nowych przepisów. Należy jednak pamiętać, że niezbędne jest bieżące, w zasadzie codzienne aktualizowanie dokumentów i koordynowanie realizacji wszystkich zadań wynikających z przepisów.

* Kwestię bezpieczeństwa danych osobowych reguluje rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – czyli słynne RODO oraz ustawa z  10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).

r.pr. Justyna Matuszak-Leśny, LL.M.

Agata Grochowska (Junior Associate w esb Adwokaci i Radcowie Prawni)