PARTNER PORTALU
partner portalu partner portalu

EDM w gabinecie stomatologicznym obciążona RODO

ms
25-01-2022, 08:30
EDM w gabinecie stomatologicznym obciążona RODO Piętno RODO odciska się na EDM Fot. AdobeStock
Na ile wdrożenie ustawy o EDM zmienia zasady ochrony danych pacjentów w gabinecie stomatologicznym? – na to pytanie odpowiadają eksperci z kancelarii esb Adwokaci i Radcowie Prawni.

Przepisy RODO* sprawiły, że obchodzenie się z danymi osobowymi wymaga dużo większej niż dotychczas ostrożności ze strony administratorów danych osobowych. Dotyczy to w szczególności świadczeniodawców przetwarzających dane medyczne (oczywiście chodzi w głównej mierze o EDM), a więc w mniejszym lub w większym stopniu także lekarzy i lekarzy dentystów.

Kto administruje danymi  

Administratorem danych (w świetle RODO) jest podmiot, który samodzielnie (lub wspólnie z innymi) ustala cele i sposoby przetwarzania danych osobowych. Lekarz, lekarz dentysta, pozyskując dane osobowe od swoich pacjentów, decyduje czy, a jeśli tak - to  w jakim zakresie - dane osobowe będą przetwarzane. Bywa, że medyk koordynuje także proces usunięcia rejestrów z bazy danych. Spełnia więc wszystkie cechy, przypisane administratorowi danych osobowych.

Kto przetwarza dane

Obowiązki lekarza jako administratora danych wiążą się z przetwarzaniem danych, dlatego koniecznie trzeba wyjaśnić, czym jest to pojęcie, dodajmy podstawowe w dyskusji o ochronie danych.

Definicję przetwarzania danych podaje RODO* (w art. 4 ust. 1): jest to operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Do zbioru tych operacji – wymieniono w przepisie – należą m.in.:
- zbieranie,
- utrwalanie,
- organizowanie,
- porządkowanie,
- przechowywanie,
- adaptowanie lub modyfikowanie,
- pobieranie,
- przeglądanie,
- wykorzystywanie,
- ujawnianie poprzez przesłanie,
- rozpowszechnianie lub innego rodzaju udostępnianie,
- dopasowywanie lub łączenie,
- ograniczanie,
- usuwanie lub niszczenie danych osobowych.

Pamiętać trzeba, że wszystkie wymienione wcześniej przypadki mają jedynie charakter przykładowy, a więc za przetwarzanie danych uznaje się wszystkie operacje dokonywane na danych osobowych lub ich zestawach.

Rozwiązanie to ma na celu możliwie jak najściślejszą ochronę osób, których dane są przetwarzane (w przypadku gabinetów stomatologicznych i pracujących tam lekarzy dentystów, chodzi oczywiście o pacjentów).

Lekarz dentysta jako administrator danych osobowych

Z funkcją administratora łączą się liczne obowiązki. Przede wszystkim administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych odbywało się zgodnie z RODO. Co więcej, to rolą administratora jest wykazanie, że przetwarza dane w sposób zgodny z prawem. Podejmowane przez administratora środki muszą zatem uwzględniać charakter, zakres, kontekst i cele przetwarzania danych oraz ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Administrator decyduje zatem także o tym, w jaki sposób będzie chronił dane osobowe, kierując się w tym względzie zasadą, że zastosowane środki mają być odpowiednie do tego celu.

Dobór środków, podjętych przez administratora, powinien być - w razie potrzeby - poddawany przeglądom i uaktualniany – zwłaszcza, że techniki stosowane np. przez hakerów i cyberprzestępców stają się coraz bardziej wyrafinowane, a nieaktualizowane systemy ochronne łatwo poddają się zewnętrznym wpływom.

Administrator powinien ponadto prowadzić rejestr przetwarzania danych osobowych, w którym będą zawarte informacje o tym kto, kiedy i w jakim celu korzystał z dostępu do danych osobowych pacjentów.

Ponadto administrator ma obowiązek każdorazowo zgłaszać fakt naruszenia ochrony danych osobowych zarówno Prezesowi Urzędu Ochrony Danych Osobowych (bez zbędnej zwłoki, jednak nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia), jak i osobie, której dane dotyczą.

Szczególny charakter danych medycznych 

RODO klasyfikuje dane, które zbierają podmioty prywatne i publiczne w ramach działalności gospodarczej i szereguje je w zależności od poziomu wrażliwości poszczególnych informacji. Od tego też zależą wymagania co do tego, jak należy zabezpieczać dane (grupy danych), czy też w jaki sposób ogranicza się zakres ich przetwarzania.

Jakich rodzajów danych dotyczy przetwarzanie danych znajdujących się w dokumentacji medycznej?

Z całą pewnością będą to tzw. zwykłe dane osobowe, jak: imię, nazwisko, nr PESEL czy adres zamieszkania pacjenta. W zdecydowanej większości przypadków dokumentacja medyczna będzie zawierała także informacje dotyczące: zdrowia, seksualności, dane genetyczne czy biometryczne pacjentów. RODO zalicza te rekordy do szczególnych kategorii danych osobowych. Ich przetwarzanie jest dozwolone tylko na zasadach i w wypadkach określonych w rozporządzeniu.

Administrujący danymi lekarze – świadczeniodawcy, powinni pamiętać, że przetwarzanie danych osobowych będzie dozwolone w szczególności, gdy:
- osoba, której dane dotyczą wyraziła wyraźną zgodę na ich przetwarzanie (w jednym lub kilku konkretnych celach), chyba że prawo Unii Europejskiej lub państwa członkowskiego - mimo wszystko - nie pozwala na uchylenie zakazu przetwarzania danych;
- przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii Europejskiej lub państwa członkowskiego;
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej, a osoba, której dane dotyczą jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
- przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
- przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
- przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub państwa członkowskiego;
- przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii Europejskiej lub państwa członkowskiego;
- przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych jeśli przetwarzanie to nie narusza istoty prawa do ochrony danych.

Kogo obarczyć RODO

Przetwarzanie danych nie jest zadaniem prostym. Z pomocą przy wykonywaniu przetwarzania danych zgodnie z RODO może przyjść zwłaszcza inspektor danych osobowych, którego wyznaczyć może administrator. Niekiedy jego wyznaczenie jest wręcz obowiązkowe – jak chociażby w przypadku szpitali (por. art. 37 ust. 1 lit c RODO). Zadania inspektora polegają na monitorowaniu, by dane były przetwarzane zgodnie z prawem, a także na informowaniu administratora o właściwym sposobie przetwarzania danych i formułowaniu stosownych zaleceń. Dobrą praktyką, zyskującą na popularności, jest także organizowanie szkoleń pracowniczych dotyczących RODO. Dzięki nim lekarze są w stanie przyswoić sobie najważniejsze zasady dotyczące właściwego przetwarzania danych.

* Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

    Igor Korczak – Kubalski, prawnik w esb Adwokaci i Radcowie Prawni
Student prawa oraz filologii klasycznej na Uniwersytecie Warszawskim. Jego zainteresowania koncentrują się na prawie cywilnym i administracyjnym, w szczególności na prawie nowych technologii oraz ochronie danych osobowych.

 

 
    r.pr. Justyna Matuszak-Leśny, esb Adwokaci i Radcowie Prawni
Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego, Wyższej Szkoły Handlu i Prawa oraz podyplomowych studiów z zakresu Prawa informatyki (Informationsrecht) na Heinrich-Heine Universität w Düsseldorfie.

Karierę rozpoczęła w esb Rechtsanwälte w Stuttgarcie, gdzie zajmowała się procesami compliance w kontekście federalnego prawa ochrony danych osobowych (BDSG) i konsultingiem z zakresu prawa pracy dla polskich i niemieckich spółek.

Po powrocie do Polski realizowała projekty w zakresie prawa ochrony danych osobowych, prawa autorskiego i własności przemysłowej. Jako ekspert przeprowadziła szkolenia i projekty z zakresu wdrożenia systemów zarządzania i ochrony danych na rzecz przedsiębiorstw prywatnych i spółek Skarbu Państwa. Od 2013 r. rozwija polską jednostkę esb Rechtsanwälte (esb Adwokaci i Radcowie Prawni), jako Senior Partner. Jest pierwszą w historii osobą spoza Niemiec, która została zaproszona do grona partnerów.

Od 2013 r. jest członkinią Rady Doradczej VOI (Verband Organisations- und Informationssysteme e.V.) z siedzibą w Bonn. Zrzeszenie wspiera firmy i przedsiębiorstwa we wprowadzaniu nowoczesnych systemów ECM i EIM, usprawniających zbieranie, zarządzanie, tworzenie i analizę danych firmowych.

Jest aktywnym członkiem Centrum Technologii Blockchain przy Uczelni Łazarskiego, w którym wspiera prace badawcze nad zagadnieniami związanymi z rozwojem tej technologii i metod jej wykorzystania w prawie polskim i międzynarodowym.

Podobał się artykuł? Podziel się!

POLECAMY W SERWISACH