Ochrona danych osobowych |
Obowiązek ochrony danych osobowych wynika wprost z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO).
Ochrona danych osobowych to ochrona informacji dotyczących osób fizycznych przez podmioty, które nimi dysponują. Wśród przedsiębiorców zobligowanych do stosowania przepisów rozporządzenia o ochronie danych osobowych znajdują się podmioty lecznicze. Podmioty te w ramach codziennych działań przetwarzają dane szczególnych kategorii, którymi są informacje o stanie zdrowia opisane w art. 9 Rozporządzenia RODO. Ponadto przetwarzanie danych osobowych w podmiocie leczniczym dotyczy zazwyczaj dużej liczby pacjentów (podmiotów danych). Te kwestie sprawiają, że przetwarzanie danych medycznych przez podmioty lecznicze wymaga szczególnego podejścia.
Dodatkowo, zgodnie z obowiązującymi przepisami, podmioty lecznicze zobowiązane są do prowadzenia dokumentacji medycznej w formie elektronicznej oraz do prowadzenia elektronicznej dokumentacji medycznej w określonych rozporządzeniem przypadkach. Więcej na ten temat znajdą Państwo w naszej bazie wiedzy w Podsumowanie zmian w dokumentacji medycznej oraz EDM wprowadzonych w 2021 r.. Wynika z tego, że ochrona danych osobowych pacjentów zależy również od bezpieczeństwa systemów informatycznych w jakich są one przetwarzane oraz kompetencji personelu.
Wszystkie te czynniki powodują, że przetwarzanie danych osobowych w podmiocie leczniczym wymaga kompleksowego podejścia i analizy wielu procesów zachodzących podczas udzielania świadczeń pacjentom. Począwszy od zbierania deklaracji POZ, poprzez rejestrację, moment udzielania świadczenia aż do sporządzania, przechowywania i udostępniania dokumentacji medycznej należy mieć na względzie ochronę osób fizycznych w związku z przetwarzaniem ich danych.
Aby wspomóc podmioty lecznicze, których głównym zadaniem jest ratowanie zdrowia i życia ludzkiego poprzez udzielanie świadczeń zdrowotnych na jak najwyższym poziomie prowadzimy doradztwo w zakresie ochrony danych osobowych w placówkach medycznych i praktykach zawodowych. Zachęcamy do zapoznania się z kluczowymi pojęciami dotyczącymi ochrony danych osobowych w podmiocie leczniczym oraz oferowanymi przez nas usługami:
- RODO
- Usługa IOD – pełnienie funkcji inspektora ochrony danych.
- Dokumentacja medyczna – dane wrażliwe.
RODO |
Zgodnie z RODO przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, w tym ich: zbieranie, przechowywanie, opracowywanie, zmienianie, udostępnianie czy też usuwanie, zwłaszcza jeżeli realizuje się je w systemach informatycznych.
Natomiast ochrona danych osobowych, to zabezpieczenie tych danych przed ich utratą, wyciekiem, czy niepowołanym dostępem. Chodzi o to, aby nie dopuścić do sytuacji, w której te dane będą przetwarzane przez osoby nie mające do tego upoważnienia.
Podmiot leczniczy posiada status administratora danych osobowych w rozumieniu przepisów RODO.
W związku z tym ciąży na nim szereg obowiązków uregulowanych w RODO. O administratorze i jego obowiązkach przeczytają Państwo w naszej bazie wiedzy we wpisie Administrator danych i jego obowiązki.
Rolą podmiotu prowadzącego działalność leczniczą jako administratora jest dbałość o należyte zabezpieczenie danych osobowych. W tym zakresie istotną kwestią jest właściwe zorganizowanie procesu przetwarzania danych osobowych, opracowanie odpowiedniej dokumentacji RODO
w placówce medycznej, określającej zasady zabezpieczania danych osobowych oraz procedury postępowania z tymi danymi oraz przeszkolenie personelu z powyższych zasad i procedur.
Dlaczego stosowanie RODO jest takie ważne?
Każdy podmiot wykonujący działalność leczniczą, w tym praktyki zawodowe wymagają indywidualnego podejścia. Ważne jest, aby polityki, procedury i zalecenia były opracowane z uwzględnieniem specyfiki określonej placówki medycznej czy gabinetu lekarskiego. Przepisy o ochronie danych osobowych nie wskazują konkretnych rodzajów zabezpieczeń. Ich dobór zależy od specyfiki placówki, szczegółowej analizy formy i skali działalności oraz wszelkich procesów w niej zachodzących.
Ponadto wszystkie działania podmiotu leczniczego, związane z ochroną danych osobowych nie mogą dezorganizować bądź ograniczać procesu udzielania świadczeń zdrowotnych. Wykorzystywanie danych pacjentów powinno następować zawsze z poszanowaniem prywatności, intymności i godności pacjenta oraz ich prawa do zachowania w tajemnicy informacji z nim związanych.
Stosowanie rozporządzenia RODO stanowi przejaw troski o prywatność pacjenta i jego bezpieczeństwo.
Oferujemy więc Państwu nasze wsparcie w zakresie wdrażania RODO. Wszystkich chętnych zapraszamy do kontaktu z naszym Biurem Obsługi Klienta.
Opracowanie kompletnej dokumentacji ochrony danych osobowych
W ramach świadczonych usług proponujemy Państwu opracowanie i wdrożenie kompletnej dokumentacji ochrony danych osobowych (polityki bezpieczeństwa) w Państwa placówce. Zakres usługi obejmuje:
- Inwentaryzację danych, weryfikację czy przetwarzanie odbywa się zgodnie z prawem, przegląd upoważnień do przetwarzania.
- Przeprowadzenie oceny skutków i analizy ryzyka, opracowanie planu postępowania
z ryzykiem. - Opracowanie instrukcji postępowania z incydentami, opracowanie regulaminu dla pracowników, współpracowników i podwykonawców, przygotowanie oświadczeń poufności oraz weryfikacja umów powierzenia przetwarzania.
- Przygotowanie rejestru czynności przewarzania, procedury audytów sprawdzających oraz planu ciągłości działania.
- Przygotowanie wykazu zabezpieczeń organizacyjnych i fizycznych.
- Przygotowanie wykazu zabezpieczeń informatycznych oraz instrukcji zarzadzania systemem informatycznym.
- Przekazanie dokumentacji administratorowi danych osobowych, przeprowadzenie szkolenia dla administratora.
- Szkolenia dla personelu placówki.
Opracowanie powyższej dokumentacji poprzedzony jest audytem polegającym na weryfikacji
i analizie informacji oraz procedur funkcjonujących w podmiocie.
Istnieje także możliwość dokonania przez nas aktualizacji dokumentacji, która Państwo posiadają
i dostosowania jej do zmieniających się wymagań wynikających z przepisów prawa.
Usługa IOD |
RODO wskazuje sytuacje, w których wyznaczenie inspektora ochrony danych jest obowiązkiem administratora. Powołanie inspektora ochrony danych jest obligatoryjne w sytuacjach, gdy:
- przetwarzania dokonuje organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiary sprawiedliwości,
- główna działalność podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
- główna działalność podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących o naruszeń prawa.
Jak wynika z powyższego, każdy podmiot leczniczy (administrator), który przetwarza dane na dużą skalę ma obowiązek wyznaczenia inspektora ochrony danych (IOD). Jako przykład przetwarzania nie mieszczący się w definicji dużej skali należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza prowadzącego indywidualną praktykę lub innego pracownika służby zdrowia, np.: pielęgniarkę czy położną. W przypadku, gdy administrator nie mam obowiązku powołania IOD, rekomenduje się powołanie takiej funkcji w ramach dobrych praktyk.
Zgodnie z art. 37 ust. 6 RODO inspektor ochrony danych może być członkiem personelu administratora lub może wykonywać swoje zadania na podstawie umowy o świadczenie usług. Aby zdecydować, która forma zatrudnienia jest właściwa z punktu widzenia potrzeb danego podmiotu należy zrozumieć jaką rolę pełni IOD i jakie są jego obowiązki.
Inspektor ochrony danych osobowych w podmiocie leczniczym ma za zadanie wspierać administratora w przestrzeganiu przepisów RODO. IOD pełni funkcje doradcze, powinien więc być specjalistą w swojej dziedzinie. Ponadto pełni on też ważną funkcję w kontakcie i współpracy z organem nadzorczym. Niezbędne jest aby wyznaczyć na inspektora osobę, która dysponuje fachową wiedzą i odpowiednimi kwalifikacjami zawodowymi.
W ramach wsparcia oferujemy pełnienie funkcji IOD w Państwa podmiocie leczniczym. Świadcząc usługę outsourcingu IOD zapewniamy realizację następujących zadań:
- informowanie administratora i pracowników podmiotu o obowiązkach wynikających z bieżącego stanu prawnego w zakresie RODO, monitorowanie zmian w przepisach prawa i wytycznych organów nadzorczych,
- świadczenie usług bieżącego wsparcia,
- monitorowanie przestrzegania zasad ochrony danych oraz polityk bezpieczeństwa w podmiocie,
- audyt zabezpieczeń technicznych i organizacyjnych,
- uczestnictwo w procesie analizy ryzyka oraz oceny skutków dla przetwarzania danych osobowych,
- aktualizację dokumentacji ochrony danych osobowych,
- wsparcie w procesie podejmowania decyzji,
- bieżącą analizę incydentów,
- budowanie świadomości personelu w kontekście RODO,
- szkolenia dla personelu i administratorów.
Zainteresowanych zapraszamy do kontaktu z naszym Biurem Obsługi Klienta. Usługi wyceniane są indywidualnie na podstawie wstępnego audytu.
Świadczymy także usługi wsparcia dla innych inspektorów ochrony danych. Jeśli mają Państwo w swojej placówce zatrudnionego inspektora lub sami piastujecie to stanowisko i potrzebujecie konsultacji czy porady to również zapraszamy do kontaktu z naszym Biurem Obsługi Klienta.
Aby zrozumieć jak istotne jest skorzystanie z fachowej wiedzy i wsparcia w zakresie RODO należy mieć świadomość, że dane przetwarzane w podmiocie leczniczym należą do szczególnych kategorii danych, zwanych danymi wrażliwymi lub sensytywnymi.
Dokumentacja medyczna – dane wrażliwe |
Dane dotyczące zdrowia, podlegają rozszerzonej ochronie, co wynika z ich charakteru i jest gwarancją poszanowania podstawowych praw i wolności każdej osoby fizycznej. Zasadą jest, że przetwarzanie danych wrażliwych jest zabronione, a wykonywanie na nich jakichkolwiek operacji jest dopuszczalne tylko w drodze wyjątków przewidzianych w przepisach prawa.
Jedną z przesłanek, zawartą w art. 9 ust. 2 lit. h RODO, umożliwiającą przetwarzanie danych szczególnych kategorii jest przetwarzanie dla celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, dokonywania diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.
Wynika z tego, że podmioty wykonujące działalność leczniczą oraz osoby świadczące usługi zdrowotne mogą przetwarzać dane osobowe, bez uzyskiwania na to zgody pacjenta. Sam fakt udzielania świadczeń zdrowotnych uprawnia podmioty lecznicze do przetwarzania danych wrażliwych dotyczących zdrowia.
Ze względu na szczególny charakter tych danych, ochrona danych osobowych w placówkach medycznych powinna stać na najwyższym poziomie. Podmioty lecznicze z powodu zasad obowiązujących w procesie leczenia nie obędą się bez ich gromadzenia, jednak tym bardziej muszą podlegać one skutecznemu zabezpieczeniu. Dobór odpowiednich narzędzi i programów oraz zarządzanie dostępami do nich jest tu najważniejszą kwestią.
Istotne jest także zapewnienie ochrony danych medycznych na etapie ich udostępniania pacjentom. Podmiot leczniczy powinien zadbać, aby dane wrażliwe udostępniane pacjentom w systemach informatycznych były odpowiednio chronione przed dostępem osób nieupoważnionych. Należy korzystać z odpowiednich rozwiązania informatyczne, haseł dostępu oraz procedur weryfikacji tożsamości.
Aby zapewnić adekwatny poziom ochrony danych podmiot leczniczy jako administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne. Oznacza to, że musi przeanalizować wszystkie operacje przetwarzania danych w swojej placówce i określić poziom ryzyka jakie ze sobą niesie takie przetwarzanie. Następnie należy wdrożyć działania, które pomogą zapewnić stopień bezpieczeństwa odpowiadający ryzyku lub minimalizujący to ryzyko.
Jak wynika z powyższego, kluczem do spełnienia wymogów związanych z RODO jest odpowiednio funkcjonujący system ochrony danych osobowych. Błędem jest myślenie, że nie musimy nic robić, dopóki nie doszło do wycieku lub utraty danych osobowych, w tym również danych wrażliwych. Najlepszym rozwiązaniem jest stworzenie systemu, którego elementami będą m. in.: odpowiednie zabezpieczenia, kontrola nad przepływem informacji w placówce, procedury korzystania z zasobów i zwiększenie świadomości pracowników. Ponadto w systemie ochrony danych osobowych kluczową rolę odgrywa inspektor ochrony danych. Jego wsparcie i zaangażowanie w monitorowanie procesów przetwarzania danych może przyczynić się do zwiększenia bezpieczeństwa i wzrostu zaufania pacjentów do podmiotu leczniczego.
Jeśli działanie zgodne z RODO jest dla Państwa ważnym zagadnieniem, ale nie jesteście pewni czy sami poradzicie sobie z tą tematyką zachęcamy do kontaktu. Wierzymy, że nasza wiedza i zdobyte doświadczenie przyczynią się do stworzenia w Państwa palcówce dobrze funkcjonującego systemu ochrony danych osobowych.
Więcej informacji na temat ochrony danych osobowych znajdą Państwo w naszej bazie wiedzy w kategorii Podstawowe informacje o RODO.