Szanowni Państwo, zachęcamy do zapoznania się praktycznym poradnikiem „RODO w służbie zdrowia”, jaki ukazał się w ostatnich dniach na stronie Ministerstwa Cyfryzacji. Poradnik w wersji pdf dostępny jest do pobrania pod adresem: https://www.gov.pl/cyfryzacja/rodo-w-sluzbie-zdrowia-po-pierwsze-pacjent

W odpowiedzi na apel nr 1/2018 XXXVIII Sprawozdawczo-Wyborczego Okręgowego Zjazdu Lekarzy Delegatów Lubelskiej Izby Lekarskiej do Okręgowej Rady Lekarskiej w Lublinie przekazujemy Państwu przykładową dokumentację dotyczącą ochrony danych osobowych dla lekarzy i lekarzy dentystów wykonujących zawód w ramach praktyk zawodowych, opracowaną przez Zespół działający przy Naczelnej Izbie Lekarskiej.

Zaznaczamy, że prawo otrzymania niniejszej dokumentacji przysługuje wyłącznie lekarzom zrzeszonym w LIL oraz, że nie może być ona w żaden sposób rozpowszechniana i wykorzystywana w sposób inny niż wdrożenie do własnej praktyki lekarskiej.

Pragniemy podkreślić, że niniejsza dokumentacja ma charakter przykładowy i nie stanowi gotowych wzorów, uniwersalnych dla każdego rodzaju wykonywanej przez Państwa działalności leczniczej. Każdy lekarz-przedsiębiorca zobowiązany jest do wdrożenia środków ochrony danych osobowych odpowiednich do prowadzonej przez siebie praktyki, przy uwzględnieniu rodzaju i rozmiaru praktyki oraz skali przetwarzania danych osobowych.

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (w skrócie RODO) weszło w życie na terenie Rzeczypospolitej Polskiej i pozostałych państw członkowskich Unii Europejskiej z dniem 25 maja 2018 r. Rozporządzenie to jest bezpośrednim źródłem praw dla osób, których dane dotyczą i obowiązków dla administratorów danych osobowych. Od tego dnia wszystkie podmioty przetwarzające dane osobowe, w tym lekarze i lekarze dentyści prowadzący praktyki zawodowe i podmioty lecznicze, będą zobowiązane do jego stosowania (wyjątek stanowią jedynie praktyki kontraktowe, które nie mają statusu administratora danych osobowych). W dniu 25 maja 2018 roku weszła w życie także nowa ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). Ustawa reguluje m.in.: zasady wyznaczania i zgłaszania Inspektora Ochrony Danych Osobowych, warunki i tryb certyfikacji, kompetencje nowego organu kontrolnego (Prezesa Urzędu Ochrony Danych Osobowych), postępowanie kontrolne oraz zasady odpowiedzialności za naruszenie przepisów. Obecnie trwają również prace nad Kodeksem postępowania dla podmiotów wykonujących działalność leczniczą, który po uchwaleniu i zatwierdzeniu przez Prezesa UODO będzie nieocenioną pomocą w interpretacji przepisów Rozporządzenia. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych: http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000

Rozporządzenie przewiduje rozszerzenie obowiązku informacyjnego przy zbieraniu i przechowywaniu wszelkich danych osobowych, w tym obowiązek podawania osobom, których dane dotyczą m.in.:

• danych administratora i ewentualnego inspektora ochrony danych osobowych, w tym danych kontaktowych;
• celu przetwarzania danych i kategorii przetwarzanych danych;
• informacji o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją);
• informacji o ewentualnym zamiarze przekazania danych osobowych do państwa trzeciego (np. na serwery poza terenem Unii Europejskiej);
• okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
• informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także o prawie do przenoszenia danych;
• informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem ( w takim wypadku co do zasady dane osobowe pacjentów będą przetwarzane na podstawie obowiązujących przepisów, a nie zgody pacjenta );
• informacji o prawie wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych);
• informacji, jakie są ewentualne konsekwencje niepodania danych osobowych;

Wejście w życie rozporządzenia będzie się zatem wiązało z koniecznością uzupełnienia dotychczasowych zgód na przetwarzanie danych osobowych (jeżeli są stosowane), szerszą informacją o przetwarzaniu danych osobowych zarówno na etapie zbierania danych od pacjentów (np. w ramach rejestracji), jak również na etapie późniejszego przetwarzania tych danych.

Nowa ustawa o ochronie danych osobowych przewiduje całkowitą rezygnację z obowiązku rejestracji zbiorów danych osobowych, który w bardzo niewielkim stopniu dotyczył dotychczas działalności medycznej, bowiem zbiory danych osób korzystających z usług medycznych były ustawowo zwolnione spod rejestracji.

Dotychczasowa ustawa o ochronie danych osobowych przewidywała jedynie, że umowa o powierzenie przetwarzania danych ma być zawarta w formie pisemnej, bez szczegółowego określania jej treści. RODO przewiduje natomiast szczegółową treść wskazanej umowy. W związku z powyższym konieczne będzie aneksowanie dotychczasowych umów o powierzenie przetwarzania danych, które lekarze i lekarze dentyści zawarli z podmiotami przetwarzającymi (np. firmami serwisującymi sprzęt medyczny przechowującymi dane o badaniach, producentami oprogramowania do prowadzenia gabinetów, firmami informatycznymi, zewnętrznymi firmami księgowymi i kadrowymi itp.), w celu ich dostosowania do nowych wymogów.

Z wejściem w życie RODO oraz polskiej ustawy o ochronie danych następuje zmiana w zakresie dobrowolnego wyznaczania ABI na rzecz systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych.

RODO wprowadza obowiązek powołania IODO w każdym przypadku, gdy główna działalność administratora polega na przetwarzaniu na dużą skalę danych wrażliwych, w tym danych o zdrowiu. W świetle prac grupy roboczej działającej przy Generalnym Inspektorze Danych Osobowych z obowiązku powoływania inspektorów mają być zwolnione indywidualne praktyki lekarskie. Nowa ustawa o ochronie danych osobowych nie dostarczyła gotowych rozwiązań pozwalających na jednoznaczne ustalenie, jakie podmioty będą posiadały obowiązek wyznaczenia Inspektora, niemniej w projekcie Kodeksu branżowego odwołano się do kryterium ilościowego, zgodnie z którym przetwarzanie na dużą skalę nie dotyczy podmiotów wykonujących działalność leczniczą udzielających:

– ambulatoryjnych świadczeń zdrowotnych, w tym w ramach Ambulatoryjnej Opieki Specjalistycznej, które zrealizowały świadczenia dla nie więcej niż 600 unikalnych pacjentów, w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy) lub

– wyłącznie świadczeń POZ i nie posiadających więcej niż 2750 przypisanych pacjentów w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).

– stacjonarnych i całodobowych świadczeń zdrowotnych:

a) szpitalnych, które udzielały świadczeń zdrowotnych dla nie więcej niż 100 unikalnych pacjentów;

b) innych niż szpitalne, które udzielały świadczeń zdrowotnych dla nie więcej niż 150 unikalnych pacjentów;

w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).

Inspektorem może być zarówno pracownik, jak i podmiot zewnętrzny w stosunku do przedsiębiorcy. Nie może być nim jedynie sam administrator z uwagi na konieczność zachowania niezależności IODO. RODO nie wprowadza jednak żadnych szczególnych wymogów kwalifikacyjnych dla osoby sprawującej taką funkcję, poza wskazaniem, iż musi ona posiadać wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych.

Nowa ustawa nie przewiduje już konieczności opracowywania polityki bezpieczeństwa w zakresie danych osobowych oraz instrukcji bezpieczeństwa systemu informatycznego. Zamiast tych dokumentów RODO wprowadza jednak obowiązek posiadania przez wszystkie podmioty przetwarzające szczególne kategorie danych (tzw. dane wrażliwe) nowego dokumentu – rejestru czynności przetwarzania. Będzie on zawierał m. in. informacje o technicznych i organizacyjnych środkach bezpieczeństwa. Podstawą jego opracowania powinna być w znacznej mierze istniejąca u Państwa polityka bezpieczeństwa i instrukcja.

Struktura „Rejestru czynności przetwarzania”

• nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
• cel przetwarzania danych osobowych,
• opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
• kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
• informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
• planowany termin usunięcia danych osobowych,
• ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

Projekt ustawy o ochronie danych osobowych przewiduje obowiązek dokonywania przez administratorów zgłoszeń do Prezesa Urzędu Ochrony Danych Osobowych w wypadku naruszenia bezpieczeństwa danych. Zgłoszenia te miałyby być dokonywane bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Dodatkowo konieczne będzie prowadzenie dokumentacji stwierdzonych naruszeń oraz informowanie osób, których dane dotyczą o naruszeniach, które wystąpiły (poprzez informację indywidualną albo publiczny komunikat).

Co powinno zawierać „Zgłoszenie naruszenia ochrony danych osobowych”

• opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i
• przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
• imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
• opis możliwych konsekwencji naruszenia ochrony danych osobowych;
• opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych
• przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

RODO przewiduje wysokie kary administracyjne za naruszenia dotyczące przetwarzania danych osobowych. Górna granica kar to aż 20.000 000 EUR lub do 4 % całkowitego rocznego obrotu. Należy jednak pamiętać, że RODO zawiera również przesłanki, jakimi powinien kierować się Prezes Urzędu wymierzając karę pieniężną. Niemniej jednak, dolegliwość finansowa powinna być jednym z czynników motywujących lekarzy i lekarzy dentystów do zapoznania się z regulacjami RODO i wdrożenia ich w swoich praktykach.

Przed przystąpieniem do przetwarzania danych osobowych na nowych zasadach podmiot przetwarzający dane wrażliwe powinien co do zasady przeprowadzić analizę ryzyka (poprzez stworzenie dokumentu oceny skutków dla ochrony danych). Z obowiązku jego sporządzania nie będą zwolnieni przedsiębiorcy, którzy przetwarzają na dużą skalę owe dane. Istnieje zatem szansa, że podobnie, jak w odniesieniu do obowiązku powołania IODO, indywidualne praktyki będą z tej analizy ryzyka zwolnione.

• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
• Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (http://www.dziennikustaw.gov.pl/DU/2018/1000)
• Projekt Kodeksu postępowania dla podmiotów wykonujących działalność leczniczą (http://www.rodowzdrowiu.pl/)