Dołącz do czytelników
Brak wyników

Prawo i dokumentacja

30 sierpnia 2018

NR 22 (Sierpień 2018)

RODO w placówkach medycznych: nowe zasady ochrony danych pacjenta od maja 2018 roku

0 35

Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych, zwane również GDPR lub Ogólnym Rozporządzeniem o Ochronie Danych, a w skrócie RODO, w Polsce zaczęło obowiązywać od 25 maja 2018 r. Będzie ono obowiązywać wszystkich, którzy przetwarzają dane osobowe w związku z prowadzoną przez nich działalnością gospodarczą, a zatem i względem lekarzy.

Lekarze administrują danymi przede wszystkim swoich pacjentów, ale także osób przez siebie zatrudnionych czy osób, które w inny sposób świadczą na ich rzecz usługi – a w konsekwencji zobowiązane są do realizacji obowiązków określonych w przepisach odnoszących się do ochrony danych osobowych.

Rozporządzenie wprowadza szereg zmian oraz poszerza zakres obowiązków administratorów i podmiotów przetwarzających dane osobowe. Celem nowych przepisów jest wyposażenie osób fizycznych oraz organów nadzorujących ich działalność w skuteczne narzędzia reagowania na naruszenia tego aktu prawnego.

Bardzo istotną, a zarazem niezwykle dotkliwą dla przedsiębiorców kwestią, są możliwe sankcje za spowodowane naruszenia.

Implementacja nowych przepisów 

RODO to akt prawny obowiązujący bezpośrednio w państwach członkowskich, co oznacza, że nie będzie polskich aktów wykonawczych, które wskazywałyby drogę administratorom, w jaki sposób stosować jego procedury. Pomocne mają być w tym przypadku tzw. kodeksy branżowe. Obecnie trwają prace nad kodeksami dla sektora ochrony zdrowia. To w tym akcie ujęte zostaną wskazówki do skorzystania z danych rozwiązań, zbiory dobrych praktyk. Kolejną formą pomocy są opracowywane szablony dokumentów, trzeba jednak zaznaczyć, że nie będą one na tyle uniwersalne, aby odnosić się do wszystkich specyfik działalności leczniczej. Cyklicznie prowadzone są też szkolenia w zakresie RODO na terenie całego kraju, uruchamiane są również specjalne dyżury w zakresie doradztwa dotyczącego nowych przepisów.

Dane osobowe

Ustawodawstwo polskie już bardzo wcześnie zauważyło problem wrażliwości danych osobowych. W 1997 r. powstała pierwsza ustawa o ich ochronie, która obecnie jest najważniejszym aktem prawnym określającym obowiązki administratorów danych osobowych. Ustawa z 1997 r. bardzo wyraźnie precyzuje ochronę danych, określając jednocześnie, co rozumiemy pod pojęciem danych osobowych. Takimi danymi są wszystkie informacje, które gromadzimy o osobie, o pacjencie, pozwalające na możliwie łatwe zidentyfikowanie tej osoby. W praktyce, w związku z rozwojem technologii, zidentyfikowanie poprzez różnego rodzaju programy szperające w sieci, na podstawie nieraz bardzo szczątkowych danych, jest coraz łatwiejsze, stąd wiele uwagi poświęca się temu, by dane odpowiednio przechowywać, zabezpieczać, jak również systematycznie realizować obowiązek szkoleniowy w tej materii. Jest to konieczne z tego względu, że cały czas powstają kolejne i to całkiem nowe zagrożenia. 

Rozporządzenie RODO, które będzie bezpośrednio stosowane w taki sposób, jakby było ustawą, w efekcie spowoduje uchylenie ustawy o ochronie danych osobowych z 1997. 

Nowe obowiązki

W związku z wdrożeniem nowego prawa istnieją pewne wymogi, które dotyczą również praktyk lekarskich prowadzących dokumentację elektroniczną w formie zarówno zwykłej, tradycyjnej, jak i elektronicznej. Wymogi dotyczą przede wszystkim opracowania bardzo spójnej i klarownej polityki bezpieczeństwa, w których zawarte są informacje o tym, w jaki sposób system ma zostać zabezpieczony. Nowy reżim bezpieczeństwa przewiduje szereg obowiązków, które zostaną omówione bardziej szczegółowo poniżej, w tym główne takie jak: powołanie administratora danych osobowych oraz administratora bezpieczeństwa informacji. W małych praktykach lekarskich zazwyczaj funkcję tę będzie pełnić jedna i ta sama osoba. Podmioty te mają za zadanie czuwać, aby dane pacjentów były odpowiednio zabezpieczone, również stworzyć system zabezpieczeń oraz przygotować pełną dokumentację odnoszącą się do jego funkcjonowania. Reżim bezpieczeństwa poprzez to, że zawiera konkretne procedury, określa, kto i za co jest odpowiedzialny, a także nadaje (w formie załączników) upoważnienia do korzystania z systemu osobom, które są pracownikami lub osobami współpracującymi z konkretną praktyką lekarską. 

Niezwykle istotnym dokumentem jest instrukcja zarządzania systemem informatycznym, w której zawarte są wszystkie polityki bezpieczeństwa dotyczące programów komputerowych instalowanych na komputerze, zabezpieczenia antywirusowego, antywłamaniowego, informacje dotyczące prowadzenia polityki haseł, ich zmiany, logowania do systemu, wylogowywania się z systemu, tworzenia kopii zapasowych, przechowywania tychże kopii. Jest to szereg dodatkowych czynności, do tej pory niepotrzebnych z tego względu, że nie było aż tak postępującego rozwoju internetu. Obecnie jednak w interesie wspólnym lekarzy, personelu i pacjentów jest troska o to, by dane osobowe odpowiednio zabezpieczyć w różnych sytuacjach, nie tylko życia zawodowego, ale i codziennego. Konieczność odpowiedniego zabezpieczenia musi również obejmować urządzenia przenośne, takie jak tablety, smartfony, laptopy itd., na których dane osobowe można wynieść ze środowiska pracy na zewnątrz, w inne środowisko społeczne.

Poza obowiązkiem wprowadzenia powyższych wymogów w życie prawodawca będzie posiadał również możliwość ich egzekwowania, sprawowania kontroli nad ich realizacją. Nowe przepisy dają upoważnienie do kontrolowania o każdej porze każdej z praktyk lekarskich pod kątem funkcjonowania i wywiązywania się z obowiązku ochrony danych osobowych. Warto zatem sporządzić podstawową dokumentację, określić upoważnienia dla poszczególnych osób pracujących czy też współpracujących z praktyką lekarską. Przykładowo, należy sprecyzować umowy z wszystkimi dostawcami, biurami rachunkowymi, z osobami czy podmiotami, które korzystają z danych osobowych, którym powierzamy ich przetwarzanie, a także tych, które w naszym imieniu prowadzą działania np. informacyjne wśród pacjentów. Powyższe działania mają w jak najpełniejszy sposób zmierzać do zabezpieczenia udostępnianej dokumentacji, w tym przesyłania danych osobowych pacjentów.

Niebezpieczeństwa, jakie płyną z nieuprawnionego dostępu do danych osobowych, należy śledzić i odpowiednio wcześnie na nie reagować, zabezpieczając swoją praktykę lekarską przed taką inwigilacją poprzez wyposażenie jej w odpowiedni program antywirusowy, antyspamowy, ale co najważniejsze, poprzez rzetelne przeszkolenie personelu. Nawet zdawać by się mogło proste metody, takie jak niepozostawianie komputera bez opieki, niezostawianie panelu monitora do podglądu osobom wchodzącym do praktyki czy nieopuszczanie bez opieki miejsca pracy w momencie, gdy włączony jest program komputerowy, aby uniemożliwić osobom trzecim ściągnięcie danych, może okazać się wystarczające dla zabezpieczenia przed niepożądanym wyciekiem danych. Właściciel praktyki lekarskiej jako administrator danych osobowych, jeśli równocześnie jest administratorem bezpieczeństwa informacji, powinien śledzić nowe zabezpieczenia na rynku, konsultować to z osobami, które zawodowo tym się zajmują lub też samemu zdobywać wiedzę w tym zakresie i przekazywać ją swojemu personelowi. Jest powszechnie wiadome, że dane osobowe pacjentów stanowią obecnie walutę, za którą każda firma ubezpieczeniowa, banki czy też inne instytucje zajmujące się np. profilowaniem zwyczajów zakupowych, są w stanie bardzo dużo zapłacić.

Proces wdrożenia przepisów

W celu sprawnego wdrożenia przepisów RODO, najlepszym sposobem jest przeprowadzenie na początku audytu wewnętrznego, dzięki któremu zostanie ustalony stan faktyczny, czy dane chronione są zgodnie z przepisami. Następnie można przejść do etapu analizy, które obszary wymagają poprawy czy też całkowitych zmian, i przeszkolić w tym zakresie personel. Szkolenie pracowników należy zacząć od, zdawać by się mogło, bardzo prostych kwestii, nie tylko związanych z RODO. W dalszym ciągu zdarzają się bowiem błędy polegające na niewłaściwej ochronie danych osobowych, które nie powinny mieć miejsca zgodnie z już istniejącymi i obowiązującymi przepisami. Przykładowo, wymienić można sytuacje braku upoważnień dla lekarzy stażystów i studentów na przetwarzanie danych osobowych czy też ignorowanie obowiązku niszczenia przy pomocy niszczarki dokumentów, zawierających dane wrażliwe.

Najważniejsze zmiany

Nowo powstałym obowiązkiem ujętym w art. 37 RODO jest wyznaczenie inspektora ochrony danych osobowych (ang. data protection officer) w podmiotach, które przetwarzają na „dużą skalę” dane osobowe dotyczące zdrowia. W rozporządzeniu nie zostało doprecyzowane, co należy rozumieć poprzez określenie „duża skala”. Na początku prac legislacyjnych w tym zakresie postulowano ilościowe zdefiniowanie granicy, po której pr...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 6 wydań czasopisma "Forum Pediatrii Praktycznej"
  • Nielimitowany dostęp do całego archiwum czasopisma
  • Dodatkowe artykuły niepublikowane w formie papierowej
  • ...i wiele więcej!
Sprawdź

Przypisy