Ochrona danych osobowych w placówkach medycznych jest jednym z kluczowych wyzwań, które stoi przed Administratorami Danych Osobowych jaki i Podmiotami przetwarzającymi. Wynika to z kilku kwestii. Po pierwsze dane medyczne podlegają nie tylko pod Rozporządzenie RODO, ale także inne akty prawne, które niejednokrotnie mogą wchodzić w kolizję z Rozporządzeniem RODO.
Przetwarzając dane medyczne – dane o stanie zdrowia, należy także stosować się m.in. do takich przepisów jak: (oraz wydanych rozporządzeń)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
- Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia
- Ustawa z dnia 6 listopada 2008 r. oprawach pacjenta i Rzeczniku Praw Pacjenta
Obecnie trwają także prace nad przygotowaniem kodeksu branżowego w ochronie zdrowia.
Różne role w zakresie przetwarzania danych osobowych
Placówki medyczne w zależności od charakteru przetwarzania danych osobowych mogą występować w różnych rolach. Z jednej strony mogą być administratorem danych osobowych swoich pacjentów, kontrahentów – dostawców czy też pracowników a z drugiej zaś występować jako podmiot przetwarzający. Określnie właściwej roli ma bezpośredni wpływ na zakres obowiązków jakie należy spełnić.
Dane szczególnych kategorii
Placówki medyczne w ramach codziennych działań przetwarzają dane szczególnych kategorii – informacje o stanie zdrowia opisanych w art. 9 Rozporządzenia RODO, co najmniej w sposób częściowo zautomatyzowany oraz w zbiorach danych.
W motywie 35 wskazano, iż danymi o stanie zdrowia są wszystkie informacje o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 9 ;
- numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;
- informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;
- oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.
Na czym polega ochrona danych osobowych?
Na wstępie odniesiemy się do „Przewodnika po RODO w służbie zdrowia”, w którym podkreślono, iż „Nie ujmując znaczenia i doniosłości przepisów RODO, personel medyczny powinien mieć przede wszystkim na względzie obowiązek ratowania zdrowia i życia ludzkiego, poświęcając dobro jakim jest ochrona danych osobowych”.
Nierozumienie przepisów RODO od dłuższego czasu wywołuje wiele sytuacji, do których nie powinno dojść. Przykładowo SOR nie przyjmie pacjenta zanim ten nie wyrazi zgody na przetwarzanie jego danych osobowych. Na kroplówkach nie ma danych pacjentów a dokumentacja medyczna nie jest umieszczona na łóżku pacjenta. Rodzic nie może przez telefon otrzymać informacji o stanie zdrowia jego dziecka. Odpowiedź jest jedna „nie wolno, bo RODO”
Na czym tak naprawdę polega ochrona danych osobowych w placówkach medycznych? Przede wszystkim na:
- zrozumieniu przepisów o ochronie danych osobowych,
- zabezpieczeniu danych pacjentów, aby zapewnić im prywatność,
- zabezpieczenie dokumentacji medycznej
- spełnieniu obowiązku informacyjnego,
- szkoleniu personelu, aby nie tylko zgodnie z prawem przetwarzał dane osobowe, ale także w bezpieczny sposób,
- opracowaniu oraz wdrożeniu dokumentacji RODO w placówkach medycznych,
- wyznaczeniu inspektora ochrony danych – jeżeli dana placówka medyczna jest do tego zobowiązana,
- podpisaniu upoważnień do przetwarzania danych osobowych;
- realizowanie praw osób, których dane dotyczą.
Dokumentacja medyczna – jak należy ją zabezpieczyć?
Warto zwrócić uwagę, iż w dobie transformacji cyfrowej dokumentacja medyczna ma postać nie tylko papierową. Może być ona przechowywana także na nośnikach pamięci, w systemach teleinformatycznych. Ochrona danych osobowych w placówkach medycznych powinna stać na najwyższym poziomie ze względu na rodzaj informacji, dotyczących kluczowych spraw życia pacjentów. Szpitale, przychodnie i kliniki z powodu zasad obowiązujących w procesie leczenia nie obędą się bez ich gromadzenia, jednak tym bardziej muszą podlegać one skutecznemu zabezpieczeniu. Najważniejsze jest określenie, kto może mieć dostęp do danych gromadzonych na nośnikach informatycznych, zarówno wewnętrznych, jak i wirtualnych, oraz w tradycyjnej wersji. Zgodnie z §1 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania: „Dokumentacja medyczna jest prowadzona w postaci elektronicznej lub w postaci papierowej.”
W celu zapewnienia bezpieczeństwa danych należy m.in.:
- wdrożyć odpowiednie środki bezpieczeństwa informacji oraz systemów informatycznych np. w oparciu o międzynarodowe standardy ISO 27001;
- zapewnić kontrole dostępu, tak aby tylko upoważnione osoby miały do nich dostęp.