Ochrona danych osobowych w placówkach medycznych

RODO w placówkach medycznych

Ochrona danych osobowych w placówkach medycznych jest jednym z kluczowych wyzwań, które stoi przed Administratorami Danych Osobowych jaki i Podmiotami przetwarzającymi. Wynika to z kilku kwestii. Po pierwsze dane medyczne podlegają nie tylko pod Rozporządzenie RODO, ale także inne akty prawne, które niejednokrotnie mogą wchodzić w kolizję z Rozporządzeniem RODO.

Przetwarzając dane medyczne – dane o stanie zdrowia, należy także stosować się m.in. do takich przepisów jak: (oraz wydanych rozporządzeń)

Obecnie trwają także prace nad przygotowaniem kodeksu branżowego w ochronie zdrowia.

Różne role w zakresie przetwarzania danych osobowych

Placówki medyczne w zależności od charakteru przetwarzania danych osobowych mogą występować w różnych rolach. Z jednej strony mogą być administratorem danych osobowych swoich pacjentów, kontrahentów – dostawców czy też pracowników a z drugiej zaś występować jako podmiot przetwarzający. Określnie właściwej roli ma bezpośredni wpływ na zakres obowiązków jakie należy spełnić.

Dane szczególnych kategorii

Placówki medyczne w ramach codziennych działań przetwarzają dane szczególnych kategorii – informacje o stanie zdrowia opisanych w art. 9 Rozporządzenia RODO, co najmniej w sposób częściowo zautomatyzowany oraz w zbiorach danych.

W motywie 35 wskazano, iż danymi o stanie zdrowia są wszystkie informacje o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa Dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE 9 ;

  • numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych;
  • informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych;
  • oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Na czym polega ochrona danych osobowych?

Na wstępie odniesiemy się do „Przewodnika po RODO w służbie zdrowia”, w którym podkreślono, iż „Nie ujmując znaczenia i doniosłości przepisów RODO, personel medyczny powinien mieć przede wszystkim na względzie obowiązek ratowania zdrowia i życia ludzkiego, poświęcając dobro jakim jest ochrona danych osobowych”.
Nierozumienie przepisów RODO od dłuższego czasu wywołuje wiele sytuacji, do których nie powinno dojść. Przykładowo SOR nie przyjmie pacjenta zanim ten nie wyrazi zgody na przetwarzanie jego danych osobowych. Na kroplówkach nie ma danych pacjentów a dokumentacja medyczna nie jest umieszczona na łóżku pacjenta. Rodzic nie może przez telefon otrzymać informacji o stanie zdrowia jego dziecka. Odpowiedź jest jedna „nie wolno, bo RODO”

Na czym tak naprawdę polega ochrona danych osobowych w placówkach medycznych? Przede wszystkim na:

  • zrozumieniu przepisów o ochronie danych osobowych,
  • zabezpieczeniu danych pacjentów, aby zapewnić im prywatność,
  • zabezpieczenie dokumentacji medycznej
  • spełnieniu obowiązku informacyjnego,
  • szkoleniu personelu, aby nie tylko zgodnie z prawem przetwarzał dane osobowe, ale także w bezpieczny sposób,
  • opracowaniu oraz wdrożeniu dokumentacji RODO w placówkach medycznych,
  • wyznaczeniu inspektora ochrony danych – jeżeli dana placówka medyczna jest do tego zobowiązana,
  • podpisaniu upoważnień do przetwarzania danych osobowych;
  • realizowanie praw osób, których dane dotyczą.

Dokumentacja medyczna – jak należy ją zabezpieczyć?

Warto zwrócić uwagę, iż w dobie transformacji cyfrowej dokumentacja medyczna ma postać nie tylko papierową. Może być ona przechowywana także na nośnikach pamięci, w systemach teleinformatycznych. Ochrona danych osobowych w placówkach medycznych powinna stać na najwyższym poziomie ze względu na rodzaj informacji, dotyczących kluczowych spraw życia pacjentów. Szpitale, przychodnie i kliniki z powodu zasad obowiązujących w procesie leczenia nie obędą się bez ich gromadzenia, jednak tym bardziej muszą podlegać one skutecznemu zabezpieczeniu. Najważniejsze jest określenie, kto może mieć dostęp do danych gromadzonych na nośnikach informatycznych, zarówno wewnętrznych, jak i wirtualnych, oraz w tradycyjnej wersji. Zgodnie z §1 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania: „Dokumentacja medyczna jest prowadzona w postaci elektronicznej lub w postaci papierowej.”

W celu zapewnienia bezpieczeństwa danych należy m.in.:

  • wdrożyć odpowiednie środki bezpieczeństwa informacji oraz systemów informatycznych np. w oparciu o międzynarodowe standardy ISO 27001;
  • zapewnić kontrole dostępu, tak aby tylko upoważnione osoby miały do nich dostęp.
Napisz do Nas lub zadzwoń
Zadzwoń teraz: +48 501 161 301
SZABLON - Marta Ozga
Marta Ozga
prawnik, LL.M, specjalista w zakresie ochrony danych osobowych, właścicielka firm doradczych wspierających przedsiębiorców m.in. w kompleksowym wdrażaniu RODO, standardów bezpieczeństwa informacji na bazie norm ISO, członkini Wielkopolskiego Klubu Kapitału oraz mentor w programie Early Warning Europe.
Najnowsze posty
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty