fbpx

Bartłomiej Achler

adwokat

Jestem prawnikiem branży medycznej. Zabezpieczam prawne interesy podmiotów leczniczych i przedstawicieli zawodów medycznych.
[Więcej >>>]

Skontaktuj się

RODO w placówce medycznej

Bartlomiej Achler02 lutego 20242 komentarze

Od wejścia w życie RODO minęło już kilka lat. Od właścicieli i zarządzających małymi placówkami medycznymi nie słyszę już

Ale czy ja to RODO muszę stosować? Przecież ja mam tylko dwa gabinety…

Z drugiej strony słyszę za to:

Ja mam jakieś RODO, daję pacjentom do podpisu…

Po czym okazuje się, że to „jakieś RODO” , to ściągnięta z internetu kilkuzdaniowa klauzula informacyjna. Nazywana w dodatku „zgodą”….

No właśnie, jak to jest z tym RODO w placówce medycznej? Jakie obowiązki na Tobie ciążą, jeśli prowadzisz niewielki podmiot leczniczy?

Czy prowadząc małą placówkę medyczną musisz przestrzegać RODO?

Skala prowadzonej przez Ciebie działalności leczniczej nie ma większego znaczenia z punktu widzenia RODO. Prowadząc nawet niewielki podmiot leczniczy przetwarzasz dane osobowe swoich pacjentów, czasem ich bliskich… Dodaj do tego chociażby swój personel i już wiesz, że RODO w placówce medycznej obowiązuje nawet przy niewielkiej skali Twojego biznesu.

Co więcej, RODO nikogo nie dyskryminuje – w równym stopniu wiąże zarówno podmioty lecznicze, jak i praktyki zawodowe. Ewentualne różnice nie wynikają z tego, którą z tych form działalności leczniczej wybrałeś. To raczej kwestia skali oraz tego, czyje i jakie dane osobowe przetwarzasz, w jakich celach to robisz i co się z tymi danymi dzieje.

Nawet, jeśli prowadzisz jedynie mały gabinet, nie zatrudniasz personelu i nie przyjmujesz tysięcy pacjentów miesięcznie, pewne obowiązki musisz spełnić. Jakby nie było – przetwarzasz dane osobowe pacjentów i musisz zadbać o ich bezpieczeństwo, czy tego chcesz, czy nie.

Klauzula informacyjna RODO w placówce medycznej

Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. I nie chodzi tu o informacje o stanie zdrowia. RODO wymaga od Ciebie, abyś poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.

Żeby nie było zbyt prosto, RODO wymaga, by taka informacja zawierała pewne niezbędne elementy. Musisz więc poinformować pacjenta:

  • kto jest administratorem – oczywiście Ty nim jesteś;
  • jak pacjent może się z Tobą skontaktować – podajesz adres, numer telefonu, adres e-mail;
  • w jakim celu przetwarzasz jego dane osobowe – celem tym będzie udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe;
  • na jakiej podstawie prawnej przetwarzasz te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora, czyli Twój – podstawa prawna będzie zależała przede wszystkim od kategorii danych i celu ich przetwarzania;
  • jakie prawa przysługują pacjentowi – informujesz np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO;
  • jak długo będziesz przetwarzać dane – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa;
  • o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.

Jak widzisz, jest tego trochę. Warto więc sobie przygotować przyzwoitą klauzulę informacyjną i jak mawiał klasyk:

Nie giąć, nie niszczyć – dwa lata będzie służyć…

… albo i dłużej 🙂

Jak zrealizować obowiązek informacyjny?

Przede wszystkim pamiętaj, że musi być to informacja zrozumiała. Nie jest dobrą praktyką np. cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Staraj się więc, żeby była to informacja z jednej strony kompletna, ale z drugiej strony – zrozumiała dla przeciętnego pacjenta.

Nie możesz też wymagać od pacjenta, by złożył podpis pod informacją o przetwarzaniu danych. Oczywiście taki podpis ułatwi Ci udowodnienie, że poinformowałeś pacjenta o przetwarzaniu jego danych. Podpisanie tzw. „zgody” RODO w placówce medycznej nie jest obowiązkowe.

Możesz więc na przykład taką klauzulę informacyjną zawrzeć w formularzu rejestracyjnym (o ile go stosujesz) albo przedstawić pacjentowi w formie odrębnego dokumentu. Może być to również podpis na tablecie. Obowiązek informacyjny musisz wykonać najpóźniej w momencie pozyskania danych.

Znając jednak niechęć właścicieli małych gabinetów do papierologii, zakładam, że i Ty wolałbyś oszczędzić sobie i swoim pacjentom nadmiernych formalizmów. Najprostszym rozwiązaniem będzie więc wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do Twojego gabinetu, czy w poczekalni, tak, żeby pacjenci mogli się z nią zapoznać.

Zgoda RODO w placówce medycznej – kiedy jest wymagana?

Zgodę na przetwarzanie danych będziesz musiał uzyskać jednak, jeżeli chcesz przetwarzać dane pacjenta w innym celu, niż związany z udzielaniem świadczeń zdrowotnych. Najczęściej dotyczy to działań marketingowych (np. zgoda na wysyłanie ofert, zapis do newslettera itp.).

Pamiętaj też, że wizerunek pacjenta również jest daną osobową. na jego wykorzystanie (np. w kampaniach „przed i po”) również musisz uzyskać zgodę.

Obowiązkowa dokumentacja RODO w placówce medycznej

Oprócz klauzuli informacyjnej, ważnym dokumentem, który musisz przygotować jest rejestr czynności przetwarzania. Określasz w nim m.in.:

  • cele przetwarzania danych osobowych;
  • kategorie osób, których dane przetwarzasz;
  • kategorie przetwarzanych danych osobowych;
  • opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne;
  • kategorie odbiorców, którym przekazujesz dane osobowe.

Co ważne – rejestr ten masz obowiązek udostępnić na każde żądanie UODO. Przygotuj go więc porządnie i prowadź rzetelnie.

Musisz również dokumentować wszelkie naruszenia ochrony danych osobowych. W takiej dokumentacji musisz wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – powinieneś opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.

Co możesz wdrożyć, ale nie musisz?

Wdrożenie RODO w małej placówce medycznej opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.

Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.

Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.

Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na Ciebie nie nakłada.

Czy musisz mieć politykę ochrony danych?

Prowadząc niewielką placówkę medyczną w zasadzie nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.

Dlaczego?

Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to Ty musisz udowodnić, że przetwarzasz dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie Ci to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.

Po drugie – taka polityka może stanowić konkretną i realną pomoc dla Ciebie, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.

Jeżeli prowadzisz swoją placówkę samodzielnie, nie masz inspektora ochrony danych i nie masz prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego będziesz mógł sięgnąć w razie potrzeby.

Bezpieczeństwo przede wszystkim

I pamiętaj o najważniejszym. Dokumentacja to nie wszystko. Twoim najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych. Również wdrożenie RODO w placówce medycznej, nawet tej niewielkiej, powinno realizować ten właśnie cel.

Oczywiście prowadząc małą przychodnię wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne. Również w małym podmiocie leczniczym, tam gdzie chodzi o dane osobowe, obowiązuje zasada:

Keep it secret, keep it safe…

Photo by Filiberto Santillán on Unsplash

W czym mogę Ci pomóc?

Na blogu jest wiele artykułów, w których dzielę się swoją wiedzą bezpłatnie.

Jeżeli potrzebujesz indywidualnej płatnej pomocy prawnej, to zapraszam Cię do kontaktu.

Przedstaw mi swój problem, a ja zaproponuję, co możemy wspólnie w tej sprawie zrobić i ile będzie kosztować moja praca.

Bartłomiej Achler

    Administratorem Twoich danych osobowych wskazanych w formularzu jest Bartłomiej Achler prowadzący działalność gospodarczą pod firmą "ACHLER Kancelaria adwokacka Bartłomiej Achler", 00-891 Warszawa, ul. Chłodna 22a lok. 9/10. Przetwarzamy Twoje dane wyłącznie w zakresie oraz w celu udzielenia odpowiedzi na pytanie zawarte w formularzu kontaktowym (podstawa przetwarzania danych to realizacja prawnie uzasadnionych interesów administratora w postaci komunikacji z czytelnikami bloga). Twoje dane wskazane w formularzu kontaktowym będą przetwarzane przez okres niezbędny do udzielenia Ci odpowiedzi.
    Podanie przez Ciebie danych jest dobrowolne, ale niezbędne do tego, żeby odpowiedzieć na Twoje pytanie. Masz prawo do żądania dostępu do swoich danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia swoich danych.
    Pozostałe informacje dotyczące ochrony Twoich danych osobowych znajdują się w Polityce Prywatności. W sprawach spornych przysługuje Ci prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

    { 2 komentarze… przeczytaj je poniżej albo dodaj swój }

    Jolanta 23 lipca, 2020 o 12:48

    Bez zmian Panie Bartku, rzetelność i pełen profesjonalizm. Proszę o więcej .

    Odpowiedz

    Bartlomiej Achler 27 lipca, 2020 o 12:00

    Dziękuję 🙂 Trudno o lepszą motywację 🙂

    Odpowiedz

    Dodaj komentarz

    Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Bartłomiej Achler prowadzący działalność gospodarczą pod firmą ACHLER Kancelaria adwokacka Bartłomiej Achler Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

    Administratorem danych osobowych jest Bartłomiej Achler prowadzący działalność gospodarczą pod firmą Kancelaria adwokacka Bartłomiej Achler z siedzibą w Warszawie.

    Kontakt z Administratorem jest możliwy pod adresem bartlomiej.achler@prawodlazdrowia.pl.

    Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

    Poprzedni wpis:

    Następny wpis: