RODO w placówce medycznej – jak go przestrzegać?

Dane osobowe pacjentów, szczególnie te dotyczące stanu zdrowia, są niezwykle wrażliwe, co nakłada na szpitale, przychodnie i inne jednostki ochrony zdrowia obowiązek szczególnej dbałości o ich bezpieczeństwo. Właściwe przestrzeganie przepisów RODO w placówkach medycznych jest nie tylko obowiązkiem prawnym, ale również fundamentalnym elementem budowania zaufania pacjentów. Z artykułu dowiesz się, w jakim zakresie RODO obowiązuje w kontekście opieki zdrowotnej, jakie elementy powinna zawierać klauzula RODO w medycynie, gdzie powinna być umieszczona oraz jak skutecznie dbać o ochronę danych osobowych pacjentów w codziennej działalności medycznej.

RODO w ochronie zdrowia – kiedy obowiązuje?

Rozporządzenie Ogólne o Ochronie Danych (RODO), czyli Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, obowiązuje w całej Unii Europejskiej od 25 maja 2018 roku. Jest to akt prawny, który reguluje zasady przetwarzania danych osobowych, w tym także w kontekście branży ochrony zdrowia. Zgodnie z art. 9 RODO, dane dotyczące zdrowia są traktowane jako szczególne kategorie danych, co oznacza, że ich przetwarzanie jest dozwolone wyłącznie w określonych przypadkach – m.in. gdy przetwarzanie jest niezbędne do:

• celów profilaktyki zdrowotnej lub medycyny pracy,
• oceny zdolności pracownika do pracy,
• diagnozy medycznej,
• zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,
• leczenia,
• zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.

RODO w ochronie zdrowia obowiązuje każdą placówkę medyczną, niezależnie od jej wielkości, rodzaju świadczonych usług czy formy prawnej. Obejmuje zarówno publiczne, jak i prywatne szpitale, przychodnie, gabinety lekarskie oraz inne podmioty, które przetwarzają dane pacjentów.

Sprawdź, ile wynosi czas przechowywania dokumentacji medycznej.

Co powinna zawierać klauzula RODO w placówce medycznej?

Klauzula RODO w placówce medycznej jest niezbędnym elementem dokumentacji RODO, który powinien informować pacjentów o sposobie, w jaki ich dane osobowe są przetwarzane. Zgodnie z art. 13 i 14 RODO, klauzula powinna zawierać następujące elementy:

• tożsamość i dane kontaktowe administratora danych – należy jasno wskazać, jaki podmiot jest odpowiedzialny za przetwarzanie danych oraz kto ze strony administratora jest osobą kontaktową w sprawach związanych z przetwarzaniem danych (czyli zazwyczaj kierownictwo placówki medycznej bądź inspektor ochrony danych osobowych),
• cel przetwarzania danych osobowych – wyjaśnienie, w jakim celu dane pacjenta są gromadzone i przetwarzane (np. w celu świadczenia usług medycznych, prowadzenia dokumentacji medycznej),
• podstawa prawna przetwarzania danych – należy wskazać, na jakiej podstawie prawnej dane są przetwarzane w stosunku do każdego celu przetwarzania (np. zgoda pacjenta zgodnie z art. 6 ust. 1 lit. a RODO, wykonanie umowy zgodnie z art. 6 ust. 1 lit. b RODO, obowiązki wynikające z przepisów prawa zgodnie z art. 6 ust. 1 lit. c RODO itd.),
• informacja o prawach podmiotu danych – klauzula powinna informować pacjenta o wynikających z RODO prawach przysługujących pacjentowi, takich jak prawo dostępu do danych (art. 15 RODO), prawo do ich poprawiania (art. 16 RODO), usunięcia (art. 17 RODO), ograniczenia przetwarzania (art. 18 RODO), czy przenoszenia danych (art. 20 RODO),
• okres przechowywania danych – zgodnie z art. 5 ust. 1 lit. e RODO, dane osobowe powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane,
• odbiorcy danych osobowych – informacja o tym, kto poza placówką medyczną może mieć dostęp do danych pacjentów (np. inne podmioty lecznicze, laboratoria) zgodnie z art. 13 ust. 1 lit. e RODO,
• informacja o przekazywaniu danych do państw trzecich – jeżeli dane pacjentów są przekazywane poza granice Unii Europejskiej, konieczne jest podanie odpowiednich informacji w klauzuli, zgodnie z art. 13 ust. 1 lit. f RODO,
• informacja o prawie do wniesienia skargi – pacjent powinien być poinformowany, że ma prawo do złożenia skargi do organu nadzorczego, jeśli uzna, że jego dane są przetwarzane niezgodnie z prawem, zgodnie z art. 13 ust. 2 lit. d RODO.

Klauzula RODO w ochronie zdrowia – gdzie ją umieścić?

Klauzula RODO w placówce medycznej powinna być łatwo dostępna dla pacjentów. Można ją umieścić w kilku miejscach, takich jak:

• Strona internetowa placówki – klauzula powinna być dostępna na stronie internetowej placówki, w miejscu łatwo dostępnym dla pacjentów, np. w zakładce „Polityka prywatności” lub „Ochrona danych osobowych”.
• Recepcja lub poczekalnia – klauzula RODO w szpitalu, przychodni czy też gabinecie lekarskim może zostać umieszczona w widocznym miejscu w recepcji lub poczekalni. Dokument można przypiąć np. do tablicy informacyjnej, którą pacjenci mogą swobodnie przeglądać podczas oczekiwania na wizytę. Takie rozwiązanie pozwala na zapoznanie się z zasadami ochrony danych osobowych bez konieczności dodatkowego pytania personelu o szczegóły.
• Dokumentacja pacjenta – każdy pacjent rejestrujący się po raz pierwszy w placówce medycznej zwykle wypełnia dokumentację medyczną, do której można dołączyć klauzulę RODO np. w formie dodatkowej strony. W takim wypadku należy jednak zadbać o to, żeby pacjent miał możliwość uzyskania dostęp do klauzuli również po wypełnieniu dokumentów,
• Elektroniczne systemy rejestracji – w placówkach, które korzystają z elektronicznych systemów rejestracji, np. w ramach e-rejestracji przez internet, klauzula RODO powinna być dostępna dla pacjentów w momencie wprowadzania ich danych osobowych.

Należy jednak pamiętać, że forma spełnienia obowiązku informacyjnego powinna zawsze odpowiadać sposobowi, w jaki zbierane są dane osobowe. Przykładowo, jeśli pacjent w ramach rejestracji wypełnia dokumenty papierowe przy recepcji lub w poczekalni, to należy wręczyć mu klauzulę informacyjną również w formie papierowej, a nie np. w formie linku czy kodu QR. Taka praktyka mogłaby zostać uznana za utrudnianie pacjentowi dostępu do informacji o przetwarzaniu jego danych i tym samym naruszenie zasady przejrzystości.

Jak dbać o RODO w placówce medycznej?

Jeśli prowadzisz placówkę medyczną, musisz zdawać sobie sprawę, że RODO w przychodni czy też szpitalu nie ogranicza się jedynie do obowiązku informacyjnego oraz klauzuli RODO. Prawo w zakresie ochrony danych osobowych pacjentów można naruszyć także np. poprzez niezachowanie pełnej anonimowości podczas wywoływania pacjenta do gabinetu, czy też, gdy przy okienku w rejestracji znajduje się więcej niż jedna osoba (w przypadku dorosłych osób). Należy również zadbać o wdrożenie odpowiednich procedur i polityk (dotyczących np. zasad bezpieczeństwa informacji, realizacji praw podmiotów danych, czy postępowania w przypadku naruszeń) oraz zwiększanie świadomości personelu w obszarze ochrony danych, np. prowadząc regularne szkolenia dla pracowników. 

Chcąc zadbać o prawidłowe procedury RODO w placówce medycznej, warto sięgnąć do oficjalnego Przewodnika po RODO w ochronie służbie zdrowia, który powstał we współpracy z Ministerstwem Zdrowia oraz Rzecznikiem Praw Pacjenta. Znajdziemy w nim m.in. wskazówki do codziennej organizacji pracy pomagające uniknąć wycieku ważnych informacji, w tym szczególnych kategorii danych osobowych, jakimi są dane medyczne.

Wśród zaleceń znalazły się m.in.:

• wydzielenie bezpiecznej strefy przy rejestracji, np. za pomocą linii, tak aby informacje omawiane podczas rejestracji słyszały tylko uprawnione osoby,
• wprowadzenie rejestracji elektronicznej,
• wywoływanie pacjentów do gabinetu bez ujawniania jego pełnych danych identyfikacyjnych – np. poprzez podanie samego imienia, numerku nadanego przy rejestracji czy też godziny wizyty; możliwe jest także łączenie tych informacji, nie należy jednak podawać pełnego imienia i nazwiska danej osoby,
• informowanie o kwestiach niezwiązanych z realizacją codziennych czynności medycznych (np. o diagnozie czy sposobie leczenia) powinno przebiegać w gabinecie lekarza lub innym odosobnionym miejscu, jeśli stan pacjenta na to pozwala,
• stosowanie parawanów oraz zachowanie odpowiedniej odległości pomiędzy łóżkami.

RODO w placówce medycznej w kontekście pracowników

W placówkach medycznych, podobnie jak w innych miejscach pracy, obowiązek przestrzegania RODO nie ogranicza się jedynie do przetwarzania danych osobowych pacjentów. Niektóre dokumenty związane z zatrudnieniem zwierają dane osobowe pracowników, które podlegają ochronie zgodnie z przepisami RODO. Placówki medyczne muszą zapewnić, że dane te są przetwarzane w sposób bezpieczny, dostępny wyłącznie dla osób uprawnionych oraz w zakresie niezbędnym do realizacji obowiązków pracodawcy.

Aby odpowiednio zarządzać dokumentami związanymi z czasem pracy pracowników i jednocześnie spełniać wymogi RODO, warto rozważyć inwestycję w program dla placówek medycznych. Rejestracja czasu pracy online i elektroniczna ewidencja czasu pracy nie tylko ułatwiają codzienne zarządzanie, ale też znacząco podnoszą poziom bezpieczeństwa danych osobowych.

Zarejestruj się w Kadromierzu, aby zapewnić zgodność grafiku pracy, listy obecności oraz ewidencji czasu pracy z RODO i lepiej zarządzać danymi swoich pracowników.

Artykuł zweryfikowany przez prawnika:
Olga Dąbrowska