Niezależnie od tego, czy lekarz prowadzi własny gabinet czy też pracuje w szpitalu, zobowiązany jest przestrzegać i stosować w swojej praktyce lekarskiej unijne rozporządzenie o ochronie danych osobowych osób fizycznych.  Sprawdź jak w praktyce wygląda RODO dla lekarzy.

Jakie dane osobowe przetwarza lekarz?

Nie ma wątpliwości co do tego, że każdy lekarz przetwarza dane osobowe pacjentów: imię, nazwisko, wiek, PESEL czy dane adresowe. Oprócz jednak podstawowych informacji, medycy przetwarzają także dane szczególne. Są to: stan zdrowia, dane dotyczące seksualności czy orientacji seksualnej, a czasem także dane genetyczne. W tym zakresie RODO nakłada na lekarzy większe wymagania w zakresie ochrony danych pacjentów.

Co oprócz RODO?

W chwili obecnej przygotowywany jest także „Kodeks postępowania podmiotów wykonujących działalność leczniczą”. Sprecyzuje on niektóre ogólne postanowienia RODO. Niedawno, bo 25 maja 2018 roku, weszła także w życie nowa ustawa o ochronie danych osobowych.

RODO dla lekarzy – do czego zobowiązuje?

Z punktu widzenia podstawowych obowiązków jakie spoczywają na lekarzach, należy wskazać na szczególne wymogi jakie stawia przez nimi RODO.

Lekarze mają obowiązek przekazania pacjentom informacji dotyczących przetwarzania ich danych osobowych. Należy podać kto jest administratorem danych osobowych pacjentów, jaki jest cel i podstawa ich przetwarzania, komu dane mogą być przekazane, jak długo dane będą przechowywane, etc. Obowiązek ten można zrealizować poprzez np. załączenie takiej klauzuli do formularza wypełnianego przez pacjenta, zamieszczenie takiej informacji na tablicach zlokalizowanych przy rejestracji.

Każdy podmiot przetwarzający dane osobowe – w tym lekarz – jest zobowiązany posiadać rejestr czynności przetwarzania danych osobowych. Rejestr może mieć formę tabeli, w której podawane są ogólne informacje. W tabeli należy umieścić dane administratora i Inspektora Ochrony Danych (IOD), cele przetwarzania, kategorie osób, kategorie przetwarzanych danych osobowych, kategorie odbiorców danych i okres ich przechowywania.

Wprowadzono konieczność uzyskania zgody pacjenta na działania marketingowe (np. przesyłanie newsletterów), a także w przypadku realizacji badań klinicznych i innych badań naukowych. Zgoda nie musi być wyrażona na piśmie, może to być forma elektroniczna. Wystarczy zatem zaznaczenie odpowiedniego okna na stronie internetowej gabinetu. W innych sytuacjach lekarz nie musi uzyskiwać zgody na przetwarzanie danych, jest to bowiem niezbędne dla realizacji umowy o świadczenie usług medycznych.

Osoby pracujące w gabinecie powinny być przeszkolone z zasad ochrony danych osobowych i posiadać upoważnienia do ich przetwarzania,

W przypadku naruszenia ochrony danych osobowych (np. kradzież czy zgubienie laptopa z danymi, włamanie się na serwer, na którym dane są przechowywane), RODO zobowiązuje do poinformowania Prezesa Urzędu Ochrony Danych Osobowych (dawniej: Generalny Inspektor Ochrony Danych Osobowych) o tym zdarzeniu. Lekarz jako administrator ma na to 72 godziny od naruszenia. Dodatkowo zaleca się poinformowanie o tym pacjentów, jeśli to możliwe.

RODO dla lekarzy

Czy lekarz ma powołać Inspektora Ochrony Danych?

W niektórych sytuacjach lekarze będą zobowiązani powołać w swojej działalności Inspektora Ochrony Danych. Jest to osoba (np. pracownik), którego zadaniem jest w szczególności nadzór nad tym, aby w gabinecie były przestrzegane przez administratora i pracowników przepisy o ochronie danych osobowych.

Obowiązek jego powołania istnieje wówczas, gdy „główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych„. W motywie 91 do RODO wskazano: „Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika. W takich przypadkach ocena skutków dla ochrony danych nie powinna być obowiązkowa„.

Zatem w przypadku gabinetu prowadzonego przez jednego lekarza w zasadzie nie ma konieczności powoływania IOD. W innych sytuacjach powołanie Inspektora staje się konieczne.

Mam gabinet – co teraz?

W chwili obecnej pożądane będzie wdrożenie powyższych wymagań.

W praktyce, codzienne przetwarzanie danych osobowych powinno być zorganizowane w taki sposób, aby chronić te dane. Nie należy zatem pozostawiać kart pacjentów z imionami i nazwiskami w sposób widoczny dla innych osób przebywających w gabinecie.

Nie powinno się wywoływać pacjentów po nazwisku. Pojawiają się także postulaty, aby z tabliczek przed gabinetami zniknęły oznaczenia specjalności. Ma to chronić przed możliwością ustalenia, do jakiego lekarza oczekuje pacjent, co pozwala na przypuszczenie, na co choruje. Oczywiście dotyczy to większych placówek – szpitali czy klinik. W przypadku gabinetu jednego lekarza, specjalność jest znana wszystkim oczekującym pacjentom.

Zalecam też śledzenie branżowych stron i biuletynów – z pewnością zostanie tam opublikowana informacja o wejściu w życie „Kodeksu postępowania podmiotów wykonujących działalność leczniczą”. Zastosowanie się do opracowanych tam zaleceń, zapewni bezpieczeństwo w zakresie ochrony danych osobowych pacjentów w gabinecie lekarskim.