Unijne rozporządzenie o ochronie danych osobowych¹ obowiązuje już od półtora roku. Szum medialny, który towarzyszył mu na początku znacznie ucichł. Nie znaczy to jednak, że o RODO powinniśmy zapomnieć. Każdy lekarz, wykonujący zawód w formie praktyki lekarskiej, a także lekarze prowadzący podmioty lecznicze, są administratorami danych osobowych swoich pacjentów i są odpowiedzialni za ich ochronę. Sposób wypełniania tego obowiązku może zostać skontrolowany przez prezesa Urzędu Ochrony Danych Osobowych.

O kontroli kilka uwag ogólnych

Zgodnie z nowymi przepisami² kontrolę przestrzegania przepisów o ochronie danych osobowych prowadzi się według rocznego planu kontroli zatwierdzonego przez prezesa urzędu (kontrole planowe) lub wskutek pozyskanych przez urząd informacji, czyli w praktyce na skutek wniesionej skargi (kontrole doraźne). Kontrola nie musi być zapowiedziana, niemniej w odniesieniu do lekarzy prowadzących praktyki prywatne oraz podmioty lecznicze, a zatem będących przedsiębiorcami, ewentualna kontrola powinna być poprzedzona zawiadomieniem i nie powinna zostać wszczęta wcześniej niż 7 dni od momentu jego doręczenia³.

Dokumentacja medyczna

W obowiązującym obecnie planie kontroli dla sektora zdrowia przewidziane są kontrole „przetwarzania danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji
medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych”. W praktyce za tym długim hasłem kryją się kwestie dotyczące odpowiednich procedur dostępu do dokumentacji medycznej z uwzględnieniem zasad ochrony danych osobowych. Powinny być one w regulaminie organizacyjnym podmiotu wykonującego działalność leczniczą, a także w stosownej polityce bezpieczeństwa. Drugim aspektem kontroli może być także odpłatność za udostępnianie dokumentacji medycznej. Warto przypomnieć, że od 4 maja 2018 roku pierwszy wyciąg, odpis, kopia lub wydruk (ewentualnie zapis na nośniku informatycznym) dokumentacji medycznej jest nieodpłatny.

Uwaga, kamera!

Kolejnym obszarem ujętym w planie kontroli, który może dotyczyć lekarzy, będących jednocześnie pracodawcami, jest przetwarzanie danych osobowych rejestrowanych za pomocą systemu monitoringu wizyjnego – tu również od 4 maja br. mamy dodatkowe obowiązki. Przede wszystkim cele, zakres oraz sposób zastosowania monitoringu należy ustalić w układzie zbiorowym pracy lub w regulaminie pracy (ewentualnie w obwieszczeniu, jeśli pracodawca nie jest objęty układem zbiorowym ani nie ma ustalonego regulaminu), a każdemu pracownikowi przed dopuszczeniem do pracy, należy te informacje przekazać na piśmie. O zamiarze uruchomienia monitoringu należy poinformować pracowników najpóźniej na 2 tygodnie przed jego wprowadzeniem⁴. Należy także pamiętać o innych osobach, których wizerunek może zostać zarejestrowany przez kamery. Wobec wszystkich nich należy spełnić obowiązek informacyjny (np. za pomocą odpowiedniej tablicy) wskazując przynajmniej, kto jest administratorem danych osobowych, przez jaki czas i na jakiej podstawie prawnej będą one przetwarzane, a także
o prawach przysługujących osobie zarejestrowanej przez monitoring.

Pacjenci się skarżą

Z opublikowanego niedawno sprawozdania z działalności prezesa UODO wynika, że w 2018 roku do urzędu wpłynęło 5565 skarg – dla porównania rok wcześniej było ich 2950. Oznacza to, że nasza świadomość ochrony danych osobowych rośnie, i sądzę, że ta tendencja się utrzyma. Prezes przeanalizował także naruszenia ochrony danych, skutkujące ryzykiem naruszenia praw i wolności osób fizycznych, które każdy administrator ma obowiązek zgłaszać do organu nadzorczego. Od 25 maja do 31 grudnia 2018 roku zgłoszono 1 882 naruszenia z sektora prywatnego oraz 564 z sektora publicznego, zaś znaczna część z tych incydentów wydarzyła się w placówkach ochrony zdrowia.

Warto mieć świadomość, że stosowanie przepisów o ochronie danych osobowych to proces, a nie moment. Każdy administrator ma obowiązek stale sprawdzać, czy dobrze go realizuje. Być może pomogą w tym niebawem kodeksy branżowe, których projekty zostały złożone przez Porozumienie Zielonogórskie oraz Polską Federację Szpitali, i czekają na zatwierdzenie przez UODO. Dopóki to nie nastąpi warto samodzielnie zatroszczyć się o „bycie zgodnym z RODO”. Przypominamy, że na naszej stronie internetowej w zakładce „Prawo” jest specjalna podstrona „RODO dla lekarzy”, na której można poczytać o rozporządzeniu oraz pobrać wzory dokumentów przydatnych do wdrożenia ochrony danych osobowych we własnej działalności. Przemyślenia wymaga także kwestia wyznaczenia inspektora ochrony danych osobowych.

 

Aleksandra Otawska-Petkiewicz

radca prawny,
Inspektor Ochrony Danych
Osobowych LIL

 

1   Ogólne rozporządzenie o ochronie danych, RODO nr 2016/679 z 27 kwietnia 2016 r.

2   Ustawa z 10 maja 2018 r. o ochronie danych osobowych (DzU z 2019 r., poz. 1781 t.j.)

3   Art. 48 ust. 1-2 ustawy z 6 marca 2018 r. Prawo przedsiębiorców (DzU z 2019 r., poz. 1292 t.j.)

4   Art. 222 Kodeksu pracy