W nawiązaniu do wymagań dotyczących zasad przetwarzania danych osobowych, określonych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej rozporządzeniem), mających zastosowanie od dnia 25 maja 2018 r. przedstawiamy zarys podstawowych zasad przetwarzania danych osobowych mających zastosowanie do pojedynczych lekarzy prowadzących działalność w formie indywidualnych praktyk lekarskich nie związaną z przetwarzaniem szczególnych kategorii danych osobowych na dużą skalę.
PODSTAWOWE POJĘCIA UŻYWANE W ROZPORZĄDZENIU
Osoba, której dane dotyczą -osoba fizyczna, możliwa do zidentyfikowania na podstawie określonych danych osobowych;
Dane osobowe -informacje o osobie fizycznej takie jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczegółów określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
Szczególna kategoria danych osobowych -dane wrażliwe, czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, biometryczne lub dotyczące zdrowia, seksualności lub orientacji seksualnej osoby fizycznej.
Zgoda -dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba fizyczna, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, np.: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Administrator -osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
Podmiot przetwarzający -osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Dane dotyczące zdrowia - oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia.
PODSTAWOWE ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH
Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Jest ono dopuszczalne za zgodą osoby, gdy jest to niezbędne do zawarcia lub wykonania umowy, ochrony żywotnych interesów osoby, realizacji zadania w interesie osoby, gdy istnieje prawnie uzasadniony interes lub obowiązek wynikający z przepisów prawa. W przypadku danych przetwarzanych przez pojedynczych lekarzy prowadzących działalność w formie indywidualnych praktyk lekarskich może wystąpić zarówno przetwarzanie danych, którego podstawą będzie ostatnia z tych kategorii (np. zawartych w dokumentacji medycznej w zakresie wynikającym z odrębnych przepisów), jak też danych których przetwarzanie wymaga zgody osoby, której dotyczą (np. dane uzyskiwane w związku z procesem rekrutacji personelu lub dane pacjentów inne, niż te, które muszą być zawarte w dokumentacji medycznej). W przypadku danych, których przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych –art. 5-7 rozporządzenia.
W formie umożliwiającej identyfikację osoby, której dotyczą, dane osobowe mogą być przechowywane w przez okres nie dłuższy, niż konieczny dla celów, dla których są one przetwarzane lub przez okres wskazany przez obowiązujące przepisy w inny sposób (np. terminy przechowywania dokumentacji medycznej) i powinny być zabezpieczone przed niedozwolonym przetwarzaniem, przypadkową utratą, zniszczeniem, uszkodzeniem lub nieuprawnionym przekazaniem podmiotom zewnętrznym.
OBOWIĄZKI PODMIOTÓW MEDYCZNYCH ZWIĄZANE Z PRZETWARZANIEM DANYCH OSOBOWYCH
Zgodnie z nowymi przepisami osobę, której dane dotyczą, należy poinformować m. in. o: tożsamości administratora i danych kontaktowych, danych kontaktowych inspektora ochrony danych (jeśli jest), celu przetwarzania danych i podstawie prawnej, odbiorcach danych lub kategorii odbiorców jeśli występują, gdy ma to zastosowanie -zamiarze przekazania danych osobowych do państwa trzeciego, w przypadku danych udostępnianych na podstawie zgody prawie do jej cofnięcia i sposobie w jaki można to zrobić.
Dodatkowo przepisy w/w rozporządzenia przewidują obowiązek udzielania informacji dotyczących okresu przechowywania danych, prawie osoby do żądania informacji, prawie do wniesienia skargi do organu nadzorczego, tego, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych, zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą, przy czym projekt z dnia 8 lutego 2018 r. nowej ustawy o ochronie danych osobowych w art. 3 przewiduje, że w odniesieniu do administratorów nie będących podmiotami publicznymi w rozumieniu ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, zatrudniających mniej niż 250 osób, nie stosuje się tych dodatkowych wymogów. Należy jedna wskazać, że według dostępnych informacji do chwili obecnej przedmiotowa ustawa w dalszym ciągu jest na etapie prac legislacyjnych, a więc to wyłączenie nie weszło w życie.
Z uwagi na fakt, że dane dotyczące stanu zdrowia, a więc także dane zawarte w dokumentacji medycznej lekarza prowadzącego indywidualną praktykę lekarską, należy traktować jako dane należące do szczególnej kategorii danych osobowych (art. 9 ust. 1 rozporządzenia) zostaje wprowadzony obowiązek prowadzenia 1) rejestru czynności przetwarzania danych osobowych i 2) rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Ad. 1 Każdy administrator, a więc także lekarz prowadzący indywidualną praktykę lekarską, oraz – gdy ma to zastosowanie – przedstawiciel administratora mają obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:
a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
b) cele przetwarzania;
c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi rozporządzenia, dokumentacja odpowiednich zabezpieczeń;
f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia.
Ad. 2 Każdy podmiot przetwarzający oraz – gdy ma to zastosowanie – przedstawiciel podmiotu przetwarzającego prowadzą rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora, zawierający następujące informacje:
a) imię i nazwisko lub nazwa oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający, a gdy ma to zastosowanie – przedstawiciela administratora lub podmiotu przetwarzającego oraz inspektora ochrony danych;
b) kategorie przetwarzań dokonywanych w imieniu każdego z administratorów;
c) gdy ma to zastosowanie –przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;
d) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.
Rejestry, o których mowa w ust. 1 i 2, powinny być prowadzone w formie pisemnej, w tym formie elektronicznej -art 30ust. 1 i 3 rozporządzenia.
Na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych pod adresem https://giodo.gov.pl/pl/1520281/10449 dostępne są szablony rejestru czynności przetwarzania i rejestru kategorii czynności wraz z przykładami ich uzupełnienia oraz wyjaśnienia dotyczące sposobu realizacji tego obowiązku.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający są zobowiązani do stosowania środków technicznych i organizacyjnych, aby zapewnić odpowiedni stopień bezpieczeństwa, w tym między innymi w stosownym przypadku pseudonimizację i szyfrowanie danych osobowych, zdolności do zapewnienia poufności, integralności, dostępności i odporności systemów oraz usług przetwarzania, zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego, regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania -art. 32ust.1 rozporządzenia.
Obowiązek zapewnienia bezpieczeństwa przetwarzania spoczywa na administratorze, jednak w/w rozporządzenie nie określa w sposób szczegółowy jakie rozwiązania techniczne należy stosować w konkretnych przypadkach. Z art. 32 rozporządzenia wynika, że powinny to być odpowiednie środki techniczne i organizacyjne, a koszt ich wdrożenia powinien być adekwatny. Jako przykład stosowanych rozwiązań technicznych można wskazać przechowywanie nośników (papierowych lub informatycznych) zawierających dane osobowe w pomieszczeniach oraz szafach zamykanych na klucze, umiejscowienie monitorów oraz dokumentacji papierowej w odpowiedni sposób, stosowanie rozwiązań organizacyjnych wykluczających kontakt osób trzecich z informacjami udzielanymi pacjentom, wprowadzenie standardów dotyczących zakresu informacji udzielanych osobom w sposób nie pozwalający, na weryfikację ich tożsamości (np. telefonicznie), stosowanie zabezpieczeń sprzętu komputerowego (wygaszacze ekranu, programy antywirusowe, odrębne loginy i hasła dla każdej z zatrudnionych osób umożliwiające dostęp wyłącznie do tych kategorii danych, do dostępu do których dana osoba jest upoważniona, sporządzanie kopii danych zapisywanych w pamięci komputerów, przechowywanie w innych miejscach nośników zawierających te dane, itp.). W przypadku przesyłania danych osobowych pacjentów w wersji papierowej zasadnym wydaje się być stosowanie koperty zewnętrznej zawierające korespondencję kierowaną do adresata oraz opatrzonej stosowną informacją koperty wewnętrznej zawierającej przesyłane dane, w odniesieniu do danych przesyłanych drogą elektroniczną należy korzystać z programów szyfrujących zabezpieczone odrębnie przekazywanym hasłem (art. 32 ust. 1 pkt a rozporządzenia). Przy opracowywaniu rozwiązań stosowanych w konkretnych gabinetach lekarskich pomocne mogą okazać się rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej opracowane przy udziale jednostki budżetowej powołanej przez Ministra Zdrowia - Centrum Systemów Informacyjnych Ochrony Zdrowia, odpowiadające za monitorowanie planowanych, budowanych i prowadzonych systemów teleinformatycznych dostępne pod adresem https://csioz.gov.pl/fileadmin/user_upload/rekomendacje-w-zakresie-bezpieczenstwa-oraz-rozwiazan-technologicznych
W przypadku stwierdzenia naruszenia ochrony danych osobowych należy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić naruszenie organowi nadzorczemu, a jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane dotyczą, należy zawiadomić o takim naruszeniu taką osobę, której dane dotyczą -art. 33-34 rozporządzenia.
Z uwagi na fakt, że przetwarzanie danych pacjentów przez pojedynczego lekarza prowadzącego indywidualną praktykę lekarską , w większości przypadków, nie będzie miało charakteru przetwarzania danych na dużą skalę, co do zasady w takim przypadku nie będzie miał zastosowania wymóg powołania Inspektora Ochrony Danych. Odmienne zasady będą natomiast obowiązywać pomioty prowadzące działalność leczniczą w rozmiarze szerszym, niż wyżej wskazany, a także szpitale przetwarzające dane osobowe pacjentów. W przypadku pomiotów prowadzących działalność leczniczą w niewielkiej skali Inspektorem może być też osoba udzielająca porad doraźnie. Funkcję tę może pełnić osoba posiadająca wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych, zatrudniona w podmiocie leczniczym lub podmiocie zewnętrznym, może ona również wykonywać inne obowiązki. Inspektor Ochrony Danych musi zostać powołany między innymi gdy: dane są przetwarzane przez podmioty z sektora publicznego, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób na dużą skalę; główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych -art. 37 rozporządzenia.
Art. 35 rozporządzenia wprowadza obowiązek oceny skutków planowanych operacji przetwarzania danych dla ochrony danych osobowych przed rozpoczęciem przetwarzania. Analogicznie jak w przypadku obowiązku powołania Inspektora Ochrony Danych wymóg ten nie ma charakteru bezwzględnego i , co do zasady, nie powinien dotyczyć większości pojedynczych lekarzy prowadzących indywidualne praktyki lekarskie, o ile nie przetwarzają „danych wrażliwych” na dużą skalę.
W szczególności ocena powinna obejmować dokumentację operacji przetwarzania danych, ocenę niezbędności i proporcjonalności przetwarzania w stosunku do celów, ocenę ryzyka naruszenia praw lub wolności osób, których dotyczy przetwarzanie oraz środki planowane w celu minimalizację ograniczenia ryzyka związanego z przetwarzaniem. Jej przeprowadzenie jest obowiązkowe w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, np. w sytuacji systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych oparte na zautomatyzowanych procesach znacząco wpływających na osobę fizyczną lub przetwarzania na dużą skalę szczególnych kategorii danych takich jak dane o zdrowiu fizycznym lub psychicznym w tym danych o korzystaniu z usług opieki zdrowotnej. Obowiązek sporządzenia takiej oceny nie dotyczy każdej operacji przetwarzania danych, nadto dla podobnych operacji przetwarzania danych można przeprowadzić pojedynczą ocenę. Należy uznać, że bez wątpienia obowiązek taki wystąpi w odniesieniu do podmiotów leczniczych przetwarzających dane na dużą skalę, jak np. szpitale –art. 35 rozporządzenia.
Wszystkie osoby które w jakikolwiek sposób uczestniczą w procesach przetwarzania danych, powinny mieć wiedzę na temat wymogów dotyczących bezpieczeństwa przetwarzania danych i praw osób fizycznych, co może być realizowane m. in. poprzez udział w szkoleniach. Każda osoba mająca dostęp do danych, a więc także personel medyczny, powinna być do tego upoważniona przez administratora oraz zachować poufny ich charakter. Zasadnym jest sporządzanie upoważnień oraz zobowiązań do zachowania poufności formie pisemnej . W przypadku powierzenia podmiotowi zewnętrznemu danych zawartych np. w dokumentacji medycznej lub aktach osobowych pracowników powinno się to odbyć w formie pisemnej na podstawie dokumentu określającego w sposób skonkretyzowany obowiązki podmiotu zewnętrznego, który w takim wypadku będzie zobowiązany do spełnienia wymogów wynikających z rozporządzenia.
Na podmioty lecznicze nakładane są też obowiązki wynikające z praw osób fizycznych, których dotyczą przetwarzana dane. Osoba, której dane dotyczą, jest uprawniona m. in. do:
-uzyskania informacji, jakie jej dane osobowe znajdują się w posiadaniu podmiotu leczniczego, a jeżeli ma to miejsce, jest uprawniona do uzyskania do nich dostępu oraz informacji dot. m.in. celu przetwarzania i okresu przechowywania danych, wniosek w tym zakresie powinien być rozpoznany w ciągu miesiąca,
-żądania od administratora niezwłocznego sprostowania tych swoich danych osobowych, które są nieprawidłowe, względnie uzupełnienia danych niekompletnych,
-żądania usunięcia danych, jeżeli nie chce, aby nadal przetwarzano jej dane i jeżeli nie istnieją żadne prawnie uzasadnione powody ich przechowywania
ponadto:
-kwestionowania zasadności przetwarzania i wnoszenia o ograniczenie przetwarzania,
-żądania przekazania dostarczonych przez nią danych osobowych innemu administratorowi,
-zgłoszenia sprzeciwu dotyczącego przetwarzania danych przetwarzanych w interesie publicznym lub w uzasadnionym interesie podmiotu leczniczego, o ile nie jest to niezbędne ze względu na uzasadnione podstawy, nadrzędne wobec interesów praw i wolności osoby –art. 15-18, 20-21 rozporządzenia.
Przedstawione uwagi należy traktować jedynie jako ogólne wskazówki dotyczące ochrony danych osobowych, których administratorami są pojedynczy lekarze prowadzących działalność w formie indywidualnych praktyk lekarskich, nie związaną z przetwarzaniem szczególnych kategorii danych osobowych na dużą skalę. Ze względu na różnice dotyczące ryzyka naruszenia praw lub wolności osób fizycznych, charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych przez poszczególne podmioty w praktyce każdy z nich powinien samodzielnie zdecydować, jakie zabezpieczenia, dokumentację i procedury przetwarzania danych powinien wdrożyć w prowadzonym podmiocie leczniczym.
Opracował: radca prawny Mariusz Łaba
na podstawierozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO) i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
Kielce, 22 maja 2018 r.
Wzory przykładowych dokumentów zamieszczono w zakładce - Załatwianie spraw - po lewej stronie
