RODO w ochronie zdrowia – wdrażajmy, ale z rozwagą
Najważniejsze są podstawy
Przetwarzanie danych osobowych (rozumiane bardzo szeroko – jako operacja lub zestaw operacji na danych lub ich zestawach, np. zbieranie, przechowywanie czy usuwanie) musi spełniać sześć reguł:
- zgodności z prawem, rzetelności i przejrzystości;
- ograniczenia celu;
- minimalizacji danych (tj. ich adekwatnego wykorzystywania);
- prawidłowości (pozwalającej na usuwanie czy prostowanie danych nieprawidłowych);
- ograniczenia przechowywania oraz
- integralności i poufności.
By przetwarzanie mogło w ogóle wystąpić, konieczne jest spełnienie jednego z warunków, określonych w art. 6 ust. 1 RODO. W placówkach medycznych zazwyczaj przetwarzanie danych osobowych pacjentów nie tyle wiąże się udzieleniem zgody, co jest niezbędne, by wykonać usługę medyczną (obrazowo – przyjęcie pacjenta i wypisanie recepty wiąże się z koniecznością pracy z jego określonymi danymi). Podstawą przetwarzania danych może być również konieczność wypełnienia obowiązku prawnego (np. związanego z przechowywaniem dokumentacji medycznej). Każdy tego rodzaju proces winien być jednak oceniany indywidualnie.
Należy pamiętać również o tym, że dane osobowe to nie tylko dane pacjentów, ale i pracowników, a nawet współpracujących z placówką lekarzy, którzy prowadzą jednoosobową działalność gospodarczą. Wystawienie przez nich FV i jej opracowanie przez księgowość również wymaga pamiętania o regułach, które wprowadza RODO. Rozporządzenie różnicuje obowiązki administratora danych, procesora, a także wprowadza szczegółowe zasady względem informacji „wrażliwych”, takich jak dane genetyczne. W toku czynności wdrożeniowych wszystkie te aspekty należy uwzględnić.
Czy konieczne jest powołanie IODO?
Obowiązek powołania IODO (Inspektora Ochrony Danych Osobowych) występuje m.in. w przetwarzaniu danych na „dużą skalę”. Rozporządzenie w motywie 91 ilustruje, czym jest „duża skala” za pomocą skrajnych przykładów – wskazuje, że mówimy o niej, gdy przetwarza się znaczne ilości danych na szczeblu regionalnym, krajowym lub ponadnarodowym, które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko. Ponadto wskazuje, że nie powinniśmy mówić o przetwarzaniu danych na dużą skalę, gdy „dane osobowe są przetwarzane przez pojedynczego lekarza”. Mając na względzie to, że placówki medyczne przetwarzają dane wrażliwe i przechowywują je przez stosunkowo długi okres, a także to, że tych danych jest względnie dużo – warto rozważyć powołanie Inspektora. Nie ma wątpliwości, że obecność IODO jest niezbędna w placówkach szpitalnych na poziomie powiatowym i wojewódzkim.
Inspektor Danych Osobowych może być członkiem personelu placówki. Przepisy nie wskazują konkretnego stosunku prawnego, który musi w takiej relacji wystąpić, więc potencjalnie może być pracownikiem (tj. może być na etacie). Rekomenduje się jednak zawarcie umowy cywilnoprawnej, ewentualnie odpowiednie ujęcie obowiązków pracowniczych w umowie o pracę. IODO nie można zwolnić ani nałożyć na niego żadnej kary w związku z wykonywaniem przez niego zadań – warto w związku z tym rozważyć wyznaczenie jako Inspektora takiej osoby, do której placówka posiada pełne zaufanie. Dopiero wejście w życie RODO pokaże, jak wygląda współpraca z inspektorami zewnętrznymi.