iStock
Lekarz jako administrator danych osobowych
Redaktor: Krystian Lurka
Data: 18.02.2022
Źródło: Biuletyn Wielkopolskiej Izby Lekarskiej/Marek Saj
| Tagi: | Marej Saj |
Prowadząc dokumentację medyczną, zatrudniając pracowników lub współpracując z innymi lekarzami czy też dostawcami usług dla gabinetów lekarskich, każdy właściciel takiego gabinetu jest administratorem danych osobowych. Pisze o tym Marek Saj z Wielkopolskiej Izby Lekarskiej.
Tekst Marka Saja, dyrektora biura Wielkopolskiej Izby Lekarskiej, specjalisty z zakresu ochrony danych osobowych:
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO wprowadza jasną i dokładną definicję administratora – ADO (jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych) – art. 4 pkt 70 RODO. Wszystkie powyższe czynności wykonywane na danych osobowych są operacjami ich przetwarzania, co do których nadzór sprawuje ADO i jest za nie odpowiedzialny wobec osób, których dane są przez niego zgromadzone i przetwarzane. Podstawowe obowiązki ADO również są zdefiniowane i wynikają z art. 24 RODO ust. 1, który brzmi: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Kolejny ustęp tego przepisu wskazuje wręcz na konieczność wdrożenia przez ADO odpowiednich polityk ochrony danych. Dochodzimy zatem do konkretów i zadajemy sobie pytanie: o jakie polityki ochrony danych chodzi? Stan prawny przed RODO dawał pewne narzędzia ADO w postaci krajowych rozporządzeń do ówczesnej ustawy o ochronie danych osobowych, które wskazywały niezbędne elementy działania ADO. Po wejściu w życie RODO te rozporządzenia krajowe przestały obowiązywać. Nie oznacza to jednak, że pewne elementy z przeszłości nie mogą stanowić podstawy do zastosowania w obecnych rozwiązaniach. Co więc mają zawierać polityki ochrony danych osobowych w gabinecie lekarskim? Po pierwsze to, o czym mówi RODO wprost, czyli: „Rejestr czynności przetwarzania danych osobowych – art. 30 ust. 1 RODO; rejestr kategorii czynności przetwarzania danych osobowych w imieniu ADO – art. 30 ust. 2 RODO (o ile ma zastosowanie); analiza ryzyka dla procesów przetwarzania danych, z uwzględnieniem oceny skutków naruszenia praw i wolności osób, których dane są przetwarzane – art. 35 RODO”.
Tylko tyle w sposób bezpośredni, ale jest wiele zapisów, które nie nakładają na ADO obowiązków wprost, ale nakazują mu wykazać się obiektywnie sprawdzalnymi narzędziami, że dokonał następujących działań: „Zapewnił legalność pozyskania i przetwarzania danych osobowych; dopuścił do przetwarzania danych osobowych jedynie upoważnione osoby, które zobowiązały się do zachowania ich w poufności oraz posiadają odpowiednią wiedzę na temat przetwarzania danych osobowych, w tym danych szczególnych kategorii, takich jak dane dotyczące zdrowia; zapewnił rozliczalność procesu przetwarzania danych osobowych, co oznacza, że na każdym etapie swojej działalności potrafi wskazać osoby, które przetwarzały dane osobowe na jego zlecenie lub w jego imieniu poprzez ich powierzenie do przetwarzania danych osobowych; wprowadził środki techniczne i organizacyjne, które zapewniają bezpieczeństwo przetwarzania danych osobowych; ocenił czy musi powołać inspektora ochrony danych, a jeśli tak, to czy go powołał, i czy powołał go w sposób zapewniający mu działanie; opisał, jak wygląda realizacja obowiązków informacyjnych wobec osób fizycznych, których dane przetwarza”.
Mimo że sam dokument, jakim jest RODO, nie nakłada na ADO spisania tych polityk, to nie ma innych środków, poza opracowaniem wewnętrznych dokumentów, które będą regulowały powyższe kwestie i zapewnią ADO komfort działania. Osiągnięcie poziomu komfortu przez ADO jest niestety trudne, ponieważ nie ma uniwersalnych rozwiązań opisujących procedury w gabinecie lekarskim, gdyż każde rozwiązanie wewnętrzne, zastosowane oprogramowanie do prowadzenia dokumentacji medycznej czy sposób działania determinuje inne podejście. I właśnie dlatego RODO przysparza wielu trudności, ponieważ nakłada na ADO przeprowadzenie analizy swojej działalności i dobranie adekwatnych środków i rozwiązań, co jest równoznaczne ze stwierdzeniem, że rozwiązanie A w gabinecie A nie jest równoznaczne z zastosowaniem go w gabinecie B jako prawidłowe…
W jaki jednak sposób ADO ma zatem działać? Opisanie wszystkich powyższych zagadnień stanowi właśnie politykę ochrony danych osobowych w gabinecie lekarskim. Polityka ta winna być analizowana przy każdej zmianie przepisów ogólnych lub wprowadzaniu nowych zasad działalności, czyli podlegać ciągłej ewaluacji. Jak widać, nie jest to zadanie łatwe. Czy można w tym zakresie liczyć na wsparcie? Takim wsparciem są kodeksy branżowe (art. 40 RODO), które doprecyzowują i wskazują na konkretne rozwiązania, wspomagające ADO.
Kodeks branżowy dla ochrony zdrowia jest w ostatniej fazie zatwierdzania i pewnie w tym roku zostanie opublikowany w ostatecznej wersji. Ponadto takie wsparcie może przyjść od inspektora ochrony danych dla gabinetu lekarskiego. O inspektorze ochrony danych i kodeksie branżowym wkrótce.
Artykuł opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 2/2022.
– Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – RODO wprowadza jasną i dokładną definicję administratora – ADO (jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych) – art. 4 pkt 70 RODO. Wszystkie powyższe czynności wykonywane na danych osobowych są operacjami ich przetwarzania, co do których nadzór sprawuje ADO i jest za nie odpowiedzialny wobec osób, których dane są przez niego zgromadzone i przetwarzane. Podstawowe obowiązki ADO również są zdefiniowane i wynikają z art. 24 RODO ust. 1, który brzmi: „Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Kolejny ustęp tego przepisu wskazuje wręcz na konieczność wdrożenia przez ADO odpowiednich polityk ochrony danych. Dochodzimy zatem do konkretów i zadajemy sobie pytanie: o jakie polityki ochrony danych chodzi? Stan prawny przed RODO dawał pewne narzędzia ADO w postaci krajowych rozporządzeń do ówczesnej ustawy o ochronie danych osobowych, które wskazywały niezbędne elementy działania ADO. Po wejściu w życie RODO te rozporządzenia krajowe przestały obowiązywać. Nie oznacza to jednak, że pewne elementy z przeszłości nie mogą stanowić podstawy do zastosowania w obecnych rozwiązaniach. Co więc mają zawierać polityki ochrony danych osobowych w gabinecie lekarskim? Po pierwsze to, o czym mówi RODO wprost, czyli: „Rejestr czynności przetwarzania danych osobowych – art. 30 ust. 1 RODO; rejestr kategorii czynności przetwarzania danych osobowych w imieniu ADO – art. 30 ust. 2 RODO (o ile ma zastosowanie); analiza ryzyka dla procesów przetwarzania danych, z uwzględnieniem oceny skutków naruszenia praw i wolności osób, których dane są przetwarzane – art. 35 RODO”.
Tylko tyle w sposób bezpośredni, ale jest wiele zapisów, które nie nakładają na ADO obowiązków wprost, ale nakazują mu wykazać się obiektywnie sprawdzalnymi narzędziami, że dokonał następujących działań: „Zapewnił legalność pozyskania i przetwarzania danych osobowych; dopuścił do przetwarzania danych osobowych jedynie upoważnione osoby, które zobowiązały się do zachowania ich w poufności oraz posiadają odpowiednią wiedzę na temat przetwarzania danych osobowych, w tym danych szczególnych kategorii, takich jak dane dotyczące zdrowia; zapewnił rozliczalność procesu przetwarzania danych osobowych, co oznacza, że na każdym etapie swojej działalności potrafi wskazać osoby, które przetwarzały dane osobowe na jego zlecenie lub w jego imieniu poprzez ich powierzenie do przetwarzania danych osobowych; wprowadził środki techniczne i organizacyjne, które zapewniają bezpieczeństwo przetwarzania danych osobowych; ocenił czy musi powołać inspektora ochrony danych, a jeśli tak, to czy go powołał, i czy powołał go w sposób zapewniający mu działanie; opisał, jak wygląda realizacja obowiązków informacyjnych wobec osób fizycznych, których dane przetwarza”.
Mimo że sam dokument, jakim jest RODO, nie nakłada na ADO spisania tych polityk, to nie ma innych środków, poza opracowaniem wewnętrznych dokumentów, które będą regulowały powyższe kwestie i zapewnią ADO komfort działania. Osiągnięcie poziomu komfortu przez ADO jest niestety trudne, ponieważ nie ma uniwersalnych rozwiązań opisujących procedury w gabinecie lekarskim, gdyż każde rozwiązanie wewnętrzne, zastosowane oprogramowanie do prowadzenia dokumentacji medycznej czy sposób działania determinuje inne podejście. I właśnie dlatego RODO przysparza wielu trudności, ponieważ nakłada na ADO przeprowadzenie analizy swojej działalności i dobranie adekwatnych środków i rozwiązań, co jest równoznaczne ze stwierdzeniem, że rozwiązanie A w gabinecie A nie jest równoznaczne z zastosowaniem go w gabinecie B jako prawidłowe…
W jaki jednak sposób ADO ma zatem działać? Opisanie wszystkich powyższych zagadnień stanowi właśnie politykę ochrony danych osobowych w gabinecie lekarskim. Polityka ta winna być analizowana przy każdej zmianie przepisów ogólnych lub wprowadzaniu nowych zasad działalności, czyli podlegać ciągłej ewaluacji. Jak widać, nie jest to zadanie łatwe. Czy można w tym zakresie liczyć na wsparcie? Takim wsparciem są kodeksy branżowe (art. 40 RODO), które doprecyzowują i wskazują na konkretne rozwiązania, wspomagające ADO.
Kodeks branżowy dla ochrony zdrowia jest w ostatniej fazie zatwierdzania i pewnie w tym roku zostanie opublikowany w ostatecznej wersji. Ponadto takie wsparcie może przyjść od inspektora ochrony danych dla gabinetu lekarskiego. O inspektorze ochrony danych i kodeksie branżowym wkrótce.
Artykuł opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 2/2022.
