RODO w służbie zdrowia

Dnia 25 maja 2018 r. weszło w życie Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679, zna­nym rów­nież jako „RODO”. Poni­żej wyja­śni­my w jaki spo­sób wej­ście w życie tego aktu praw­ne­go wpły­nę­ło na pra­wa i obo­wiąz­ki pod­mio­tów w zakre­sie służ­bie zdrowia.

Dane osobowe wykorzystywane w służbie zdrowia

Zgod­nie z RODO dany­mi oso­bo­wy­mi według wpro­wa­dzo­nej w nim defi­ni­cji są wszel­kie infor­ma­cje o ziden­ty­fi­ko­wa­nej lub moż­li­wej do ziden­ty­fi­ko­wa­nia oso­bie fizycznej. 

Dany­mi oso­bo­wy­mi są więc m. in.:

1. imię i nazwisko;
2. numer iden­ty­fi­ka­cyj­ny;
3. dane o lokalizacji;
4. dane o sta­nie zdro­wia itp.

Nad­to, RODO wpro­wa­dził odręb­ną defi­ni­cję danych doty­czą­cych zdro­wia, uzna­jąc za takie dane o zdro­wiu fizycz­nym lub psy­chicz­nym oso­by fizycz­nej, a w tym infor­ma­cje o korzy­sta­niu przez nią z usług opie­ki zdrowotnej.

Dane oso­bo­we doty­czą­ce zdro­wia zosta­ły dokład­niej wyja­śnio­ne w moty­wach Roz­po­rzą­dze­nia. Są nimi wszyst­kie dane o sta­nie zdro­wia zawie­ra­ją­ce infor­ma­cje o prze­szłym, obec­nym lub przy­szłym sta­nie zdro­wia, zarów­no pod wzglę­dem fizycz­nym, jak rów­nież psychicznym. 

Do danych o sta­nie zdro­wia RODO zali­cza m. in.:

1. infor­ma­cje zbie­ra­ne pod­czas jej reje­stra­cji do usług opie­ki zdrowotnej;
2. infor­ma­cje zbie­ra­ne pod­czas świad­cze­nia usług opie­ki zdrowotnej;
3. infor­ma­cje pocho­dzą­ce z badań
   • labo­ra­to­ryj­nych;
   • lekar­skich
4. o cho­ro­bie;
5. o nie­peł­no­spraw­no­ści;
6. o histo­rii medycz­nej itp. 

Prze­twa­rza­niem danych oso­bo­wych jest nato­miast ope­ra­cja lub zestaw ope­ra­cji na danych, do któ­rych nale­ży m. in. zbie­ra­nie, prze­cho­wy­wa­nie, pobie­ra­nie czy wyko­rzy­sty­wa­nie itp.

Dane o stanie zdrowia danymi sensytywnymi

Dane o sta­nie zdro­wia, obok takich infor­ma­cji jak pocho­dze­nie raso­we, etnicz­ne, poglą­dy poli­tycz­ne czy prze­ko­na­nia świa­to­po­glą­do­we uzna­ne zosta­ły za szcze­gól­ne kate­go­rie danych oso­bo­wych (dane sensytywne). 

Prze­twa­rza­nie takich danych jest co do zasa­dy zabro­nio­ne. Dane sen­sy­tyw­ne mogą być jed­nak prze­twa­rza­ne, gdy m. in. oso­ba, któ­rej dane doty­czą, wyra­zi­ła wyraź­ną zgo­dę na prze­twa­rza­nie tych danych oso­bo­wych bądź gdy jest to nie­zbęd­ne do celów pro­fi­lak­ty­ki zdro­wot­nej lub medy­cy­ny pra­cy, dia­gno­zy medycz­nej czy zapew­nie­nia opie­ki zdrowotnej.

Obowiązki podmiotów prowadzących działalność w sektorze służby zdrowia

Do pod­sta­wo­wych obo­wiąz­ków pod­mio­tów pro­wa­dzą­cych dzia­łal­ność w sek­to­rze służ­by zdro­wia nale­żą m. in.:

1. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych celem prze­twa­rza­nia danych osobowych;
2. powo­ła­nie inspek­to­ra ochro­ny danych osobowych;
3. pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia danych osobowych;
4. prze­pro­wa­dze­nia oce­ny ryzy­ka naru­sze­nia danych osobowych;
5. współ­dzia­ła­nia z Pre­ze­sem Urzę­du Ochro­ny Danych Oso­bo­wych, a w tym infor­mo­wa­nia o naru­sze­niu ochro­ny danych osobowych;
6. archi­wi­za­cja doku­men­ta­cji medycznej;
7. obo­wią­zek infor­ma­cyj­ny wobec pacjentów.

Obowiązek wyznaczenia inspektora ochrony danych osobowych

Zgod­nie z RODO admi­ni­stra­tor wyzna­cza inspek­to­ra ochro­ny danych oso­bo­wych, m. in. gdy prze­twa­rza­nia doko­nu­ją organ lub pod­miot publicz­ny (np. Naro­do­wy Fun­dusz Zdro­wia) czy głów­na dzia­łal­ność admi­ni­stra­to­ra lub pod­mio­tu prze­twa­rza­ją­ce­go pole­ga na prze­twa­rza­niu na dużą ska­lę szcze­gól­nych kate­go­rii danych oso­bo­wych, do któ­rej zali­cza­ją się rów­nież dane o sta­nie zdro­wia (np. szpitale).

Nale­ży mieć rów­nież na uwa­dze, iż zgod­nie ze sta­no­wi­skiem Gene­ral­ne­go Inspek­to­ra Ochro­ny Danych Oso­bo­wych (obec­nie Pre­zes Urzę­du Ochro­ny Danych Oso­bo­wych) nie uwa­ża się, aby dzia­łal­ność pro­wa­dzo­na w ramach jed­no­oso­bo­wej prak­ty­ki lekar­skiej (pry­wat­ny gabi­net lekar­ski) była prze­twa­rza­niem danych szcze­gól­nych na dużą ska­lę, co ozna­cza, iż w takich sytu­acjach nie jest wyma­ga­ne powo­ły­wa­nie inspek­to­ra ochro­ny danych osobowych.

Inspek­tor ochro­ny danych oso­bo­wych może być człon­kiem per­so­ne­lu admi­ni­stra­to­ra. Może on rów­nież wyko­ny­wać zada­nia na pod­sta­wie umo­wy o świad­cze­nie usług.

Ocena skutków dla ochrony danych

Nad­to, obli­ga­to­ryj­nym obo­wiąz­kiem nało­żo­nym na pod­mio­ty dzia­ła­ją­ce w zakre­sie służ­by zdro­wia jest prze­pro­wa­dze­nie oce­ny skut­ków dla ochro­ny danych osobowych. 

Oce­na taka zawie­ra m. in.:

1. opis pla­no­wa­nych ope­ra­cji prze­twa­rza­nia i jego celów;
2. oce­nę, czy są one nie­zbęd­ne oraz pro­por­cjo­nal­ne w sto­sun­ku do celów;
3. oce­nę ryzy­ka naru­sze­nia praw lub wol­no­ści osób, któ­rych dane dotyczą;
4. pla­no­wa­ne środ­ki celem zapo­bie­gnię­cia ryzyku.

Archiwizacja dokumentacji medycznej

Zgod­nie z usta­wą o pra­wach pacjen­ta i Rzecz­ni­ku Praw Pacjen­ta doku­men­ta­cja medycz­na jest prze­cho­wy­wa­na co do zasa­dy przez okres 20 lat od dnia doko­na­nia ostat­nie­go wpisu. 

Podsumowanie

Pod­su­mo­wu­jąc, wobec prze­twa­rza­nia przez pla­ców­ki medycz­ne szcze­gól­nych kate­go­rii danych oso­bo­wych, jaki­mi są dane o sta­nie zdro­wia swych pacjen­tów, prze­pi­sy RODO nało­ży­ły na nie sze­reg nowych obo­wiąz­ków, dotych­czas nie zna­nych. W szcze­gól­no­ści na pod­mio­tach tych jako na admi­ni­stra­to­rach danych oso­bo­wych cią­ży obo­wią­zek infor­ma­cyj­ny, koniecz­ność powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych czy doko­na­nia oce­ny ryzy­ka dla ochro­ny danych osobowych.

Powrót do spe­cja­li­za­cji — Szko­le­nie RODO