LexDigital

Ochrona danych osobowych w służbie zdrowia

Służba zdrowia nie istnieje bez danych osobowych. Szpitale, przychodnie czy kliniki przetwarzają nie tylko dane osobowe swojego personelu, ale przede wszystkim pacjentów, w tym zarówno dorosłych jak i dzieci. W przechowywanej dokumentacji medycznej znajdują się przede wszystkim dane sensytywne, dlatego muszą podlegać właściwej ochronie przed wszelkimi naruszeniami.

Ochrona danych osobowych w służbie zdrowia

Ochrona danych osobowych medycznych

Omawiając zagadnienie danych osobowych w służbie zdrowia, w pierwszej kolejności należy zauważyć, że w motywach RODO dokładnie wyjaśniono, czym są dane osobowe dotyczące zdrowia. Otóż zalicza się do nich wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej. Będą to wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro.

Dane wrażliwe (sensytywne) w placówkach medycznych

W RODO zawarto generalny zakaz przetwarzania tzw. szczególnych kategorii danych osobowych (nazywanych również danymi wrażliwymi lub danymi sensytywnymi). Do tej grupy zaliczane są dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Jednocześnie wprowadzono jednak wyjątki od tego zakazu, czyli sytuacje, w których dopuszczalne jest przetwarzanie danych wrażliwych. I tak będzie to możliwe (przykładowo) w następujących przypadkach:

  • gdy osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić generalnego zakazu przetwarzania danych wrażliwych;
  • gdy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;
  • gdy przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
  • gdy przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w RODO;
  • gdy przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową.

W związku z tym RODO umożliwia przetwarzanie danych dotyczących zdrowia, jednocześnie ograniczając cele tego przetwarzania do wyraźnie określonych w przepisach.

Obowiązek wyznaczenia Inspektora Ochrony Danych w służbie zdrowia

Przetwarzanie danych osobowych przez placówki medyczne może wiązać się również z obowiązkiem wyznaczenia przez nie Inspektora Ochrony Danych. Zgodnie bowiem z RODO musi to nastąpić między innymi wówczas, jeśli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych. Skoro szpitale, zajmujące się głównie ochroną zdrowia, nie mogą świadczyć swoich kluczowych usług bez przetwarzania danych medycznych pacjentów, to jest oczywistym że przetwarzanie danych dotyczących zdrowia jest główną działalnością tych placówek. Warto jednak poświęcić chwilę drugiej ze wskazanych przesłanek, tj. przetwarzaniu danych na dużą skalę. Zgodnie z motywami RODO, przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów i jest dokonywane przez pojedynczego lekarza czy innego pracownika służby zdrowia. Chodzi więc w tym przypadku o świadczenie usług przez konkretnego lekarza na rzecz niedużej liczby osób.

Ocena skutków dla ochrony danych

Należy ponadto zaznaczyć, że w placówkach służby zdrowia konieczne będzie dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Wynika to z faktu, że ocena taka jest wymagana m.in. w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, do których należą przecież również dane o stanie zdrowia. Na czym polega taka ocena skutków dla ochrony danych? Najogólniej ujmując jest to dodatkowa analiza dokonywana w przypadkach istnienia wysokiego naruszenia praw i wolności osób, których dane dotyczą, mająca opisać przetwarzanie, ocenić jego niezbędność i proporcjonalność oraz pomóc w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z przetwarzania danych osobowych.

Prawa pacjenta

RODO nakłada na placówki szpitalne także szereg obowiązków, które znacząco wpływają na poszerzenie katalogu praw pacjentów (określonego m.in. w tzw. Karcie praw pacjenta). Przede wszystkim mowa o konieczności spełnienia obowiązku informacyjnego wobec pacjentów. I tak, jeżeli administrator (np. szpital) zbiera dane od pacjenta, musi go poinformować między innymi o:

  • swojej tożsamości i danych kontaktowych oraz, gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela;
  • gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych;
  • celach przetwarzania danych osobowych oraz podstawy prawnej przetwarzania;
  • prawnie uzasadnionych interesach realizowanych przez administratora lub przez stronę trzecią (tylko wtedy, jeżeli przetwarzanie odbywa się na podstawie przesłanki niezbędności do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora);
  • odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  • gdy ma to zastosowanie – o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej itd.;
  • okresie, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu;
  • prawie do żądania od administratora dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych.

Poza tym, pacjent między innymi ma również prawo do otrzymania od placówki służby zdrowia potwierdzenia, czy przetwarzane są jego dane osobowe, a jeżeli ma to miejsce, jest uprawniony jest do uzyskania dostępu do nich oraz kopii danych osobowych podlegających przetwarzaniu. Co istotne, za pierwszą kopię danych placówka służby zdrowia nie powinna pobierać opłat (za wszelkie kolejne kopie jest już to możliwe).

Archiwizacja dokumentacji medycznej

Zgodnie z RODO, dane pacjentów powinny być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Dla ustalenia dokładnego okresu archiwizacji dokumentacji medycznej należy więc wziąć pod uwagę przepisy z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, zgodnie z którymi dokumentacja medyczna jest przechowywana zasadniczo przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.

Rozpoczęcie stosowania RODO wiąże się z szeregiem obowiązków, które muszą zostać wdrożone przez służbę zdrowia.


Sprawdź również:


Polecane

Administrator systemów informatycznych. Rola w systemie

Administrator systemów informatycznych. Rola w systemie

W przepisach RODO próżno szukać regulacji dotyczącej Administratorów Systemów Informatycznych (ASI). Funkcja ASI występuje jednak w wielu przedsiębiorstwach i nie jest równoznaczna ani Administratorom Danych Osobowych ani Administratorom Bezpieczeństwa Informacji (czy też Inspektorom Ochrony Danych). Kim więc są ASI i jaką rolę pełnią w systemie ochrony danych osobowych?

Analiza i szacowanie ryzyka w RODO

Analiza i szacowanie ryzyka w RODO

Dyrektywa wymaga nie tylko stosowania procesu zarządzania ryzykiem zgodnego z RODO jako jednego z elementów ochrony danych osobowych, ale wprowadziła podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu.

Aplikacja dla Inspektora Ochrony Danych Osobowych

Aplikacja dla Inspektora Ochrony Danych Osobowych

Każdy kto podejmował się wdrożenie RODO w organizacji, nie zważywszy na jej skalę, wie jak dużym wyzwaniem jest zarządzanie dokumentacją. Wersjonowanie dokumentów, ich dystrybucja do wszystkich zainteresowanych, a także zbieranie informacji w efektywny sposób są niezwykle istotnym elementem sprawnie przeprowadzonego wdrożenia.

Popularne

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Audyt RODO - ochrona danych osobowych w przedsiębiorstwie

Rozpoczęciem procesu przystosowania, przez który musi przejść każda organizacja w celu uzyskania zgodności z wymogami rozporządzenia o ochronie danych osobowych jest audyt zgodności z RODO. Pozwoli on, dokładnie określić rodzaj i zakres przetwarzanych danych osobowych, zidentyfikować obszary wymagające zmiany lub poprawy oraz zaplanować działania wdrożeniowe.

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Szkolenie RODO w przedsiębiorstwie - praktyczne aspekty

Od 25 maja 2018 roku zaczną obowiązywać przepisy rozporządzenia o ochronie danych osobowych. Od tego dnia, każda organizacja będzie miałą obowiązek funkcjonować w ramach nowych procedur. Ilość zmian, które wprowadza RODO wymusza stworzenie zupełnie nowego systemu prawnego, na który trzeba odpowiednio przygotować swoją organizację oraz wszystkich jej pracowników.

Bezpłatne szkolenie z RODO

Bezpłatne szkolenie z RODO

Wiedząc jak ważną rolę w procesie przygotowawczym do wprowadzenia rozporządzenia o ochronie danych osobowych stanowi wiedza, pragniemy się z Państwem z nią podzielić, podczas bezpłatnego szkolenia RODO.

Chcesz wdrożyć RODO? Nie czekaj!

Wspieramy przedsiębiorców

Nasi konsultanci rozpoczęli wdrożenia RODO już wiele miesięcy temu. jako jedni z pierwszych opracowaliśmy procedury dotyczące nowych przepisów i wdrożyliśmy je w życie. Nowe przepisy, jeśli są rzeczywiście przestrzegane, w żaden sposób nie utrudniają prowadzenia działalności Twojej firmy.

Napisz do nas

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego ABI/IOD katarzyna.muszynska@lexdigital.pl spod adresu, którego zgoda dotyczy. Informujemy, że nie jesteście Państwo profilowani. Państwa dane nie będą przekazywane poza EOG ani udostępniane organizacjom międzynarodowym.

Zawiadamiamy, że administratorem Państwa danych osobowych podanych w powyższym formularzu jest LexDigital Sp. z o.o. z siedzibą w Poznaniu 60-351, na ulicy Zakręt 8. Wszelkie pytania i wątpliwości prosimy kierować do naszego ABI / IOD, Katarzyny Muszyńskiej na adres katarzyna.muszynska@lexdigital.pl. Państwa dane przetwarzane będą wyłącznie w celu udzielenia odpowiedzi na zapytanie zgodnie z zasadą, która głosi, że przetwarzanie danych jest zgodne z prawem jeżeli jest niezbędne w celu realizacji umowy lub przed jej zawarciem. W przypadku wyrażenia powyższej zgody, dane będą również wykorzystywane do przesyłania treści marketingowych. Pełne informacje o danych osobowych znajdziecie Państwo w naszej polityce prywatności.

KomputronikGoldenSubmarineFibar GroupPixersWykop.plGPD AgencyTesgas

Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.