11

Pro Medico

•

czerwiec 2018

RODO

Czy przysługuje Pani/Panu prawo wniesienia

skargi do organu nadzorczego?

Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego zajmu-

jącego się ochroną danych osobowych, którym obecnie jest Generalny Inspek-

tor Ochrony Danych Osobowych, a od 25 maja 2018 r. – Prezes Urzędu Ochrony

Danych Osobowych

Czy w stosunku do Pani/Pana danych osobo-

wych są podejmowane zautomatyzowane

decyzje, w tym m.in. czy dane osobowe są

profilowane?

W stosunku do Pani/Pana danych osobowych nie są podejmowane zautomatyzo-

wane decyzje oraz dane te nie są profilowane.

Prawnik informuje: RODO

OPRACOWANIE I PRZYJĘCIE WYMA-

GANEJ DOKUMENTACJI Z ZAKRESU

OCHRONY DANYCH OSOBOWYCH NIE

JEST WYSTARCZAJĄCE DO SPEŁNIENIA

WYMOGÓWNAŁOŻONYCHPRZEZ RODO

(...) RODO wymaga od nas zastosowania

odpowiednich środków technicznych oraz

organizacyjnych zapewniających bezpie-

czeństwo przetwarzania danych. Najlepiej

opracowane procedury będą bezużytecz-

ne w przypadku braku ich stosowania. Np.:

szczególny obowiązek dotyczący prze-

chowywania dokumentacji medycznej.

Nie może ona pozostać luzem na biurku

czy też w punkcie rejestracyjnym. Doku-

mentację medyczną należy niezwłocznie,

po udzielonym świadczeniu zdrowotnym

i dokonaniu wpisów, schować, najlepiej

do zamykanej szafy, do której dostęp mają

tylko osoby uprawnione. Nie można także

przesyłać informacji dotyczących stanu

zdrowia pacjenta za pośrednictwem zwy-

kłej poczty e-mail w sposób niezaszyfro-

wany.

LEKARZE PROWADZĄCY INDYWI-

DUALNĄ PRAKTYKĘ LEKARSKĄ BĘDĄ

ADMINISTRATORAMI DANYCH OSOBO-

WYCH

Lekarz prowadzący indywidualną prakty-

kę lekarską, w rozumieniu RODO będzie

administratorem danych osobowych swo-

ich pacjentów, ale nie tylko tych danych.

Status administratora przysługiwał mu

będzie także np. w stosunku do danych

osobowych osób, które zatrudnia – bez

względu na formę zatrudnienia. Czy lekarz

„na kontrakcie” będzie uznany za „pod-

miot przetwarzający”? Wiele wskazuje

Podstawowym dokumentem, który powinien znajdować się w praktyce lekarskiej,

jest polityka bezpieczeństwa, inaczej zwana instrukcją ochrony danych osobo-

wych, zawierająca zasady postępowania związane z przetwarzaniem danych

osobowych. Także tzw. rejestr czynności przetwarzania danych osobowych, czy

też upoważnieniach do przetwarzania danych osobowych, dla określonej kategorii

osób oraz o umowach powierzenia przetwarzania danych osobowych w imieniu

administratora.

na to, że nie będzie konieczności zawiera-

nia z tym lekarzem umowy powierzenia

przetwarzania danych (w mojej ocenie

lekarz udzielający świadczeń zdrowotnych

w podmiocie leczniczym na tzw. kontrak-

cie, nie będzie uznany za administratora

danych pacjentów podmiotu, w którym

jest podwykonawcą).

CZY WYMAGANA JEST ZGODA

PACJENTA NA PRZETWARZANIE JEGO

DANYCH OSOBOWYCH PRZED PRZY-

STĄPIENIEM DO UDZIELANIA ŚWIAD-

CZEŃ ZDROWOTNYCH?

Zgoda nie jest jedyną podstawą uprawnia-

jącą do przetwarzania danych osobowych.

Jest to możliwe także, gdy obowiązek ten

wynika bezpośrednio z przepisów prawa,

zarówno RODO, jak przepisów krajowych.

Zwracam uwagę, że prowadzenie doku-

mentacji medycznej, a więc jej przetwarza-

nie, jest nie tylko uprawnieniem, ale i obo-

wiązkiem lekarza. Stanowi nieodłączny ele-

ment udzielania świadczeń zdrowotnych.

Dlatego nie ma prawnego uzasadnienia

sytuacja, w której pacjent z jednej strony

wyraziłby zgodę na udzielenie świadczenia

zdrowotnego, z drugiej – odmówił zgody

na przetwarzanie jego danych osobowych

w związku z udzielaniem świadczeń zdro-

wotnych. W przypadku wyrażenia zgody

na udzielanie świadczeń zdrowotnych,

pacjentowi pozostaje „pogodzić się” z tym,

że jego dane osobowe będą przetwarza-

ne. Pamiętajmy jednak, że zgoda pacjen-

ta będzie konieczna w sytuacji, w której

chcielibyście Państwo przetwarzać jego

dane osobowe w innym celu niż udzielanie

świadczeń zdrowotnych.

W PRZYPADKU PACJENTÓW, TZW.

„PRAWO DO BYCIA ZAPOMNIANYM”

ORAZ

PRAWO

DO

SPROSTOWA-

NIA SWOICH DANYCH OSOBOWYCH

ZAWARTYCH

W

DOKUMENTACJI

MEDYCZNEJ ULEGA OGRANICZENIU.

Prawo do bycia zapomnianym

, polegające

na uprawnieniu do żądania definitywne-

go usunięcia naszych danych osobowych,

podlega istotnemu ograniczeniu w przy-

padku danych medycznych, wynikającym

z celu ich przetwarzania oraz przepisów

zawartych w ustawie z dnia 6 listopada

2008 r. o prawach pacjenta i Rzeczniku

Praw Pacjenta. Przepisy te nakazują prze-

chowywanie dokumentacji medycznej

przez określony czas, co uniemożliwia

wcześniejsze usunięcie danych osobo-

wych w niej zawartych. Podstawowym

terminem jest termin 20 lat od końca roku,

w którym dokonano ostatniego wpisu

w dokumentacji medycznej. Okres ten

ulega przykładowo przedłużeniu w przy-

padku dokumentacji medycznej dzieci

do ukończenia 2. roku życia, (dokumen-

tacja jest przechowywana przez okres

22 lat), czy też zgonu pacjenta za sku-

tek uszkodzeń ciała lub zatrucia (30 lat

od końca roku, w którym nastąpił zgon),

zaś skróceniu w przypadku zdjęć rentge-

nowskich (10 lat) czy skierowań (5 i 2 lata).

Z podobnym ograniczeniem praw osoby

fizycznej, określonych w RODO, mamy

do czynienia w przypadku prawa do spro-

stowania danych osobowych pacjenta

zawartych w dokumentacji medycznej.

Danymi osobowymi w dokumentacji med.

będą nie tylko np. imię i nazwisko, ale też

ciąg dalszy na str. 12