RODO a branża ochrony zdrowia

Dowiedz się, w jaki sposób placówki medyczne powinny zarządzać bezpieczeństwem danych osobowych

Przepisy RODO zawierają katalog przesłanek, które ściśle określają zasady przetwarzania danych osobowych. Wytyczne te dotyczą także rozmaitych placówek tworzących branżę ochrony zdrowia. To właśnie na placówkach medycznych, będących administratorami danych, spoczywa obowiązek zapewnienia, że procesy przetwarzania danych osobowych pacjentów spełnia wymogi RODO. 

Jakie są podstawy prawne przetwarzania danych osobowych przez PM? 

Na gruncie przepisów RODO określony został katalog przesłanek, legalizujących procesy przetwarzania danych. W praktyce placówki medyczne będą mogły przetwarzać dane osobowe pacjentów przede wszystkim jeśli:  

  • jest to niezbędne do zapewnienia celów profilaktyki i opieki zdrowotnej na podstawie odpowiednich przepisów prawa;  
  • dany pacjent wyraził zgodę na przetwarzanie danych osobowych;  
  • PM posiada prawnie uzasadniony interes w przetwarzaniu danych, co dotyczy m.in. badań jakości i marketingu bezpośredniego (z wyłączeniem marketingu telefonicznego i elektronicznego).  

Artykuł 25 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta określa minimalną zawartość dokumentacji medycznej. W jej treści wskazane zostało, jakie dane osobowe pacjenta mogą być przetwarzane. Są to:  

  • imię (imiona) i nazwisko,  
  • data urodzenia,  
  • oznaczenie płci,  
  • adres miejsca zamieszkania,  
  • numer PESEL. 

Zbieranie tych danych znajduje uzasadnienie w przepisach prawa i pacjent jest zobowiązany do ich przekazania. Co ważne, placówki medyczne mają obowiązek prowadzenia dokumentacji medycznej dla świadczeń realizowanych w oparciu o umowę z NFZ, ale też usług komercyjnych. 

Cel przetwarzania danych przez PM 

Placówki medyczne przetwarzają w głównej mierze dane osobowe niezbędne do realizacji celów, takich jak: 

  • profilaktyka zdrowotna,  
  • medycyna pracy,  
  • rejestracja i świadczenie usług opieki zdrowotnej, 
  • ochrona żywotnych interesów osoby, której dane dotyczą.  

W określonych wypadkach PM przetwarzają także dane osobowe związane z działaniami marketingowymi oraz realizacją badań klinicznych czy też naukowych. Przepisy branżowe wskazują jednoznacznie na zakres danych, jakie zbierane są przez PM:  

  • na potrzeby prowadzenia indywidualnej dokumentacji medycznej,  
  • w deklaracji wyboru, 
  • w oświadczeniu o przysługującym świadczeniobiorcy prawie do świadczeń opieki zdrowotnej. 

Przepisy określają ponadto minimalny zakres informacji, jakie powinny znaleźć się w dokumentacji medycznej oraz wskazują na dane osobowe, które można gromadzić w uzasadnionych przypadkach. 

Od kogo PM otrzymują dane osobowe? 

Placówki medyczne otrzymują dane z dwóch głównych źródeł, jakimi są pacjenci oraz kontrahenci i inne placówki medyczne, jak np. laboratoria. Pacjenci lub ich przedstawiciele ustawowi (bądź też osoby trzecie – w tym opiekunowie faktyczni) przekazują PM dane osobiście (np. podczas rejestracji na wizytę lekarską), pocztą (np. w przesyłanych wnioskach lub zapytaniach), elektronicznie (np. mailem lub poprzez platformę służącą do rejestracji on-line) i telefonicznie. 

Drogi przekazywania danych przez drugą grupę podmiotów to natomiast przekazywanie danych osobiście, pocztą, elektronicznie (np. za pomocą systemu umożliwiającego dostęp do wyników badań pacjentów on-line) oraz telefonicznie. 

Zarządzanie ochroną danych osobowych w PM 

Zarządzając przetwarzaniem danych osobowych placówki medyczne powinny w staranny i regularny sposób kontrolować i doskonalić funkcjonujący w przedsiębiorstwie system ochrony danych osobowych. System ten można podzielić na trzy podstawowe elementy: 

  • bezpieczeństwo 
  • dokumentacja, 
  • zasoby ludzkie.  

Skuteczna kontrola nad danymi osobowymi przetwarzanymi w PM wymaga wprowadzenia procedur umożliwiających monitorowanie wszelkich czynności wykonywanych na danych. Proces kontrolowania polega przede wszystkim na: 

  • inwentaryzacji zasobów, 
  • określeniu, jakie obowiązki nakłada na administratora danych osobowych RODO;  
  • przeprowadzaniu analizy ryzyka;  
  • prowadzeniu audytów ochrony danych osobowych,  
  • regularnym przeglądzie upoważnień dostępu do danych osobowych. 

Sprawną realizację tych zadań umożliwia oprogramowanie RODOprotektor, które jest bezpiecznym narzędziem do zarządzania danymi osobowymi. RODOprotektor wspiera zadania podejmowane przez Administratorów Danych Osobowych (ADO) w PM w zakresie: 

  • inwentaryzacji zasobów, na których dochodzi do przetwarzania danych osobowych,
  • przeprowadzania analizy ryzyka dla rejestrów czynności i kategorii czynności przetwarzania,  
  • przeprowadzania oceny skutków dla przetwarzanych danych osobowych,  
  • tworzenia i cyklicznych przeglądów upoważnień do przetwarzania danych osobowych, 
  • przeprowadzania oceny wagi naruszenia, 
  • zarządzania dokumentacją wewnętrzną. 

Chcesz dowiedzieć się więcej o funkcjonalnościach oprogramowania RODOprotektor – wyślij nam wiadomość!

Wyślij wiadomość