Dodano: 13.12.2019, Kategorie: Gabinet
Bez zgody na zgody
Nadmiarowe zbieranie zgód na przetwarzanie danych osobowych w celu świadczenia usług medycznych, niespełnienie obowiązku informacyjnego, odkładanie wdrożenia RODO na później, incydenty „zamiatane pod dywan”… Pomimo milionowych kar nakładanych przez Urzędy Ochrony Danych Osobowych mamy wciąż zbyt niską świadomość personelu medycznego dotyczącą bezpieczeństwa danych osobowych. To tylko część wniosków, które możemy wysnuć 1,5 roku po wejściu w życie RODO.
Od maja 2018 r. w Niemczech zgłoszono ponad 850 naruszeń bezpieczeństwa danych osobowych pacjentów. Węgierski Urząd Ochrony Danych Osobowych nałożył w 2019 r. kary na łączną sumę 87 milionów forintów. Szpitale w Portugalii oraz Holandii zostały w sumie trzykrotnie ukarane. Włamanie w Ośrodku Rehabilitacyjnym w województwie śląskim to jeden z przykładów naruszeń w Polsce. Nagminnie zdarzają się kradzieże dokumentacji, włamania do systemów informatycznych, czy przekazywanie danych osobom nieupoważnionym. Naczelna Izba Kontroli po sprawdzeniu 24 szpitali ogłosiła, że rutyna i utarte schematy działania gubią pracowników ochrony zdrowia, którzy są zobowiązani do zabezpieczenia danych osobowych pacjentów.
Wszyscy z niecierpliwością czekamy na rok 2020, wierząc, że nowy rok to zmiany na lepsze. Czy wykorzystamy ten czas również w kontekście zabezpieczenia danych, które przetwarzamy?
Jak wynika z badań przeprowadzonych przez RODONET niemalże 30% ankietowanych praktyk medycznych wciąż zbiera zgody pacjentów na przetwarzanie danych osobowych. Podstawę prawną przetwarzania tych danych stanowi art. 9 ust. 2 lit. h RODO, w którym czytamy, że dozwolone jest przetwarzanie, które jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego (gdy danymi operuje osoba objęta tajemnicą zawodową, pozostałe osoby muszą posiadać upoważnienie do przetwarzania lub umowę powierzenia). Nadmiarowe zbieranie zgód nie jest dodatkowym zabezpieczeń – prowadzi do złamania zasady legalności.
Również spełnienie obowiązku informacyjnego to nie lada wyzwanie wśród podmiotów medycznych. Klauzule są często „głęboko ukryte” i pokazywane tylko na specjalne życzenie pacjenta. Prawo jasno mówi, że przed przystąpieniem do przetwarzania danych osobowych administrator powinien udzielić osobie, której dane dotyczą, szeregu informacji dotyczących m.in. celu, podstawy prawnej oraz czasu przetwarzania danych, jak również przysługujących jej praw. W praktyce medycznej możemy spełnić ten obowiązek np. poprzez umieszczenie klauzuli w regulaminie organizacyjnym lub w zestawie dokumentów przekazywanych pacjentowi.
Poza klauzulą informacyjną administratorzy danych osobowych powinni być w stanie wykazać przestrzeganie zasad RODO, a co za tym idzie sporządzić odpowiednią dokumentację, w skład której wchodzą m.in. rejestry, procedury i polityki. Jak pokazuje doświadczenie ekspertów RODONET prawie połowa ankietowanych praktyk medycznych nie podjęła się przygotowania dokumentacji lub nie zaktualizowała tej, której przygotowanie zleciła w maju 2018 roku. Co więcej – prawie wszystkie praktyki medyczne, które wykazały posiadanie dokumentacji przyznają, że ich Rejestry incydentów naruszenia bezpieczeństwa danych osobowych są puste. To również wskazuje na brak odpowiedniej wiedzy administratorów, a często także inspektorów danych osobowych. Właściciele praktyk otwarcie przyznają, że działania, których podjęli wynikają z informacji pozyskanych przez znajomych i członków rodziny i nigdy nie zastanawiali się nad ich prawidłowością. Przecież szwagier, który skończył prawo na pewno zna się na rzeczy…
Należy pamiętać, ze prawidłowe wdrożenie RODO to nie jest czynność jednorazowa. Wymaga to realizacji następujących kroków, które powinny zostać odpowiednio udokumentowane:
- Audyt RODO – przeprowadzenie audytu stanowi dowód na troskę administratora o stan RODO i ujawnia ewentualnych braków w dokumentacji dot. bezpieczeństwa danych
- Opracowanie polityki bezpieczeństwa danych osobowych – dzięki czemu możliwe jest precyzyjne i skuteczne zapoznanie pracowników z obowiązkami wynikającymi z RODO
- Stworzenie zestawu rejestrów RODO, w tym rejestru czynności przetwarzania, czy rejestru osób upoważnionych oraz innych (patrz rodonet.pl), które pozwolą na kontrolowanie sytuacji w naszej praktyce
- Przeszkolenie pracowników (np. poprzez szkolenie e-learningowe)
- Stały monitoring RODO z częstotliwością wynikającą z poziomu ryzyka (analiza ryzyka jest jednym z elementów audytu)
Tylko kompleksowe i systematyczne podejście do RODO jest gwarancją uniknięcia grzywny, a co ważniejsze – zabezpieczenia danych osobowych.
Autor: Sylwia Miezio, Koordynator Sieci Inspektorów Ochrony Danych RODONET, tel. 698 101 878, rodonet@prometriq.pl
Zdjęcia: Fotolia