Ochrona danych osobowych w placówkach medycznych

Obowiązujące Rozporządzenie o Ochronie Danych Osobowych (RODO) zostało stworzone w celu podniesienia poziomu bezpieczeństwa prywatnych, często wrażliwych danych osobowych przetwarzanych przez różne podmioty w ramach swojej działalności. Osoby prywatne korzystające z usług różnego rodzaju firm, w tym także przychodni, placówek i gabinetów medycznych, pozostawiają swoje dane osobowe w celu umożliwienia realizacji świadczeń, ufając jednocześnie że ich dane będą zabezpieczone przed dostaniem się w niepowołane ręce i nieprawidłowym wykorzystaniem. Jak wygląda procedura ochrony danych osobowych w placówkach medycznych i jakie rozwiązania musiały wprowadzić gabinety, by spełnić wymogi RODO?

Czym są dane osobowe w kontekście placówek medycznych?

RODO określa precyzyjnie zakres danych osobowych dotyczących zdrowia, zaliczając do nich wszystkie dane o przeszłym, obecnym i przyszłym stanie zdrowia osoby, w tym zarówno zdrowia fizycznego, jak i psychicznego. Informacje takie mogą być podawane w placówkach opieki zdrowotnej podczas rejestracji oraz podczas świadczenia usług i dotyczyć:

  • chorób,
  • niepełnosprawności,
  • ryzyka chorób,
  • historii medycznej,
  • leczenia klinicznego.

Obowiązek zapewnienia odpowiedniej ochrony danych osobowych obejmuje nie tylko lekarzy i pracowników służby zdrowia, którzy mają bezpośredni dostęp do takich danych i przekazują je pacjentowi w formie ustnej i pisemnej, ale także urządzeń medycznych czy badań diagnostycznych wykorzystujących urządzenia przechowujące dane pacjenta.

Obok danych dotyczących zdrowia, w placówkach medycznych obowiązują ogólne zasady RODO dotyczące przetwarzania i przechowywania danych osobowych, w tym także zakaz przetwarzania szczególnych kategorii danych osobowych (danych wrażliwych) odnoszących się do pochodzenia rasowego lub etnicznego, poglądów politycznych, seksualności, przekonań religijnych, oraz danych biometrycznych i genetycznych.

W zakresie działania placówek medycznych dopuszczalne jest ich przetwarzanie jedynie w sytuacji, gdy osoba której dotyczą wyraża na to zgodę w konkretnych celach lub gdy jest to niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, postawienia diagnozy medycznej, zapewnienia opieki zdrowotnej oraz podjęcia leczenia.

Dlaczego dane osobowe muszą być chronione w placówkach medycznych?

Wszystkie dane osobowe, w tym także dane wrażliwe i dane dotyczące zdrowia pozwalają w sposób jednoznaczny na zidentyfikowanie osoby i, zgodnie z RODO, powinny być chronione w celach ochrony dobra jednostki. Pacjent udostępniający swoje dane osobowe w placówce medycznej powinien mieć gwarancję wykorzystania ich wyłącznie w celach związanych ze świadczeniem usług medycznych w danej placówce, w tym w szczególności do zagwarantowania, że nie będą one dostępne dla osób postronnych – innych pacjentów i osób trzecich, które mogłyby potencjalnie wykorzystać te dane bez uprawnienia i posłużyć się nimi, np. podszywając się pod tą osobę. Dane osobowe pacjentów nie powinny trafiać także do firm ubezpieczeniowych, banków czy innych podmiotów i instytucji, jeśli osoba której dotyczą dane nie wyraziła na takie przekazanie zgody.

Jak placówka medyczna może zapewnić ochronę danych osobowych?

Aby osiągnąć zgodność z wymogami RODO, każdy podmiot zbierający, przechowujący i przetwarzający dane osobowe, w tym także dane dotyczące zdrowia powinien wdrożyć rozwiązania systemowe gwarantujące zabezpieczenie danych w formie elektronicznej, papierowej oraz ustnej. Właściciel placówki i osoby odpowiedzialne za zarządzanie nią powinni w szczególności zadbać o prawidłowe przeszkolenie pracowników, ujednolicenie schematów przekazywania i zbierania danych osobowych, zastosowanie sprawdzonych programów do obsługi danych oraz programów antywirusowych zabezpieczających komputery oraz powołać administratora danych osobowych i bezpieczeństwa informacji (a w większych placówkach także Inspektora Ochrony Danych) weryfikujących zgodność prowadzonych działań z wymogami RODO.

Wśród konkretnych rozwiązań, jakie wymusza ochrona danych osobowych w placówkach medycznych dobrą praktyką jest m.in. dostosowanie placówki tak, by miejsca w których następuje wymiana danych osobowych pomiędzy pacjentem a pracownikiem placówki lub jakimkolwiek urządzeniem medycznym było dostępne jednocześnie dla wyłącznie jednej osoby. Placówka ma obowiązek zapewnienia pacjentowi anonimowości, nie narażając go jednocześnie na zbędne ryzyko. Za przykład możemy wziąć tutaj recepcję – zobowiązanie się do tego, by przy rejestracji była obecna tylko jedna osoba lub by istniały odrębne okienka rejestracji jest wystarczającym zabezpieczeniem.