RODO a branża medyczna.

Od 2018 r. to najgłośniejszy chyba temat poruszany wśród przedsiębiorców. Mowa o ogólnym rozporządzeniu o ochronie danych osobowych, zawierającym przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych. Rozporządzenie dotyczy również placówek leczniczych: dużych szpitali jak i małych, jednoosobowych gabinetów lekarskich czy specjalistycznych, w tym fizjoterapeutycznych.

Dlaczego tak ważne jest, aby gabinet fizjoterapeutyczny spełniał wszelkie wymogi zgodne z wytycznymi RODO?

Ponieważ, czasami całkiem nieświadomie, możesz narazić się na bardzo wysokie kary, które mogą sięgnąć nawet 20 mln euro. W Polsce, w marcu 2019 roku zapadł już pierwszy wyrok dotyczący naruszenia przepisów, na karę o wysokości 1 mln złotych. Dlatego w dzisiejszym wpisie podpowiemy, o czym warto pamiętać chcąc spełnić wymogi, jakie nakłada na placówkę czy gabinet RODO.

1. Zastanów się, w jaki sposób przetrzymujesz dane pacjentów, oraz kto ma do nich dostęp? Rozporządzenie nie wskazuje, jakie środki techniczne oraz organizacyjne gwarantują bezpieczeństwo przetwarzania danych osobowych. Dlatego warto w takim wypadku przenieść karty pacjentów oraz ich dane do bezpiecznego i zgodnego z wymaganiami RODO programu lub aplikacji. Nie tylko zabezpieczy to dane osobowe pacjentów przed wglądem w nie osób trzecich, ale usprawni pracę zarówno fizjoterapeutów, jak i recepcji.

2. Ważne jest, aby zastosować bezpieczny protokół przesyłu danych, a dane zapisywać w ogólnie obowiązujących formatach. Pamiętaj o tym, że pacjent w dowolnym momencie może poprosić o przesłanie danych o stanie zdrowia do innego podmiotu (np. kancelarii prawnej, ubezpieczyciela etc.).

3. Spisz odpowiednią umowę pomiędzy gabinetem a podmiotem o przekazaniu danych zdrowotnych pacjenta.

4. Wyznacz osobę, która będzie pełniła funkcję inspektora ochrony danych osobowych. Przedsiębiorcy mogą powołać inspektora z personelu organizacji lub zlecić wykonywanie tej funkcji na podstawie umowy o świadczenie usług osobie zewnętrznej. Inspektor taki (niezależnie czy powołany z wewnętrznego personelu, czy zatrudniony z zewnątrz) podlegać będzie bezpośrednio najwyższemu kierownictwu administratora. Wyjątkiem jest sytuacja, kiedy przetwarzanie danych nie jest wykonywane na szeroką skalę (np. przez jednego fizjoterapeutę). Wówczas insektor nie jest potrzebny.

5. W swojej placówce możesz zainstalować monitoring. Co ciekawe, do niedawna znaczna większość placówek medycznych nie miała przepisów sektorowych, dotyczących monitoringu z użyciem kamer. Obecnie, w placówce można zastosować monitoring w miejscach ogólnodostępnych dla pacjentów (korytarz, poczekalnia) – w celu zapewnienia im ochrony i bezpieczeństwa. Nagrania z monitoringu można przechowywać maksymalnie 3 miesiące, a informacja o monitoringu musi znaleźć się w widocznym dla pacjentów miejscu (np. przy recepcji) oraz na stornie internetowej.

6. Pracownicy i współpracownicy przestrzegają zasad ochorony danych osobowych. Pamiętaj też, by uczulić pracowników i współpracowników na kwestie ochrony danych osobowych. Może wydawać się to sprawą oczywistą, jednak nieuważny mail czy rozmowa może być traktowany jako przekazanie danych pacjenta do innego podmiotu. Zwróć też uwagę na głośne konsultacje związane ze zdrowiem pacjenta lub jego danymi w miejscach otwartych np. na recepcji.

Rozporządzenie RODO jest jednym z jeszcze wciąż nielicznych tzw. inteligentnych aktów prawnych, a więc takich, które nie tłumaczą punkt po punkcie schematu działania. O tym, w jaki sposób dane są przetrzymywane i chronione decyduje gabinet lub placówka, które je przetrzymują. Ważne jest natomiast, by w momencie kontroli udowodnić, że dany podmiot dochował wszelkiej staranności, by nie doszło do zdarzeń niepożądanych.

Jeśli chciałbyś zwiększyć swoją wiedzę w zakresie RODO, śledź stronę: https://www.giodo.gov.pl