Inspektor Ochrony Danych

RODO w placówkach medycznych, jak to działa?  

 

Fundacja
Fundacja
Dołączył: 1 rok temu
Posty: 13
22 października 2018 22:34  

Przetwarzanie danych osobowych pacjentów w celach zdrowotnych przez podmioty wykonujące działalność leczniczą odbywa się na podstawie właściwych przepisów RODO pozostających w związku z przepisami krajowego prawa medycznego. W związku z powyższym zrodziło się wiele pytań oraz wątpliwości co do właściwej interpretacji przepisów i ich prawidłowego zastosowania, spróbujemy nieco przybliżyć ten temat.

                Placówki medyczne przede wszystkim przetwarzają dane dotyczące zdrowia na podstawie art.9 ust.2 lit. h) RODO, który wskazuje cele zdrowotne przetwarzania, na podstawie przepisów polskich ustaw z obszaru prawa medycznego oraz na podstawie zgody, zgodnie a art.9 ust. lit. a) RODO. Z reguły przetwarzanie danych w celach zdrowotnych nie wymaga zgody w zakresie profilaktyki zdrowotnej (np. szczepienia, zaproszenia na badania przesiewowe, badania bilansowe, wizyty patronażowe), w zakresie medycyny pracy (np. ocena zdolności do pracy, badania wstępne, badania okresowe), w celu diagnozy medycznej oraz leczenia, zarządzania usługami i systemami zabezpieczenia społecznego (wystawianie zaświadczeń, ustalanie świadczeń z tytułu macierzyństwa i choroby) oraz w celu zapewnienia opieki zdrowotnej, pozyskiwania informacji, archiwizacji oświadczeń woli, oceny stanu zdrowia. Również bez zgody pacjenta placówki medyczne mogą przetwarzać dane osobowe pacjentów w celach wskazanych w art. 6 ust. 1 lit. b) do f) lub art. 9 ust. 2 lit. c), f), g), i), j) czyli wszelkie działania w celu zapewnienia nam świadczeń medycznych na jak najwyższym poziomie z uwzględnieniem interesu publicznego oraz w celu ustalenia, dochodzenia lub obrony roszczeń. Dane wykraczające poza zakres podstawowych danych takie jak adres email czy numer telefonu mogą być przetwarzane bez zgody pacjenta zgodnie z przepisami polskiego prawa tj. art. 25 ustawy o prawach pacjenta i Rzecznika Praw Pacjenta. Wyraźnej zgody pacjenta wymaga przetwarzanie danych  w przypadku braku innych podstaw prawnych, w szczególności w związku z realizacją badań klinicznych, badań naukowych, w celach marketingowych oraz w związku ze zautomatyzowanym podejmowaniem decyzji, przekazywaniem danych osobowych do państwa trzeciego. Do obowiązków podmiotów wykonujących działalność medyczną należy wykazanie, że zgoda pacjenta nie została wyrażona na skutek błędu, przymusu czy groźby. Pacjent powinien zostać poinformowany o konsekwencjach nie wyrażenia zgody na cele dodatkowe, co nie ma wpływu na świadczenie usług medycznych oraz na ich jakość.

                Podmioty wykonujące działalność medyczną są administratorami danych pacjentów przetwarzanych w celach zdrowotnych z wyłączeniem placówek, które działają na rzecz innego podmiotu medycznego i nie są prawnie zobowiązane do prowadzenia, przechowywania i udostępniania dokumentacji medycznej. W szczególności administratorami nie są osoby wykonujące zawód medyczny, prowadzące jednoosobową działalność gospodarczą, pozostające w prawnym stosunku z innymi podmiotem medycznym świadczącym usługi wyłącznie w zakładzie leczniczym na podstawie umowy z tym zakładem. Z placówkami medycznymi ze względu na fakt, że są administratorami danych osobowych pacjentów nie ma konieczności podpisywania umów powierzenia przetwarzania danych udostępnianych przez: pracodawców, a dotyczące pracowników, danych udostępnianych przez podmioty prowadzące szkoły w zakresie profilaktyki zdrowotnej uczniów, danych udostępnianych przez inne podmioty medyczne przekazujące dane pacjentów w celu zachowania ciągłości leczenia, danych udostępnianych zakładom ubezpieczeń czy organizatorom udzielania świadczeń medycznych. Umowy powierzenia, o których mowa w art. 28 RODO należy zawrzeć z placówkami medycznymi, w przypadku udostępniania przez nie personelu na potrzeby udzielania świadczeń medycznych w ramach innej placówki medycznej, w miejscu pobytu pacjenta.

                Udostępnianie danych osobowych pacjentów odbywa się zazwyczaj na zasadach i w sposób określony w przepisach art. 26 i 27 ustawy o prawach pacjenta i Rzecznika Praw Pacjenta oraz w przepisach rozporządzeń wykonawczych wydanych na podstawie tej ustawy. Wyjątek stanowi prawo dostępu do danych określone w art. 15 RODO. Podmioty medyczne mogą udostępniać dane pacjentów w formie elektronicznej w celu ich zabezpieczenia, wykonania kopii i przeniesienia ich na odrębny serwer pod warunkiem zapewnienia środków bezpieczeństwa, w tym zawarcia umowy powierzenia z podmiotami pośredniczącymi w wymianie danych, jeżeli wymaga tego charakter świadczonych usług. Udostępnianie danych pacjentów odbywa się również na podstawie upoważnienia osoby trzeciej przez pacjenta, muszą jednak zostać spełnione pewne warunki. Konieczne jest potwierdzenie tożsamości pacjenta oraz osoby, której udzielane jest upoważnienie i osoby udzielającej upoważnienia.

                Placówki wykonujące działalność leczniczą są zobowiązane do weryfikacji tożsamości pacjenta przed utrwaleniem jego danych, chyba że mogłoby to utrudnić lub uniemożliwić uzyskanie świadczeń. Weryfikacji danych pacjenta małoletniego może dokonać jego przedstawiciel ustawowy lub opiekun faktyczny na podstawie oświadczenia oraz okazania dowodu tożsamości przedstawiciela ustawowego lub opiekuna faktycznego.

                Względem pacjentów, w przypadku zbierania danych bezpośrednio od nich, musi zostać spełniony obowiązek informacyjny zgodnie z art. 13 RODO. Pacjent musi być poinformowany w prosty i przejrzysty sposób o celu, zakresie, sposobach przetwarzania danych, o odbiorcach danych oraz o przysługujących mu prawach względem danych, które jego dotyczą, klauzula informacyjna musi również zawierać pełne informacje na temat administratora danych zgodne z wpisem do KRS lub CEIDG. Klauzulę informacyjną można zamieścić na stronie internetowej placówki, na tablicy ogłoszeń, w ciągach komunikacyjnych, przy recepcji czy w regulaminie podmiotu medycznego.

                Podmioty wykonujące działalność leczniczą muszą być przygotowane do realizacji praw pacjentów zawartych w art. 15, 16, 17, 20 i 21 RODO, a są to:

- prawo do dostępu do danych,

- prawo do sprostowania i uzupełniania danych,

- prawo do „bycia zapomnianym”,

- prawo do przenoszenia danych,

- prawo do sprzeciwu wobec przetwarzania danych.

Aby wszystkie zawarte w powyższym tekście prawa pacjenta oraz prawa i obowiązki podmiotów wykonujących działalność leczniczą były w pełni realizowane, konieczny jest nadzór nad prawidłowością funkcjonowania podmiotów medycznych i monitorowanie ich działania przez odpowiednie jednostki.

                Podsumowując, głównym celem podmiotów medycznych jest szeroko pojęta realizacja zadań z zakresu świadczeń leczniczych i aby była ona w zgodzie z poszanowaniem praw i godności pacjentów należy właściwie je interpretować, a co za tym idzie, nie popadać w skrajności. Tak więc pacjentów nie trzeba oznaczać cyferkami, nie ma potrzeby likwidowania kart przyłóżkowych ani tym bardziej rezygnować z opisywania podawanych im leków imieniem i nazwiskiem pacjenta. Należy tylko wprowadzić dodatkowe rozwiązania ułatwiające realizację świadczeń leczniczych w zgodzie z przepisami. Pacjenci mogą być np. wywoływani z imienia wraz z podaniem godziny wizyty lub numeru gabinetu, wezwani po samej godzinie wizyty, karty przyłóżkowe pacjentów mogą być zasłonięte nieprzejrzysta folią lub zwyczajnie odwrócone, a w nagłych przypadkach dostęp do nich nie będzie utrudniony, leki, kroplówki czy materiały do badań mogą być oznaczone danymi pacjenta co zapobiegnie ewentualnym pomyłkom tym bardziej, że nadrzędnym celem placówek medycznych jest dbanie o nasze zdrowie. W celu rejestracji pacjentów i zachowania poufności danych, wystarczy zastosować proste środki w postaci odgrodzenia przestrzeni przy rejestracji barierką, płyta plexi czy wyznaczenie strefy przez naklejenie na podłodze widocznej taśmy.

                Natomiast co do wątpliwości dotyczących umieszczania danych lekarza na drzwiach gabinetów, nie narusza to przepisów prawa, a zgodnie z art. 31 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych pacjent ma prawo wyboru lekarza oraz zgodnie z art. 36 ustawy o działalności leczniczej, osoby zatrudnione w  szpitalu bądź pozostające w stosunku cywilnoprawnym z podmiotem leczniczym są obowiązane nosić w widocznym miejscu identyfikator zawierający imię, nazwisko oraz funkcję tej osoby.


OdpowiedzCytat
Tomek
 Tomek
Gość
Dołączył: 3 miesiące temu
Posty: 2
24 października 2018 12:43  

Ostatnio w szpitalu, będąc z dzieckiem (niepełnoletnim), które zostało przyjęte na oddział w celu przeprowadzenia badań, kazano mi podpisać klauzulę i zaznaczono, że jest to obowiązkowe i bez tego nie rozpoczną diagnostyki. Bardzo mnie to zdziwiło, ale nie miałem siły kłócić się z pielęgniarką i podpisałem wszystko. Z powyższego tekstu wynika, że nie jest to wymagane i wystarczy, że zapoznają rodzica z klauzulą informacyjną? 

 

 

This post was modified 3 miesiące temu 2 times by Tomek

OdpowiedzCytat
Karolina
 Karolina
Gość
Dołączył: 3 miesiące temu
Posty: 1
24 października 2018 12:52  

Ja również się spotkałam z taka sytuacją u lekarza. Jak to jest z tymi klauzulami informacyjnymi?


OdpowiedzCytat
Ilona
Użytkownik Moderator
Dołączył: 3 miesiące temu
Posty: 8
24 października 2018 13:11  

Placówka medyczna ma obowiązek poinformować nas o celach oraz zakresie przetwarzania danych pozyskanych podczas rejestracji, jednak nie może żądać podpisywania klauzul, a tym bardziej uzależniać od jej podpisania świadczenia usług medycznych.


OdpowiedzCytat
Tomek
 Tomek
Gość
Dołączył: 3 miesiące temu
Posty: 2
24 października 2018 13:15  

Tak też mi się wydawało.  Od tej pory nic nie będę podpisywał  😉  


OdpowiedzCytat
AnkA
 AnkA
Gość
Dołączył: 2 tygodnie temu
Posty: 3
10 stycznia 2019 08:00  

Forumowicze! Co według was należy zrobić, gdy zagubiona zostanie dokumentacja medyczna?

 


OdpowiedzCytat
ToMasz
 ToMasz
Gość
Dołączył: 2 tygodnie temu
Posty: 1
10 stycznia 2019 14:59  

Według mnie to trzeba to jak najszybciej zgłosić do Urzędu ochrony danych. Nie wiesz kto ją zabrał, co z nią zrobił i komu np. przekazał. Nie ma co ryzykować. 


OdpowiedzCytat
AnkA
 AnkA
Gość
Dołączył: 2 tygodnie temu
Posty: 3
10 stycznia 2019 15:03  
Wysłany przez: ToMasz

Według mnie to trzeba to jak najszybciej zgłosić do Urzędu ochrony danych. Nie wiesz kto ją zabrał, co z nią zrobił i komu np. przekazał. Nie ma co ryzykować. 

Masz na myśli zgłoszenie w ciągu 72 godzin? Ciągle mamy nadzieję, że znajdzie się. Chociaż z drugiej strony nie mamy pewności, że ktoś już temu nie zrobił zdjęcie albo gdzies wyrzucił.


OdpowiedzCytat
Gwiazdka
 Gwiazdka
Gość
Dołączył: 2 tygodnie temu
Posty: 1
10 stycznia 2019 15:09  

Nie wiesz gdzie te dokumenty się podziały, w kogo ręce wpadły. Nie ryzykuj. Zgłoś to jak najszybciej, a dodatkowo poinformowałabym pacjenta. 


OdpowiedzCytat

Zostaw odpowiedź


  
 
Udostępnij:

Potrzebujesz wsparcia w zakresie RODO?

W ramach outsourcingu funkcji Inspektora Ochrony Danych (IOD) oferujemy:

  • przeprowadzenie audytu zgodności w podmiocie i sporządzenie szacowania ryzyka (Privacy Impact Assessment),

  • przygotowanie oraz wdrożenie dokumentacji ochrony danych osobowych,

  • prowadzenie rejestru czynności przetwarzania danych osobowych,

  • przygotowanie lub weryfikacja i aktualizacja umów, regulaminów, polityki prywatności, zapytań, klauzul informacyjnych oraz innych dokumentów związanych z ochroną danych osobowych,

  • nadzór i monitoring procesów przetwarzania danych osobowych oraz przestrzegania przepisów RODO,

  • przeprowadzenie okresowego audytu zgodności oraz przygotowanie raportu,

  • reprezentowanie przed organem nadzoru oraz klientami i kontrahentami w zakresie ochrony danych osobowych,

  • wsparcie przy rozpatrywaniu zapytań i skarg osób których dane dotyczą,

  • wsparcie przy wprowadzaniu i stosowaniu rozwiązań technologicznych związanych z dostępem, przetwarzaniem, usuwaniem, modyfikowaniem i zabezpieczaniem danych osobowych,

  • przeprowadzanie okresowych szkoleń z zasad ochrony danych osobowych,

  • wideokonferencje i telekonferencje,

Zapisz się na nasz newsletter

FreshMail.pl
 

Nie opuszczaj nas jeszcze! Zapisz się na nasz newsletter

Będziesz otrzymywac powiadomienia o terminach i nowych szkoleniach.

Nie wysyłamy SPAMU!

FreshMail.pl
 

Nie opuszczaj nas jeszcze! Zapisz się na nasz newsletter

Chcesz wiedzieć więcej na temat RODO? Zapisz się!

Nie wysyłamy SPAMU!

FreshMail.pl
 
  
Praca

Proszę Zaloguj Się lub Rejestracja