Oblicza RODO w ochronie zdrowia, czyli pacjent pod pseudonimem

Autor: WOK/Rynek Zdrowia • • 09 listopada 2018 18:36

W jednym ze szpitali ktoś wpadł na pomysł, że pacjenci poradni nie będą wywoływani do gabinetu z imienia i nazwiska i nadał im pseudonimy - np. Batman, Włóczykij... Można powiedzieć, że anonimowość tych osób została zachowana, ale w ten sposób pacjenci zostali ośmieszeni. To jeden z przykładów absurdalnej interpretacji rozporządzenia o ochronie danych osobowych (RODO).

Oblicza RODO w ochronie zdrowia, czyli pacjent pod pseudonimem
Podczas sesji "RODO w ochronie zdrowia"; FOT. PTWP

Wątpliwościom, nieporozumieniom, ale także mitom i absurdom związanym ze stosowaniem rozporządzenia o ochronie danych osobowych (RODO) w placówkach medycznych poświęcona była jedna z sesji podczas XIV Forum Rynku Zdrowia.

Niektórzy lekarze mają wątpliwości, czy mogą zwracać się do pacjentów po imieniu i nazwisku. Część placówek rozważa, czy na drzwiach gabinetów lekarzy może widnieć informacja z ich personaliami i specjalizacją. Z łóżek pacjentów znikają karty gorączkowe, a oznaczenia pacjentów są wykreślane z kroplówek.

- Sygnałów o zapotrzebowaniu na rzetelne informacje dotyczące RODO (rozporządzenie obowiązuje od 25 maja 2018 r.) jest olbrzymie - zgodnie uznali prelegenci podczas sesji „RODO w ochronie zdrowia - wybrane pytania, wątpliwości, nieporozumienia” w ramach XIV Forum Rynku Zdrowia.

Mity i nieporozumienia
- Ochrona zdrowia jest sektorem chyba najbardziej „dotkniętym” przez mity i nieporozumienia związane z RODO. Nierzadko prowadzi to do absurdów, które nie tylko utrudniają pracę personelowi medycznemu, ale i stawiają pacjenta w niekomfortowej sytuacji. Zdarza się, że w swoistej pogoni za zgodnością z tym rozporządzeniem zatracamy jego zasadniczy cel - mówiła w trakcie sesji mec. Katarzyna Korulczyk, inspektor ochrony danych w Grupie Lux Med, biorąca udział w pracach Grupy Roboczej ds. Ochrony Danych Osobowych w Zespole ds. Systemu Ochrony Zdrowia w Ministerstwie Cyfryzacji.

Zaznaczyła, że oczywiście ochrona danych osobowych, szczególnie w sektorze medycznym, jest kwestią bardzo ważną: - Przede wszystkim musimy jednak mieć na uwadze zdrowie i życie pacjenta, dlatego w sytuacjach, w których są one zagrożone, RODO musi zejść na drugi plan - podkreślała ekspertka.

Informowała, że Zespół ds. Systemu Ochrony Zdrowia w Ministerstwie Cyfryzacji wydał niedawno poradnik, którego głównym zadaniem jest ukrócenie absurdów, do jakich zaczęło dochodzić w związku z wejściem w życie przepisów RODO, a tym samym umożliwienie podmiotom leczniczym funkcjonowania zgodnie nie tylko z przepisami prawa, ale też ze zdrowym rozsądkiem.

Poradnik jest dostępny na stronie Ministerstwa Cyfryzacji oraz Rzecznika Praw Pacjenta. Są w nim wyjaśnione na przykład kwestie dotyczące opasek identyfikacyjnych dla hospitalizowanych osób czy już wręcz anegdotyczne sytuacje, w których oznaczenia pacjentów znikały z kroplówek.

- W jednym ze szpitali ktoś wpadł na pomysł, że pacjenci nie będą wywoływani do gabinetu z imienia i nazwiska i nadał im pseudonimy - np. Batman, Włóczykij... Można powiedzieć, że anonimowość tych osób została zachowana, ale w ten sposób pacjenci zostali ośmieszeni - mówiła mec. Korulczyk.

Edukujmy personel i pacjentów
Zwróciła także uwagę na zupełny brak wiedzy o RODO wśród pacjentów. - W szkoleniach i konferencjach dotyczących tych przepisów uczestniczą w zasadzie tylko profesjonaliści związani z ochroną zdrowia wdrażający RODO. Natomiast pacjenci zupełnie nie wiedzą, jak oni sami oraz podmioty lecznicze mogą korzystać z licznych praw, jakie przyznaje im to rozporządzenie - stwierdziła mec. Korulczyk.

- RODO przewiduje np. możliwość złożenia do administratora danych prośby o ich usunięcie z systemu. Pamiętajmy jednak, że w przypadku dokumentacji medycznej istnieje obowiązek przechowywania danych osobowych pacjenta przez co najmniej 20 lat. Jeśli więc pacjent zażąda usunięcia takich informacji z zasobów placówki medycznej, musimy nie tylko odmówić, ale też dokładnie wyjaśnić pacjentowi, dlaczego nie możemy usunąć jego danych z dokumentacji medycznej. Jeżeli jednak wśród tych danych są dodatkowe informacje, takie jak np. adres e-mail, wówczas - w tym wąskim zakresie - możemy usunąć tego rodzaju dane - wskazała ekspertka.

- Przed nami nadal jest wiele pracy w związku z RODO. Dlatego edukujmy zarówno personel placówek ochrony zdrowia, jak i pacjentów - apelowała mec. Korulczyk między innymi do menedżerów zrządzających podmiotami leczniczymi.

W kontekście technologii informacyjnych
Natomiast o RODO w kontekście rozwiązań telemedycznych i innych technologii informacyjnych w ochronie zdrowia mówił Mirosław Gumularz, radca prawny, członek Grupy Roboczej ds. Ochrony Danych Osobowych w Zespole ds. Systemu Ochrony Zdrowia w Ministerstwie Cyfryzacji.

- Korzystając z jakichkolwiek narzędzi gromadzących dane pacjenta, np. aparatury diagnostycznej czy rozwiązań stosowanych w ramach telemedycyny, trzeba zwrócić uwagę na kilka zasadniczych, ale zarazem bardzo istotnych, kwestii. Przede wszystkim należy ustalić, kto jest odpowiedzialny za gromadzenie tych danych. Są to dwa zasadnicze podmioty - informował Mirosław Gumularz.

- Pierwszym z nich jest administrator danych osobowych, który przetwarza je dla własnych celów. Takim administratorem może być szpital (a nie np. pracujący w nim lekarze). Bycie administratorem danych wynika wprost z przepisów, czyli z mocy prawa - nie jest więc wynikiem podjęcia decyzji administracyjnej - podkreślał prawnik.

Drugim podmiotem odpowiedzialnym za gromadzenie i bezpieczeństwo danych osobowych jest tzw. procesor, czyli zewnętrzny podmiot, który w imieniu administratora i na jego zlecenie przetwarza takie dane.

Weryfikacja dostawcy
- Takim zewnętrznym podmiotem może być na przykład dostawca usług informatycznych dla placówki medycznej. Podstawowym wymogiem wynikającym z RODO jest zawarcie, np. przez szpital, umowy z zewnętrznym procesorem w zakresie powierzenia mu danych. Wcześniej musimy jednak dokonać weryfikacji tego zewnętrznego podmiotu - procesora - podkreślał ekspert.

I dodał: - Na dysku urządzenia diagnostycznego zapisywane są określone dane dotyczące badanego pacjenta. Jeśli to urządzenie jest dostarczane przez zewnętrzną firmę, ale nie ma ona dostępu do tych danych ani ich nie przetwarza, wówczas podmiot ten nie jest procesorem w rozumieniu przepisów RODO i nie może zostać ukarany - w przypadku np. wycieku danych - w myśl tej regulacji.

- Bardzo ważne jest jednak to, że mimo iż ten zewnętrzny podmiot nie jest procesorem - czyli nie musimy z nim zawierać umowy powierzenia danych w myśl RODO - to szpital, poprzez gromadzenie danych pacjenta w tym urządzeniu, nadal pozostaje ich administratorem. Praktyczna konsekwencja tego stanu rzeczy polega na zagwarantowaniu sobie w umowie z zewnętrzną firmą, że jej urządzenie spełnia wszelkie wymogi, w tym dotyczące bezpieczeństwa przechowywanych informacji - podsumował Mirosław Gumularz.

Gramy w RODO, czyli proces trwa
O uprzedzeniach, mitach, a także szansach i zagrożeniach dotyczących RODO mówił Piotr Welenc, zastępca dyrektora Regulatory Software & Compliance ds. rozwoju rynku GRC w Wolters Kluwer Polska. - Z moich wielu rozmów z zarządzającymi szpitalami wynika, że nadal mamy do czynienia z dużym niezrozumieniem tego aktu prawnego. RODO odbiega bowiem od klasycznego rozumienia aktu prawnego w Polsce, opartego na dyspozycjach i sankcjach. RODO natomiast pokazuje liczne cele oraz rezultaty dochodzenia do tych celów - tłumaczy ekspert.

- W wielu jednostkach ochrony zdrowia ich decydenci stwierdzili, że RODO wystarczy wdrożyć, a potem poradzimy sobie z realizacją tego rozporządzenia - jak z każdymi innymi przepisami - m.in. z pomocą prawników. To jest kolejny mit dotyczący RODO. Otóż to rozporządzenie nie jest jednorazowym projektem do wdrożenia, ale procesem wpiętym w funkcjonowanie m.in. jednostek ochrony zdrowia, starającym się zwrócić uwagę na prawa i wolności osoby fizycznej 
- podkreślał dyrektor Piotr Welenc.

I dodał: - RODO będzie wpływało na wszystkie procesy biznesowe w szpitalu, w których pacjent nie jest wyłącznie przedmiotem dostarczenia usługi, ale przede wszystkim jest podmiotem.

Powstaje nowy ład organizacyjny
- Tak więc każde uprzedmiotowienie pacjenta i odebranie mu podstawowych praw opartych na wartościach dotyczących jednostki ludzkiej będzie naruszeniem RODO. Musimy zatem w procesie stosowania tego rozporządzenia cały czas pamiętać o trzech „W”, czyli wolności, wartości i własności. Ale także o prawie pacjenta do prywatności, intymności, bezpieczeństwa i zachowania dobrego imienia - wyliczał ekspert.

Przypomniał jednocześnie, że w październiku br. powstał projekt kolejnego ważnego rozporządzenia - regulującego ochronę danych nieosobowych w Unii Europejskiej.

- Oba te akty prawne zbiegają się w jedną całość. Dlatego w najbliższej przyszłości nie będziemy już mówić o ochronie danych osobowych w kontekście RODO, ale o ładzie organizacyjnym w przetwarzaniu danych - między innymi osobowych, nieosobowych, finansowych. To są przepisy zgodne z zasadą „zachowaj porządek, a porządek zachowa ciebie” - konkludował Piotr Welenc.

Dowiedz się więcej na temat:
Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum