- Nie ma w Polsce szpitala, który mógłby od jutra implementować RODO - stwierdził profesor Adam Fronczak z Wojewódzkiego Wielospecjalistycznego Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi podczas konferencji na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego poświęconej wdrażaniu RODO na rynku usług medycznych.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), w skrócie nazywane RODO, budzi wiele obaw w sektorze ochrony zdrowia.

Każda placówka medyczna będzie zobowiązana od 25 maja 2018 roku stosować nowe regulacje, jednak nie wszyscy zarządzający placówkami wiedzą, jakim zakresie nowe przepisy ich dotyczą. Zostało niewiele ponad 6 miesięcy na dostosowanie się do nowych regulacji, a należy pamiętać, że nadal nie znamy ostatecznego kształtu nowej ustawy o ochronie danych osobowych.

Maciej Kawecki, przedstawiciel Ministerstwa Cyfryzacji, podkreślał, że wdrożenie RODO nie jest rewolucją i choć może to tak wyglądać z perspektywy placówki medycznej, to należy pamiętać, że polskie regulacje w zakresie ochrony danych osobowych stoją na wysokim poziomie, a nadrzędnym celem RODO jest nadanie ram prawnych dla dynamicznie zmieniającej się sytuacji w zakresie przetwarzania danych osobowych.

 [-DOKUMENT_HTML-]

W przypadku sektora medycznego ochrona ta jest szczególnie ważna ze względu na rodzaj przetwarzanych danych o charakterze sensytywnym. Oznacza to, że wdrożenie RODO pozwoli na jeszcze lepszą ochronę danych medycznych pacjentów.

Arwid Mednis, doktor nauk prawnych z Uniwersytetu Warszawskiego zaznaczył, że RODO poza powieleniem wielu rozwiązań, które już funkcjonują w ramach polskiego systemu prawnego, wprowadza także zupełnie nowe regulacje (na przykład w zakresie bezpieczeństwa danych osobowych), niewdrożenie w prawidłowy sposób unijnych regulacji będzie skutkowało surowszą odpowiedzialnością placówek medycznych.

Mednis podkreślił, że już powstają wyspecjalizowane kancelarie nakierowane na pomoc prawną w zakresie naruszeń w obrębie ochrony danych osobowych. Warto więc odpowiednio się zabezpieczyć, zadbać o to, aby każda czynność związana z przetwarzaniem danych była we właściwy sposób dokumentowana przez administratora danych osobowych.

Ponadto Mednis zaznaczył, że placówka medyczna powinna doskonale wiedzieć, po co zbiera określone dane pacjentów, gdyż zakres zbieranych danych musi być adekwatny do celu przetwarzania danych (nie można pozyskiwać od pacjenta informacji, które nie wpisują się w uzasadnione przepisami prawa, realizacją umowy czy zgodą pacjenta cele).

Pacjenci powinni być informowani o przysługujących im uprawnieniach w zakresie ochrony danych osobowych, także w przypadku profilowania pacjentów na potrzeby udzielania świadczeń przez placówki medyczne. Dotychczas zebrane od pacjentów zgody w zakresie przetwarzania danych osobowych nie muszą być zbierane na nowo, pod warunkiem, że spełniają one wymagania nakładane przez RODO. Mednis podkreślił także, że cała instytucja jest odpowiedzialna za ochronę danych osobowych, a nie tylko zatrudniony niej inspektor.

 [-OFERTA_HTML-]

- Dyrektorzy szpitali mają obawy co do nowych regulacji unijnych, jednak wynikają one głównie z braku odpowiedniej wiedzy o RODO oraz z nagonki medialnej, jaka towarzyszy nowym regulacjom, chodzi tu w szczególności o wysokie kary za naruszenie nowych przepisów – zaznaczyła Beata Jagielska (zastępca dyrektora COI). Według Beaty Jagielskiej konieczna jest praca u podstaw (audyty), tylko to pozwoli na płynne wprowadzenie RODO. Jeśli procedury w zakresie przetwarzania i ochrony danych osobowych w danych szpitalu działają, to RODO spowoduje tylko konieczność ich doszlifowania do nowych regulacji.

Kierownictwo placówek medycznych musi podejmować wiele decyzji z poziomu „lotu ptaka”, nie da się posiadać pełnej wiedzy o każdym procesie, dlatego też konieczne jest posiadanie w swoich strukturach odpowiednio wykwalifikowanych i zaufanych osób będących specjalistami w zakresie prawa (prawnicy, inspektorzy) oraz wdrażania nowych regulacji (dział IT) – zaznaczył Wojciech Szrajber, dyrektor Wojewódzkiego Wielospecjalistycznego Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi.

Konieczna jest także właściwa edukacja i dążenie do zmiany pewnych przyzwyczajeń, które naruszają nawet obecnie obowiązujące przepisy prawa w zakresie ochrony danych osobowych (np. udzielanie informacji o pacjencie przez telefon). Szrajber podkreślił także, że wdrożenie RODO to duże wyzwanie logistyczne dla szpitala, konieczne są nakłady finansowe na system do spraw bezpieczeństwa danych, ale także na nowy sprzęt, odpowiednio zabezpieczone pomieszczenia, jednak według niego do maja jego szpital będzie blisko spełnienia wymagań narzuconych przez RODO.

Sytuacja wydaje się być jeszcze bardziej skomplikowana w przypadku prywatnych placówek medycznych niemogących liczyć na wsparcie finansowe z budżetu państwa. Robert Zawadzki, Dyrektor Szpitala Onkologicznego Magodent wyjaśniał, że prywatne placówki medyczne współistnieją często z innymi podmiotami na różnych zasadach (sam Magodent jest częścią grupy LUX Med) i w ramach wdrażania RODO konieczne jest uporządkowanie umów o powierzenie przetwarzania danych pomiędzy tymi podmiotami. Zawadzki zaznaczył, że kluczowe jest ustalenie pewnego studium wykonalności zasad ochrony danych osobowych w sektorze ochrony zdrowia, czyli ustalenie, co tak naprawdę jest istotne w zakresie ochrony danych osobowych pacjentów i jakie środki należy zastosować. Nie może dochodzić do pewnego rodzaju paranoi, kiedy personel medyczny musi zasłaniać się z każdej strony, aby przypadkiem przechodzący za nim pacjent nie dostrzegł wpisywanych do dokumentacji medycznej danych innego pacjenta.
 

Więcej na temat zmian związanych  z wprowadzeniem RODO w placówkach medycznych będzie się można dowiedzieć podczas bezpłatnego webinarium>>>


Odrębnym problemem pozostaje uregulowanie w racjonalny sposób zasad działania i zbierania danych przez narodowe rejestry chorób. Joanna Didkowska z COI w Warszawie prowadząca Krajowy Rejestr Nowotworów zaznaczyła, że bez szczególnych regulacji dla rejestrów, nie będą one mogły zbierać i przetwarzać danych medycznych tak jak robiły to dotychczas.

Rejestry muszą być zwolnione między innymi z obowiązku informowania pacjentów o przetwarzaniu ich danych (inaczej wymusi to skontaktowanie się z ponad 600 tysiącami pacjentów chorych na raka). Rejestry zaspokajają potrzeby państwa w zakresie planowania polityki zdrowotnej, aby rejestr mógł pełnić taką rolę, musi być kompletny, a to będzie możliwe tylko wtedy, kiedy dane w nim zawarte nie będą mogły być dowolnie modyfikowane przez prawo pacjenta do ochrony jego danych osobowych. Rozwiązaniem kompromisowym może być odpowiednia anonimizacja danych, ale powinna ona mieć miejsce tylko na zlecenie CSIOZ lub MZ.

Tomasz Zdzienicki z Wojewódzkiego Wielospecjalistycznego Centrum Onkologii i Traumatologii im. M. Kopernika w Łodzi podkreślił, że poza edukacją personelu i pacjentów w zakresie RODO konieczna jest także edukacja partnerów biznesowych placówek medycznych. W umowach z nimi powinny znajdywać się już zapisy zgodne z RODO, co może być zaskoczeniem dla wielu kontrahentów. Warto już dzisiaj o tym z nimi rozmawiać i zabezpieczyć się przed koniecznością dokonywania zmian w umowach w późniejszym czasie.

Bardzo ważną kwestią pozostaje pewnego rodzaju standaryzacja rozwiązań w zakresie ochrony danych osobowych w sektorze ochrony zdrowia. Odpowiedzią na to zapotrzebowanie ma być Kodeks branżowy dla ochrony zdrowia współtworzony przy udziale Polskiej Federacja Szpitali. Ligia Kornowska, Dyrektor Zarządzająca Federacji przedstawiła harmonogram prac nad Kodeksem i opisała jego kluczowe znaczenie dla tego sektora. Kodeks nie będzie zbiorem dobrych praktyk, będzie to quasi-prawo, które gdy będzie stosowane przez szpitale będzie skutkować niższymi karami w przypadku naruszeń, oczywiście z uwzględnieniem rozmiaru naruszenia. Prace nad Kodeksem już trwają, do grudnia powinna powstać pierwsza wersja Kodeksu, potem przejdzie ona konsultacje wewnętrzne i zewnętrzne, zaś w styczniu 2018 roku powinna trafić do GIODO w celu uzyskania akceptacji. Kodeks będzie kompatybilny z RODO.

Opracowanie: Alicja Plichta

Więcej informacji o zmianach w zakresie ochrony danych osobowych w placówkach medycznych znajdziesz w LEX Ochrona Zdrowia