Proces przygotowywania się do nowych regulacji RODO powinien zacząć się już teraz i obejmować klika etapów, które przewidują analizę zachodzących w danej jednostce procesów, w tym też określenie kategorii przetwarzanych danych, identyfikację obszarów ryzyka, w których może dochodzić do „konfliktu procedur”, wprowadzenie nowych procedur lub dostosowanie starych do obowiązujących przepisów, zapewnienie odpowiednich zabezpieczeń systemów informatycznych, w których dane będą przetwarzane, i wreszcie monitoring procedur i bieżące dokonywanie ich modyfikacji w celu optymalizacji.
Przepisy unijnego rozporządzenia o ochronie danych osobowych – RODO, wejdą w życie 25 maja 2018 roku i wówczas przestaną obowiązywać przepisy ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. Stara ustawa zostanie zastąpiona nową, która jednak będzie miała jedynie uzupełniający charakter w stosunku do rozporządzenia unijnego.
Rozporządzenie zmieni zasady przetwarzania, wykorzystywania oraz przechowywania danych osobowych osób fizycznych, zwiększając ochronę tych danych oraz nakładając nowe obowiązki na administratorów danych.
RODO zachęca do tworzenia kodeksów
Obecnie trwają prace nad projektem Kodeksu postępowania dla sektora ochrony zdrowia, który będzie doprecyzowywał regulacje RODO w stosunku do podmiotów działających w tym sektorze. RODO zachęca odbiorców do opracowywania kodeksów branżowych, w treści których odbiorcy określonych kategorii będą mogli znaleźć wspólnie opracowane procedury, gwarantujące spełnienie wymagań RODO. Jego zadaniem będzie również ułatwienie administratorom danych osobowych wdrażania nowych przepisów, a w konsekwencji również ich stosowania.
Kodeks będzie składał się z części ogólnej - określającej wspólne zasady postępowania (z podziałem na prowadzenie dokumentacji w formie klasycznej oraz elektronicznej) oraz części szczególnej - określającej elementy charakterystyczne dla poszczególnych kategorii świadczeniobiorców, podmiotów przetwarzających i form udzielania świadczeń oraz czynności obejmujących przetwarzanie danych. Projekt Kodeksu branżowego ma zostać opublikowany i zatwierdzony przez GIODO najpóźniej do czasu wejścia w życie przepisów RODO.
Niemniej jednak, rzetelne przygotowanie się szpitali i przychodni do nadchodzących zmian może wymagać podjęcia określonych działań już w tym momencie. Fakt, że powstają kodeksy branżowe jest zdecydowanym plusem, chociażby ze względu na charakter danych przetwarzanych zarówno przez szpitale, jak i przychodnie. Są to dane szczególnie chronione i w związku z tym ryzyko ich przetwarzania staje się większe, co wpływa też na konieczność bardziej kompleksowego przygotowania się do nadchodzących zmian.
Trzeba zacząć od weryfikacji procedur
Zasadniczo proces przygotowania się szpitali oraz przychodni do nadchodzących zmian powinien rozpocząć się od weryfikacji obecnie obowiązujących procedur, następnie polegać na edukacji pracowników by w końcu wdrożyć nowe rozwiązania, które pozwolą na dostosowanie się do wszystkich obowiązków nakładanych na tego typu placówki przez nowe regulacje.
Należy pamiętać, RODO, odmiennie od aktualnie obowiązujących przepisów, nakłada na niektóre podmioty przetwarzające dane osobowe obowiązek powołania inspektora danych osobowych. Co istotne obowiązek ten dotyczy nie tylko administratora, ale każdego podmiotu przetwarzającego dane osobowe na zlecenie administratora - jako jego podwykonawcy, kontraktora, współpracownika w oparciu o tzw. cywilnoprawne formy zatrudnienia etc.
Obowiązek powołania inspektora danych osobowych dotyczy między innymi podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych tj. tzw. danych sensytywnych. Tak też do zobowiązanych powołaniem IODO podmiotów należy zaliczyć wszystkie podmioty publiczne – szpitale i przychodnie, w tym również te, które zostały przekształcone w spółki z udziałem samorządów terytorialnych.
Przychodnia odpowiada za podwykonawców
Następną kwestią wartą omówienia w związku ze zbliżającą się zmianą przepisów - są umowy o powierzenie danych. Przede wszystkim należy pamiętać, że podpisując umowę z jakąkolwiek zewnętrzną firmą, która będzie posiadała dostęp do danych osobowych zebranych przez przychodnię, w takiej umowie należy uwzględnić postanowienia dotyczące ochrony danych osobowych. Warto też przypomnieć, że za naruszenie przepisów o ochronie danych osobowych przez podwykonawcę będzie odpowiadała przychodnia jako administrator danych.
Regulacje RODO pozwolą na zlecanie zewnętrznym firmom, usług elektronicznego przetwarzania (powierzania) przez upoważniony podmiot prowadzący rejestr medyczny. Obecnie na gruncie krajowej ustawy o systemie informacji w ochronie zdrowia jest to zabronione.
Należy zauważyć, że przesłankami legalizacyjnymi przetwarzanie danych są określone warunki, które muszą zostać spełnione. Podstawową przesłanką jest oczywiście zgoda osoby, której dane dotyczą. Innymi słowy będzie się to odbywać na poziomie umowy z podmiotem prowadzącym rejestr medyczny, gdyż to administrator danych będzie wyrażał zgodę na powierzenie danych albo w odpowiedni sposób aneksował umowę.
Weryfikacja danych pozyskanych przed RODO
Należy zwrócić uwagę, że RODO będzie dotyczyć również danych pozyskanych przez administratora, przed wejściem w życie tych regulacji. A wobec tego zasadna jest uprzednia weryfikacja legalności pozyskania danych. Każdorazowo należy więc sprawdzić czy dane legalnie pozyskane na gruncie aktualnie obowiązującej ustawy o ochronie danych osobowych, mogą być dalej legalnie przetwarzane na gruncie RODO.
Istotną okolicznością ułatwiającą przetwarzanie danych na gruncie RODO będzie brak konieczności dokonywania rejestracji zbioru danych osobowych u GIODO. Niemniej zamiast zgłaszania takiego zbioru, szpitale oraz przychodnie będą zobowiązane do prowadzenia rejestrów czynności przetwarzania danych osobowych. Oznacza to, że wszystkie operacje przetwarzania, w tym przykładowo wysyłanie korespondencji przy wykorzystaniu danych odbiorcy, będzie musiało być rejestrowane, w taki sposób by dana placówka mogła wykazać kiedy o kto wykorzystywał dane odbiorcy korespondencji.
Następną istotną kwestią, która jest stosunkowo rzadko poruszana przy omawianiu zmian, które niesie za sobą RODO jest kwestia prawa do przenoszalności. Chodzi o sytuacje, gdy dochodzi na przykład do kontynuacji leczenia pacjenta w innej placówce i dane są przenoszone do innego administratora. Należy jednak wyraźnie podkreślić, że omawiane rozwiązanie będzie odnosić się tylko i wyłącznie do danych przetwarzanych w formie elektronicznej.
Nowe regulacje zakładają, że jeżeli dana osoba, będąca podmiotem danych osobowych zażąda, by te dane zostały przeniesione, to ma ona prawo je otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, które uprzednio dostarczył administratorowi, oraz przesłać te dane innemu administratorowi. Wiąże się to z koniecznością wdrożenia nowych systemów oraz większą ilością pracy niż dotychczas, kiedy to pacjent otrzymywał historię choroby i mógł ją dowolnie przekazać do innej placówki.
Katarzyna Hałaburda, prawnik z Kancelarii Kondrat i Partnerzy