Przetwarzając dane osobowe, szczególnie te zawarte w dokumentacji medycznej pacjenta – należy pamiętać o zasadach ich ochrony wynikających z polskiego porządku prawnego. Regulacje te wynikają przede wszystkim z ustawy o ochronie danych osobowych oraz Ogólnego Rozporządzenia o Ochronie Danych, w skrócie RODO. Rozporządzenie to zastąpiło dotychczas stosowaną Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady WE oraz wymusiło nowelizację ustawy o ochronie danych osobowych jak i wielu innych aktów, których dostosowanie uznano za konieczne.

RODO stosujemy do wszystkich podmiotów przetwarzających dane osób fizycznych w ramach prowadzonej przez siebie działalności obejmującej swym zakresem terytorium Unii Europejskiej. Wyłączone spod wymogów RODO są działania mające na celu gromadzenie danych osobowych w celach czysto osobistych lub o charakterze domowym. Zatem praktycznie każdy kto czynnie przetwarza dane osób fizycznych prowadząc działalność zarobkową może podlegać pod przepisy RODO z uwagi chociażby na gromadzenie takich danych osobowych jak dane klientów czy dane pracowników. Jest to niezmiernie istotne z punktu widzenia fizjoterapeutów, którzy na co dzień stykają się z danymi swoich pracowników oraz danymi medycznymi pacjentów.

Fizjoterapeuta jak każdy inny przedsiębiorca powinien dostosować się do wymogów jakie przewidują przepisy o ochronie danych osobowych, w tym RODO. Kary za niestosowanie się do zasad wynikających z Rozporządzenia sięgają w zależności od rodzaju naruszeń, w maksymalnym wymiarze aż do 20 mln euro lub w przypadku przedsiębiorcy w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy zastosowaniu kwoty wyższej. W celu prawidłowego dostosowania do wymogów należy zapoznać się i zrozumieć regulacje jakie niesie za sobą  RODO ale i przepisy krajowe takie jak nowa ustawa o ochronie danych osobowych.

Krajowa Izba Fizjoterapeutów przygotowała krótkie wytyczne mające na celu przedstawienie podstawowych wymagań dla zapewnienia właściwego przetwarzania danych osobowych.

  • I - Audyt

    Jako pierwszy krok rekomenduje się dokonanie oceny poziomu świadomości oraz aktualnego stanu zgodności z przepisami o ochronie danych osobowych w ramach prowadzonej działalności obejmującej przetwarzanie danych. W tym miejscu, możemy podjąć się analizy i przygotowań we własnym zakresie lub zlecić takie działania profesjonalnemu podmiotowi świadczącemu usługi doradztwa z zakresu ochrony danych osobowych. W pierwszej fazie zaleca się przeprowadzenie audytu mającego na celu wyłowienie wszystkich procesów, w których pojawiają się dane osobowe. Audyt dzielimy zazwyczaj na część formalno-prawną oraz informatyczną. Prościej mówiąc dokonujemy oceny czy i w jakich obszarach naszej działalności pojawiają się dane osobowe. Temat dotyka między innymi takich stref jak obsługa pacjenta czyli wykonanie usługi, działania marketingowe, rekrutacja i zatrudnienie, administracja czy obszary prawne. Uwzględniamy dane przetwarzane zarówno w formie papierowej i jak elektronicznej. Należy wykazać gdzie, kiedy i w jakim celu przetwarzane są dane osobowe. Podczas analizy fizjoterapeuta powinien wyszczególnić występujące rodzaje i kategorie danych osobowych, wskazać podstawy prawne do ich przetwarzania (art. 6 i art. 9 RODO) oraz podsumować audyt zestawieniem prac niezbędnych do wykonania w zakresie wdrożenia niezbędnych zmian, celem dostosowania prowadzonej działalności do wymogów regulacyjnych.

  • II - Szkolenia i dokumentacja

    W drugim kroku, bardzo istotnym elementem jest przeszkolenie zatrudnionego personelu, co najmniej na poziomie podstawowym pozwalającym zrozumieć regulacje z zakresu ochrony danych osobowych. Administrator danych powinien organizować szkolenia cyklicznie i dbać o to, aby nowi pracownicy niezwłocznie zostali nim objęci. Każdy pracownik przed rozpoczęciem wykonywania obowiązków służbowych powinien zostać upoważniony przez Administratora danych do przetwarzania danych osobowych w zakresie danych osobowych do których został dopuszczony.

    Fizjoterapeuci zobowiązani są do dokonania analizy obecnie wykorzystywanej dokumentacji z zakresu ochrony danych osobowych. Do najważniejszych dokumentów, które każdy fizjoterapeuta powinien posiadać, zaliczyć należy:

    • Polityka (lub regulamin) bezpieczeństwa danych osobowych;
    • Rejestr czynności przetwarzania;
    • Rejestr kategorii przetwarzania (jeśli występuje jako podmiot przetwarzający);
    • Umowy powierzenia przetwarzania danych osobowych;
    • Upoważnienia do przetwarzania danych osobowych;
    • Procedury regulujące funkcjonowanie przedsiębiorstwa w tym:
      • procedura konsultacji z organem nadzorczym
      • procedura zgłaszania naruszeń
      • procedura usuwania danych
      • procedura w zakresie analizy ryzyka i uwzględnienia ochrony danych osobowych w fazie projektowania oraz domyślnej ochrony danych
      • procedura realizacji praw osób
      • procedura zabezpieczeń systemów informatycznych
    • Klauzule obowiązku informacyjnego
    • Klauzule zgody na przetwarzanie danych osobowych

    Warto zatrzymać się w tym miejscu na obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych. Artykuł 28 RODO wskazuje, iż w przypadku, gdy fizjoterapeuta zleci innemu podmiotowi przetwarzanie danych osobowych w swoim imieniu np. zleci wykonanie usługi (najczęściej w przypadku hostingu poczty elektronicznej, serwerów czy podejmowania działań marketingowych), zobligowany jest do zawarcia z wybranym podmiotem umowy powierzenia przetwarzania danych osobowych. Kluczowym jest, aby podmiot ten przetwarzał dane na wyraźne polecenie fizjoterapeuty, co również uwzględnić trzeba w treści samej umowy. Umowa powinna w swojej konstrukcji zawierać takie zapisy jak określenie celu i zakresu przetwarzania danych, obowiązki podmiotu przetwarzającego dane w naszym imieniu, opis procedury informowania o naruszeniach, prawo do kontroli (w  formie audytów, w tym inspekcji), odpowiedzialność oraz ewentualne kary umowne. Wskazując przedmiot umowy określamy kategorie i rodzaj danych. Podmiot przetwarzający powinien wskazać nam także listę innych podmiotów, którym w kolejnym kroku może przekazywać dane (podpowierzać dane).

    Administrator danych osobowych zgodnie z art. 5 ust. 2 RODO zobowiązany jest do przestrzegania zasady rozliczalności co oznacza, że musi być wstanie wykazać zgodność z przepisami RODO. Jest to niezmiernie istotne z punktu widzenia ewentualnej kontroli zgodności przeprowadzanej przez Organ Nadzorczy. Fizjoterapeuta zobligowany zostaje zatem do udokumentowania zastosowanych przez siebie rozwiązań dla zachowania zgodności a pomocnym w tym zakresie narzędziem są pisemne procedury.

    Dobrym rozwiązaniem jest powołanie dedykowanej osoby a nawet w przypadku większej organizacji zespołu osób wyznaczonych do nadzoru nad właściwym przestrzeganiem przepisów o ochronie danych osobowych.

  • III - Systemy informatyczne

    Warto zwrócić również uwagę na wykorzystywane przez fizjoterapeutów systemy informatyczne. Zadbać należy, aby zostały one właściwie zabezpieczone. RODO w art. 32 wskazuje, iż należy wdrożyć środki techniczne uwzględniające charakter, zakres, kontekst i cele przetwarzania a także ryzyko naruszenia praw oraz wolności osób fizycznych. Przy czym pod rozwagę bierzemy stan wiedzy technicznej a także koszt wdrożenia. Przede wszystkim zaleca się stosowanie pseudonimizacji i szyfrowania przetwarzanych danych. Systemy powinny być regularnie testowanie a poziom ich zabezpieczenia musi gwarantować zdolność do szybkiego przywrócenia dostępności danych osobowych oraz zapewniać poufność, integralność i odporność przed zagrożeniami. Wykorzystując systemy informatyczne pamiętajmy, aby wyposażyć urządzenie w program antywirusowy oraz cyklicznie zmieniane hasło dostępu. Zabezpieczenia należy rozumieć szeroko ponieważ wymogami obejmujemy każdą wykorzystywaną do przetwarzania danych aplikację oraz sprzęt, w tym urządzenia takie jak tablety czy telefony komórkowe. RODO daje fizjoterapeutom dużą swobodę dla dokonania oceny określającej czy podjęte zabezpieczenia są w pełni wystarczające. Kluczowa dla RODO staje się analiza potencjalnie pojawiających się ryzyk i wskazania sposobów ich zapobiegania. Zatem każdy z fizjoterapeutów zobowiązany jest dokonać analizy ryzyka oraz skutków dla ochrony danych osobowych wobec przetwarzanych operacji danych osobowych i doboru stosowanych środków – wymóg ten dotyczy zarówno systemów informatycznych jak i danych przetwarzanych w formie tradycyjnej, papierowej.

  • IV - Inspektor Ochrony Danych

    RODO przewiduje możliwość powołania inspektora ochrony danych wewnątrz organizacji. Krótko mówiąc jest to kluczowa osoba sprawująca nadzór w nowym systemie ochronie danych osobowych oraz wewnątrzorganizacyjnym przestrzeganiu wymogów prawnym w tym obszarze. Powołanie inspektora danych jest nieobligatoryjne jednak RODO w kilku przypadkach nakłada (art. 37 RODO) taki obowiązek a mianowicie:

    • gdy, przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    • gdy, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
    • gdy, główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

    W przypadku dużych organizacji, w ramach wsparcia osób zarządzających, rekomendowane jest powołanie osoby dedykowanej do przejęcia nadzoru nad przestrzeganiem przepisów z zakresu ochrony danych osobowych. Osoba wyznaczona na stanowisko Inspektora ochrony danych powinna posiadać odpowiednie kwalifikacje zawodowe a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Funkcję inspektora można powierzyć na zewnątrz podmiotowi świadczącemu usługi eksperckie w tym zakresie lub powołać ku temu pracownika wewnątrz organizacji. Pamiętajmy, iż powołując inspektora ochrony danych musimy zapewnić mu niezależność w wykonywaniu swoich zadań a podlegać on może jedynie najwyższemu kierownictwu danej jednostki.

    Pomocnym dla oceny warunków, statusu, opisu zadań i konieczności powołania Inspektora ochrony danych okażą się wytyczne grupy roboczej art. 29 znajdujące się pod wskazanym linkiem:  https://uodo.gov.pl/pl/10/7

  • V - Prawa osób

    Każda osoba fizyczna powinna mieć świadomy wpływ oraz kontrolę nad tym jak, przez kogo i w jakim celu przetwarzane są jej dane osobowe. Ogólne Rozporządzenie o Ochronie Danych przyznaje więc szereg uprawnień podmiotom danych w tym zakresie:

    • prawo dostępu do danych
    • prawo do usunięcia danych (bycia zapomnianym)
    • prawo do ograniczenia przetwarzania danych
    • prawo do przenoszenia danych
    • prawo do sprostowania danych/uzupełnienia danych
    • prawo do wniesienia sprzeciwu
    • prawo do tego, by nie podlegać profilowaniu

    Fizjoterapeuci powinni zagwarantować osobom, których dane przetwarzają, możliwość skorzystania z każdego z wymienionych praw. Dodatkowo zgodnie z art. 13 oraz 14 RODO, fizjoterapeuta ma obowiązek poinformowania osoby, której dane dotyczą o przysługujących jej prawach w zakresie danych osobowych. Obowiązek ten powinien zostać spełniony jeśli dane pobierane są bezpośrednio, najpóźniej z chwilą ich pozyskania a jego treść można umieścić na formularzu lub np. za pośrednictwem strony internetowej.

    Przykładowy wzór klauzuli obowiązku informacyjnego został dołączony do niniejszego materiału.

  • VI - Zgody

    Fizjoterapeuci przetwarzają dane osobowe pacjentów w zakresie niezbędnym do wykonania usługi medycznej (art. 9 ust. 2 lit. h RODO) a także zatrudnionego przez siebie personelu w oparciu o obowiązujące przepisy prawa pracy (m.in. art. 221 kodeksu pracy). Chcąc rozszerzyć zakres przetwarzanych danych np. dla celów marketingowych, fizjoterapeuci powinni pobierać zgody, o ile nie zachodzi inna przesłanka legalizująca przetwarzanie wynikająca z art. 6 RODO. Pobierając zgody od osób fizycznych na przetwarzanie ich danych osobowych należy pamiętać, iż w każdym przypadku zgoda ta powinna być wyrażona w sposób dobrowolny i świadomy oraz stanowić jednoznaczne oświadczenie woli. To na fizjoterapeucie spoczywa obowiązek wykazania odpowiedniego poziomu rozliczalności. Obowiązek ten spełnia się poprzez gromadzenie papierowych oświadczeń zawierających zgodę danej osoby lub za pośrednictwem systemu informatycznego w którym zdarzenie to może się odnotować wraz z datą i godziną. Jeżeli osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, która wyraziła zgodę, może ją wycofać każdorazowo bez ujemnych dla siebie skutków. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraził lub zaaprobował właściwy opiekun.

  • VII - Retencja danych

    Celem zapewnienia zgodności z wymogami w zakresie ochrony danych osobowych należy dokonać przeglądu aktualnie zgromadzonych danych pod kątem ważnych przesłanek legalizujących ich przetwarzanie oraz czasu przez jaki maksymalnie możemy je dalej przetwarzać. Weryfikacja powinna obejmować:

      • Sprawdzenie na jakiej podstawie dane są przetwarzane oraz czy przesłanka ta nie wygasła (np. w zakresie wycofania wyrażonej uprzednio zgody);
      • Sprawdzenie przez jak długi czas uprawnieni jesteśmy do przetwarzania danych danej kategorii (np. w zakresie terminów przewidzianych dla przechowywania dokumentacji medycznej pacjentów);

    Usunięciu podlegają wszystkie dane osobowe do których przetwarzania nie jesteśmy już uprawnieni z uwagi na brak przesłanki legalizującej (art. 6 i 9 RODO) lub po upływie określonego czasu. W takiej sytuacji zaleca się trwałe usunięcie danych przetwarzanych zarówno w formie papierowej jak i systemach informatycznych.

  • VIII - Zarządzanie ryzykiem oraz obsługa incydentów

    Niezwykle kluczowym dla właściwego zapewnienia zgodności z przepisami o ochronie danych osobowych jest cykliczne przeprowadzania analizy ryzyka a także sprawne reagowanie na incydenty. Pamiętajmy, że wszelkie naruszenia ochrony danych osobowych administrator zgłasza bez zbędnej zwłoki, nie później niż w terminie 72 godzin po ich stwierdzeniu do Organu Nadzoru – chyba, że jest mało prawdopodobne, aby skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Dodatkowo zagwarantować należy:

    • wprowadzenie procedur umożliwiających stwierdzanie i ocenę naruszeń pod kątem wystąpienia ryzyka naruszenia praw i wolności osób fizycznych;
    • prowadzenie wewnętrznej ewidencji naruszeń;
    • zgłaszanie naruszeń organowi nadzorczemu;
    • mechanizmy w zakresie oceny konieczności (lub nie) powiadamiania osoby, której dane dotyczą, o naruszeniu;
    • podejmowanie działań mających na celu przeciwdziałanie skutkom naruszenia i zapobieganie im w przyszłości.

    Pamiętajmy, że system zapewnienia prawidłowej ochrony przetwarzanych danych osobowych wymaga stałego monitorowania.

    Zachęcamy do bieżącego śledzenia strony Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl)  na której cyklicznie pojawiają się nowe rekomendacje i wytyczne dla właściwego stosowania przepisów oraz zasad ochrony danych osobowych.

    Szczególnie rekomendujemy zapoznanie się z treścią pozytywnie zaopiniowanego kodeksu postępowania dla sektora ochrony zdrowia obejmującego podmioty wykonujące działalność leczniczą i podmiotów przetwarzających w zakresie przepisów o ochronie danych osobowych – aktualna treść kodeksu oraz więcej informacji jest dostępne tutaj: http://rodowzdrowiu.pl/.