Już z dniem 25 maja 2018 roku do polskiego porządku prawnego przyjęte zostanie europejskie ogólne rozporządzenie o ochronie danych, w skrócie RODO. Rozporządzenie to zastąpi dotychczas stosowaną Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady WE oraz wymusi nowelizację ustawy o ochronie danych osobowych jak i wielu innych aktów, których dostosowanie uznane zostanie za konieczne. RODO stosujemy do wszystkich podmiotów przetwarzających dane osób fizycznych w ramach prowadzonej przez siebie działalności obejmującej swym zakresem terytorium Unii Europejskiej. Wyłączone spod wymogów RODO są działania mające na celu gromadzenie danych osobowych w celach czysto osobistych lub o charakterze domowym. Zatem praktycznie każdy kto czynnie przetwarza dane osób fizycznych prowadząc działalność zarobkową może podlegać pod przepisy RODO z uwagi chociażby na gromadzenie takich danych osobowych jak dane klientów czy dane pracowników. Jest to niezmiernie istotne z punktu widzenia fizjoterapeutów, którzy na co dzień stykają się z danymi swoich pracowników oraz danymi medycznymi pacjentów. Fizjoterapeuta jak każdy inny przedsiębiorca powinien dostosować się do wymogów jakie przewiduje RODO. Przepisy dotyczące ochrony danych osobowych obowiązywać będą jednocześnie wszystkie państwa członkowskie UE. Rozporządzenie nie wskazuje fizjoterapeutom wprost jasnych wytycznych jak dostatecznie zabezpieczyć przetwarzane dane osobowe, a także w jaki sposób wypełnić nałożone obowiązki. W zależności od rodzaju naruszeń, RODO przewiduje kary w maksymalnym wymiarze aż do 20 mln euro lub w przypadku przedsiębiorcy w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy zastosowaniu kwoty wyższej. W celu prawidłowego dostosowania do nowych wymogów należy zapoznać się i zrozumieć regulacje jakie niesie za sobą  RODO ale i przepisy krajowe takie jak nowa ustawa o ochronie danych osobowych. Na chwilę obecną nowa ustawa o ochronie danych osobowych pozostaje w dalszym ciągu w fazie projektu.

Czasu pozostało już bardzo niewiele a proces wdrożenia jest działaniem długotrwałym. Jak powinni przygotować się do tych zmian fizjoterapeuci? Krajowa Izba Fizjoterapeutów przygotowała krótkie wytyczne mające na celu przedstawienie najważniejszych zmian jakie niesie za sobą RODO w obszarze przetwarzania danych osobowych.

  • I - Audyt

    Jako pierwszy krok rekomenduje się dokonanie oceny poziomu świadomości skali zmian oraz aktualnego stanu przygotowania do wdrożenia przepisów RODO. Warto uświadomić sobie ile tak naprawdę mamy jeszcze do zrobienia oraz w jaki sposób możemy to wykonać. Administratorzy danych, którzy rzetelnie wywiązywali się z obowiązków nakładanych przez dotychczasowe prawo odnoszące się do ochrony danych osobowych nie powinni czuć się zagrożeni nowymi zmianami. W tym miejscu, możemy podjąć się analizy i przygotowań we własnym zakresie lub zlecić takie działania profesjonalnemu podmiotowi świadczącemu usługi doradztwa z zakresu ochrony danych osobowych. W pierwszej fazie zaleca się przeprowadzenie audytu mającego na celu wyłowienie wszystkich procesów, w których pojawiają się dane osobowe. Audyt dzielimy zazwyczaj na część formalno-prawną oraz informatyczną. Prościej mówiąc dokonujemy oceny czy i w jakich obszarach naszej działalności pojawiają się dane osobowe. Temat dotyka między innymi takich stref jak obsługa pacjenta czyli wykonanie usługi, działania marketingowe, rekrutacja i zatrudnienie, administracja czy obszary prawne. Uwzględniamy dane przetwarzane zarówno w formie papierowej i jak elektronicznej. Należy wykazać gdzie, kiedy i w jakim celu przetwarzane są dane osobowe. Podczas analizy fizjoterapeuta powinien wyszczególnić występujące zbiory danych osobowych, wskazać podstawy prawne do ich przetwarzania (art. 6 i art. 9 RODO) oraz podsumować audyt zestawieniem prac niezbędnych do wykonania w zakresie wdrożenia RODO.

  • II - Szkolenia i dokumentacja

    W drugim kroku, bardzo istotnym elementem jest przeszkolenie zatrudnionego personelu, co najmniej na poziomie podstawowym pozwalającym zrozumieć regulacje z zakresu ochrony danych osobowych. Administrator danych powinien organizować szkolenia cyklicznie i dbać o to, aby nowi pracownicy niezwłocznie zostali nim objęci. Każdy pracownik przed rozpoczęciem wykonywania obowiązków służbowych powinien zostać upoważniony przez Administratora danych do przetwarzania danych osobowych w zakresie zbiorów danych osobowych do których został dopuszczony.

    Fizjoterapeuci zobowiązani są do dokonania analizy obecnie wykorzystywanej dokumentacji z zakresu ochrony danych osobowych. Do najważniejszych dokumentów, które każdy fizjoterapeuta powinien posiadać, zaliczyć należy:

    • Polityka bezpieczeństwa danych osobowych;
    • Umowy powierzenia przetwarzania danych osobowych;
    • Upoważnienia do przetwarzania danych osobowych;
    • Rejestr czynności przetwarzania;
    • Rejestr kategorii przetwarzania (jeśli występuje jako podmiot przetwarzający);
    • Procedury regulujące funkcjonowanie przedsiębiorstwa w tym:
      • procedura konsultacji z organem nadzorczym
      • procedura zgłaszania naruszeń
      • procedura usuwania danych
      • procedura uwzględnienia ochrony danych osobowych w fazie projektowania i domyślnej ochrony danych
      • procedura realizacji praw osób
      • procedura zabezpieczeń systemów informatycznych
    • Klauzule obowiązku informacyjnego
    • Klauzule zgody na przetwarzanie danych osobowych

    Warto zatrzymać się w tym miejscu na obowiązku zawarcia umowy powierzenia przetwarzania danych osobowych. Artykuł 28 RODO wskazuje, iż w przypadku, gdy fizjoterapeuta zleci innemu podmiotowi przetwarzanie danych osobowych w swoim imieniu np. zleci wykonanie usługi (najczęściej w przypadku hostingu poczty elektronicznej, serwerów czy podejmowania działań marketingowych), zobligowany jest do zawarcia z omawianym podmiotem umowy powierzenia przetwarzania danych osobowych. Kluczowym jest, aby podmiot ten przetwarzał dane na wyraźne polecenie fizjoterapeuty, co również uwzględnić trzeba w treści samej umowy. Umowa powinna w swojej konstrukcji zawierać takie zapisy jak określenie celu i zakresu przetwarzania danych, obowiązki podmiotu przetwarzającego dane w naszym imieniu, opis procedury informowania o naruszeniach, prawo do kontroli (np. w  formie audytu), odpowiedzialność oraz ewentualne kary umowne. Wskazując przedmiot umowy określamy kategorie i rodzaj danych. Podmiot przetwarzający powinien wskazać nam także listę innych podmiotów, którym w kolejnym kroku może przekazywać dane (podpowierzać dane).

    Administrator danych osobowych zgodnie z art. 5 ust. 2 RODO zobowiązany jest do przestrzegania zasady rozliczalności co oznacza, że musi być wstanie wykazać zgodność z przepisami RODO. Jest to niezmiernie istotne z punktu widzenia ewentualnej kontroli zgodności przeprowadzanej przez organ nadzorczy. Fizjoterapeuta zobligowany zostaje zatem do udokumentowania zastosowanych przez siebie rozwiązań dla zachowania zgodności a pomocnym w tym zakresie narzędziem są pisemne procedury.

    W przypadku większych organizacji dobrym rozwiązaniem jest powołanie zespołu osób wyznaczonych do wdrożenia przepisów RODO. Zespół składać powinien się z osób odpowiedzialnych za poszczególne działy w przedsiębiorstwie a jego głównym zadaniem jest czuwanie nad realizacją praca wdrożeniowych.

  • III - Systemy informatyczne

    Warto zwrócić również uwagę na wykorzystywane przez fizjoterapeutów systemy informatyczne. Zadbać należy, aby zostały one właściwie zabezpieczone. RODO w art. 32 wskazuje, iż należy wdrożyć środki techniczne uwzględniające charakter, zakres, kontekst i cele przetwarzania a także ryzyko naruszenia praw oraz wolności osób fizycznych. Przy czym pod rozwagę bierzemy stan wiedzy technicznej a także koszt wdrożenia. Przede wszystkim zaleca się stosowanie pseudonimizacji i szyfrowania przetwarzanych danych. Systemy powinny być regularnie testowanie a poziom ich zabezpieczenia musi gwarantować zdolność do szybkiego przywrócenia dostępności danych osobowych oraz zapewniać poufność, integralność i odporność przed zagrożeniami. Wykorzystując systemy informatyczne pamiętajmy, aby wyposażyć urządzenie w program antywirusowy oraz cyklicznie zmieniane hasło dostępu. Zabezpieczenia należy rozumieć szeroko ponieważ wymogami obejmujemy każdą wykorzystywaną do przetwarzania danych aplikację oraz sprzęt, w tym urządzenia takie jak tablety czy telefony komórkowe. RODO daje fizjoterapeutom dużą swobodę dla dokonania oceny określającej czy podjęte zabezpieczenia są w pełni wystarczające. Kluczowa dla RODO staje się analiza potencjalnie pojawiających się ryzyk i wskazania sposobów ich zapobiegania.

  • IV - Inspektor Ochrony Danych

    RODO przewiduje możliwość powołania inspektora ochrony danych wewnątrz organizacji. Krótko mówiąc jest to kluczowa osoba sprawująca nadzór w nowym systemie ochronie danych osobowych oraz wewnątrzorganizacyjnym przestrzeganiu wymogów RODO. Inspektor ochrony danych od dnia 25 maja br. zastąpi obecnego Administratora bezpieczeństwa informacji. Powołanie inspektora danych jest nieobligatoryjne jednak RODO w kilku przypadkach nakłada (art. 37 RODO) taki obowiązek a mianowicie:

    1. gdy, przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    2. gdy, główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;
    3. gdy, główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

    W przypadku dużych organizacji, w ramach wsparcia osób zarządzających, rekomendowane jest powołanie osoby dedykowanej do przejęcia nadzoru nad przestrzeganiem przepisów z zakresu ochrony danych osobowych. Osoba wyznaczona na stanowisko inspektora ochrony danych powinna posiadać odpowiednie kwalifikacje zawodowe a w szczególności fachową wiedzę na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Funkcję inspektora można powierzyć na zewnątrz podmiotowi świadczącemu usługi eksperckie w tym zakresie lub powołać ku temu pracownika wewnątrz organizacji. Pamiętajmy, iż powołując inspektora ochrony danych musimy zapewnić mu niezależność w wykonywaniu swoich zadań a podlegać on może jedynie najwyższemu kierownictwu danej jednostki.

  • V - Prawa osób

    Każda osoba powinna mieć kontrolę nad swoimi danymi osobowymi, niezależnie od tego kto i w jakim celu te dane przetwarza. Ogólne rozporządzenie o ochronie danych przyznaje więc szereg uprawnień podmiotom danych w tym zakresie:

    • prawo dostępu do danych
    • prawo do usunięcia danych (bycia zapomnianym)
    • prawo do ograniczenia przetwarzania danych
    • prawo do przenoszenia danych
    • prawo do sprostowania danych/uzupełnienia danych
    • prawo do wniesienia sprzeciwu
    • prawo do tego, by nie podlegać profilowaniu

    Z większości z wymienionych wyżej uprawnień możemy korzystać już teraz, bowiem przewiduje je ustawa o ochronie danych osobowych. Fizjoterapeuci powinni zagwarantować osobom, których dane przetwarzają, możliwość skorzystania z każdego z wymienionych praw. Dodatkowo zgodnie z art. 13 oraz 14 RODO, fizjoterapeuta ma obowiązek poinformowania osoby, której dane dotyczą o przysługujących jej prawach w zakresie danych osobowych. Obowiązek ten powinien zostać spełniony najpóźniej w momencie gromadzenia danych a jego treść można umieścić na formularzu lub za pośrednictwem strony internetowej.

    Przykładowy wzór klauzuli obowiązku informacyjnego został dołączony do niniejszego materiału.

  • VI - Zgody

    Fizjoterapeuci przetwarzają dane osobowe pacjentów w zakresie niezbędnym do wykonania usługi w oparciu o powszechnie obowiązujące przepisy prawa także dane pracowników fizjoterapeutów przetwarzane są w oparciu o przepisy prawa pracy w ściśle określonym zakresie. Chcąc rozszerzyć zakres przetwarzanych danych np. dla celów marketingowych, fizjoterapeuci powinni pobierać zgody, o ile nie zachodzi inna przesłanka legalizująca przetwarzanie wynikająca z art. 6 RODO. Pobierając zgody od osób fizycznych na przetwarzanie ich danych osobowych należy pamiętać, iż w każdym przypadku zgoda ta powinna być wyrażona w sposób dobrowolny i świadomy oraz stanowić jednoznaczne oświadczenie woli. Fizjoterapeuta musi wykazać fakt wyrażenia zgody przez osobę fizyczną. Obowiązek ten spełnia się poprzez gromadzenie papierowych oświadczeń zawierających zgodę danej osoby lub za pośrednictwem systemu informatycznego w którym zdarzenie to może się odnotować. Jeżeli osoba, której dane dotyczą, wyrazi zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Osoba, która wyraziła zgodę, może ją wycofać każdorazowo bez ujemnych dla siebie skutków. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Jeżeli dziecko nie ukończyło 16 lat, takie przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy zgodę wyraziła lub zaaprobowała ją osoba sprawująca władzę rodzicielską lub opiekę nad dzieckiem oraz wyłącznie w zakresie wyrażonej zgody.

  • VII - Retencja danych

    Wdrażając wymogi RODO należy dokonać przeglądu aktualnie zgromadzonych baz danych oraz dokumentacji pod kątem ich legalności oraz czasu przez jaki maksymalnie możemy je przetwarzać. Weryfikacja powinna obejmować:

    • Sprawdzenie na jakiej podstawie dane są przetwarzane oraz czy przesłanka ta nie wygasła (jeśli przetwarzamy dane na podstawie zgody, jej treść musi zostać zweryfikowana czy spełnia wymogi RODO oraz czy w dalszym ciągu jest ona ważna);
    • Sprawdzenie przez jak długi czas uprawnieni jesteśmy do przetwarzania danych danej kategorii;

    Usunięciu podlegają wszystkie dane osobowe do których przetwarzania nie jesteśmy już uprawnieni z uwagi na brak przesłanki legalizującej (art. 6 i 9 RODO) lub po upływie określonego czasu. W takiej sytuacji zaleca się trwałe usunięcie danych przetwarzanych zarówno w formie papierowej jak i systemach informatycznych.

W końcowej fazie wdrożenia wymogów RODO dobrze jest dokonać podsumowania podjętych działań w celu oceny czy wszystkie z nich zakończyły się pozytywnie. Pamiętajmy, iż nowy system ochrony danych osobowych wymaga stałego monitorowania.

Zachęcamy do bieżącego śledzenia strony GIODO (www.giodo.gov.pl) na której cyklicznie pojawiają się nowe rekomendacje dotyczące wdrożenia zmian oraz na której znajdziemy wytyczne grupy roboczej art. 29 dotyczące między innymi inspektorów ochrony danych czy prawa do przenoszenia danych. Obecnie trwają również prace nad kodeksem dobrych praktyk dla branży medycznej, który po ukończeniu zostanie opublikowany na stronach Krajowej Izby Fizjoterapeutów.

Zachęcamy również do zapoznania się z aktami prawnymi oraz ich projektami dotyczącymi obszaru RODO.

  1. Wersja robocza kodeksu postępowania podmiotów wykonujących działalność leczniczą
  2. Ogólne rozporządzenie o ochronie danych RODO
  3. Projekt ustawy o ochronie danych osobowych

Ten obszar jest nieaktywny. Akceptuj politykę prywatności, aby odblokować.

Ten obszar jest nieaktywny. Akceptuj politykę prywatności, aby odblokować.

Krajowa Izba Fizjoterapeutów korzysta z plików cookies.
Czy akceptujesz naszą politykę prywatności ?