Ostatnio oczekując na rozprawę w legnickim Sądzie Okręgowym stałem się mimowolnym świadkiem pewnej rozmowy biznesowej. Jeden z jej uczestników próbował przekonać drugiego do zainwestowania w jego firmę.
W pewnym momencie rozmowa zeszłą na temat bezpieczeństwa biznesu. I padło tam takie zapewnienie:
No i nie mamy problemu z RODO, bo takich małych firm, jak nasza, RODO nie obowiązuje…
Przyznaję, początkowo nawet się uśmiechnąłem pod nosem. Później jednak przyszła refleksja, że takie podejście nie jest aż tak rzadkie, jak by się wydawało. Również w branży medycznej.
Czy wdrażać RODO w małym gabinecie, prowadzonym np. jako praktyka zawodowa? Od właścicieli małych gabinetów przecież słyszę często:
Ale czy ja to RODO muszę stosować? Przecież ja mam tylko indywidualną praktykę, a nie podmiot leczniczy…
Czy prowadząc mały gabinet musisz przestrzegać RODO?
Forma prowadzonej przez Ciebie działalności leczniczej nie ma większego znaczenia z punktu widzenia RODO. Prowadząc gabinet jesteś podmiotem wykonującym działalność leczniczą i przetwarzasz dane osobowe swoich pacjentów. I choć prowadzenie praktyki zawodowej różni się pod wieloma względami od prowadzenia podmiotu leczniczego, to jednak nie w tym przypadku.
RODO nikogo nie dyskryminuje – w równym stopniu wiąże zarówno podmioty lecznicze, jak i praktyki zawodowe. Ewentualne różnice nie wynikają z tego, którą z tych form działalności leczniczej wybrałeś. To raczej kwestia skali oraz tego, czyje i jakie dane osobowe przetwarzasz, w jakich celach to robisz i co się z tymi danymi dzieje.
Nawet, jeśli prowadzisz jedynie mały gabinet, nie zatrudniasz personelu i nie przyjmujesz tysięcy pacjentów miesięcznie, pewne obowiązki musisz spełnić. Jakby nie było – przetwarzasz dane osobowe pacjentów i musisz zadbać o ich bezpieczeństwo, czy tego chcesz, czy nie.
Pakiet RODO dla indywidualnej praktyki zawodowej
Komplet dokumentacji RODO dla Twojej praktyki zawodowej. Wzory z instrukcją.
Klauzula informacyjna RODO w gabinecie
Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. I nie chodzi tu o informacje o stanie zdrowia. RODO wymaga od Ciebie, abyś poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.
Żeby nie było zbyt prosto, RODO wymaga, by taka informacja zawierała pewne niezbędne elementy. Musisz więc poinformować pacjenta:
- kto jest administratorem – oczywiście Ty nim jesteś;
- jak pacjent może się z Tobą skontaktować – podajesz adres, numer telefonu, adres e-mail;
- w jakim celu przetwarzasz jego dane osobowe – celem tym będzie udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe;
- na jakiej podstawie prawnej przetwarzasz te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora, czyli Twój – podstawa prawna będzie zależała przede wszystkim od kategorii danych i celu ich przetwarzania;
- jakie prawa przysługują pacjentowi – informujesz np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO;
- jak długo będziesz przetwarzać dane – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa;
- o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.
Jak widzisz, jest tego trochę. Warto więc sobie przygotować przyzwoitą klauzulę informacyjną i jak mawiał klasyk:
Nie giąć, nie niszczyć – dwa lata będzie służyć…
… albo i dłużej 🙂
Jak zrealizować obowiązek informacyjny?
Przede wszystkim pamiętaj, że musi być to informacja zrozumiała. Nie jest dobrą praktyką np. cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Staraj się więc, żeby była to informacja z jednej strony kompletna, ale z drugiej strony – jak najprostsza, zrozumiała dla przeciętnego pacjenta.
Oczywiście najbezpieczniejszym dla Ciebie rozwiązaniem byłoby przedstawianie klauzuli każdemu z pacjentów osobno oraz odbieranie od nich podpisów potwierdzających zapoznanie się z informacją. Chociaż RODO podpisu nie wymaga, to musisz pamiętać, że to Ty będziesz musiał udowodnić, że zrealizowałeś obowiązek informacyjny.
Możesz więc na przykład taką klauzulę informacyjną zawrzeć w formularzu rejestracyjnym (o ile go stosujesz) albo przedstawić pacjentowi w formie odrębnego dokumentu. Może być to również podpis na tablecie. Obowiązek informacyjny musisz wykonać najpóźniej w momencie pozyskania danych.
Znając jednak niechęć właścicieli małych gabinetów do papierologii, zakładam, że i Ty wolałbyś oszczędzić sobie i swoim pacjentom nadmiernych formalizmów. Najprostszym rozwiązaniem będzie więc wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do Twojego gabinetu, czy w poczekalni, tak, żeby pacjenci mogli się z nią zapoznać.
Pakiet RODO dla podmiotu leczniczego
Pakiet dokumentów RODO dla podmiotów leczniczych. Wzory z instrukcją.
Obowiązkowa dokumentacja RODO w małym gabinecie
Oprócz klauzuli informacyjnej, ważnym dokumentem, który musisz przygotować jest rejestr czynności przetwarzania. Określasz w nim m.in.:
- cele przetwarzania danych osobowych;
- kategorie osób, których dane przetwarzasz;
- kategorie przetwarzanych danych osobowych;
- opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne;
- kategorie odbiorców, którym przekazujesz dane osobowe.
Co ważne – rejestr ten masz obowiązek udostępnić na każde żądanie UODO. Przygotuj go więc porządnie i prowadź rzetelnie.
Musisz również dokumentować wszelkie naruszenia ochrony danych osobowych. W takiej dokumentacji musisz wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – powinieneś opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.
Co możesz wdrożyć, ale nie musisz?
Wdrożenie RODO w małym gabinecie opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.
Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.
Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.
Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na Ciebie nie nakłada.
Czy musisz mieć politykę ochrony danych?
Prowadząc mały gabinet nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.
Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to Ty musisz udowodnić, że przetwarzasz dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie Ci to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.
Po drugie – taka polityka może stanowić konkretną i realną pomoc dla Ciebie, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.
Jeżeli prowadzisz swój gabinet samodzielnie, nie masz inspektora ochrony danych i nie masz prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego będziesz mógł sięgnąć w razie potrzeby.
Bezpieczeństwo przede wszystkim
I pamiętaj o najważniejszym. Dokumentacja to nie wszystko. Twoim najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych.
Oczywiście prowadząc niewielki gabinet wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne. Również w małym gabinecie obowiązuje zasada:
Keep it secret, keep it safe…
Photo by Filiberto Santillán on Unsplash
{ 2 komentarze… przeczytaj je poniżej albo dodaj swój }
Bez zmian Panie Bartku, rzetelność i pełen profesjonalizm. Proszę o więcej .
Dziękuję 🙂 Trudno o lepszą motywację 🙂