fbpx

Bartłomiej Achler

adwokat

Partner w kancelarii Drab - Grotowska Juszczyńska Achler, gdzie kieruje działem procesowym oraz działem prawa medycznego. Specjalizuje się w zagadnieniach związanych z prawami pacjenta i dochodzeniem roszczeń z tytułu błędów medycznych.
[Więcej >>>]

Skontaktuj się

RODO w małym gabinecie. Czy mały może więcej?

Bartlomiej Achler20 lipca 20202 komentarze

Ostatnio oczekując na rozprawę w legnickim Sądzie Okręgowym stałem się mimowolnym świadkiem pewnej rozmowy biznesowej. Jeden z jej uczestników próbował przekonać drugiego do zainwestowania w jego firmę.

W pewnym momencie rozmowa zeszłą na temat bezpieczeństwa biznesu.  I padło tam takie zapewnienie:

No i nie mamy problemu z RODO, bo takich małych firm, jak nasza, RODO nie obowiązuje

Przyznaję, początkowo nawet się uśmiechnąłem pod nosem. Później jednak przyszła refleksja, że takie podejście nie jest aż tak rzadkie, jak by się wydawało. Również w branży medycznej.

Czy wdrażać RODO w małym gabinecie, prowadzonym np. jako praktyka zawodowa? Od właścicieli małych gabinetów przecież słyszę często:

Ale czy ja to RODO muszę stosować? Przecież ja mam tylko indywidualną praktykę, a nie podmiot leczniczy…

Czy prowadząc mały gabinet musisz przestrzegać RODO?

Forma prowadzonej przez Ciebie działalności leczniczej nie ma większego znaczenia z punktu widzenia RODO. Prowadząc gabinet jesteś podmiotem wykonującym działalność leczniczą i przetwarzasz dane osobowe swoich pacjentów. I choć prowadzenie praktyki zawodowej różni się pod wieloma względami od prowadzenia podmiotu leczniczego, to jednak nie w tym przypadku.

RODO nikogo nie dyskryminuje – w równym stopniu wiąże zarówno podmioty lecznicze, jak i praktyki zawodowe. Ewentualne różnice nie wynikają z tego, którą z tych form działalności leczniczej wybrałeś. To raczej kwestia skali oraz tego, czyje i jakie dane osobowe przetwarzasz, w jakich celach to robisz i co się z tymi danymi dzieje.

Nawet, jeśli prowadzisz jedynie mały gabinet, nie zatrudniasz personelu i nie przyjmujesz tysięcy pacjentów miesięcznie, pewne obowiązki musisz spełnić. Jakby nie było – przetwarzasz dane osobowe pacjentów i musisz zadbać o ich bezpieczeństwo, czy tego chcesz, czy nie.

Klauzula informacyjna RODO w małym gabinecie

Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. I nie chodzi tu o informacje o stanie zdrowia. RODO wymaga od Ciebie, abyś poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.

Żeby nie było zbyt prosto, RODO wymaga, by taka informacja zawierała pewne niezbędne elementy. Musisz więc poinformować pacjenta:

  • kto jest administratorem – oczywiście Ty nim jesteś;
  • jak pacjent może się z Tobą skontaktować – podajesz adres, numer telefonu, adres e-mail;
  • w jakim celu przetwarzasz jego dane osobowe – celem tym będzie udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe;
  • na jakiej podstawie prawnej przetwarzasz te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora, czyli Twój – podstawa prawna będzie zależała przede wszystkim od kategorii danych i celu ich przetwarzania;
  • jakie prawa przysługują pacjentowi – informujesz np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO;
  • jak długo będziesz przetwarzać dane – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa;
  • o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.

Jak widzisz, jest tego trochę. Warto więc sobie przygotować przyzwoitą klauzulę informacyjną i jak mawiał klasyk:

Nie giąć, nie niszczyć – dwa lata będzie służyć…

… albo i dłużej 🙂

Jak zrealizować obowiązek informacyjny?

Przede wszystkim pamiętaj, że musi być to informacja zrozumiała. Nie jest dobrą praktyką np. cytowanie przepisów RODO. Pacjent niewiele z tego zrozumie. Staraj się więc, żeby była to informacja z jednej strony kompletna, ale z drugiej strony – jak najprostsza, zrozumiała dla przeciętnego pacjenta.

Oczywiście najbezpieczniejszym dla Ciebie rozwiązaniem byłoby przedstawianie klauzuli każdemu z pacjentów osobno oraz odbieranie od nich podpisów potwierdzających zapoznanie się z informacją. Chociaż RODO podpisu nie wymaga, to musisz pamiętać, że to Ty będziesz musiał udowodnić, że zrealizowałeś obowiązek informacyjny.

Możesz więc na przykład taką klauzulę informacyjną zawrzeć w formularzu rejestracyjnym (o ile go stosujesz) albo przedstawić pacjentowi w formie odrębnego dokumentu. Może być to również podpis na tablecie. Obowiązek informacyjny musisz wykonać najpóźniej w momencie pozyskania danych.

Znając jednak niechęć właścicieli małych gabinetów do papierologii, zakładam, że i Ty wolałbyś oszczędzić sobie i swoim pacjentom nadmiernych formalizmów. Najprostszym rozwiązaniem będzie więc wywieszenie lub wyłożenie wydrukowanej klauzuli informacyjnej przy wejściu do Twojego gabinetu, czy w poczekalni, tak, żeby pacjenci mogli się z nią zapoznać.

Obowiązkowa dokumentacja RODO w małym gabinecie

Oprócz klauzuli informacyjnej, ważnym dokumentem, który musisz przygotować jest rejestr czynności przetwarzania. Określasz w nim m.in.:

  • cele przetwarzania danych osobowych;
  • kategorie osób, których dane przetwarzasz;
  • kategorie przetwarzanych danych osobowych;
  • opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne;
  • kategorie odbiorców, którym przekazujesz dane osobowe.

Co ważne – rejestr ten masz obowiązek udostępnić na każde żądanie UODO. Przygotuj go więc porządnie i prowadź rzetelnie.

Musisz również dokumentować wszelkie naruszenia ochrony danych osobowych. W takiej dokumentacji musisz wskazać okoliczności naruszenia, skutki i podjęte działania zaradcze. Innymi słowy – powinieneś opracować rejestr naruszeń i procedurę postępowania w sprawach naruszeń.

Co możesz wdrożyć, ale nie musisz?

Wdrożenie RODO w małym gabinecie opiera się na założeniu, że nie przetwarzasz danych osobowych pacjentów na dużą skalę. W takim wypadku nie masz obowiązku dokonywania np. oceny skutków dla ochrony danych.

Co za tym idzie, nie musisz też sporządzać raportu z oceny skutków, podobnie zresztą jak raportu z oceny ryzyka. Również powoływanie inspektora ochrony danych możesz sobie darować.

Oczywiście jeżeli chcesz czuć się bezpiecznie i mieć poczucie, że chronisz dane swoich pacjentów jak należy, możesz wykonać ocenę ryzyka, ocenę skutków oraz sporządzić raporty z tych czynności. Pamiętaj o zasadzie rozliczalności – to Ty musisz udowodnić, że przestrzegasz RODO. Z tymi dokumentami będzie Ci łatwiej.

Możesz też powołać inspektora ochrony danych. Obowiązku takiego jednak RODO na Ciebie nie nakłada.

Czy musisz mieć politykę ochrony danych?

Prowadząc mały gabinet nie musisz mieć polityki ochrony danych. Zastanów się jednak, czy nie warto takiej polityki sobie przygotować.

Tu ponownie wracam do zasady rozliczalności – oznacza ona, że to Ty musisz udowodnić, że przetwarzasz dane osobowe zgodnie z RODO. Zdecydowanie łatwiej będzie Ci to wykazać przedstawiając organowi nadzorczemu formalny dokument określający zasady postępowania z danymi.

Po drugie – taka polityka może stanowić konkretną i realną pomoc dla Ciebie, co robić w problematycznych sytuacjach. A tych, jeżeli chodzi o postępowanie z danymi osobowymi może być sporo.

Jeżeli prowadzisz swój gabinet samodzielnie, nie masz inspektora ochrony danych i nie masz prawnika ogarniającego te kwestie, dobrze mieć pod ręką zestaw zasad, do którego będziesz mógł sięgnąć w razie potrzeby.

Bezpieczeństwo przede wszystkim

I pamiętaj o najważniejszym. Dokumentacja to nie wszystko. Twoim najważniejszym zadaniem wynikającym z RODO jest zapewnienie bezpieczeństwa danych osobowych.

Oczywiście prowadząc niewielki gabinet wdrożysz inne środki bezpieczeństwa niż w dużym podmiocie leczniczym. Musisz jednak, w granicach swoich możliwości, kategorii przetwarzanych danych, czy skali przetwarzania zapewnić odpowiednie środki techniczne i organizacyjne, by dane Twoich pacjentów były bezpieczne. Również w małym gabinecie obowiązuje zasada:

Keep it secret, keep it safe…

Photo by Filiberto Santillán on Unsplash

Jeżeli chcesz skorzystać z pomocy prawnej, zapraszam Cię do kontaktu:

tel.: 600 266 691e-mail: bartlomiej.achler@dja-legal.pl

{ 2 komentarze… przeczytaj je poniżej albo dodaj swój }

Jolanta 23 lipca, 2020 o 12:48

Bez zmian Panie Bartku, rzetelność i pełen profesjonalizm. Proszę o więcej .

Odpowiedz

Bartlomiej Achler 27 lipca, 2020 o 12:00

Dziękuję 🙂 Trudno o lepszą motywację 🙂

Odpowiedz

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez Drab-Grotowska, Juszczyńska, Achler Radcowie prawni i adwokaci spółka partnerska Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest Drab-Grotowska, Juszczyńska, Achler Radcowie prawni i adwokaci spółka partnerska z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem bartlomiej.achler@dja-legal.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Generalnego Inspektora Ochrony Danych Osobowych.

Poprzedni wpis: