RODO dla lekarzy

Aktualne kursy RODO organizowane przez Lubelską Izbę Lekarską

 

Poradnik RODO Ministerstwa Cyfryzacji dla podmiotów leczniczych

 

Wzory dokumentacji wdrażającej RODO do praktyk prywatnych

Wejście w życie – uwagi ogólne

Szerszy obowiązek informacyjny

Koniec rejestru zbiorów danych osobowych

Szersze umowy o powierzenie przetwarzania danych

Inspektor ochrony danych osobowych (IODO)

Nowa dokumentacja

Obowiązek zgłaszania naruszeń

Administracyjne kary pieniężne

Wdrażanie RODO

Akty prawne

 

Poradnik RODO Ministerstwa Cyfryzacji dla podmiotów leczniczych
Szanowni Państwo, zachęcamy do zapoznania się praktycznym poradnikiem "RODO w służbie zdrowia", jaki ukazał się w ostatnich dniach na stronie Ministerstwa Cyfryzacji. Poradnik w wersji pdf dostępny jest do pobrania pod adresem: https://www.gov.pl/cyfryzacja/rodo-w-sluzbie-zdrowia-po-pierwsze-pacjent
 
Wzory dokumentacji wdrażającej RODO do praktyk prywatnych
 
W odpowiedzi na apel nr 1/2018 XXXVIII Sprawozdawczo-Wyborczego Okręgowego Zjazdu Lekarzy Delegatów Lubelskiej Izby Lekarskiej do Okręgowej Rady Lekarskiej w Lublinie przekazujemy Państwu przykładową dokumentację dotyczącą ochrony danych osobowych dla lekarzy i lekarzy dentystów wykonujących zawód w ramach praktyk zawodowych, opracowaną przez Zespół działający przy Naczelnej Izbie Lekarskiej.
 
Zaznaczamy, że prawo otrzymania niniejszej dokumentacji przysługuje wyłącznie lekarzom zrzeszonym w LIL oraz, że nie może być ona w żaden sposób rozpowszechniana i wykorzystywana w sposób inny niż wdrożenie do własnej praktyki lekarskiej.
 
Pragniemy podkreślić, że niniejsza dokumentacja ma charakter przykładowy i nie stanowi gotowych wzorów, uniwersalnych dla każdego rodzaju wykonywanej przez Państwa działalności leczniczej. Każdy lekarz-przedsiębiorca zobowiązany jest do wdrożenia środków ochrony danych osobowych odpowiednich do prowadzonej przez siebie praktyki, przy uwzględnieniu rodzaju i rozmiaru praktyki oraz skali przetwarzania danych osobowych.
 
W celu otrzymania dokumentacji proszę zaznaczyć następujące oświadczenia:
 
 Oświadczam, że jestem lekarzem/lekarzem dentystą, członkiem Lubelskiej Izby Lekarskiej.
 
 Przyjmuję do wiadomości, że poniższa dokumentacja ma charakter przykładowy, a jej wdrożenie wymaga uwzględnienia specyfiki prowadzonej przeze mnie działalności.
 
 Zobowiązuję się do użycia niniejszej dokumentacji wyłącznie w mojej praktyce zawodowej oraz do nierozpowszechniania tej dokumentacji pod rygorem sankcji przewidzianych w ustawie z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.
 
Wyrażam zgodę na przetwarzanie moich danych osobowych w celu udostępnienia mi dokumentacji dot. wdrożenia RODO. Przyjmuję do wiadomości, że wyrażenie zgody jest dobrowolne, jednak jej brak uniemożliwi Lubelskiej Izbie Lekarskiej przekazanie mi ww. dokumentacji.
 

Proszę podać adres e-mail zgłoszony do Rejestru Lekarzy LIL:

W przypadku podania prawidłowego adresu e-mail materiały zostaną przesłane niezwłocznie (prosimy sprawdzić także SPAM).

 

Brak otrzymania wiadomości w ciągu 24 godzin oznacza, że podany adres jest nieprawidłowy lub nie widnieje w Rejestrze Lekarzy LIL. W celu aktualizacji danych osobowych prosimy o kontakt z Izbą pod numerem telefonu: (81) 536 04 85.

 

W przypadku problemów technicznych z otrzymaniem materiałów proszę o kontakt na e-mail: informatyk@oil.lublin.pl

 
 

Wejście w życie – uwagi ogólne

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 (w skrócie RODO) weszło w życie na terenie Rzeczypospolitej Polskiej i pozostałych państw członkowskich Unii Europejskiej z dniem 25 maja 2018 r. Rozporządzenie to jest bezpośrednim źródłem praw dla osób, których dane dotyczą i obowiązków dla administratorów danych osobowych. Od tego dnia wszystkie podmioty przetwarzające dane osobowe, w tym lekarze i lekarze dentyści prowadzący praktyki zawodowe i podmioty lecznicze, będą zobowiązane do jego stosowania (wyjątek stanowią jedynie praktyki kontraktowe, które nie mają statusu administratora danych osobowych). W dniu 25 maja 2018 roku weszła w życie także nowa ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000). Ustawa reguluje m.in.: zasady wyznaczania i zgłaszania Inspektora Ochrony Danych Osobowych, warunki i tryb certyfikacji, kompetencje nowego organu kontrolnego (Prezesa Urzędu Ochrony Danych Osobowych), postępowanie kontrolne oraz zasady odpowiedzialności za naruszenie przepisów. Obecnie trwają również prace nad Kodeksem postępowania dla podmiotów wykonujących działalność leczniczą, który po uchwaleniu i zatwierdzeniu przez Prezesa UODO będzie nieocenioną pomocą w interpretacji przepisów Rozporządzenia. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych:   http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000

 

Szerszy obowiązek informacyjny

Rozporządzenie przewiduje rozszerzenie obowiązku informacyjnego przy zbieraniu i przechowywaniu wszelkich danych osobowych, w tym obowiązek podawania osobom, których dane dotyczą m.in.:

  • danych administratora i ewentualnego inspektora ochrony danych osobowych, w tym danych kontaktowych;
  • celu przetwarzania danych i kategorii przetwarzanych danych;
  • informacji o odbiorcach danych osobowych lub o kategoriach odbiorców (jeżeli istnieją);
  • informacji o ewentualnym zamiarze przekazania danych osobowych do państwa trzeciego (np. na serwery poza terenem Unii Europejskiej);
  • okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  • informacji o prawie do żądania od administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także o prawie do przenoszenia danych;
  • informacji o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem ( w takim wypadku co do zasady dane osobowe pacjentów będą przetwarzane na podstawie obowiązujących przepisów, a nie zgody pacjenta );
  • informacji o prawie wniesienia skargi do organu nadzorczego (Prezesa Urzędu Ochrony Danych Osobowych);
  • informacji, jakie są ewentualne konsekwencje niepodania danych osobowych;

 

Wejście w życie rozporządzenia będzie się zatem wiązało z koniecznością uzupełnienia dotychczasowych zgód na przetwarzanie danych osobowych  (jeżeli są stosowane), szerszą informacją o przetwarzaniu danych osobowych zarówno na etapie zbierania danych od pacjentów (np. w ramach rejestracji), jak również na etapie późniejszego przetwarzania tych danych.

 

Koniec rejestru zbiorów danych osobowych

Nowa ustawa o ochronie danych osobowych przewiduje całkowitą rezygnację z obowiązku rejestracji zbiorów danych osobowych, który w bardzo niewielkim stopniu dotyczył dotychczas działalności medycznej, bowiem zbiory danych osób korzystających z usług medycznych były ustawowo zwolnione spod rejestracji.

 

Szersze umowy o powierzenie przetwarzania danych

Dotychczasowa ustawa o ochronie danych osobowych przewidywała jedynie, że umowa o powierzenie przetwarzania danych ma być zawarta w formie pisemnej, bez szczegółowego określania jej treści. RODO przewiduje natomiast szczegółową treść wskazanej umowy. W związku z powyższym konieczne będzie aneksowanie dotychczasowych umów o powierzenie przetwarzania danych, które lekarze i lekarze dentyści zawarli z podmiotami przetwarzającymi (np. firmami serwisującymi sprzęt medyczny przechowującymi dane o badaniach, producentami oprogramowania do prowadzenia gabinetów, firmami informatycznymi, zewnętrznymi firmami księgowymi i kadrowymi itp.), w celu ich dostosowania do nowych wymogów.

 

Inspektor ochrony danych osobowych (IODO)

Z wejściem w życie RODO oraz polskiej ustawy o ochronie danych następuje zmiana w zakresie dobrowolnego wyznaczania ABI na rzecz systemu, w którym w odniesieniu do wielu podmiotów przewidziany jest obowiązek wyznaczenia inspektora ochrony danych.

RODO wprowadza obowiązek powołania IODO w każdym przypadku, gdy główna działalność administratora polega na przetwarzaniu na dużą skalę danych wrażliwych, w tym danych o zdrowiu. W świetle prac grupy roboczej działającej przy Generalnym Inspektorze Danych Osobowych z obowiązku powoływania inspektorów mają być zwolnione indywidualne praktyki lekarskie. Nowa ustawa o ochronie danych osobowych nie dostarczyła gotowych rozwiązań pozwalających na jednoznaczne ustalenie, jakie podmioty będą posiadały obowiązek wyznaczenia Inspektora, niemniej w projekcie Kodeksu branżowego odwołano się do kryterium ilościowego, zgodnie z którym przetwarzanie na dużą skalę nie dotyczy podmiotów wykonujących działalność leczniczą udzielających:

– ambulatoryjnych świadczeń zdrowotnych, w tym w ramach Ambulatoryjnej Opieki Specjalistycznej, które zrealizowały świadczenia dla nie więcej niż 600 unikalnych pacjentów, w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy) lub

– wyłącznie świadczeń POZ i nie posiadających więcej niż 2750 przypisanych pacjentów w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).

– stacjonarnych i całodobowych świadczeń zdrowotnych:

a) szpitalnych, które udzielały świadczeń zdrowotnych dla nie więcej niż 100 unikalnych pacjentów;

b) innych niż szpitalne, które udzielały świadczeń zdrowotnych dla nie więcej niż 150 unikalnych pacjentów;

w ostatnich 3 miesiącach (średnia z 3 poprzednich miesięcy).

Inspektorem może być zarówno pracownik, jak i podmiot zewnętrzny w stosunku do przedsiębiorcy. Nie może być nim jedynie sam administrator z uwagi na konieczność zachowania niezależności IODO. RODO nie wprowadza jednak żadnych szczególnych wymogów kwalifikacyjnych dla osoby sprawującej taką funkcję, poza wskazaniem, iż musi ona posiadać wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych.

 

Nowa dokumentacja

Nowa ustawa nie przewiduje już konieczności opracowywania polityki bezpieczeństwa w zakresie danych osobowych oraz instrukcji bezpieczeństwa systemu informatycznego. Zamiast tych dokumentów RODO wprowadza jednak obowiązek posiadania przez wszystkie podmioty przetwarzające szczególne kategorie danych (tzw. dane wrażliwe) nowego dokumentu – rejestru czynności przetwarzania . Będzie on zawierał m. in. informacje o technicznych i organizacyjnych środkach bezpieczeństwa. Podstawą jego opracowania powinna być w znacznej mierze istniejąca u Państwa polityka bezpieczeństwa i instrukcja.

Struktura „Rejestru czynności przetwarzania”

  • nazwę i dane kontaktowe administratora danych oraz dane kontaktowe IODO jeżeli został powołany,
  • cel przetwarzania danych osobowych,
  • opis kategorii osób, których dane dotyczą oraz zakres danych (wrażliwe lub zwykłe),
  • kategorie odbiorców, którym dane zostały lub zostaną udostępnione,
  • informację o przekazywaniu danych do państwa trzeciego wraz z dokumentacją opisującą zastosowane zabezpieczenia w tym procesie,
  • planowany termin usunięcia danych osobowych,
  • ogólny opis zastosowanych zabezpieczeń technicznych i organizacyjnych.

     

    Obowiązek zgłaszania naruszeń

    Projekt ustawy o ochronie danych osobowych przewiduje obowiązek dokonywania przez administratorów zgłoszeń do Prezesa Urzędu Ochrony Danych Osobowych w wypadku naruszenia bezpieczeństwa danych. Zgłoszenia te miałyby być dokonywane bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Dodatkowo konieczne będzie prowadzenie dokumentacji stwierdzonych naruszeń oraz informowanie osób, których dane dotyczą o naruszeniach, które wystąpiły (poprzez informację indywidualną albo publiczny komunikat).

     

    Co powinno zawierać „Zgłoszenie naruszenia ochrony danych osobowych”

    • opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;
    • imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
    • opis możliwych konsekwencji naruszenia ochrony danych osobowych;
    • opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
     

    Administracyjne kary pieniężne

    RODO przewiduje wysokie kary administracyjne za naruszenia dotyczące przetwarzania danych osobowych. Górna granica kar to aż 20.000 000 EUR lub do 4 % całkowitego rocznego obrotu. Należy jednak pamiętać, że RODO zawiera również przesłanki, jakimi powinien kierować się Prezes Urzędu wymierzając karę pieniężną. Niemniej jednak, dolegliwość finansowa powinna być jednym z czynników motywujących lekarzy i lekarzy dentystów do zapoznania się z regulacjami RODO i wdrożenia ich w swoich praktykach.

     

    Wdrażanie RODO

    Przed przystąpieniem do przetwarzania danych osobowych na nowych zasadach podmiot przetwarzający dane wrażliwe powinien co do zasady przeprowadzić analizę ryzyka (poprzez stworzenie dokumentu oceny skutków dla ochrony danych). Z obowiązku jego sporządzania nie będą zwolnieni przedsiębiorcy, którzy przetwarzają na dużą skalę owe dane. Istnieje zatem szansa, że podobnie, jak w odniesieniu do obowiązku powołania IODO, indywidualne praktyki będą z tej analizy ryzyka zwolnione.

     

    Akty prawne:

    • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
    • Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (http://www.dziennikustaw.gov.pl/DU/2018/1000)
    • Projekt Kodeksu postępowania dla podmiotów wykonujących działalność leczniczą (http://www.rodowzdrowiu.pl/)

     

    adw. Damian Konieczny

    Instytut - Specjaliści Prawa Ochrony Zdrowia

    www.ispoz.pl

    r. pr. Leszek Kubicz

    Lubelska Izba Lekarska

    r. pr. Aleksandra Otawska-Petkiewicz

    Lubelska Izba Lekarska

    Data wytworzenia: 2018-08-13
    Odpowiada: -- w trakcie uzupełniania
    Data udostępnienia: 2018-08-13
    Udostępnił:
    Odsłon: 425
    Rejestr zmian
    Rejestr zmian
    DataAutorCharakter
    2018-09-25 15:34:50Redaktor BIP LILUaktualnienie treści
    2018-09-26 14:31:28Redaktor BIP LILUaktualnienie treści
    2018-09-26 14:33:57Redaktor BIP LILUaktualnienie treści
    © 2009-2017 Lubelska Izba Lekarska, 20-079 Lublin, ul. Chmielna 4, tel. 81 536-04-50, fax. 81 536-04-70