Od 25 maja bieżącego roku placówki medyczne zobowiązane są do stosowania nowych przepisów w zakresie ochrony danych osobowych ? a mianowicie rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, który to akt prawny znany jest powszechniej pod nazwą RODO.
Od 25 maja bieżącego roku placówki medyczne zobowiązane są do stosowania nowych przepisów w zakresie ochrony danych osobowych ? a mianowicie rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, który to akt prawny znany jest powszechniej pod nazwą RODO.
Celem wprowadzenia RODO i zmian, jakie akt ten za sobą niesie, jest zapewnienie skutecznej ochrony danych osobowych w zmieniających się warunkach technologicznych, organizacyjnych i gospodarczych, ale również zapewnienie jednolitego prawodawstwa i poziomu ochrony danych osobowych na terenie całej Europy.
Z uwagi na coraz większy przepływ danych osobowych, informatyzację, zastosowanie najnowszych technologii przy przetwarzaniu danych osobowych, ale również z uwagi na rosnącą świadomość osób, których dane są przetwarzane, palącą obecnie kwestią stało się zagadnienie ich przetwarzania, zasady jakimi należy się kierować w trakcie przetwarzania oraz szereg praw podmiotowych przysługujących potencjalnym osobom, których dane chcielibyśmy przetwarzać. Materia ta jest tym bardziej istotna i poważna w szeroko pojętej medycynie, gdzie dochodzi do przetwarzania danych osobowych na dużą skalę, a najszczęściej są to dane wrażliwe, dotyczące zdrowia danej osoby.
Podkreślenia wymaga, że ochrona danych osobowych nie jest i nie będzie skoncentrowana wyłącznie na systemach informatycznych oraz na udokumentowanych procedurach i praktykach przetwarzania danych osobowych. Ochrona danych osobowych dotyczy również przyjętych praktyk i zwyczajów, które z pewnością będą musiały zostać zmienione w wielu placówkach.
Jedną ze sfer, którą na pewno dotyka RODO, jest Home Monitoring. Co do zasady, podmioty wykonujące działalność leczniczą mogą przetwarzać dane osobowe pacjentów na podstawie art. 9 ust. 2 lit. h) RODO, który jako podstawę do przetwarzania danych osobowych wskazuje cele zdrowotne. RODO stanowi, że cele zdrowotne to działania i przetwarzanie związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej, w szczególności z zapewnianiem jakości i ekonomiczności procedur stosowanych do rozstrzygania roszczeń w sprawie świadczeń i usług w ramach systemu ubezpieczeń zdrowotnych. Wskazuje się ponad to, że przetwarzanie danych na podstawie art. 9 ust. 2 lit. h) RODO może się odbywać do celów profilaktyki zdrowotnej lub medycyny pracy, oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Przetwarzanie danych osobowych pacjenta w celach zdrowotnych na podstawie art. 9 ust. 2 lit. h) RODO odbywa się co do zasady w związku z wykonywaniem działalności leczniczej zgodnie z ustawą o działalności leczniczej przy zachowaniu obowiązków wynikających z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
W przypadku Home Monitoringu zdarza się, że podmiotem bezpośrednio zbierającym dane osobowe dotyczące zdrowia z urządzeń transmitujących jest producent urządzeń, świadczący właśnie usługę monitorowania pacjenta. Zgodnie z definicją zawartą w RODO ? administorem danych osobowych jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. W takim wypadku wydaje się, iż jeżeli producenci takich urządzeń transmitujących zbierają bezpośrednio dane osobowe pacjentów dotyczące określonych wskaźni-ków i cech zdrowia, poprzez prowadzenie centrum monitorującego w określonych celach i w określony sposób, stają się administratorami danych osobowych w rozumieniu RODO. Producenci urządzeń transmitujących jako niebędący podmiotami wykonującymi działalność medyczną nie mogą skorzystać z podstawy przetwarzania określonej w art. 9 ust. 2 lit. h) RODO i potrzebują inną podstawę, którą może być zgoda na przetwarzanie, tj. podstawa określona w art. 9 ust. 2 lit. a) RODO. Zapewne część danych osobowych pacjenta jest już na wcześniejszym etapie zbierana przez placówki medyczne przeprowadzające zabiegi wszczepienia takich urządzeń, wobec czego w zakresie tych danych to placówka będzie ich administratorem.
W relacjach pomiędzy placówkami medycznymi a producentami urządzeń transmitujących istotne jest zadbanie o bezpieczeństwo i ochronę ewentualnych przekazywanych między sobą danych osobowych pacjentów i określenie relacji administrator ? podmiot przetwarzający. Podmiotem przetwarzającym ? w myśl RODO ? jest podmiot, który przetwarza dane osobowe w imieniu i na rzecz administratora. Art. 28 RODO wskazuje, że jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wy-łącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Dlatego też tak ważne jest zawieranie odpowiednich umów o powierzenie przetwarzania danych osobowych i dokładne analizowanie relacji pomiędzy administatorami danych a podmiotami przetwarzającymi.
Wobec wejścia w życie nowych przepisów RODO istotnym jest, aby zaktualizować wszelkie informacje oraz ewentualne zgody otrzymywane od pacjentów w ramach przetwarzania danych osobowych, tak by spełniały one wszelkie wymagania rozporządzenia. RODO szczegółowo odnosi się do wymagań, jakie powinna spełniać zgoda danej osoby na przetwarzanie danych osobowych, a szczegółowo kwestia ta została opisana w art. 7 i 8 RODO. Z kolei wymagania nałożone na administratorów w zakresie spełniania obowiązku informacyjnego wobec osób, których dane są przetwarzane, znaleźć możemy w art. 13 i 14 RODO i są to m.in. tożsamość i dane kontaktowe, dane kontaktowe inspektora ochrony danych (jeżeli dotyczy), cel przetwarzania danych osobowych wraz z podstawą prawą czy też informacje o odbiorcach danych osobowych.
Istotnym jest również, by w sposób odpowiedni przeanalizować sposób prowadzenia Home Monitoringu, jak również relacje administrator ? podmiot przetwarzający. Ważne, aby zadbać o zawieranie niezbędnych umów o powierzenie przetwarzania danych osobowych, jeżeli do takiego dochodzi w ramach zlecanego Home Monitoringu.
Niezwykle istotnym jest, by dostęp i możliwość przetwarzania takich danych osobowych miały wyłącznie osoby upoważnione ? odpowiednio przez administratora danych osobowych lub podmiot przetwarzający dane osobowe. Upoważ-nienia takie powinny wskazywać możliwie szczegółowo zakres danych osobowych,
do których taka osoba ma dostęp, oraz możliwe sposoby przetwarzania danych osobowych. Aby uniknąć wątpliwości, czy dana osoba mogła uzyskiwać dostęp do konkretnych danych osobowych zaleca się prowadzenie rejestru osób upoważnionych do przetwarzania danych osobowych.
Niewątpliwie przy przetwarzaniu danych osobowych jedną z najbardziej kluczowych kwestii jest ich bezpieczeństwo i ochrona. Oznacza to, że zwłaszcza wobec tak wrażliwych danych, jakimi są dane dotyczące zdrowia, powinno się wdrożyć wszelkie możliwe środki organizacyjne i techniczne mające na celu zabezpieczenie danych osobowych, w tym na pewno poprzez ograniczenie dostępu do takich informacji wyłącznie do osób do tego upoważnionych.
Marcin Kotus
http://cyrson-jarocha.pl/wordpress/