RODO nie aż takie straszne? Listy do samokontroli od CSIOZ i kodeks branżowy pomogą

16 Marca 2018, 14:58 prawo

Wojciech Górnik, wicedyrektor CSIOZ apeluje by w sprawie wprowadzania RODO w ochronie zdrowia zachować zdrowy rozsądek. Jakie rozwiązania mające pomóc szpitalom, poradnio i innym placówkom są szykowane?

Administratorem danych osobowych jest każdy podmiot, który prowadzi dokumentację medyczną. Wprowadzenie unijnych regulacji dotyczących ochrony danych osobowych (RODO) oznacza duże zmiany w zakresie funkcjonowania placówek medycznych. Od 25 maja będą one musiały dostosować się do nowego sposobu przetwarzania informacji o pacjentach. Tej tematyce poświęcona była środowa (14 marca) konferencja "RODO w sektorze medycznym - gdzie jesteśmy, dokąd zmierzamy?". Patronat nad konferencją miała Polityka Zdrowotna. 

Bez taryfy ulgowej w zdrowiu

- RODO dotyczy wszystkich administratorów danych, niezależnie od branży. Nie ma więc taryfy ulgowej dla ochrony zdrowia - mówił mecenas Piotr Najbuk z kancelarii Domański Zakrzewski Palinka (DZP). Zaprezentował on założenia kodeksu dla branży medycznej, ułatwiającego stosowanie zasad rozporządzenia unijnego RODO, nad którym pracuje szerokie grono ekspertów i partnerów społecznych. 

Z uwagi na to, że nowe przepisy wchodzą w formie unijnego rozporządzenia muszą być stosowane bezpośrednio przez każde z państw członkowskich. Jak wskazywała prawnik Agata Kruczyk z kancelarii Domański Zakrzewski Palinka, aby RODO w pełni funkcjonowało nie będzie potrzeby nowelizacji ustawy o ochronie danych osobowych. A mimo to, każdy podmiot będzie zobligowany do przestrzegania przepisów rozporządzenia.

Dane u podmiotów zewnętrznych

Nowe prawo spowoduje, że zmienią się warunki powierzenia danych osobowych innym firmom i ich podwykonawcom – dostawcom oprogramowania czy poczty elektronicznej. Katarzyna Korulczyk, specjalista ds. ochrony danych osobowych Grupy Lux Med przypomniała, że RODO zakazuje przekazywania informacji niewymienionym z nazwy podmiotom. To duże utrudnienie, gdyż tych podwykonawców jest zazwyczaj bardzo wielu, co znacznie zwiększa objętość umowy. W związku z tym, jak zaznaczyła specjalistka, Lux Med postanowił wybrać inny dopuszczalny wariant i wskazać w umowie z klientem kategorie podwykonawców, którym przekazywane będą ich dane. Co ciekawe, zakłada ona zakaz przekazywania danych do państw trzecich, chyba, że za uprzednią zgodą Grupy Lux Med.

Wielu kontrahentów, wiele polityk

Ekspertka z Lux Medu zwracała uwagę także na fakt, że duże firmy, współpracujące z wieloma innymi mogą borykać się z problemem związanym z różnymi podejściami do tego, jak wdrażać zapisy RODO. 

- Nasi klienci starają się wymusić na nas stosowanie ich wewnętrznych procedur, ale to może oznaczać przestrzeganie setek dokumentów i nakładania ich na podprocesorów. Staramy się unikać takich sytuacji, składamy oświadczenie, że jako podmiot leczniczy jesteśmy świadomi przepisów i przestrzegamy ich, ale staramy się unikać przyjmowania wewnętrznych regulacji partnerów, które mogą być nawet sprzeczne z naszymi - wyjaśniała Korulczyk.

Zgoda pacjentów

Wraz z wprowadzeniem RODO pojawiły się również pytania o konieczność uzyskania zgody pacjenta na wykorzystywanie już przekazanych informacji. 

Obowiązek informacyjny dotyczący danych osobowych – teraz zajmujący zwykle 4-5 linijek tekstu, w związku z RODO rozrasta się do 3-4 stron A4. Najlepszym rozwiązaniem dla placówek byłoby więc, by każdy pacjent potwierdził zapoznanie się z tymi nowymi zasadami np. kliknięciem na www lub w oświadczeniu na kartkach. Ale codzienna praca i kontakt z pacjentami dają do myślenia, czy to jest możliwe i słuszne do realizacji. 

Katarzyna Korulczyk stwierdziła jednak, że w jej opinii przepisy nie mogą obowiązywać wstecz – zgodnie z art. 13 obowiązek ten dotyczy jedynie podmiotów pozyskujących dane osobowe, nie zaś tych, które już je zebrały. Jej zdaniem takie działanie mogłoby niepotrzebnie osaczać klientów zbędną dokumentacją.

A co na przyszłość? Czy prosić każdego pacjenta osobno o zapoznanie się z nowymi regulacjami? Zdaniem części ekspertów to mogłoby wręcz budzić niepokój chorych. 

– Reprezentujemy podejście, że wystarczy samo zamieszczenie obowiązku informacyjnego w takiej formie, aby pacjent mógł się z nim zapoznać, wprowadzając do regulaminów, wewnętrznych procedur oraz np. wywieszając w pobliżu rejestracji plakat – wyjaśniła Katarzyna Korulczyk. – W przypadku usług rejestracyjnych świadczonych przez call center rozwiązaniem może być konieczność wysłuchania przez pacjenta nagranego komunikatu - dodała.

CSIOZ: zachowajmy zdrowy rozsądek

Wojciech Górnik, wicedyrektor Centrum Systemów Informacyjnych Ochrony Zdrowia zaapelował do wszystkich podmiotów zajmujących się RODO o zachowanie zdrowego rozsądku. Jego zdaniem podmioty lecznicze przestały zachowywać się racjonalnie. CSIOZ chce pomóc w ustrukturyzowaniu wiedzy na temat RODO. Wskazał, iż w związku z tym w CSIOZ dokonano przeglądu dostępnych rozwiązań, a także przygotowano określone rekomendacje, które znajdą się w kodeksie branżowym.

Kodeks powstał już w wersji roboczej, jednak będzie udoskonalany. Jak zaznaczył Wojciech Górnik, dokument ma na celu uwzględnić interesy zarówno kontrolujących jak i kontrolowanych podmiotów. Zgodnie z zapowiedzią, niebawem zostanie upubliczniony i poddany szerszej dyskusji. Wicedyrektor zadeklarował, że CSOIZ ma ambicje szerokiego wspomagania podmiotów medycznych w zakresie RODO. Przypomniał, że już odbyły się trzy edycje szkoleń informatycznych, a w przyszłości zostaną również stworzone gotowe listy, które placówki będą mogły wykorzystać do samokontroli.

Ewa Borek z Fundacji My Pacjenci przypomniała, że wtórne wykorzystanie danych osobowych jest niezwykle ważne i leży także w interesie pacjentów. Dane medyczne ratują życie i zdrowie – przypomniała Prezes Fundacji.

Organizatorami konferencji byli: kancelaria Domański Zakrzewski Palinka, Polska Federacja Szpitali, Pracodawcy Medycyny Prywatnej, Uczelnia Łazarskiego.

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz