RODO w fizjoterapii

WSTĘP

Dzisiejszym wpisem rozpoczynamy cykl artykułów, które będą dotyczyć zagadnień prawnych związanych z prowadzeniem działalności fizjoterapeutycznej.

Pierwszy cykl artykułów dotyczyć będzie aktu prawnego, który funkcjonuje w powszechnej świadomości pod nazwą RODO. Z dużą dozą prawdopodobieństwa można założyć, że większość fizjoterapeutów zetknęło się w ostatnim czasie z tą nazwą. Temat danych osobowych jest niewątpliwie bardzo na czasie.

Zanim przejdziemy do bardziej praktycznych zagadnień, które będą przydatne we wdrożeniu RODO w prowadzonej placówce fizjoterapeutycznej, musimy wyjaśnić:

  • czym tak naprawdę jest RODO,

  • jaki jest aktualnie obowiązujący system prawny ochrony danych osobowych – jakie przepisy obowiązują, a jakie przestały obowiązywać, gdzie szukać odpowiedzi na konkretne zagadnienia,

  • kto jest zobowiązany stosować przepisy RODO – czy na pewno mnie to dotyczy?

1. CZYM JEST RODO?

RODO stanowi skrót od nazwy Rozporządzenie o Ochronie Danych Osobowych, przy czym nawet ta nazwa stanowi skrót, bowiem pełna nazwa tego aktu prawnego to: „Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE”. Zatem rzeczywiście łatwiej posługiwać się określeniem tego aktu prawnego jako „RODO”. Możesz także spotkać się ze skrótem „GDPR” to angielskojęzyczny określenie na RODO i pochodzi od nazwy „General Data Protection Regulation”.

RODO, jak nazwa wskazuje jest aktem prawnym mającym charakter rozporządzenia. Należy jednak podkreślić, że RODO jest aktem prawa unijnego, który obowiązuję w całej Unii Europejskiej. Jest to zatem rozporządzenie unijne, które w przeciwieństwie do naszych polskich rozporządzeń, ma pierwszeństwo przed ustawami.

2. AKTUALNIE OBOWIĄZUJĄCY SYSTEM PRAWNY OCHRONY DANYCH OSOBOWYCH

Przed rozpoczęciem stosowania RODO (tj. przed dniem 25 maja 2018 r.) w Polsce zagadnienia dotyczące ochrony danych osobowych uregulowane były w ustawie o ochronie danych osobowych z dnia 29 sierpnia 1997 r.

Wobec faktu, iż RODO jako rozporządzenie unijne jest wyższe rangą od ustaw krajowych, w praktycznym wymiarze dotychczas obowiązująca ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. straciła rację bytu.

Z tego względu w dniu 10 maja 2018 r. weszła w życie nowa ustawa o ochronie danych osobowych, która jednak stanowi aktualnie tylko formalne uzupełnienie kwestii dotyczących ochrony danych osobowych. Ustawa ta, odmiennie niż poprzednio obowiązująca ustawa, nie reguluje już bezpośrednio zasad ochrony danych osobowych, te zapisane są bowiem w RODO.

Podsumowując, warto zapamiętać aktualnie obowiązujący w Polsce system ochrony danych osobowych składa się z:

  1. rozporządzenia unijnego „RODO” – zasadniczy akt prawny, w tym akcie znajdziesz przepisy które określają m.in.:

  • zasady odnoszące się do ochrony danych osobowych – warto je poznać, gdyż w ich świetle należy stosować wszystkie szczegółowe przepisy zawarte w RODO,

  • prawa jakie przysługują osobom, których dane są przetwarzane – określają m.in. żądania jakie względem Ciebie mogą kierować osoby których dane przetwarzasz (np. pacjenci, współpracownicy, kontrahenci),

  • zasady dotyczące zapewnienia bezpieczeństwa danych – są to wymagania jakie każdy administrator danych oraz podmiot je przetwarzający powinien zapewnić,

  • treści umów w przedmiocie powierzenia przetwarzania danych osobowych – przepisy szczegółowo określają co powinna zawierać prawidłowo skonstruowana umowa, na podstawie której następuje powierzenie danych.

  • odpowiedzialność za naruszenia przepisów RODO – przepisy określające w jakich sytuacjach możesz ponosić odpowiedzialność, zawierają także regulacje dotyczące możliwy kar jakie mogą zostać nałożone za nieprzestrzeganie RODO.

  1. ustawa o ochronie danych osobowych z dnia 10 maja 2018 r. – pomocniczy akt prawny, w tym akcie znajdziesz przepisy które określają m.in.:

  • procedurę zawiadamiania o powołaniu Inspektora Ochrony Danych – przepisy RODO określają, kiedy Inspektor powinien być powołany, tutaj znajdziesz wymagania określające jak zgłosić do organu fakt powołania Inspektora,

  • przepisy dotyczące organizacji Urzędu Ochrony Danych Osobowych (organ który zastąpił wcześniej istniejący organ tj. Generalnego Inspektora Ochrony Danych Osobowych – „GIODO”) – te przepisy są potencjalnie mało istotne dla Ciebie, zapamiętaj jedynie, że nie ma już GIODO, a nowy organ, z którym potencjalnie możesz mieć styczności występuje pod nazwą „PUODO” (Prezes Urzędu Ochrony Danych Osobowych).

  • regulacje odnoszące się do opracowywania i zatwierdzania kodeksów postępowania tzw. „kodeksy branżowe” – na dzień dzisiejszy takie kodeksy branżowe są w fazie przygotowań. Jednym z takich kodeksów jest kodeks tworzony dla sektora medycznego. W przypadku zatwierdzenia takiego kodeksu przez PUODO, będzie można korzystać z rozwiązań w nim zawartych. Będziemy informować o postępach prac w tym zakresie.

  • przepisy regulujące zasady prowadzenia postępowania administracyjnego przez PUODO w sprawie naruszenia przepisów o ochronie danych osobowych – znajdziecie tutaj przepisy przydatne w sytuacji, gdy miała miejsce u Ciebie kontrola stosowania RODO.

Mając tę wiedzę łatwiej będzie Ci nawigować w poszukiwaniu odpowiednich przepisów.

Warto także wiedzieć, że w kontekście wymaganych środków zabezpieczenia danych osobowych, nie obowiązuje już Rozporządzenie Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych z dnia 29 kwietnia 2004 r. (Dz.U. Nr 100, poz. 1024)jest to rozporządzenie, które na gruncie poprzednio obowiązującej ustawy o ochronie danych osobowych (z 1997 r.) regulowało wymagane zabezpieczenia w postaci środków organizacyjnych (polityka prywatności, instrukcja zarządzania systemem informatycznym) oraz technicznych (wymagania dotyczą haseł, kopii bezpieczeństwa itp.).

Zapamiętaj, obecnie to jakie musisz podjąć działania w celu zabezpieczenia danych (środki organizacyjne i techniczne), wynikać powinno z dokonanej przez Ciebie analizy ryzyka. Co to w praktyce oznacza, dowiesz się z kolejnych artykułów.

Zakres danych osobowych jakie możesz przetwarzać w Twojej działalności fizjoterapeutycznej wynika także z przepisów, które regulują wykonywanie zawodu fizjoterapeuty. Są to przede wszystkim następujące przepisy:

  • Ustawa o zawodzie fizjoterapeuty Dz.U. z 2015 r. poz. 1994 t.j. Dz.U. z 2018 r. poz. 505

  • Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta Dz.U. 2009 Nr 52, poz. 417 t.j. Dz.U. z 2017 r. poz. 1318

  • Ustawa o działalności leczniczej Dz.U. 2011 Nr 112, poz. 654 t.j. Dz.U. z 2018 r. poz. 160.

3. KTO JEST ZOBOWIĄZANY STOSOWAĆ PRZEPISY RODO?

Pytanie podstawowe jakie być może sobie zadajesz – czy to w ogóle mnie dotyczy? Czy naprawdę muszę poznać te przepisy i je stosować? Odpowiedź niestety brzmi – tak. Z czego to wynika?

  1. Masz dostęp do danych osobowych – przykładowe dane osobowe, z którymi masz styczność (przetwarzasz je) prowadząc działalność fizjoterapeutyczną to:

    1. dane pacjentów (dane identyfikujące, dane kontaktowe, dane odnoszące się do ich historii choroby),

    2. dane przedstawicieli ustawowych lub osób upoważnionych do odbioru dokumentacji medycznej,

    3. dane pracowników lub współpracowników,

    4. dane kontrahentów.

  2. Przetwarzasz dane osobowe – przykładowo w następujący sposób – zbierasz, przechowujesz, porządkujesz, przeglądasz, wykorzystujesz, a czasami ujawniasz lub udostępniasz (np. na żądanie), gdy istnieje ku temu odpowiednia podstawa.

  3. Przetwarzasz dane w sposób zautomatyzowany (np. w ramach różnego rodzaju systemu informatycznych wspomagających Twoją działalność jak na przykład AsPhys) lub w inny sposób w ramach zbiorów danych, w tym także pisemnych np. kartoteki pacjenta, zestawienia, księgi rachunkowe, dokumentacja pracownicza.

  4. Przykładowe kategorie danych, które przetwarzasz w ramach zbiorów to dane odnoszące się do: pacjentów, pracowników, współpracowników oraz kontrahentów.

Na marginesie warto wiedzieć, że RODO nie ma zastosowania do przetwarzania danych przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze zatem w zakresie Twoich spraw prywatnych, nie związanych z prowadzoną działalnością, nie jesteś zobowiązany stosować RODO. Przykładowo nie potrzebujesz zatem zgody gości na przetwarzanie ich danych osobowych w celu wysłania do nich zaproszenia na prywatną imprezę.

autor: radca prawny Mateusz Nowak
strona firmowa: www.radcaprawnyit.pl
adres e-mail: mateusznowak@radcaprawnyit.pl

Archiwum