ZARZĄDZANIE RYZYKIEM W PLACÓWCE LECZNICZEJ

ZARZĄDZANIE RYZYKIEM W PLACÓWCE LECZNICZEJ

Kompetencje dla rozwoju sektora ochrony zdrowia

ZARZĄDZANIE RYZYKIEM W PLACÓWCE LECZNICZEJ

Kompetencje dla rozwoju sektora ochrony zdrowia

© Copyright by Uczelnia Łazarskiego Warszawa 2019

DOI: 10.26399/izwoz.2019.01

Opracowanie redakcyjne:

JAMANO Sp. z o.o., autorzy:

Adam Klimowski - rozdziały 1, 7, 9, 10

Iwona Magdalena Aleksandrowicz - rozdziały 5, 6, 8 Paweł Domagała - rozdziały 3, 4, 11

Paweł Makowski - rozdział 2

Opracowanie graficzne: Izabela Cieślikowska

Wydawca: Uczelnia Łazarskiego

ul. Świeradowska 43, 02-662 Warszawa Polska + 48 /22/ 54-35-450, + 48 /22/ 54-35-410 wydawnictwo@lazarski.edu.pl

www.lazarski.pl

PROJEKT „KOMPETENCJE DLA ROZWOJU SEKTORA OCHRONY ZDROWIA” W RAMACH PROGRAMU OPERACYJNEGO WIEDZA, EDUKACJA, ROZWÓJ 2014-2020 WSPÓŁFINANSOWANY JEST ZE ŚRODKÓW EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO. POWR.05.02.00-00-0047/16

Lider projektu:

Uczelnia Łazarskiego Partnerzy projektu:

Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie Ogólnopolski Związek Pracodawców Szpitali Powiatowych

WSTĘP 6 1. PODSTAWOWE ZADANIA PLACÓWKI MEDYCZNEJ W OBSZARZE BEZPIECZEŃSTWA DANYCH 9 2. INSPEKTOR OCHRONY DANYCH – DORADCA PLACÓWKI MEDYCZNEJ

W ZAKRESIE OCHRONY DANYCH OSOBOWYCH 34

3. ROLA PERSONELU PLACÓWKI MEDYCZNEJ W ZAPEWNIANIU BEZPIECZEŃSTWA DANYCH 50 4. NIEZBĘDNA WIEDZA ORAZ ŚWIADOMOŚĆ PERSONELU PLACÓWKI MEDYCZNEJ 61

5. PRAWA PACJENTÓW, PRAWA PRACOWNIKÓW 76

6. PODSTAWOWA DOKUMENTACJA FUNKCJONOWANIA PLACÓWKI MEDYCZNEJ

– WYMOGI PRAWNE 86

7. DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH JAKO REALIZACJA ZASADY

ROZLICZALNOŚCI 100

8. ZASADY WYDAWANIA I EWIDENCJONOWANIA WYDAWANIA DOKUMENTACJI MEDYCZNEJ 114

9. PRZEKAZYWANIE DANYCH OSOBOWYCH PACJENTÓW 119

10. ORGANIZACJA PRACY PLACÓWKI MEDYCZNEJ 132

11. ARCHIWIZACJA DOKUMENTACJI MEDYCZNEJ 148

SPIS TREŚCI

WSTĘP

Podstawowe zadanie placówki medycznej to zapewnienie bezpieczeństwa pacjentom. Sukces na tym polu zależy przede wszystkim od sprawnego prowadzenia procesów zarządzania pla- cówką medyczną, w sposób, który możliwie efektywnie adresuje cała masę problemów i ryzyk związanych z funkcjonowaniem podmiotów leczniczych w Polsce. Do kluczowych wyzwań z całą pewnością należy zaliczyć trzy następujące: zapewnianie zgodności z przepisami prawa, realizacja praw pacjentów i zarządzanie dokumentacją medyczną.

Ochrona danych osobowych przenika każde z powyższych zadań, determinuje wręcz powodze- nie w ich realizacji. I w tym aspekcie ochrona danych osobowych pacjentów jawi się jako jedno z najważniejszych zadań, przed jakim staje każdy podmiot leczniczy. Wiele placówek medycznych w Polsce ma przed sobą jeszcze dużo do zrobienia w tym obszarze, o czym najlepiej świadczy skala zastrzeżeń do szpitali skierowanych przez Najwyższą Izbę Kontroli w jej raporcie z listopada 2019 r.

O potrzebie poszanowania prawa pacjentów do prywatności mówi się już od wielu lat. To jedno z podstawowych praw każdej osoby, znajdujące swoje źródło w tak ważnych aktach prawnych jak Karta Praw Podstawowych Unii Europejskiej (art. 7) czy Konstytucja Rzeczypospolitej Polskiej (art. 49), przez długi czas nie mogło doczekać się właściwego mu miejsca w zasadach udzie- lania świadczeń opieki zdrowotnej. W związku ze stosowanym od 25 maja 2018 r. ogólnym rozporządzeniem o ochronie danych (RODO), wszyscy administratorzy danych (w tym placówki medyczne) biorą jednak coraz większość odpowiedzialność za dbałość o dane osobowe swoich pacjentów, podnosząc standardy bezpieczeństwa i kulturę organizacyjną w tym zakresie.

Aktywność na tym polu jest tym bardziej oczekiwana z uwagi na wagę posiadanych informacji.

Podmioty lecznicze pracują na danych o stanie zdrowia – od lat definiowanych jako dane wrażli- we. RODO nazywa je danymi szczególnej kategorii i wymaga, by chronić ze szczególną staranno- ścią. Wynika to z faktu, że konsekwencje ich utraty mogą być dla pacjenta znacznie poważniejsze niż wyciek zwykłego adresu e-mail. Tytułem przykładu, nietrudno sobie wyobrazić szkody, jakie mogą się wiązać z niewłaściwym wykorzystaniem informacji o jakiejś wstydliwej chorobie pacjen- ta, wskazując chociażby na możliwość naruszenia dobrego imienia takiej osoby. Jeśli dodamy do tego szeroki zakres danych, który pozyskuje podmiot leczniczy (w tym numery PESEL pacjentów), to otrzymujemy bardzo wrażliwą mieszankę informacji immanentnie dotyczących danej osoby, niezmiennych i określających jednoznacznie jego cechy osobowe.

RODO wprowadza również system kar za niewłaściwe przetwarzanie danych osobowych. Co więcej, przyznaje również każdemu pacjentowi prawo sądowego dochodzenia odszkodowania lub zadośćuczynienia za wszelkie szkody, jakie mogą wystąpić z powodu naruszenia przepisów RODO przez placówkę medyczną. Te odpowiedzialności z pewnością należy uwzględniać w pro- cesach szacowania ryzyka w działalności podmiotów leczniczych. W jaki sposób?

Niniejsza publikacja powstała, aby pomóc placówkom medycznym w Polsce w lepszym zrozu- mieniu problematyki ochrony danych osobowych – a tym samym lepiej zaadresować ryzyko związane z tym obszarem dla funkcjonowania placówki medycznej. Opisując poszczególne za- gadnienia z zakresu ochrony danych osobowych oraz obowiązki wynikające z RODO oraz prze- pisów branżowych, autorzy opierają się na praktycznych przykładach i dostarczają użytecznych rozwiązań w tak kluczowych dla funkcjonowania placówek obszarów jak: realizacja obowiązków informacyjnych, udostępnianie dokumentacji medycznej, niezbędna wiedza personelu medycz- nego z zakresu ochrony danych czy też standardy organizacyjne placówek medycznych służące poszanowaniu prawa do prywatności pacjentów

Oddajemy tę publikację w Państwa ręce z nadzieją, że znajdą w niej Państwo cenną pomoc w za- pewnianiu zgodności placówki medycznej z wymogami RODO i innych przepisów dotyczących ochrony danych osobowych. Będzie natomiast naszą największą satysfakcją, jeśli proponowane w publikacji rozwiązania i przykłady znajdą zastosowanie w codziennej Państwa pracy.

W imieniu autorów publikacji, Paweł Makowski, JAMANO Sp. z o.o.

1. PODSTAWOWE ZADANIA PLACÓWKI MEDYCZNEJ

W OBSZARZE

BEZPIECZEŃSTWA DANYCH

Słowa kluczowe: administrator danych, audyt bezpieczeństwa, ryzyko.

WSTĘP

25 maja 2018 r. był datą przełomową, jeżeli chodzi o ochronę danych osobowych w Polsce.

Specjaliści od bezpieczeństwa informacji spierają się i spierać będą, czy zastąpienie przepisów opartych na dyrektywie¹ unormowaniami rozporządzenia² było rewolucją, czy ewolucją.

Spojrzenie na sprawę z punktu widzenia administratorów danych, takich jak np. placówki me- dyczne, nie pozostawia tutaj żadnych wątpliwości: mamy do czynienia z podejściem diametralnie różnym. O ile do tej pory podmioty lecznicze miały jasno wskazane obowiązki związane z ochro- ną danych osobowych – od tak fundamentalnych jak posiadanie polityki bezpieczeństwa o okre- ślonej treści do tak szczegółowych jak regulowanie minimalnej długości hasła dostępu – o tyle po maju 2018 r. część administratorów mogła odnieść wrażenie, że konkretów jest jak na lekarstwo.

Założenie było oczywiście słuszne: w zmieniającym się na naszych oczach świecie tworzenie sztywnych, kazuistycznych aktów prawnych mija się z celem, podobnie jak dawanie konkretnych zaleceń technicznych (zarówno w zakresie hardware’u, jak i software’u). Ochrona danych oso- bowych ma być jak ubranie od krawca: szyta na miarę i dostosowana do potrzeb i możliwości administratora danych. Kluczowymi hasłami są tutaj analiza ryzyka i przestrzeganie ogólnych zasad RODO.

ZASADY DOTYCZĄCE PRZETWARZANIA DANYCH OSOBOWYCH

Ogólne zasady przetwarzania danych osobowych przedstawiają się, zgodnie z art. 5 RODO, następująco:

1) zgodność z prawem, rzetelność i przejrzystość, 2) ograniczenie celu,

3) minimalizacja danych, 4) prawidłowość,

5) ograniczenie przechowywania, 6) integralność i poufność, 7) rozliczalność.

1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz. UE L Nr 281, s. 1) (dalej „Dyrektywa 95/46/WE”).

2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) Nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku

z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L Nr 119, s. 1) (dalej „RODO”).

ZGODNOŚĆ Z PRAWEM, RZETELNOŚĆ I PRZEJRZYSTOŚĆ

Zgodność z prawem oznacza, że jeżeli konkretny przepis prawa określa, jak lub w jakim zakre- sie należy przetwarzać dane osobowe, obowiązkiem administratora jest postępowanie w zgo- dzie z tym przepisem. Rzetelność i przejrzystość oznacza, że dane osobowe zbierane są w spo- sób jasny i zrozumiały dla osoby, której dane dotyczą (pacjenta, pracownika, przedstawiciela kontrahenta itd.).

Dane osobowe muszą być (…) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (…)

- art. 5 ust. 1 lit. a RODO

Zgodnie z ustawą o prawach pacjenta

, w dokumentacji pacjenta

pełnoletniego mają się znaleźć następujące dane osobowe na jego temat:

imię, nazwisko, data urodzenia, płeć, adres miejsca zamieszkania, numer PESEL.

Zbieranie wskazanego zakresu danych na podstawie zgody pacjenta jest niezgodne z prawem (podstawą będzie tu nie zgoda, ale przepis prawa) i nierzetelne (pacjent został wprowadzony w błąd, np. co do zakresu uprawnień, jakie mu w związku z „wyrażeniem zgody” przysługują).

3 Ustawa z dnia 06.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j.: Dz.U. z 2019 r. poz. 1127 ze zm.) (dalej „ustawa o prawach pacjenta”).

OGRANICZENIE CELU

Administrator danych musi jasno określić cele, dla których przetwarza dane osobowe (przede wszystkim na podstawie wiążących go przepisów prawa). Przykładowo placówka medyczna zbiera dane pacjentów po to, by:

❒ udzielać świadczeń zdrowotnych,

❒ prowadzić dokumentację medyczną,

❒ realizować obowiązki wobec NFZ.

W zakresie realizacji powyższych uprawnień, podmiot leczniczy może w szczególności gromadzić informacje o adresie miejsca zamieszkania pacjenta. Jednakże już wykorzystanie takiej informacji w celu wysyłania pacjentowi komunikacji marketingowej podmiotu współpracującego z placów- ką medyczną byłoby nadużyciem zakreślonego celu.

Dane osobowe muszą być (…) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami (…)

- art. 5 ust. 1 lit. b RODO

Wyczytywanie nazwiska pacjenta, czekającego w kolejce do lekarza, jest przykładem naruszenia minimalizacji danych. Dla osiągnięcia celu (poproszenie osoby czekającej na swoją kolej) wystarczające będzie użycie następującej formuły: „Zapraszam pana z 10:30” lub „Proszę panią Sylwię”.

26 zarzutów dotyczących oszustw gospodarczych usłyszała 44-letnia właścicielka firmy z Katowic, która wykorzystywała dane z przesłanych jej życiorysów zawodowych między innymi do zawierania umów pożyczkowych.

– Kobieta, w ramach prowadzonej działalności gospodarczej i pod pretekstem chęci zatrudnienia w swojej firmie nowych pracowników, wchodziła w

posiadanie ich danych osobowych, zawartych w treści składanych przez nich CV – podała policja.

Okazało się, że osób zgłaszających swoje kandydatury, właścicielka firmy nie zatrudniała.

Na podstawie danych umieszczonych w dokumentach rekrutacyjnych zawarła jednak aż kilkanaście umów. Kontrahentami były spółki zajmujące się udzielaniem pożyczek przez Internet, banki oraz podmioty świadczące usługi telekomunikacyjne.

- Ogłaszała nabór do pracy, żeby wyłudzać pożyczki na podstawie CV

MINIMALIZACJA DANYCH

Wykorzystanie danych osobowych musi ograniczać się do niezbędnego minimum. Ocenia się je przede wszystkim ze względu na cel, dla którego przetwarzane są dane osobowe. Jeżeli dla realizacji obowiązku prawnego, zawarcia umowy lub spełnienia innej przesłanki wystarczające jest zebranie określonego zakresu danych – należy się go trzymać. Gromadzenie danych osobo- wych „na przyszłość”, „bo mogą się przydać” lub z innych przyczyn, jest naruszeniem RODO.

4 Ogłaszała nabór do pracy, żeby wyłudzać pożyczki na podstawie CV, https://www.tvp.info/43922832/oglaszala-nabor-do-pracy-zeby-wyludzac- pozyczki-na-podstawie-cv (dostęp 28.11.2019 r.).

Dane osobowe muszą być (…) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (…)

– art. 5 ust. 1 lit. c RODO

PRAWIDŁOWOŚĆ

Placówka medyczna jako administrator danych powinna dążyć do tego, by zawsze działać na aktualnych danych osobowych. Ma to oczywiście wyjątkowe znaczenie przy szczególnej katego- rii danych, jaką są informacje o stanie zdrowia, ale także w innych sprawach (np. związanych ze zmianą nazwiska pacjenta po ślubie).

OGRANICZENIE PRZECHOWYWANIA

Dane osobowe (zarówno zwykłe, jak i „wrażliwe”) muszą być przechowywane tak długo, jak jest to konieczne ze względu na cel, dla którego zostały zebrane. W wielu przypadkach takie terminy są z góry określone, np. przy terminach przechowywania dokumentacji medycznej.

Dane osobowe muszą być (…) prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane (…) - art. 5 ust. 1 lit. d RODO

Dane osobowe muszą być (…) przechowywane w formie umożliwiającej identyfikację

osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów,

w których dane te są przetwarzane; dane osobowe można przechowywać przez

okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w

interesie publicznym, do celów badań naukowych lub historycznych lub do celów

statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem, że wdrożone zostaną

odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego

rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą (…)

- art. 5 ust. 1 lit. e RODO

Podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:

1) dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon;

1a) dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu;

2) zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie;

3) skierowań na badania lub zleceń lekarza, które są przechowywane przez okres:

a) 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza,

b) 2 lat, licząc od końca roku kalendarzowego, w którym wystawiono skierowanie - w przypadku gdy świadczenie zdrowotne nie zostało udzielone z powodu

niezgłoszenia się pacjenta w ustalonym terminie, chyba że pacjent odebrał skierowanie;

4) dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która jest przechowywana przez okres 22 lat.

2. Po upływie okresów wymienionych w ust. 1 podmiot udzielający świadczeń

zdrowotnych niszczy dokumentację medyczną w sposób uniemożliwiający identyfikację pacjenta, którego dotyczyła. Dokumentacja medyczna przeznaczona do zniszczenia może być wydana pacjentowi, jego przedstawicielowi ustawowemu lub osobie upoważnionej przez pacjenta.

- art. 29 ust. 1-2 ustawy o prawach pacjenta

INTEGRALNOŚĆ I POUFNOŚĆ

Zasada integralności i poufności stwarza najwięcej problemów praktycznych. Przyczyną jest tutaj odwołanie się do pojęcia odpowiednich środków technicznych lub organizacyjnych. Jak wska- zaliśmy we wstępie, twórcy RODO celowo posługiwali się pojęciami niedookreślonymi, aby za- pewnić możliwie jak najdłuższe wykorzystanie przepisów ogólnego rozporządzenia, wywołało to jednak problemy na etapie wdrażania przez poszczególnych administratorów. To wtedy pojawiły się takie absurdy jak np. „szafki zgodne z RODO”⁵.

Podkreślenia wymaga jedna istotna okoliczność: nie istnieje jeden, uniwersalny zestaw środków technicznych czy organizacyjnych, które można bezproblemowo wdrożyć u każdego administra- tora danych. Inne będą „odpowiednie środki” stosowane przez osobę prowadzącą indywidualną praktykę lekarską, inne przez ośrodek zdrowia, a jeszcze inne przez wojewódzki szpital.

Pomocą w zakresie realizacji zasady integralności i poufności staną się w najbliższej przyszłości kodeksy postępowania.

Dane osobowe muszą być (…) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (…) - art. 5 ust. 1 lit. f RODO

1. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

2. Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie niniejszego rozporządzenia, między innymi w odniesieniu do:

a) rzetelnego i przejrzystego przetwarzania;

5 A. Majchrzycki, Nie powiem, bo RODO!, https://www.kurierkamieniarski.pl/artykuly/vademecum-/1103-nie-powiem-bo-rodo.html (dostęp 28.11.2019 r.).

b) prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;

c) zbierania danych osobowych;

d) pseudonimizacji danych osobowych;

e) informowania opinii publicznej i osób, których dane dotyczą;

f) wykonywania przez osoby, których dane dotyczą, przysługujących im praw;

g) informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;

h) środków i procedur, o których mowa w art. 24 i 25 oraz środków zapewniających bezpieczeństwo przetwarzania, o których mowa w art. 32;

i) zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;

j) przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub

k) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą, na mocy art. 77 i 79.

- art. 40 ust. 1-2 RODO

6 A. Klimowski, Kto pracuje w Polsce nad kodeksami RODO, https://www.linkedin.com/pulse/kto-pracuje-w-polsce-nad-kodeksami-rodo-adam- klimowski/ (dostęp 28.11.2019 r.).

7 Zgodnie z art. 40 ust. 5 RODO i art. 27 ustawy z dnia 10.05.2008 r. o ochronie danych osobowych (t.j.: Dz.U. z 2019 r. poz. 1127 ze zm.) (dalej

„ustawa o ochronie danych osobowych”) to właśnie do Prezesa Urzędu Ochrony Danych Osobowych (następcy Generalnego Inspektora Ochrony Danych Osobowych) należą działania związane z kodeksem postępowania, w szczególności jego zatwierdzanie.

Kodeks postępowania służyć ma zatem stosowaniu przepisów ogólnego rozporządzenia w ra- mach konkretnej branży lub sektora.

Obecnie toczą się w Polsce prace przynajmniej nad kilkunastoma projektami dokumentów tego typu⁶. Ochrona zdrowia jest tym sektorem, w którym równolegle toczą się prace nad dwoma projektami:

❒ firmowany przez Federację Związków Pracodawców Ochrony Zdrowia, przeznaczony dla małych placówek medycznych oraz

❒ firmowany przez Polską Federację Szpitali, przeznaczony dla podmiotów medycznych.

Do chwili obecnej (listopad 2019 r.) żaden z projektów nie został jeszcze oficjalnie zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych⁷.

ROZLICZALNOŚĆ

Samo przestrzeganie przepisów o ochronie danych osobowych, wynikających z RODO i innych aktów prawnych, nie będzie wystarczające, jeżeli placówka medyczna nie będzie w stanie udo- wodnić, że dba o bezpieczeństwo przetwarzanych informacji.

Tak rozumianą rozliczalność można zapewnić w szczególności poprzez:

❒ prowadzenie odpowiedniej dokumentacji (rejestru czynności przetwarzania, rejestru kategorii czynności przetwarzania, rejestru naruszeń ochrony danych osobowych, po- lityk bezpieczeństwa, procedur postępowania, instrukcji itp.),

❒ realizowane okresowo audyty ochrony danych osobowych,

❒ szkolenie osób mających u administratora dostęp do danych osobowych w celach służbowych.

Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie (…)

- art. 5 ust. 2 RODO

Zdjęcie: Viktor Talashuk, Unsplash (https://unsplash.com/photos/05HLFQu8bFw).

Zdjęcie: Viktor Talashuk, Unsplash (https://unsplash.com/photos/05HLFQu8bFw).

ZGODNOŚĆ PRZETWARZANIA Z PRAWEM

Podmiot leczniczy wykorzystujący dane osobowe, musi za każdym razem wykorzystywać jedną ze wskazanych w RODO podstaw prawnych.

Przesłankę dla wykorzystania zwykłych danych osobowych (imiona, nazwiska, dane kontaktowe, PESEL-e itp.) wskazano w art. 6 RODO.

Nieco bardziej skomplikowana sytuacja występuje w przypadku szczególnych kategorii danych (danych wrażliwych), takich jak np. informacje o stanie zdrowia.

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego

w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

- art. 6 ust. 1 RODO

Na użytek niniejszego rozporządzenia (…) „dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia;

- art. 4 pkt. 15 RODO

(…) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w [art. 9] ust. 3;

- art. 9 ust. 2 lit. h RODO

Zasadą jest zakaz wykorzystania tego rodzaju danych osobowych przez administratorów. Art.

9 ust. 2 RODO definiuje wyjątki od tej reguły; przykładowo dla placówek medycznych podsta- wowa przesłanka dla wykorzystania danych związanych ze zdrowiem pacjentów przedstawia się następująco:

Wybór właściwej przesłanki dla wykorzystania danych osobowych jest czynnością wymagającą zaangażowania inspektora ochrony danych. Bez wsparcia takiej osoby może dojść w szczególno- ści do naruszenia zasady zgodności z prawem, rzetelności i przejrzystości. Tego typu zdarzenia mają miejsce zwłaszcza wtedy, gdy placówka medyczna niepotrzebnie zbiera zgody na wykorzy- stanie danych osobowych.

OŚWIADCZENIE O WYRAŻENIU ZGODY NA PRZETWARZANIE DANYCH OSOBOWYCH

Ja, niżej podpisany/-a ... niniejszym wyrażam zgodę na przetwarzanie moich daych osobowych dla potrzeb związanych ze świadczeniem usług medycznych

i pielęgnacyjnych, dokonywania rozliczeń z tego tytułu, a także prowadzenia, przechowywania i udostępniania dokumentacji medycznej.

Przykład zbędnego zbierania zgody na wykorzystanie danych pacjenta w związku ze świadczeniem usług medycznych:

ODPOWIEDZIALNOŚĆ ADMINISTRATORA DANYCH ZA ZGODNOŚĆ Z PRZEPISAMI

O OCHRONIE DANYCH

Już na gruncie przepisów obowiązujących przed RODO możliwe było wyróżnienie kilku kategorii odpowiedzialności za naruszenie zasad bezpieczeństwa informacji: dyscyplinarnej, cywilnej, ad- ministracyjnej lub karnej. Dopiero jednak po maju 2018 r. bardziej znacząco wybrzmiała zasada odpowiedzialności cywilnej. Oznaczało to dla placówek medycznych konieczność wzięcia pod uwagę potencjalnych skutków naruszeń dla interesów pacjentów, pracowników, przedstawicieli kontrahentów itd.

Wykładnia zacytowanego artykułu RODO jednoznacznie wskazuje, że odszkodowanie za szko- dę poniesioną w związku z nieprzestrzeganiem RODO wymaga jednoczesnego wystąpienia trzech przesłanek:

Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu

przetwarzającego odszkodowanie za poniesioną szkodę.

- art. 82 ust. 1 RODO

Odpowiedzialność z art. 82 RODO

szkoda szkoda będąca wynikiem naruszenia

RODO naruszenie RODO, dokonane przez

placówkę medyczną

Przykładem szkody majątkowej związanej z RODO jest sytuacja, w której

pracownik szpitala udzielił przez telefon informacji na temat tego, czy konkretny pacjent przebywa w szpitalu. Pracownik nie dokonał weryfikacji tożsamości osoby dzwoniącej – ta okazała się być przestępcą, który włamał się do mieszkania pacjenta, upewniwszy się wcześniej, że w określonym dniu nie będzie go w domu.

SZKODA

Art. 82 ust. 1 RODO wspomina o szkodzie majątkowej lub niemajątkowej. Szkodą majątkową jest ta, gdy konkretna osoba traci pieniądze albo część swojego majątku.

Szkoda niemajątkowa ma związek z cierpieniem psychicznym lub naruszeniem dóbr osobistych.

Przykładem może być tu sytuacja, gdy w związku z niewłaściwym zabezpieczeniem serwera pla- cówki medycznej informacje o stanie zdrowia pacjentów trafiły do Internetu. Pracodawca osoby będącej pacjentem dowiedział się w ten sposób, że jego podwładny leczył się kiedyś psychia- trycznie i w związku z tym rozwiązał z nim umowę o pracę.

SZKODA BĘDĄCA WYNIKIEM NARUSZENIA RODO

Nie każda szkoda, jakiej doświadczył np. pacjent, będzie związana z nieprzestrzeganiem przepi- sów o ochronie danych osobowych.

Szkoda związana z RODO Szkoda niezwiązana z RODO

Placówka medyczna jako pracodawca przechowuje w aktach osobowych skan dowodu osobistego pracownika

(niezgodnie z przepisami). Doszło do włamania do działu kadr i kradzieży teczki pracownika. Skan dowodu

osobistego został wykorzystany do zaciągnięcia na pracownika kilku „chwilówek”.

Opublikowanie dokumentacji medycznej na Facebooku przez osobę prywatną. Osoba ta znalazła dokumentację zgubioną przez pacjenta po tym, jak placówka medyczna

wydała mu ją zgodnie z przepisami ustawy o prawach pacjenta.

NARUSZENIE RODO, DOKONANE PRZEZ PLACÓWKĘ MEDYCZNĄ

Ostatnim z trzech warunków zaistnienia odpowiedzialności jest wyrządzenie szkody przez pla- cówkę medyczną. Jeżeli podmiot leczniczy nie dopuścił się naruszenia przepisów, art. 82 ust. 1 RODO nie znajdzie zastosowania i wypłacenie odszkodowania nie będzie zasadne.

ORGANIZACJA PROCESÓW PRZETWARZANIA DANYCH OSOBOWYCH

Przetwarzanie danych osobowych będzie generowało dla administratora liczne problemy, jeżeli proces ten nie będzie właściwie zorganizowany.

Należyta organizacja oznacza realizację poniższych działań:

1) audyt ochrony danych osobowych, 2) analiza ryzyka,

3) ustalenie zaleceń związanych z ryzykami, 4) realizacja zaleceń,

5) powtórzenie procesów.

Zdjęcie: Helloquence, Unsplash (https://unsplash.com/photos/5fNmWej4tAA).

AUDYT OCHRONY DANYCH OSOBOWYCH

Audyt obejmuje szereg działań sprawdzających sposób wykorzystania danych osobowych w zakresie:

❒ celów wykorzystania danych osobowych,

❒ podstaw wykorzystania danych osobowych (zgoda, umowa, obowiązek prawny, pro- filaktyka zdrowotna…),

❒ kategorii danych (dane zwykłe, szczególne kategorie danych),

❒ kategorii osób, których dane dotyczą (pacjenci, osoby upoważnione, osoby zatrudnione…),

❒ źródła danych osobowych (osoby, których dane dotyczą, inne osoby, inne podmio- ty medyczne…),

❒ podmiotów mających dostęp do danych osobowych (podmioty publiczne, inne pla- cówki medyczne, kontrahenci placówki medycznej…).

Po ustaleniu stanu faktycznego dokonujemy sprawdzenia jego zgodności z przepisami o ochronie danych osobowych, zwłaszcza w kontekście zasad z art. 5 RODO:

❒ zgodność z prawem, rzetelność i przejrzystość (podstawa dla wykorzystania da- nych osobowych),

❒ ograniczenie celu (cel używanych danych osobowych),

❒ minimalizacja danych (zakres wykorzystywanych danych w kontekście podstaw i ce- lów przetwarzania danych osobowych),

❒ prawidłowość (zgodność wykorzystywanych danych osobowych z prawdą),

❒ ograniczenie przechowywania (okres przetwarzania danych osobowych),

❒ integralność i poufność (środki techniczne i organizacyjne, jakie wykorzystuje placów- ka medyczna),

❒ rozliczalność (prowadzona dokumentacja, obowiązujące procedury).

ANALIZA RYZYKA

Dla każdego procesu przetwarzania danych osobowych konieczne jest ustalenie ryzyk z nim związanych, a następnie ustalenie:

❒ prawdopodobieństwa wystąpienia takiego ryzyka,

❒ skutku wystąpienia takiego ryzyka.

Poziom ryzyka ustala się, mnożąc przez siebie te zmienne. Poniżej dwie tabele, przedstawiają- ce poziomy ryzyka wraz z odpowiadającymi im wartościami zmiennych „prawdopodobieństwo”

i „skutek”.

Skutek Prawdopodobieństwo

Bardzo niskie (1) Niskie (2) Średnie (3) Wysokie (4)

Niski (1) 1 2 3 4

Średni (2) 2 4 6 8

Wysoki (3) 3 6 9 12

Bardzo wysoki (4) 4 8 12 16

Skutek x prawdopodobieństwo Ryzyko

1-3 bardzo niskie

4-7 niskie

8-11 średnie

12-16 wysokie

Przykładem procesu poddawanego analizie ryzyka jest przechowywanie dokumentacji medycz- nej. Bardzo często zdarza się, że (ze względu na ograniczenia lokalowe) archiwalna dokumentacja trafia do pomieszczeń piwniczych lub na strych, gdzie jest narażona na warunki atmosferyczne lub zalanie.

Prawdopodobieństwo, że dokumentacja przechowywana w takich warunkach ulegnie uszko- dzeniu, jest zależne od tego, jak często sprawdzany jest stan dokumentacji archiwalnej, czy ze względu na stan strychu czynniki atmosferyczne mogą przyczynić się do zniszczenia dokumen- tacji, czy w związku z umieszczeniem dokumentacji pod rurami kanalizacyjnymi istnieje ryzyko zalania itd. Skutek takiego zdarzenia należy ocenić (w zależności od placówki medycznej), jako co najmniej wysoki.

Sposób przechowywania dokumentacji winien być zatem przedmiotem uwagi administratora da- nych, a dotycząca tego procesu analiza ryzyka – wzbogacona o konkretne zalecenia.

USTALENIE ZALECEŃ ZWIĄZANYCH Z RYZYKAMI

W zależności od tego, jak poważne i prawdopodobne jest ryzyko związane z konkretną sytuacją, może być ono uznane za:

❒ zaniedbywalne,

❒ ważne, ale nie pilne,

❒ pilne, ale nie ważne,

❒ ważne i pilne.

Zalecenia muszą brać pod uwagę możliwości finansowe, techniczne i logistyczne administratora.

Ryzyku związanemu z przechowywaniem dokumentacji w pomieszczeniach piwniczych można zapobiegać np. poprzez:

❒

adaptację niewykorzystywanego dotychczas pomieszczenia w celu umieszczenia tam archiwalnej dokumentacji,

❒

przeniesienie dokumentacji do zamykanych pudeł,

❒

przeniesienie dokumentacji do szaf lub szafek zamykanych na klucz,

❒

przeniesienie dokumentacji do tej części pomieszczenia, która nie znajduje się bezpośrednio pod rurami wodno-kanalizacyjnymi,

❒

unikanie stawiania pudeł z dokumentacją bezpośrednio na podłodze (w celu uniknięcia skutków zalania pomieszczenia).

REALIZACJA ZALECEŃ

Powyższe zadania związane z audytem, analizą ryzyka i proponowaniem zaleceń najczęściej są wykonywane w ścisłej współpracy z inspektorem ochrony danych. Należy jednak pamiętać o tym, że ostateczną decyzję co do wykonania zaleceń (wdrożenia lub zaprzestania pewnych działań) podejmuje najwyższe kierownictwo placówki medycznej, reprezentujące administratora danych.

To kierownik lub dyrektor decyduje o ewentualnym wprowadzeniu nowych wytycznych, ku- pieniu szafek zamykanych na klucz lub szkoleniu zatrudnionych osób; on też będzie rozliczany z tej decyzji. Inspektor ochrony danych czy audytor mają tutaj jedynie rolę doradczą: wskazują zagrożenia, sposoby mierzenia się z nimi i konsekwencje sytuacji, gdy zagrożenia nie zostaną zaadresowane.

POWTÓRZENIE PROCESÓW

Raz przeprowadzona analiza ryzyka i wdrożenie zaleceń to za mało. W placówce medycznej dzie- je się tak wiele zdarzeń, mających wpływ na bezpieczeństwo danych osobowych, że jednorazowe zorganizowanie procesów związanych z ochroną informacji nie jest i nie może być wystarczające.

– Z RODO jest trochę jak z kotem – głaskanie to proces, a nie jednorazowa czynność – mówi żartobliwie dr Łukasz Olejnik, badacz i konsultant

cyberbezpieczeństwa i prywatności. – Trzeba pamiętać, że prywatność nie jest produktem, a procesem, który nie ma końca. Nie jest tak, że kupi

się oprogramowanie wdrażające RODO, firewalle, antywirusy, zamówi audyt i szkolenia – i to rozwiąże problem. Kluczowa jest ciągłość. Trzeba nieustannie analizować zmiany planów i celów organizacyjnych w firmie, ale także otoczenie – zmiany technologiczne, nowe zagrożenia oraz wpływ jednego na drugie, i płynnie odpowiadać na te wyzwania – wylicza ekspert.

- Małe firmy nie są gotowe na RODO. O czym powinni pamiętać przedsiębiorcy przed 25 maja?

8 S. Wikariak, Małe firmy nie są gotowe na RODO. O czym powinni pamiętać przedsiębiorcy przed 25 maja? (https://prawo.gazetaprawna.pl/

artykuly/1125264,rodo-w-malych-firmach-co-trzeba-wiedziec.html, dostęp 28.11.2019 r.).

RODO nie określa częstotliwości realizacji takich działań. Zasadne wydaje się jednak powtarzanie takich działań raz na rok kalendarzowy.

UPOWAŻNIENIA DO PRZETWARZANIA DANYCH OSOBOWYCH

Zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administratorzy danych mieli obowiązek nadawać osobom, mającym dostęp do danych osobowych w celach służbowych, upoważnienia do wykorzystywania tych danych. Po 25 maja 2018 r. obowiązek prawny został zniesiony (nie występuje w ogólnym rozporządzeniu ani w ustawie o ochronie danych osobowych), mimo to wiele podmiotów utrzymało tę praktykę.

Placówka medyczna, która chce nadawać upoważnienia do danych osobowych, musi pamiętać o kilku zasadach.

OSOBY, KTÓRYM PRZYSŁUGUJE UPOWAŻNIENIE

Upoważnienie powinna mieć każda osoba współpracująca z placówką medyczną i wykonująca swoje obowiązki przy wykorzystaniu danych osobowych – niezależnie od stażu pracy, stanowi- ska lub podstawy zatrudnienia.

Upoważnienia do danych osobowych nie powinny otrzymywać osoby

z personelu technicznego, sprzątającego lub gospodarczego, które przebywają na obszarze przetwarzania danych osobowych, lecz które nie muszą

przetwarzać danych osobowych dla wykonania swoich obowiązków.

Pan Wiśniewski prowadzi firmę IT. Podmiot leczniczy zawarł z nim umowę na obsługę IT oraz – zgodnie z przepisami RODO – umowę powierzenia. Pan Wiśniewski ma zatem prawo dostępu do danych osobowych pracowników, kontrahentów, itp. (jedynie w związku z realizacją umowy).

9 Ustawa z dnia 21.02.2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (t.j.: Dz.U. z 2019 r. poz. 730).

Upoważnienia nie potrzebują osoby, którym w związku z realizacją obowiązków nie jest potrzeb- ny dostęp do danych osobowych. Od takich osób należy natomiast odebrać oświadczenie o za- chowaniu poufności.

Upoważnienia nie należy także nadawać osobie, której dostęp do danych osobowych wynika z zawartej umowy powierzenia przetwarzania danych osobowych.

UPOWAŻNIENIA SPECJALNE

Wspomnieliśmy powyżej, że z przepisów o ochronie danych osobowych nie wynika już bez- pośrednio obowiązek nadawania upoważnień do przetwarzania danych osobowych. To reguła, od której istnieją wyjątki, wprowadzone przez ustawę o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO⁹. Takim wyjątkiem jest np. sytuacja, w której pracownik ad- ministratora ma dostęp do szczególnych kategorii danych.

Upoważnienie do danych osobowych powinni zatem otrzymać zatrudnieni

w placówce medycznej: lekarze, pielęgniarki, pracownicy rejestracji….

§ 1. Zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust.

1 rozporządzenia 2016/679, wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

(…)

§ 3. Do przetwarzania danych osobowych, o których mowa w § 1, mogą być

dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

- art. 22[1b] ust. 1 i ust. 3 Kodeksu pracy

1. Przyznawanie ulgowych usług i świadczeń oraz wysokość dopłat z Funduszu uzależnia się od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu.

1b. Do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art.

9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z

przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.

Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy.

- art. 8 ust. 1 i ust. 1b ustawy o ZFŚS

Jeżeli w placówce medycznej funkcjonuje zakładowy fundusz świadczeń socjalnych, oznacza to konieczność nadania członkom komisji upoważnień do przetwarzania danych o stanie zdrowia w celu podjęcia decyzji o przyznaniu świadczenia wnioskodawcy.

10 Ustawa z dnia 26.06.1974 Kodeks pracy (t.j.: Dz.U. z 2019 r. poz. 1040 ze zm.).

11 Ustawa z dnia 04.03.1994 r. o zakładowym funduszu świadczeń socjalnych (t.j.: Dz.U. z 2019 r. poz. 1352 ze zm.).

TREŚĆ UPOWAŻNIENIA

W przepisach nie wskazano, jakie elementy powinny znaleźć się w treści upoważnienia do prze- twarzania danych osobowych. Dokonując jednak wykładni prawa i uwzględniając dotychczaso- wą praktykę, dochodzimy do wniosku, że w upoważnieniu musi się znaleźć:

❒ wskazanie administratora danych (zalecane jest wskazanie pełnej nazwy),

❒ określenie osoby, na rzecz której jest wystawione upoważnienie (minimum jest imię i nazwisko; w razie sytuacji, gdy u administratora pracuje więcej niż jedna osoba o tym samym imieniu i nazwisku, dopuszczalne jest także użycie dodatkowej danej osobo- wej, np. daty urodzenia),

❒ określenie zakresu upoważnienia (np. przez wyliczenie dozwolonych osobie czynno- ści przetwarzania lub odwołanie się do zakresu obowiązków tej osoby),

❒ czas obowiązywania upoważnienia (np. na czas określony lub na czas nieokreślony albo do odwołania przez administratora danych).

Zalecane jest także:

❒ dołączenie oświadczenia o poufności,

❒ zobowiązanie osoby upoważnionej do przestrzegania obowiązujących u administrato- ra zasad ochrony danych (np. przez odwołanie do obowiązującej dokumentacji ochro- ny danych).

Nic nie stoi na przeszkodzie, aby w ramach ogólnego upoważnienia do danych uwzględnić także upoważnienia specjalne.

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

Administrator - MAJANOWSKI sp. z o.o. (ul. Pokątna 9/34, 62-406 Lądek) - upoważnia:

Imię Aleksandra Nazwisko Kalinowska Stanowisko pielęgniarka

do przetwarzania danych osobowych w zakresie zbierania, utrwalania, przechowywania,

opracowywania, zmieniania, udostępniania, archiwizowania oraz usuwania danych osobowych w związku z zajmowanym stanowiskiem.

Niniejsze upoważnienie obejmuje także (proszę zaznaczyć odpowiednie pola):

☐ szczególne kategorie danych, gromadzonych przez pracodawcę na podstawie zgody pracownika (art. 22[1b] Kodeksu pracy),

☐ dane o zdrowiu, przekazywane przez osoby korzystające z zakładowego funduszu

świadczeń socjalnych (art. 8 ust. 1b ustawy z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych).

Upoważnienie zostaje udzielone na okres od dnia __.__.2019 r. do odwołania lub zakończenia świadczenia pracy bądź usług na rzecz Administratora.

________________________

(data i podpis Administratora)

Potwierdzam, że zapoznałam/zapoznałem się z obowiązującą u Administratora dokumentacją ochrony danych osobowych i zobowiązuję się jej przestrzegać. Będę zachowywać w tajemnicy wszystkie informacje, w tym dane osobowe, do których będę miała/miał dostęp, a także sposoby ich zabezpieczenia, również po cofnięciu lub zakończeniu obowiązywania tego upoważnienia.

Wiem, że udostępnienie danych osobowych lub umożliwienie dostępu do tych danych osobom nieupoważnionym może podlegać odpowiedzialności, w tym odpowiedzialności karnej, zgodnie z powszechnie obowiązującymi przepisami.

________________________

(data i podpis osoby upoważnionej)

Przykładowy wzór upoważnienia do przetwarzania danych osobowych:

OSOBA ODPOWIEDZIALNA ZA NADAWANIE UPOWAŻNIEŃ

Działania związane z upoważnieniami powinny być wykonywane przez osobę reprezentującą administratora danych (w przypadku placówki medycznej jest to najczęściej jej kierownik).

Jeżeli to inna osoba zatrudniona (np. kadrowa, księgowy) ma zajmować się upoważnieniami, musi otrzymać od kierownika odpowiednie pełnomocnictwo.

ZOBOWIĄZANIE DO POUFNOŚCI

Każda osoba zatrudniona – niezależnie od tego, czy pracuje z danymi osobowymi, czy nie - po- winna podpisać oświadczenie o zachowaniu poufności danych.

Oświadczenie może być:

❒ połączone z upoważnieniem do przetwarzania danych osobowych (jak we wzorze po- wyżej),

❒ samodzielnym dokumentem podpisywanym przez osoby z personelu sprzątającego, technicznego lub gospodarczego.

OŚWIADCZENIE O POUFNOŚCI

W związku z wykonywaniem zadań na rzecz MAJANOWSKI SP. Z O.O. (Administratora) i pracą w miejscach, gdzie wykorzystywane są dane osobowe, którymi zarządza Administrator, ja, niżej podpisana/podpisany (proszę podać imię i nazwisko):

__________________________________________

oświadczam, co następuje:

• mam świadomość, że nie mam prawa przetwarzania danych osobowych zarządzanych przez Administratora, co oznacza w szczególności prawo wglądu do dokumentów papierowych lub systemów informatycznych Administratora,

• nie będę przetwarzać danych osobowych,

• będę niezwłocznie informować Administratora lub wskazane przez niego osoby o stwierdzonych naruszeniach bezpieczeństwa danych,

• w razie wejścia w posiadanie danych osobowych lub sposobów ich zabezpieczeń (np.

w związku z incydentem bezpieczeństwa) zachowam je w tajemnicy – zarówno w toku współpracy z Administratorem, jak i po jej zakończeniu.

Znane mi są przepisy prawa dotyczące ochrony danych osobowych oraz mam świadomość odpowiedzialności związanej z naruszeniem tych przepisów, w tym odpowiedzialności karnej.

Przyjmuję ponadto do wiadomości, że naruszenie tych przepisów może stanowić ciężkie naruszenie obowiązków pracowniczych, które może być podstawą rozwiązania umowy o pracę lub natychmiastowego rozwiązania umowy będącej podstawą zatrudnienia.

________________________

(data i podpis osoby upoważnionej)

Przykładowy wzór oświadczenia o poufności:

2. INSPEKTOR OCHRONY DANYCH – DORADCA

PLACÓWKI MEDYCZNEJ W ZAKRESIE OCHRONY DANYCH

OSOBOWYCH

Słowa kluczowe: inspektor ochrony danych, IOD, audyt bezpieczeństwa.

WSTĘP

Instytucja eksperta wspierającego administratora danych w zarządzaniu procesami przetwarzania danych osobowych nie jest pomysłem nowym. Wywodzi się ona w prawodawstwa niemieckie- go, ale znaczenia nabrała poprzez uwzględnienie w przepisach Dyrektywy 95/46/WE¹, która wyznaczała unijne standardy ochrony danych osobowych przed RODO. Co prawda regulacja zawarta w art. 18 wspomnianej dyrektywy miała charakter szczątkowy (wiązała tę instytucję z możliwością wprowadzenia zwolnień z obowiązku notyfikacji operacji przetwarzania danych osobowych do organów nadzorczych), ale na przestrzeni ponad 20 lat obowiązywania dyrektywy 95/46 wiele państw Unii Europejskiej przewidziało obowiązek lub możliwość powołania takiego inspektora ochrony danych².

Nie inaczej było w Polsce. Na mocy, obowiązującej przed RODO, ustawy z dnia z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (UODO1997)³, istniała możliwość wyznaczenia admini- stratora bezpieczeństwa informacji (ABI).

Zadania ABI były bardzo zbliżone do tych, które RODO stawia przed inspektorem ochrony da- nych (IOD). W założeniu, ABI miał być doradcą, który wspiera administratora danych osobowych w zapewnianiu zgodności przetwarzania danych z przepisami o ochronie danych osobowych.

Bardzo podobnie uregulowano wówczas także kwestie niezależności ABI czy też wymogów w zakresie posiadania odpowiedniej wiedzy i umiejętności. Zasadniczą różnicą pomiędzy ustawą o ochronie danych osobowych z 1997 r. a RODO było to, że powołanie ABI było jedynie możli- wością, natomiast wyznaczenie IOD jest w określonych sytuacjach obowiązkowe, o czym w dal- szej części niniejszego rozdziału. O podobieństwie tych konstrukcji prawnych najlepiej świadczy fakt, że w przepisach przejściowych do nowej ustawy o ochronie danych osobowych (UODO)⁴ przewidziano, że dotychczas powołani ABI stali się z mocy prawa IOD, o ile administrator prze- kazał do organu nadzorczego dane kontaktowe takiej osoby w wyznaczonych przez przepisy terminach (bez konieczności wyznaczania takiej osoby raz jeszcze na funkcję IOD).

Zarówno IOD, jak i wcześniej ABI, pełni jedną z głównych ról w zarządzaniu procesami prze- twarzania danych osobowych w każdej organizacji. To on, obok administratora danych, osoby odpowiedzialnej za bezpieczeństwo teleinformatyczne (np. ASI) oraz osób upoważnionych do przetwarzania danych osobowych, ma kluczowy wpływ na zgodne z prawem i bezpieczne wy- korzystanie danych osobowych.

Art. 36a. ust. 1 UODO 1997

Administrator danych może powołać administratora bezpieczeństwa informacji.

1 Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, Dziennik Urzędowy L 281, 23/11/1995.

2 Zob. E. Bielak-Jomaa, Wyzwania przed administratorami bezpieczeństwa informacji (inspektorami ochrony danych) w związku z wejściem w życie ogólnego rozporządzenia o ochronie danych, M. Praw. 2016/20, dodatek, s. 3.

3 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, Dz.U. 1997 Nr 133 poz. 883.

4 Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, Dz.U. 2019 Poz. 1781 t.j.

ADO

ADMINISTRATOR DANYCH OSOBOWYCH Decyduje o celach i środkach przetwarzania

danych osobowych.

ASI

ADMINISTRATOR SYSTEMÓW INFORMATYCZNYCH Informatyk (lub firma informatyczna), odpowiadająca za zabezpieczenie programów komputerowych, komputerów, sieci, serwerów itp.

przed zagrożeniami IT.

IOD

INSPEKTOR OCHRONY DANYCH

Osoba fizyczna, wspierająca ADO w realizacji obowiązków dotyczących ochrony danych osobowych: prowadzenia

dokumentacji, okresowych audytów, szkoleń dla osób wykorzystujących dane osobowe, zgłaszania naruszeń itp.

osoby upoważnione

Osoby mające dostęp do danych osobowych w celach służbowych, niezależnie od zajmowa- nego stanowiska, stażu pracy lub umowy będącej

podstawą zatrudnienia.

WYZNACZANIE INSPEKTORA OCHRONY DANYCH

Jak wspomniano wcześniej, wyznaczenie IOD jest, zgodnie z RODO, obowiązkowe w kilku przy- padkach. Zgodnie z treścią art. 37 RODO, administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

❒ przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

❒ główna działalność administratora lub podmiotu przetwarzającego polega na opera- cjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

❒ główna działalność administratora lub podmiotu przetwarzającego polega na prze- twarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9, lub danych osobowych dotyczących wyroków skazujących i czynów zabro- nionych, o czym mowa w art. 10.

Pierwsza z wymienionych powyżej sytuacji jest klarowna – wszystkie podmioty sektora publicz- nego mają obowiązek wyznaczenia IOD. Zgodnie z brzmieniem art. 9 UODO, przez organy i pod- mioty publiczne rozumie się:

❒ jednostki sektora finansów publicznych,

❒ instytuty badawcze oraz

❒ Narodowy Bank Polski.

Zatem zgodnie z RODO wszystkie publiczne podmioty lecznicze mają obowiązek wyznaczenia IOD. Polski organ nadzorczy (Prezes Urzędu Ochrony Danych Osobowych, PUODO) zachęca jednak, żeby IOD powoływały również prywatne jednostki realizujące zadania w interesie pu- blicznym. Takie stanowisko można interpretować jako zachętę do wyznaczenia inspektora przez wszystkie prywatne placówki medyczne udzielające świadczeń opieki zdrowotnej, które są finan- sowane ze środków publicznych przez Narodowy Fundusz Zdrowia.

Może się jednak okazać, że również niektóre niepubliczne zakłady opieki zdrowotnej będą mu- siały wyznaczyć IOD. Wynika to z kolejnej przesłanki wspomnianego art. 37 RODO – IOD musi bowiem posiadać administrator, którego główną działalnością jest przetwarzania szczególnej ka- tegorii danych osobowych (są to m.in. dane o stanie zdrowia) na dużą skalę. RODO nie przyno- si niestety definicji głównej działalności. Jak czytamy w Wytycznych WP 243 Grupy Roboczej Art. 29⁵ dotyczących inspektorów ochrony danych, główna działalność oznacza zasadnicze, nie poboczne działanie.

Do sektora finansów publicznych zaliczają się zatem: organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały, jednostki samorządu terytorialnego oraz ich związki, związki metropolitalne, jednostki budżetowe, samorządowe zakłady budżetowe, agencje wykonawcze, instytucje gospodarki budżetowej,

państwowe fundusze celowe, Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego

i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego,

Narodowy Fundusz Zdrowia, samodzielne publiczne zakłady opieki zdrowotnej, uczelnie publiczne, Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne, państwowe i samorządowe instytucje kultury oraz inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych,

z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego.

5 Niezależny organ doradczy Komisji Europejskiej w zakresie ochrony danych osobowych i prywatności, obecnie Europejska Rada Ochrony Danych.

Główną działalnością placówek medycznych będzie udzielanie świadczeń opieki zdrowotnej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna.

6 Zob. wskazówki Prezesa Urzędu Ochrony Danych Osobowych w tym zakresie dostępne na stronie https://uodo.gov.pl/pl/223/613, dostęp 22.11.2019.

Zgodnie z taką interpretacją należy uznać, że przetwarzanie danych osobowych, jako nieroze- rwalnie związane z realizowaniem świadczeń opieki zdrowotnej, jest główną działalnością pla- cówki medycznej w rozumieniu RODO.

Pojęcie dużej skali jest jeszcze bardziej nieostre. Pomocne w jej zdefiniowaniu znowu są wspo- mniane Wytyczne WP 243, zgodnie z którymi zaleca się uwzględnienie następujących czynni- ków podczas określania, czy placówka medyczna przetwarza dane osobowe na dużą skalę:

❒ liczba osób, których dane dotyczą – konkretna liczba osób albo procent określonej grupy społeczeństwa, np. kiedy dana placówka medyczna przetwarza dane osobowe niemal wszystkich mieszkańców małej gminy;

❒ zakres przetwarzanych danych osobowych – ten w przypadku placówek medycznych będzie zawsze szeroki i będzie uwzględniał dane wrażliwe;

❒ okres, przez jaki dane są przetwarzane – istotną kwestią będzie zgodny z przepisami, maksymalny czas przechowywania dokumentacji medycznej, tj. 30 lat;

❒ zakres geograficzny przetwarzania danych osobowych.

Biorąc pod uwagę powyższe uwarunkowania, w ocenie autora, większość placówek medycznych w Polsce powinna wyznaczyć IOD. Nie będzie to jednak dotyczyć sytuacji, kiedy przetwarzanie danych pacjentów dokonywane będzie przez pojedynczego lekarza.

Decyzję co do wyznaczenia IOD w opisywanej powyżej sytuacji musi jednak podjąć placówka medyczna⁶. Zaleca się również, aby przeprowadzenie oceny w zakresie istnienia obowiązku wy- znaczenia IOD udokumentować, co w praktyce oznacza np. konieczność sporządzenia notatki ze spotkania kierownictwa placówki medycznej, zawierającej argumenty z dyskusji dotyczącej wyznaczenia IOD.

Wyznaczenie IOD powinno odbyć się na mocy uchwały, zarządzenia lub decyzji kierownictwa, która w formalny sposób wskazuje na: konkretną osobę, którą wyznacza się do pełnienia funkcji IOD oraz datę wyznaczenia.

Więcej na temat zawiadamiania PUODO o wyznaczeniu IOD w dalszej części rozdziału.

..., dnia... 2018 r.

UCHWAŁA ZARZĄDU SPÓŁKI

__________________________________________, ___________________________________

KRS ________________ NIP _______________ REGON ________________ (zwana dalej „Spółką”) 1. Napodstawie art. 37 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie sobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, zwanego dalej „RODO”) wyznacza się Pana/Panią _______________________________________________________________________________

data urodznia __________________ na Inspektora Ochrony Danych (zwany dalej „IOD”).

2. IOD podlega bezpośrednio Prezesowi Zarządu Spółki.

3. Uchwała wchodzi w życie w dniu podjęcia.

________________________ ________________________ ________________________

JEDEN IOD DLA KILKU PLACÓWEK MEDYCZNYCH

RODO dopuszcza wyznaczenie IOD dla grupy przedsiębiorstw⁷. Jeśli więc przedsiębiorca prowa- dzi różne działalności (np. tworząc w ramach grupy powiązanej ze sobą osobowo czy kapitałowo sieć klinik, aptekę i firmę zajmującą się badaniami klinicznymi) może wyznaczyć dla wszystkich tych podmiotów jednego IOD. Nic jednak nie stoi na przeszkodzie, by IOD wyznaczyła grupa przedsiębiorców ze sobą nieniepowiązanych kapitałowo – przepisy RODO nie zawierają takiego zakazu⁸.

Należy jednak pamiętać, że w opisanej powyżej sytuacji każdy z tych podmiotów powinien sa- modzielnie podjąć uchwałę, zarządzenie lub decyzję wyznaczającą IOD oraz zgłosić ten fakt do PUODO.

.⁷ Zgodnie z art. 4 pkt 19 RODO grupa przedsiębiorstw oznacza przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

8 Por. wytyczne PUODO w tym zakresie: https://uodo.gov.pl/pl/223/707, dostęp 22.11.2019.

9 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, Dz.U. 2019 Poz. 127 t.j.

WIEDZA I UMIEJĘTNOŚCI IOD

Należy pamiętać, że wyznaczenie IOD musi odbywać się na podstawie kwalifikacji, a w szczegól- ności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD. Kluczowe w tym aspekcie jest, by osoba wyznaczana przez placówkę medyczną na IOD posiadała:

❒ odpowiednią wiedzę z zakresu krajowych oraz europejskich przepisów dot. ochrony danych osobowych;

❒ dogłębną wiedzę z zakresu przepisów branżowych regulujących funkcjonowanie placówki medycznej (w szczególności przepisy ustawy o prawach pacjenta i Rzeczni- ku Praw Pacjenta⁹);

❒ wiedzę o procesach przetwarzania, systemach informatycznych oraz zabezpieczeń stosowanych w placówce medycznej;

❒ procedury administracyjne i funkcjonowanie placówki medycznej.

Nie do przecenienia będą również umiejętności miękkie takiej osoby, do których zalicza się umie- jętności komunikacyjne, negocjacyjne czy umiejętność rozwiązywania konfliktów.

Jak ważne jest posiadanie odpowiedniej wiedzy i kwalifikacji przez IOD niech świadczy nałożony w RODO na administratorów danych obowiązek zapewnienia IOD zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). IOD powinien zatem stale podnosić swoją wiedzę, kształcić się, rozwijać swoje doświadczenia i umiejętności. Kierow- nictwo placówki medycznej powinno natomiast inspektorowi w tym pomagać, zapewniając mu m.in. niezbędne środki finansowe.

Częste pytania kierowników placówek medycznych w kontekście IOD dotyczą potwierdzenia odpowiedniej wiedzy i doświadczenia. W praktyce, różnego rodzaju certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora (np. ukończenie podyplo- mowych studiów z zakresu ochrony danych) mogą być ważnym kryterium kwalifikacyjnym i ar- gumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Nie można również zapominać o aspekcie etycznym wyznaczenia IOD. Jak wskazuje również PUODO, jeśli chodzi o osobiste cechy IOD kwalifikujące go do wykonywania funkcji, to są to rzetelne podejście i wysoki poziom etyki zawodowej. Przydatne będą również: dyskrecja, umiejętność radze- nia sobie w trudnych sytuacjach oraz umiejętności interpersonalne.

Na przykład, w uwagi na fakt, że IOD bardzo często prowadzi szkolenia dla

personelu z zakresu ochrony danych osobowych,cenne będzie doświadczenie

IOD w prowadzeniu wystąpień publicznych.

KTO MOŻE BYĆ IOD?

Zgodnie z RODO, IOD może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług (art. 37 ust. 6 RODO). Placówka medyczna może zatem powierzyć funkcję IOD swojemu pracownikowi albo też skorzystać z profesjonalnej firmy doradczej, która przejmie na siebie obowiązki IOD (outsourcing IOD).

Decydując się na wewnętrznego IOD, wyłonionego spośród kadry podmiotu leczniczego, należy pamiętać o dwóch aspektach. Taka osoba powinna mieć zapewnioną realną możliwość wypeł- niania obowiązków IOD (wymiar czasu umożliwiający IOD wykonywanie zadań) – niedopusz- czalna będzie na przykład sytuacja, kiedy pracownik placówki medycznej wyznaczony na IOD ma tak dużo obowiązków związanych z udzielaniem świadczeń opieki zdrowotnej, że nie ma czasu na wykonywanie obowiązków IOD. Wyznaczenie wewnętrznego IOD musi również uwzględ- niać konflikt interesów – IOD nie może zatem zajmować w placówce medycznej stanowiska związanego z określaniem sposobów i celów przetwarzania danych.

Mając powyższe ograniczenia na względzie, skutecznym rozwiązaniem może być korzystanie ze wsparcia zewnętrznej firmy specjalizującej się w ochronie danych osobowych w sektorze me- dycznym (np. firmy doradczej lub kancelarii prawnej). Należy jednak pamiętać, że eksperci takiej firmy powinni wykazywać się niezbędnymi kwalifikacjami i wiedzą, o których mowa powyżej.

Co więcej, w uchwale, zarządzeniu lub decyzji kierownictwa w sprawie wyznaczenia IOD należy określić konkretną osobę fizyczną wskazaną przez taką firmę – odniesienie się w takiej uchwale jedynie do nazwy firmy będzie niewystarczające.

Warto określić w placówce medycznej listę tzw. niekompatybilnych stanowisk, których połączenie z funkcją IOD będzie niemożliwe. Będą to m.in.:

❒

stanowiska kierownicze (członek zarządu, dyrektor generalny, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu HR, kierownik działu IT);

❒

niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów

przetwarzania danych, np. koordynator rejestracji, pełnomocnik ds. informacji niejawnych.