Niewielu z nas zdaje sobie sprawę, że wyznaczanie numerków pacjentom w trakcie wizyty lekarskiej, możliwość obsługi tylko jednej osoby przy okienku z rejestracją czy brak kart pacjentów na szpitalnych łóżkach to przejaw ochrony danych osobowych w służbie zdrowia. Jednak to zbyt mało, by sprostać wymaganiom RODO. Co musi się zmienić w służbie zdrowia, by spełniała zapisy rozporządzenia? Jakie kroki muszą podjąć dyrektorzy placówek, by uniknąć płacenia ogromnych kar?
Dane wrażliwe pacjentów dostępne dla… każdego?
Każdy szpital, przychodnia, czy nawet jednoosobowy gabinet dentystyczny, gromadzą dane pacjentów. Co istotne, są to dane wrażliwe (w ujęciu RODO – szczególne kategorie danych osobowych). W związku z tym, do 25 maja 2018 r., jednostki te powinny stosować się do zapisów ustawy z 1997 r. o ochronie danych osobowych. Rzeczywistość, jaka jest, każdy widzi. Otwarty gabinet lekarski z włączonym komputerem, karty pacjentów rozrzucone na biurku lekarza, rozmowy recepcjonistek o pacjentach i ich chorobach… RODO takim zachowaniom mówi stanowcze NIE. Co jeszcze będzie musiało się zmienić w placówkach medycznych po rozpoczęciu obowiązywania Rozporządzenia?
Zacznijmy od początku
Do 25 maja zostało niewiele czasu. Nie znaczy to jednak, że nie należy rozpoczynać prac nad wdrożeniem RODO w firmie. Przeciwnie, należy to zrobić jak najprędzej, by jak najszybciej skończyć. Nikt nie odwoła RODO, nie zmienią tego nawet polskie przepisy
Od czego zacząć? Po pierwsze, powinniśmy wykonać audyt aktualnego stanu szpitala, przychodni czy prywatnego gabinetu medycznego. Po analizie aktualnych procedur, łatwiej będzie stwierdzić, co należy zmienić by przygotować się do RODO.
Rejestr czynności przetwarzania zamiast rejestracji danych osobowych
Jedną z większych zmian, jaka czeka jednostki medyczne wraz z wejściem RODO, będzie wprowadzenie rejestru czynności przetwarzania. Rejestr ten zastąpi dotychczasowe zgłaszanie danych osobowych do GIODO. Dzięki temu, po 25 maja, każda placówka medyczna bez problemu wskaże sytuacje, w których dochodziło do wykorzystywania danych osobowych pacjentów.
W rejestrze czynności przetwarzania powinny znaleźć się takie informacje jak: imię i nazwisko (nazwa) wraz z danymi administratora i inspektora, cel przetwarzania, kategoria osoby, kategoria danych osobowych, ogólny opis techniczny i organizacyjny środków bezpieczeństwa oraz – jeśli będzie to możliwe – planowany termin usunięcia konkretnych kategorii danych.

Inspektor Ochrony Danych zamiast ABI
Obowiązek powołania Inspektora Danych, który w myśl RODO zastąpi dotychczasowego Administratora Bezpieczeństwa Informacji, będzie ciążył na wszystkich podmiotach publicznych (za wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości). Zatem wszystkie publiczne szpitale, przychodnie, kliniki będą musiały wyznaczyć IODa. A co z placówkami prywatnymi? Podobnie – obowiązek będzie dotyczył prawie wszystkich prywatnych jednostek. Wg Rozporządzenia, podmioty których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, a takimi są dane o stanie zdrowia, muszą powołać IODa.
Warto wiedzieć, że powołanie Inspektora Ochrony Danych będzie ciążyło nie tylko na administratorze, ale również na podmiotach przetwarzających dane osobowe na zlecenie administratora.
Prawidłowe informowanie pacjentów
Szpitale czy przychodnie będą musiały odpowiednio poinformować osoby zainteresowane skorzystaniem z ich usług medycznych o tym, w jaki sposób i dlaczego będą przetwarzać dane. Placówki medyczne będą musiały zrobić to w sposób zrozumiały i przystępny. Co więcej, pacjent powinien się dowiedzieć jakie posiada prawa oraz dostać informację, jak długo jego dane będą przetwarzane.
Prawo do przenoszenia danych
Kolejną nowością definiowaną przez RODO, jest prawo do przenoszalności danych. Mowa tu o sytuacjach, gdy pacjent kontynuuje leczenie w innej placówce medycznej, w związku z czym jego dokumentacja medyczna powinna trafić do nowego administratora.
Zgodnie z RODO, placówka będzie miała obowiązek dostarczyć pacjentowi na jego prośbę dane w ustrukturyzowanym, powszechnie używanym formacie (plik komputerowy) oraz przesłać innemu administratorowi.Przypomnijmy, że dotychczas pacjent na wyraźną prośbę otrzymywał dokumentację i mógł z nią zrobić co chciał.
Co to oznacza dla placówek medycznych? Szpitale, przychodnie itp. będą musiały wdrożyć nowe systemy, które wesprą przenoszenie danych między administratorami.

Kary, które mogą dać kres niejednej placówce medycznej
Nieprzestrzeganie zapisów Rozporządzenia może spotkać się z bolesnymi konsekwencjami dla branży medycznej. Jaki los spotkałby większość placówek w Polsce, jeśli spadłaby na nie kara w wysokości 20 mln euro, łatwo przewidzieć. Ba, nawet dużo niższe represje mogłyby sprawić, że ukarana jednostka medyczna musiałaby zakończyć swój żywot.
Placówki medyczne w kwestii RODO potrzebują wsparcia ze strony świadomych pacjentów
Zgodnie z Rozporządzeniem, każda osoba, która uzna, że przetwarzanie jej danych osobowych narusza przepisy RODO, może wnieść skargę do organu nadzorczego. Będzie mogła to zrobić w miejscu swojego pobytu, miejscu pracy lub miejscu popełnienia naruszenia.
Projekt nowej ustawy wskazuje również, że osoba, której prawa zostały naruszone, może domagać się zaprzestania działań, które naruszają przepisy oraz usunięcia skutków tego naruszenia.
Ponadto, osoby (np. pacjenci), które są świadkami naruszenia, powinny zgłosić ten fakt administratorowi placówki medycznej o zaistniałej sytuacji.