Wszystko, co chciałbyś wiedzieć o RODO, ale wstydzisz się zapytać
Redaktor: Krystian Lurka
Data: 01.06.2018
Źródło: Krystian Lurka
| Tagi: | Aneta Sieradzka, RODO |
Od 25 maja w Polsce obowiązuje RODO. "Menedżer Zdrowia" spytał, co to oznacza dla pacjenta, czy pracownicy szpitali powinni chodzić na szkolenia, jakie obowiązki na gruncie nowych przepisów ma dyrektor szpitala i czy lekarz może wezwać pacjenta do gabinetu, wymieniając jego imię i nazwisko. Odpowiedziała mecenas Aneta Sieradzka, partner zarządzający kancelarii "Sieradzka & Partners"
RODO ma lepiej chronić nasze dane osobowe. Co to oznacza dla pacjenta?
- RODO to zmiana sposobu patrzenia na dane osobowe, w tym dane wrażliwe. Rozporządzenie to lepiej chroni pacjenta. Od dzisiaj mamy skuteczniejsze narzędzia i możemy łatwiej dochodzić swoich praw w obszarze naruszeń przepisów o ochronie danych osobowych. Ponadto nowe przepisy zwiększają transparentność w placówkach i bezpieczeństwo personelu medycznego, pod warunkiem że są już wdrożone i dobrze dopasowane do potrzeb placówki. Tutaj nie można działać metodą „kopiuj – wklej”, dlatego sprzedawane na rynku gotowe dokumenty są nieprzydatne, o czym dyrektorzy placówek i lekarze prowadzący jednoosobowe działalności powinni wiedzieć, zanim w nie zainwestują.
Ministerstwo Cyfryzacji ostrzega przed oszustwami związanymi z RODO. O co chodzi?
- Bardzo dobrze, że Ministerstwo podejmuje tak szerokie działania edukacyjne. Są one niezwykle potrzebne. Szkoda tylko, że nie idą za tym również inne resorty, np. Ministerstwo Zdrowia. Istotną rolę odgrywają też izby lekarskie, które organizują szereg wykładów dla lekarzy. Na rynku pojawiło się sporo ofert, w których oszuści naciągają na certyfikaty, wymuszają audyty. Obecnie nie ma uregulowanej procedury certyfikacji, która dopiero powstanie, dlatego żaden podmiot nie jest akredytowany do nadawania certyfikatów zgodności RODO. Nieuczciwych praktyk jest więcej, w Internecie kwitnie handel dokumentami wdrożeniowymi RODO, które mogą przynieść tylko szkodę. Podkreślam, weryfikujmy kompetencje i doświadczenie ekspertów, którzy pomagają w związku z RODO. Osobę, która postanowiła zarobić na reformie, można łatwo odróżnić od eksperta. Ekspert zajmuje się ochroną danych osobowych nie od dzisiaj, ma odpowiednie kompetencje poparte publikacjami naukowymi i udziałem w konferencjach oraz wieloletnie doświadczenie w tym obszarze, obejmujące m.in. doradztwo rzecz placówek medycznych, które można wykazać i sprawdzić.
To trzeba chodzić na szkolenia czy nie?
- Szkolenia nie są obowiązkowe, ale to na administratorze spoczywa obowiązek zwiększania świadomości personelu, który ma przestrzegać przepisów. Warto wybierać szkolenia, które odnoszą się do praktyki, a nie są suchą teorią. Poprzez szkolenie możemy skutecznie zwiększać wiedzę i kompetencje naszych pracowników.
Jakie obowiązki na gruncie nowych przepisów ma dyrektor szpitala?
- Jako administrator danych ponosi odpowiedzialność za bezpieczne przetwarzanie danych osobowych w placówce w aspekcie technicznym i organizacyjnym. Dodałabym też aspekt ludzki – personel, który od 25 maja br. musi stosować nowe przepisy, nie tylko RODO, lecz także ustawę z 10 maja 2018 r., która również weszła już w życie.
Mówi się, że zasada rozliczalności jest dla dyrektorów wyzwaniem.
- To bardzo ważna zasada na gruncie RODO. Oznacza ona, że na administratorze spoczywa obowiązek wykazania, że w jego placówce nie tylko obowiązują wewnętrzne procedury zgodne z obowiązującym porządkiem prawnym, lecz także że są one stosowane. I tu pojawia się trudność. W wielu placówkach personelowi będzie trudno wyzbyć się wieloletnich nawyków czy zwyczajów z dnia na dzień. Zwiększanie świadomości personelu jest procesem – i tu znów wracamy do szkoleń.
Jak to robić?
- Z własnego doświadczenia, a przede wszystkim z opinii personelu medycznego, z którym współpracuję, wiem, że najlepiej przeprowadzić system szkoleń. Powinny to być praktyczne warsztaty omawiające liczne sytuacje, tzw. cases, z którymi każdego dnia spotyka się personel. Przekazywanie suchej wiedzy w postaci przepisów nie przyniesie efektów, bo RODO każdy może poczytać sobie do poduszki i wielu przy tym szybko zaśnie. Istotna jest umiejętność stosowania tych przepisów w praktyce i proces szkoleniowy powinien być ukierunkowany na aspekty praktyczne. Nie chodzi o to, aby odhaczyć, że przeszkoliliśmy ludzi w naszej przychodni czy szpitalu. Jeśli mamy działać w ten sposób, to nie warto tracić czasu i pieniędzy. Można, a nawet trzeba sięgać po fachową literaturę z zakresu ochrony danych osobowych. Polecam monografie, których jestem współautorką. Niebawem ukaże się pozycja pt. „RODO w ochronie danych osobowych medycznych”, którą napisałam między innymi z mec. Pawłem Litwińskim i obecną prezes Urzędu Ochrony Danych Osobowych Edytą Bielak-Jomaa. Rzetelnych źródeł wiedzy jest sporo, np. studia podyplomowe z ochrony danych osobowych w Lublinie, na których prowadzę zajęcia, cieszą się niebywałym zainteresowaniem. Korzystanie z wiedzy dostępnej w Internecie jest ryzykowne, bo oprócz rzetelnej wiedzy znajdziemy tam ogrom porad wprowadzających w błąd. Trzeba być ostrożnym i sięgać do wiarygodnych źródeł.
Czy lekarz może wezwać pacjenta do gabinetu, wymieniając jego imię i nazwisko?
- Lekarz czy inna osoba z personelu nie może wzywać pacjenta do gabinetu, używając do tego danych osobowych, np. imienia i nazwiska, numeru PESEL czy daty urodzenia, bo stanowi to naruszenie przepisów. Trzeba również pamiętać, że nasze nazwisko służy identyfikacji. Dobrym rozwiązaniem jest wzywanie pacjenta po imieniu, np. panie Łukaszu, zapraszam. Nie stanowi to naruszenia przepisów o ochronie danych i ma charakter podmiotowego traktowania pacjenta. Wiele placówek medycznych, gdzie standardy obsługi pacjenta są wysokie, od dawna stosuje takie rozwiązanie. Kolejnym przykładem jest nadawanie numeru pacjentowi podczas rejestracji.
Co grozi lekarzowi, jeśli wezwie pacjenta za pomocą imienia i nazwiska?
- Na gruncie nowych przepisów pacjent może złożyć skargę do Urzędu Ochrony Danych Osobowych. Skarga może skutkować kontrolą, a kontrola nałożeniem kary. Odpowiedzialność za naruszenia w podmiocie ponosi administrator. Chcę podkreślić, że RODO wzmacnia prawną ochronę jednostki, czyli każdego z nas.
Czego pacjent nie może zrobić?
- Pacjent nie może zwrócić się do placówki medycznej, aby ta usunęła wszystkiego jego dane, zarówno w trakcie leczenia, jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, w tym przypadku ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, która w art. 24 ust. 1 stanowi, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, a okres przechowywania dokumentacji zależy od jej rodzaju. Podmiot medyczny nie może na życzenie zniszczyć dokumentacji medycznej pacjenta, ale musi to zrobić po upływie okresu, w jakim był zobowiązany przechowywać tę dokumentację. Prawo do bycia zapomnianym nie dotyczy zniszczenia dokumentacji medycznej na żądanie pacjenta, bo według RODO żądanie usunięcia danych jest nieskuteczne, gdy ich przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na interes publiczny w dziedzinie zdrowia publicznego.
Dlaczego zatem boimy się RODO?
- Nie każdy boi się RODO. Największy strach odczuwają ci, którzy nie przestrzegali przez ostatnie lata starych przepisów o ochronie danych osobowych i faktycznie dzisiaj budzą się w nowej, niekiedy druzgocącej rzeczywistości, bo okazuje się, że nagle trzeba działać zgodnie z przepisami. Zawsze trzeba. Teraz wychodzą na wierzch wieloletnie zaniedbania i trzeba się z nimi szybko uporać, co nie jest łatwym zadaniem i nie zawsze jest możliwe z dnia na dzień. To jest proces, który wymaga czasu, ale przynosi wymierne efekty, o ile podjęto skuteczne działania. W przeciwieństwie do starych przepisów, kary na gruncie RODO są dotkliwe i odstraszające. Dobrze się stało, że te przepisy od już mają zastosowanie w Polsce, bo dzięki temu zwiększy się świadomość społeczna, jak wielką wartość mają nasze dane osobowe, co przełoży się na większą dbałość o ich bezpieczeństwo.
Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.
- RODO to zmiana sposobu patrzenia na dane osobowe, w tym dane wrażliwe. Rozporządzenie to lepiej chroni pacjenta. Od dzisiaj mamy skuteczniejsze narzędzia i możemy łatwiej dochodzić swoich praw w obszarze naruszeń przepisów o ochronie danych osobowych. Ponadto nowe przepisy zwiększają transparentność w placówkach i bezpieczeństwo personelu medycznego, pod warunkiem że są już wdrożone i dobrze dopasowane do potrzeb placówki. Tutaj nie można działać metodą „kopiuj – wklej”, dlatego sprzedawane na rynku gotowe dokumenty są nieprzydatne, o czym dyrektorzy placówek i lekarze prowadzący jednoosobowe działalności powinni wiedzieć, zanim w nie zainwestują.
Ministerstwo Cyfryzacji ostrzega przed oszustwami związanymi z RODO. O co chodzi?
- Bardzo dobrze, że Ministerstwo podejmuje tak szerokie działania edukacyjne. Są one niezwykle potrzebne. Szkoda tylko, że nie idą za tym również inne resorty, np. Ministerstwo Zdrowia. Istotną rolę odgrywają też izby lekarskie, które organizują szereg wykładów dla lekarzy. Na rynku pojawiło się sporo ofert, w których oszuści naciągają na certyfikaty, wymuszają audyty. Obecnie nie ma uregulowanej procedury certyfikacji, która dopiero powstanie, dlatego żaden podmiot nie jest akredytowany do nadawania certyfikatów zgodności RODO. Nieuczciwych praktyk jest więcej, w Internecie kwitnie handel dokumentami wdrożeniowymi RODO, które mogą przynieść tylko szkodę. Podkreślam, weryfikujmy kompetencje i doświadczenie ekspertów, którzy pomagają w związku z RODO. Osobę, która postanowiła zarobić na reformie, można łatwo odróżnić od eksperta. Ekspert zajmuje się ochroną danych osobowych nie od dzisiaj, ma odpowiednie kompetencje poparte publikacjami naukowymi i udziałem w konferencjach oraz wieloletnie doświadczenie w tym obszarze, obejmujące m.in. doradztwo rzecz placówek medycznych, które można wykazać i sprawdzić.
To trzeba chodzić na szkolenia czy nie?
- Szkolenia nie są obowiązkowe, ale to na administratorze spoczywa obowiązek zwiększania świadomości personelu, który ma przestrzegać przepisów. Warto wybierać szkolenia, które odnoszą się do praktyki, a nie są suchą teorią. Poprzez szkolenie możemy skutecznie zwiększać wiedzę i kompetencje naszych pracowników.
Jakie obowiązki na gruncie nowych przepisów ma dyrektor szpitala?
- Jako administrator danych ponosi odpowiedzialność za bezpieczne przetwarzanie danych osobowych w placówce w aspekcie technicznym i organizacyjnym. Dodałabym też aspekt ludzki – personel, który od 25 maja br. musi stosować nowe przepisy, nie tylko RODO, lecz także ustawę z 10 maja 2018 r., która również weszła już w życie.
Mówi się, że zasada rozliczalności jest dla dyrektorów wyzwaniem.
- To bardzo ważna zasada na gruncie RODO. Oznacza ona, że na administratorze spoczywa obowiązek wykazania, że w jego placówce nie tylko obowiązują wewnętrzne procedury zgodne z obowiązującym porządkiem prawnym, lecz także że są one stosowane. I tu pojawia się trudność. W wielu placówkach personelowi będzie trudno wyzbyć się wieloletnich nawyków czy zwyczajów z dnia na dzień. Zwiększanie świadomości personelu jest procesem – i tu znów wracamy do szkoleń.
Jak to robić?
- Z własnego doświadczenia, a przede wszystkim z opinii personelu medycznego, z którym współpracuję, wiem, że najlepiej przeprowadzić system szkoleń. Powinny to być praktyczne warsztaty omawiające liczne sytuacje, tzw. cases, z którymi każdego dnia spotyka się personel. Przekazywanie suchej wiedzy w postaci przepisów nie przyniesie efektów, bo RODO każdy może poczytać sobie do poduszki i wielu przy tym szybko zaśnie. Istotna jest umiejętność stosowania tych przepisów w praktyce i proces szkoleniowy powinien być ukierunkowany na aspekty praktyczne. Nie chodzi o to, aby odhaczyć, że przeszkoliliśmy ludzi w naszej przychodni czy szpitalu. Jeśli mamy działać w ten sposób, to nie warto tracić czasu i pieniędzy. Można, a nawet trzeba sięgać po fachową literaturę z zakresu ochrony danych osobowych. Polecam monografie, których jestem współautorką. Niebawem ukaże się pozycja pt. „RODO w ochronie danych osobowych medycznych”, którą napisałam między innymi z mec. Pawłem Litwińskim i obecną prezes Urzędu Ochrony Danych Osobowych Edytą Bielak-Jomaa. Rzetelnych źródeł wiedzy jest sporo, np. studia podyplomowe z ochrony danych osobowych w Lublinie, na których prowadzę zajęcia, cieszą się niebywałym zainteresowaniem. Korzystanie z wiedzy dostępnej w Internecie jest ryzykowne, bo oprócz rzetelnej wiedzy znajdziemy tam ogrom porad wprowadzających w błąd. Trzeba być ostrożnym i sięgać do wiarygodnych źródeł.
Czy lekarz może wezwać pacjenta do gabinetu, wymieniając jego imię i nazwisko?
- Lekarz czy inna osoba z personelu nie może wzywać pacjenta do gabinetu, używając do tego danych osobowych, np. imienia i nazwiska, numeru PESEL czy daty urodzenia, bo stanowi to naruszenie przepisów. Trzeba również pamiętać, że nasze nazwisko służy identyfikacji. Dobrym rozwiązaniem jest wzywanie pacjenta po imieniu, np. panie Łukaszu, zapraszam. Nie stanowi to naruszenia przepisów o ochronie danych i ma charakter podmiotowego traktowania pacjenta. Wiele placówek medycznych, gdzie standardy obsługi pacjenta są wysokie, od dawna stosuje takie rozwiązanie. Kolejnym przykładem jest nadawanie numeru pacjentowi podczas rejestracji.
Co grozi lekarzowi, jeśli wezwie pacjenta za pomocą imienia i nazwiska?
- Na gruncie nowych przepisów pacjent może złożyć skargę do Urzędu Ochrony Danych Osobowych. Skarga może skutkować kontrolą, a kontrola nałożeniem kary. Odpowiedzialność za naruszenia w podmiocie ponosi administrator. Chcę podkreślić, że RODO wzmacnia prawną ochronę jednostki, czyli każdego z nas.
Czego pacjent nie może zrobić?
- Pacjent nie może zwrócić się do placówki medycznej, aby ta usunęła wszystkiego jego dane, zarówno w trakcie leczenia, jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, w tym przypadku ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, która w art. 24 ust. 1 stanowi, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, a okres przechowywania dokumentacji zależy od jej rodzaju. Podmiot medyczny nie może na życzenie zniszczyć dokumentacji medycznej pacjenta, ale musi to zrobić po upływie okresu, w jakim był zobowiązany przechowywać tę dokumentację. Prawo do bycia zapomnianym nie dotyczy zniszczenia dokumentacji medycznej na żądanie pacjenta, bo według RODO żądanie usunięcia danych jest nieskuteczne, gdy ich przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na interes publiczny w dziedzinie zdrowia publicznego.
Dlaczego zatem boimy się RODO?
- Nie każdy boi się RODO. Największy strach odczuwają ci, którzy nie przestrzegali przez ostatnie lata starych przepisów o ochronie danych osobowych i faktycznie dzisiaj budzą się w nowej, niekiedy druzgocącej rzeczywistości, bo okazuje się, że nagle trzeba działać zgodnie z przepisami. Zawsze trzeba. Teraz wychodzą na wierzch wieloletnie zaniedbania i trzeba się z nimi szybko uporać, co nie jest łatwym zadaniem i nie zawsze jest możliwe z dnia na dzień. To jest proces, który wymaga czasu, ale przynosi wymierne efekty, o ile podjęto skuteczne działania. W przeciwieństwie do starych przepisów, kary na gruncie RODO są dotkliwe i odstraszające. Dobrze się stało, że te przepisy od już mają zastosowanie w Polsce, bo dzięki temu zwiększy się świadomość społeczna, jak wielką wartość mają nasze dane osobowe, co przełoży się na większą dbałość o ich bezpieczeństwo.
Zachęcamy do polubienia profilu "Menedżera Zdrowia" na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania konta na Twitterze: www.twitter.com/MenedzerZdrowia.
