RODO w ochronie zdrowia

Rozporządzenie unijne, które dotyczy ochrony danych osobowych wchodzi w życie 25 maja 2018 r. Nowe przepisy dotyczą także placówek ochrony zdrowia.

Niewątpliwie Rozporządzenie całkowicie zmienia zasady przetwarzania, wykorzystywania i przechowywania danych osobowych osób fizycznych. Celem jest zwiększenie ochrony danych osobowych.

Dokumentacja medyczna

Każda jednostka zajmująca się działalnością leczniczą prowadzi dokumentację medyczną. W związku z tym, skoro placówka gromadzi i przetwarza dane osobowe pacjentów, w tym zwłaszcza informacje o stanie ich zdrowia - musi liczyć się z tym, że nowe przepisy prawne będą obejmowały również wprost je same.

Problem stanowią kwestie szczegółowych warunków przetwarzania danych osobowych pacjentów :

  • prawo do ograniczenia przetwarzania danych, w tym prawo do bycia zapomnianym;
  • prawo do przenoszenia danych;
  • prawo sprzeciwu wobec przetwarzania danych;
  • prawo do niepodlegania zautomatyzowanym decyzjom.

Audyty wewnętrzne

Niewątpliwie jednym z pierwszych kroków w kierunku nowej regulacji jest przeprowadzenie porządnego audytu wewnętrznego.

Przeprowadzenie takiego audytu pozwoli ustalić stan faktyczny. Szczegółowa weryfikacja, czy obecnie dane są chronione zgodnie z przepisami. A jeśli nie - to co ewentualnie wymaga poprawy. Po tak przeprowadzonym audycie należy przejść do analizy, które obszary wymagają zmian w związku z wejściem w życie unijnego rozporządzenia. Następnie przeszkolić personel placówki.

Placówki medyczne mają podwójne zmartwienie, ponieważ w ich sytuacji bezpieczeństwo danych osobowych nie ogranicza się do ochrony dokumentacji medycznej. Dane osobowe znajdują się również między innymi na odpadach medycznych, kroplówkach.

Do tego dochodzi problem personelu, który w ramach wykonywania swoich obowiązków niezwiązanych z leczeniem, np. personel dbający o czystość, posiadający dostęp do biurka lekarza, na którym znajduje się dokumentacja medyczna pacjentów. Ponadto problem, który zdaje się na pierwszy rzut oka błahy - sposób wywoływania pacjenta. Czy należy to robić wywołując go po nazwisku czy jednak numerze. Stanowi to problem, choćby na salach kilkuosobowych.

Okresy przechowywania dokumentacji

Obecnie ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta przewiduje okresy obowiązkowego przechowywania dokumentacji medycznej wynoszące przykładowo:

  • 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – zasada ogólna,
  • 22 lata – w zakresie dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia,
  • 30 lat – w przypadku gdy dane są niezbędne do monitorowania losów krwi i jej składników lub też gdy nastąpił zgon pacjenta na skutek uszkodzenia ciała (w takim przypadku okres liczony jest od końca roku kalendarzowego, w którym nastąpił zgon).

W związku z powyższym nie ma wątpliwości, że terminy zawarte w w/w ustawie są niezgodne z przepisami RODO.

Art. 40 Rozporządzenia przewiduje powstanie kodeksów obejmujących sektory, które wymagają specjalnych regulacji – jednak zanim to się wydarzy nowe prawo przysporzy nam zapewne wiele zmartwień. Szczególnie w tych specjalistycznych dziedzinach.

Obecnie, jak też potwierdzają specjaliści - przepisy dotyczące obowiązku przechowywania dokumentacji medycznej powinny być rozumiane jako wyjątek od ogólnych zasad wynikających z RODO.