RODO w ochronie zdrowia
Rozporządzenie unijne, które dotyczy ochrony danych osobowych wchodzi w życie 25 maja 2018 r. Nowe przepisy dotyczą także placówek ochrony zdrowia.
Niewątpliwie Rozporządzenie całkowicie zmienia zasady przetwarzania, wykorzystywania i przechowywania danych osobowych osób fizycznych. Celem jest zwiększenie ochrony danych osobowych.
Dokumentacja medyczna
Każda jednostka zajmująca się działalnością leczniczą prowadzi dokumentację medyczną. W związku z tym, skoro placówka gromadzi i przetwarza dane osobowe pacjentów, w tym zwłaszcza informacje o stanie ich zdrowia – musi liczyć się z tym, że nowe przepisy prawne będą obejmowały również wprost je same.
Problem stanowią kwestie szczegółowych warunków przetwarzania danych osobowych pacjentów :
- prawo do ograniczenia przetwarzania danych, w tym prawo do bycia zapomnianym;
- prawo do przenoszenia danych;
- prawo sprzeciwu wobec przetwarzania danych;
- prawo do niepodlegania zautomatyzowanym decyzjom.
Audyty wewnętrzne
Niewątpliwie jednym z pierwszych kroków w kierunku nowej regulacji jest przeprowadzenie porządnego audytu wewnętrznego.
Przeprowadzenie takiego audytu pozwoli ustalić stan faktyczny. Szczegółowa weryfikacja, czy obecnie dane są chronione zgodnie z przepisami. A jeśli nie – to co ewentualnie wymaga poprawy. Po tak przeprowadzonym audycie należy przejść do analizy, które obszary wymagają zmian w związku z wejściem w życie unijnego rozporządzenia. Następnie przeszkolić personel placówki.
Placówki medyczne mają podwójne zmartwienie, ponieważ w ich sytuacji bezpieczeństwo danych osobowych nie ogranicza się do ochrony dokumentacji medycznej. Dane osobowe znajdują się również między innymi na odpadach medycznych, kroplówkach.
Do tego dochodzi problem personelu, który w ramach wykonywania swoich obowiązków niezwiązanych z leczeniem, np. personel dbający o czystość, posiadający dostęp do biurka lekarza, na którym znajduje się dokumentacja medyczna pacjentów. Ponadto problem, który zdaje się na pierwszy rzut oka błahy – sposób wywoływania pacjenta. Czy należy to robić wywołując go po nazwisku czy jednak numerze. Stanowi to problem, choćby na salach kilkuosobowych.
Okresy przechowywania dokumentacji
Obecnie ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta przewiduje okresy obowiązkowego przechowywania dokumentacji medycznej wynoszące przykładowo:
- 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu – zasada ogólna,
- 22 lata – w zakresie dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia,
- 30 lat – w przypadku gdy dane są niezbędne do monitorowania losów krwi i jej składników lub też gdy nastąpił zgon pacjenta na skutek uszkodzenia ciała (w takim przypadku okres liczony jest od końca roku kalendarzowego, w którym nastąpił zgon).
W związku z powyższym nie ma wątpliwości, że terminy zawarte w w/w ustawie są niezgodne z przepisami RODO.
Art. 40 Rozporządzenia przewiduje powstanie kodeksów obejmujących sektory, które wymagają specjalnych regulacji – jednak zanim to się wydarzy nowe prawo przysporzy nam zapewne wiele zmartwień. Szczególnie w tych specjalistycznych dziedzinach.
Obecnie, jak też potwierdzają specjaliści – przepisy dotyczące obowiązku przechowywania dokumentacji medycznej powinny być rozumiane jako wyjątek od ogólnych zasad wynikających z RODO.