Jacek: Od jakiegoś czasu spotykam się z ekspertami wspomagającymi menadżerów czy właścicieli gabinetów lekarskich czy placówek medycznych w ramach cyklu spotkań “Gość Proassist”. Jest dzisiaj z nami radca prawny Ireneusz Zabawa. Cześć Irek!
Irek: Cześć, dzień dobry. Witam Państwa, witam wszystkich.
Jacek: Zaraz Irek oddam Ci głos, żebyś się chwilę przedstawił. Natomiast ja tu od razu mówię, my jesteśmy z Irkiem na “Ty”, udało nam się wcześniej porozumieć. Irek jest specjalistą w zakresie też prawa, ale tutaj specjalizuje się w tej branży medycznej – jest Inspektorem Ochrony Danych Osobowych i specjalizuje się w sprawach tych wszystkich RODO, zna te wszystkie zagwozdki. A to, co ja najbardziej cenię w Irku, to to, że On podchodzi do tego spokojnie, zachowawczo, bez jakichś specjalnych stresów nerwów i tego żebyśmy tutaj się wszyscy bali, że zaraz pójdziemy siedzieć i z torbami i tak dalej. Dlatego jeżeli ktoś będzie chciał korzystać z takiego Inspektora, który nie robi wielkiej burzy, tylko właśnie uspokaja, to zapraszam. Irek, oddaję Ci głos, jakbyś mógł się chwilę przedstawić.
Irek: Dzień dobry jeszcze raz. No tak, to słuszna uwaga – chyba nie mamy tutaj zamiaru straszyć i roztaczać jakichś strasznych wizji,co się stanie, jeżeli nie będziemy przestrzegali rozporządzenia RODO. A czasem tak się dzieje. No wiadomo, że jeżeli ktoś chce zachęcić, w szczególności do korzystania z usług prawnych, czy w ogóle jakichś usług doradczych, no to trzeba tutaj takie wizje roztoczyć, że jeżeli nie przestrzegamym, no to straszne rzeczy się staną. Przyjdzie nam jakaś kontrola, wielomilionowe kary nałoży, czy też jakieś poważniejsze konsekwencje – chociaż nie wiem, co może być poważniejsze od wielomilionowej kary. I to prawda, oczywiście.
Ja zajmuję się jedną z działek, specjalizacji – z resztą tak jak wielu prawników w ostatnich latach. Prawników zajmujących się bardziej działką prawa cywilnego, czy prawa pracy jest również ochrona danych osobowych. No i związane z ochroną danych osobowych chronienie funkcji Inspektora Ochrony Danych. W tym momencie w kilku podmiotach taką rolę pełnię, również w podmiotach związanych z branżą medyczną. Są to duże spółki, na przykład farmaceutyczne, chociaż tam jest trochę inna specyfika ochrony danych niż w przypadku podmiotów zajmujących się ochroną zdrowia.
No więc tutaj chyba jak najbardziej będę mógł w stanie pomóc – jeśli chodzi o zagadnienia. No bo sama działka podmiotów, które zajmują się jednostką ochrony zdrowia, czy indywidualnych praktyk lekarskich, czy to spółek, czy jeszcze innych podmiotów. No jest dosyć inna to specyfika niż w wielu innych działach ochrony danych osobowych. Zwłaszcza, myślę, że w trakcje naszej dzisiejszej rozmowy wyjdzie, że kwestie ochrony danych osobowych – tutaj trzeba bardzo mocno przyłożyć swoją uwagę do tych kwestii. No i chociażby to, co w ostatnich miesiącach dosyć szerokim echem odbiło się w branży medycznej, związanej z ochroną danych osobowych, to te kodeksy postępowania, które obowiązują. Pierwsze dwa kodeksy postępowania zatwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych. To właśnie wskazuje na to, że w tym sektorze jest to bardzo ważne zagadnienie, na które trzeba zwrócić uwagę. Ale tak jak też mówiliśmy na wstępie,strasznie ciężko nie będzie.
Jacek: Pewnie, że tak. Ja od razu powiem, że można zadawać pytania również na czacie, jeżeli ktoś w ogóle może tam napisać, że nas słychać, widać – będzie nam miło. Będziemy pewni tego, że nie mówimy w próżnię. Z drugiej strony, ja mam już przygotowane pytania – zapraszam do nas na grupę na Facebooku, grupa nazywa się “Zrozumieć Pacjenta”. Tam jest taka nasza społeczność wokół Proassist i Oni też mi prywatnie pisali pewne pytania, które chcieliby, żebym zadał. To pierwsze pytanie akurat nie jest z tym związane, bo takie są bardziej konkretne. Natomiast, no myślę, że dobrze by było od tego zacząć w ogóle.
Czy
placówki medyczne muszą stosować Rozporządzenie o Ochronie Danych Osobowych? Bo to jest pytanie takie podstawowe, które też się pojawia.
Irek: No to na to oczywiste pytanie odpowiem. Też może istotne zastrzeżenie i informacja, gdyby okazało się że potrzeby byłyby tutaj większe, pytań byłoby sporo, mieliby Państwo chęć spotkania się jeszcze raz – możemy w przyszłości jakieś bardziej wyspecjalizowane spotkanie w tym zakresie zrobić, gdzie skoncentrujemy się na jakimś konkretnym zagadnieniu. No bo dzisiaj mamy mówić ogólnie o tych zagadnieniach, które są bardzo, bardzo szerokie, jeśli chodzi o system ochrony zdrowia.
Czy musimy stosować – no to wiadomo, co odpowiem – musimy. No, niestety. W zasadzie każdy podmiot, który zajmuje się – to będę może często używał tego stwierdzenia: podmiot. No ale, czy
indywidualna praktyka lekarska, czy spółka, czy jeszcze jakieś inne jednostki, które w sektorze ochrony zdrowia występują. No niestety muszą rozporządzenie RODO stosować.
Ono zajmuje się ochroną danych osobowych każdej osoby fizycznej, każdego z nas. Więc jak Państwo na co dzień w swojej praktyce widzą, to jest podstawa w świadczeniu opieki zdrowotnej nad pacjentami. Pacjentami są tylko i wyłącznie osoby fizyczne. Żeby świadczyć im te usługi związane z Waszą specjalnością, no niestety trzeba pozyskiwać dane ustawowe. Od tych najbardziej podstawowych: imię i nazwisko, dane kontaktowe, dzięki którym możemy się skontaktować z pacjentem, dzięki którym możemy mu wysłać jakieś informacje o nas, o lekarzach, o usługach przez nas oferowanych. No niestety również o wiele bardziej zaawansowane dane osobowe tutaj są konieczne do zbierania.Tak więc mamy zwykłe dane osobowe, którymi zajmuje się całe rozporządzenie RODO, no i to jest szczególnie ważna specyfika w branży, o której dzisiaj mówimy, czyli ten artykuł 9 z rozporządzenia RODO, gdzie mamy opisane tzw. szczególne kategorie danych osobowych, zwane też inaczej wrażliwymi danymi osobowymi. Pośród tego całego katalogu, który jest tam wymieniony, takich jak dane o poglądach politycznych,o naszej religijności, najważniejszą chyba są dane dotyczące zdrowia osoby fizycznej. No i w związku z tym, te szczególne kategorie danych w Waszej praktyce, w Państwa praktyce, czy to zawodowej, czy managerów – jeżeli niektórzy z Państwa są tutaj osobami zarządzającymi jednostkami ochrony zdrowia. Te wrażliwe kategorie danych są przetwarzane masowo, wobec tego musimy stosować te przepisy, a nawet – co więcej – musimy szczególną uwagę przyłożyć na przestrzeganie tych przepisów.
Jacek: Okej. I teraz pytanie do Ciebie, bo bardzo duża część placówek – to wiem z autopsji, bo im sprzedajemy oprogramowanie do przetrzymywania tych danych, uważa też, że w ramach tego, że Oni muszą stosować rozporządzenie o ochronie danych osobowych, no to muszą od każdego pacjenta pozyskiwać – popraw mnie, jeżeli się mylę – zgody na pozyskiwanie, czy przetwarzanie danych osobowych. Czyli pacjent wchodzi do placówki, Oni mu dają kartkę papieru, a jeżeli mają Proassist, to mu dają tablet do podpisu, On tam podpisuje swoim podpisem, że okej – zgadzam się na przetwarzanie danych osobowych. Czy Oni muszą to robić?
Irek: To jest jedna z podstawowych kwestii, o których na szczęście w ostatnich latach jest coraz większa świadomość tego, czy należy to robić, czy nie należy tego robić. Ta świadomość jeszcze utarta na podstawie starych przepisów. W Polsce to była Ustawa o Ochronie Danych Osobowych z 97 roku, która przez wiele lat obowiązywała, była podstawowym aktem prawnym w tym zakresie. Również dosyć poważne konsekwencje przewidywała, ale jakoś tak to wyglądało, że mało kto bał się tej ustawy i mało kto ją stosował w praktyce. Sam pamiętam obsługiwałem różne podmioty i gdy kiedykolwiek dochodziło do jakich zagadnień związanych z ochroną danych osobowych, to wszyscy machali na to ręką. No właśnie wielkie wzmożenie związane z ochroną danych osobowych pojawiło się od 25 maja 2018 roku, kiedy w życie wchodziło rozporządzenie o ochronie danych osobowych unijne, które jest teraz powszechnie nazywane rozporządzeniem RODO. No i ono zmieniło w bardzo wielu punktach rozumienie, w jaki sposób powinniśmy dane osobowe pozyskiwać i dane osobowe przetwarzać, robić cokolwiek z tymi danymi – gromadzić je, kasować je, archiwizować, wprowadzać do systemów komputerowych i tak dalej i tak dalej.
No więc przechodząc już konkretnie do Twojego pytania. Na podstawie rozporządzenia RODO nie musimy pozyskiwać zgód od osób fizycznych, które nam powierzają dane osobowe – obojętnie jakie dane osobowe – jeżeli mamy konkretną podstawę prawną dla ich przetwarzania. Artykuł 6 rozporządzenia RODO wskazuje, na jakich podstawach możemy te dane osobowe gromadzić, czy też przetwarzać. I jedną z takich podstawowych przesłanek, która ma największe znaczenie akurat jeśli chodzi o sektor ochrony zdrowia pacjentów, o leczenie pacjentów, o profilaktykę zdrowotną – jest to, że jeżeli mamy konkretną podstawę prawną, upoważnienie ustawowe, na podstawie którego możemy przetwarzać dane osobowe, nie musimy odbierać tej zgody od pacjenta. Czyli przychodzi do nas jakaś osoba zainteresowana tym, żeby świadczyć mu usługi związane z ochroną zdrowia, czy leczenie, czy leczenie stomatologiczne, jakaś profilaktyka, no cokolwiek związane z tą dziedziną, o której mówimy. I mamy tutaj wyraźne dyspozycje ustawowe: punkt 9 rozporządzenia RODO, gdzie on stanowi, że możemy przetwarzać – na razie mówimy o dziewiątce – możemy przetwarzać dane osobowe dotyczące zdrowia osoby fizycznej dla właśnie celu leczenia, ochrony zdrowia, profilaktyki, medycyny pracy. Jeżeli ktoś przychodzi, jest zainteresowany takimi świadczeniami, no to nie musimy od niego uzyskiwać żadnej zgody na przetwarzanie danych osobowych. A to jest właśnie ta praktyka, która wynikała z poprzedniej Ustawy o Ochronie Danych Osobowych, cały czas jeszcze utarta w praktyce stosowania przepisów o ochronie danych osobowych, natomiast nieprawidłowa. Nawet tutaj Prezes Urzędu Ochrony Danych Osobowych często punktuje te podmioty, które przetwarzają, że jest to jakieś nadmiarowe zbieranie dokumentacji dotyczącej ochrony danych osobowych. Tak więc, jeżeli mamy podstawę prawną dla tego przetwarzania, a to jest nie tylko artykuł 9 rozporządzenia RODO, ale też te wszystkie przepisy ustawowe, które w Polsce dotyczą opieki zdrowotnej, czyli ustawy o świadczeniu opieki zdrowotnej i finansowanej ze środków publicznych, o systemie informacji w ochronie zdrowia, o zawodach lekarza i lekarza dentysty, o służbie medycyny pracy i tak dalej i tak dalej. Trochę tych ustaw jest, które dotyczą tych działalności. Jeżeli mamy podstawy prawne, które z tego wynikają, możemy przetwarzać dane osobowe. Innymi podstawami jest na przykład zbieranie danych osobowych w celu wykonania umowy. To niekoniecznie ma zastosowanie w tej branży, chociaż z drugiej strony – no nie wiem –
medycyna estetyczna, świadczenia związane ze stomatologią. Często, tak wynika z mojej praktyki, często jest zawierana umowa z pacjentem na wykonanie niektórych usług, więc jeżeli zawieramy umowę, to musimy mieć powierzone te dane osobowe, żeby tą umowę realizować. Także nie musimy jeszcze odrębnie uzyskiwać zgody od takiej osoby, żeby jej dane osobowe przetwarzać. W Państwa praktyce najistotniejsze informacje, jeżeli miał ktoś jeszcze takie wątpliwości albo jeżeli ktoś zbiera takie zgody – nie zbierać tych zgód na przetwarzanie danych osobowych. Z pewnymi wyjątkami, bo mówimy o ogólnej praktyce, mówimy o tym, do czego przede wszystkim są potrzebne dane osobowe w placówkach medycznych, czyli do leczenia pacjenta, do świadczenia mu jakichś usług związanych z ochroną zdrowia, z leczeniem, z profilaktyką. Ale, jeżeli chcemy wykorzystywać dane osobowe pacjenta na przykład do celów marketingowych, bo takie pytanie pewnie zaraz by się pojawiło. Dla celów marketingowych, co do zasady, powinniśmy przyjąć, że niestety, ale takiej zgody potrzebujemy.
Jacek: Tak. Ja bym jeszcze chciał doprecyzować, czy przypomnienie o wizycie jest celem marketingowym?
Irek: Właśnie taki kontakt z pacjentem dla powiązanych z świadczeniem na jego rzecz usług, ściśle związanych z wykonaniem prawidłowym tej usługi jak właśnie przypomnienie o wizycie, odwołanie wizyty, czy skontaktowanie się w jakimś innym celu, przeniesienie wizyty na jakiś inny termin – nie wymaga pozyskiwania odrębnego oświadczenia od pacjenta, że możemy jego dane osobowe uzyskiwać właśnie w tym celu. To ma dla nas zupełnie inny cel, to się mieści w tym celu świadczenia, leczenia, usług opieki zdrowotnej dla dla takiej osoby. Ale cokolwiek innego, co nie będzie się mieściło to już będziemy potrzebowali zgody od pacjenta. Jeżeli nie znajdziemy jakiejś innej podstawy prawnej. No, mówiłem na początku, że nie chcemy straszyć, ale niestety – jeżeli mówimy o ochronie danych osobowych, to jeżeli nie straszenie, to jednak chyba czuć, że to nie są proste zagadnienia. I czasem trzeba się naprawdę głębiej się zastanowić i sięgnąć czy do jakichś materiałów internetowych, czy osoby, która właśnie zna się na tego typu zagadnieniach, żeby zrozumieć, o co w tym wszystkim chodzi.
Więc zgoda marketingowa będzie innym celem wykorzystania danej osoby. Jeżeli przychodzi do nas pacjent, to jest zainteresowany tym, żebyśmy go leczyli. Natomiast pewnie jest tak średnio zainteresowany tym, żeby od nas dostawać jakieś informacje marketingowe, czy też wykorzystywać dane osobowe dla innych celów. A jeżeli chcemy pozyskiwać dane osobowe od takiej osoby właśnie w tych celach, no to musimy już od niego odebrać zgodę. Kolejne zastrzeżenie – to nie musi być zgoda pisemna. Ale w związku z tym, że jedną z podstawowych zasad RODO jest tak zwana rozliczalność, czyli jeżeli ktoś ma skontroluje w tym zakresie, będziemy musieli udowodnić, że przetwarzamy dane osobowe zgodnie z prawem. No to chcemy chyba jakoś udowodnić, że mamy tą zgodę marketingową. Trudno będzie udowodnić, jeżeli stwierdzimy, że ktoś nam ustnie potwierdził przy okienku rejestracji, czy gdzieś tam w sekretariacie albo gdziekolwiek indziej, czy telefonicznie ktoś z firmy marketingowej, która nas obsługuje pozyskał taką zgodę. No nie udowodnimy tego, więc w jakiś sposób, który da się utrwalić. Dobrze by było – co jest ważne w celach marketingowych – jeżeli chcemy w kilku celach: dla newslettera, dla mailingu związanego z nowymi usługami, dla kontaktu telefonicznego. Trzeba te wszystkie cele danej osoby, jeżeli pozyskujemy zgodę dla celów marketingowych, wymienić. Tak jest najbezpieczniej, żeby ta osoba, która wyraża zgodę, miała pełną jasność, na co wyraża zgodę.
Jacek: Dobra, ale teraz tak: wiemy już, że mamy pacjenta i nie musimy pobierać tej zgody, jeżeli nie działamy marketingowo. Ale z drugiej strony, powiedziałeś, że placówki medyczne muszą stosować rozporządzenie. W takim razie, jakie potrzebują te dokumenty, jakie procedury związane z RODO muszą robić. Co z tego jest takie wymagane, a co jest takie fakultatywne, że okej.
Irek: To jest akurat bardzo dobrze postawione pytanie, bo tutaj zwróciłeś uwagę na to, czy możemy rozdzielić te wymagane dokumenty, o ile w ogóle są jakieś wymagane, które musimy mieć, a które możemy. Czy coś jest wymagane przepisami, a coś możemy, ale nie musimy tego robić? Całe szczęście albo nieszczęście, w rozporządzeniu RODO polega na tym, że ono pozostawia bardzo mocno wolną rękę tym podmiotom, które przetwarzają dane osobowe, więc różnie do tego się podchodzi. Patrząc na rozporządzenie RODO, czy słusznie właśnie ustawodawca unijny poszedł w tym kierunku, czy też nie, bo – no niektórzy jednak wolą, jeżeli mamy wyraźnie, ustawowo coś wskazane. To masz zrobić, tego nie musisz na przykład zrobić, a jeżeli ustawa nie wskazuje, że nie musisz tego robić, no to po prostu tego nie robisz. No i mamy jasną sytuację. W rozporządzeniu RODO jest w zasadzie drastycznie inaczej. W związku z tym, że postawiono tutaj na długotrwałą żywotność tego rozporządzenia, założono sobie, że skoro tyle lat nad nim pracowaliśmy. Bo rzeczywiście prace nad rozporządzeniem RODO były wieloletnie – skoro takie zamieszanie rozporządzeniem wywołamy i rzeczywiście wywołaliśmy. Zwróćmy uwagę na to, jak podchodzono do kwestii ochrony danych osobowych przed 2018 rokiem, a jak po nim. Nie wiem, czy to spowodowały te teoretyczne kary, które są w rozporządzeniu między innymi założone, czy może coraz szersza świadomość społeczna z tym, jak cenne są dane osobowe. No bo coraz większej ilości kanałów je powierzamy, czy możemy powierzyć. Ale fakt, że świadomość tego, czym są dane osobowe i gdzie je powierzamy i jak powinny być przetwarzane, jest coraz większa. Więc tutaj, konstruując rozporządzenie RODO, wymyślono sobie, że chcemy, żeby to rozporządzenie jak najdłużej obowiązywało, nie będziemy bardzo wyraźnie wskazywali dokumentów, które trzeba zrobić, w związku z tym, że życie dynamicznie się zmienia, kanały informacji i pozyskiwania danych osobowych dynamicznie się zmieniają, co widzimy chyba znakomicie w ostatnich latach na przykładzie social mediów. Więc wskazujemy bardzo niewiele dokumentów, które są oficjalnie wymienione w rozporządzeniu RODO dla wdrożenia. I w zasadzie jeśli chodzi o to, co wyraźnie nam rozporządzenie wskazuje i co na pierwszy ogień powinniśmy wdrożyć jeśli chodzi o te dokumenty, które powinniśmy mieć, jeżeli przetwarzamy dane osobowe. A jak na początku ustaliliśmy, że w zasadzie wszyscy w tym sektorze usług medycznych przetwarzają dane osobowe. Z resztą, ja też przetwarzam dane osobowe prowadzą kancelarię, Ty prowadząc firmę, która jest powiązana z tym sektorem również przetwarzasz dane osobowe. W zasadzie każdy przedsiębiorca to robi w mniejszym albo w większym stopniu. Są to dwa dokumenty:
Rejestr czynności przetwarzania – to jest taki dokument, w którym wykazujemy, jakie dane osobowe przetwarzamy. W przypadku placówek medycznych jest tych danych niestety bardzo wiele. No bo jeżeli już pacjent decyduje się na to, żeby leczyć się u nas, no to nie tylko mamy te najbardziej podstawowe dane osobowe jak imię, nazwisko, dane kontaktowe, ale też mamy te dane wrażliwe. Dane szczególnej kategorii dotyczące stanu zdrowia pacjenta. Więc powinniśmy wymienić, jakie dane osobowe przetwarzamy, na jakiej podstawie, czy powierzamy te dane osobowe jakimś innym podmiotom, retencja tak zwana – czyli jak długo możemy przechowywać te dane osobowe. Kto jest administratorem danych, administratorem danych jest zawsze ten podmiot, który zbiera dane osobowe. Więc rejestr czynności przetwarzania ma wykazać, jakie dane przetwarzamy, w jakim celu, kogo dane przetwarzamy – w tym wypadku dane pacjentów, ale nie tylko. Bo cały czas będą nam się przewijały dane pacjentów, ale przecież placówki medyczne zatrudniają też pracowników. I tutaj bardzo dużo już procesów przetwarzania się pojawia. Czyli to te dane osobowe, które zbieramy, w jakim celu je zbieramy. Pacjenci, również pracownicy, jeżeli mamy pracowników – te podstawowe dane osobowe, które służą zatrudnianiu tych osób, ale również inne, jeżeli mamy osobę zatrudnioną na umowę o pracę. W niektórych przypadkach na przykład zbieramy informacje o tym, czy dana osoba posiada małżonka, czy ma też dzieci. To może być związane ze świadczeniami ZUSowskimi albo z jakimiś świadczeniami socjalnymi, które jako pracodawca będziemy na rzecz pracowników wykonywali. I rejestr czynności przetwarzania mieć musimy. Jeżeli jesteśmy podmiotem, który przetwarza dane osobowe.
Drugim wskazanym w przepisach dokumentem, który jest właśnie wyraźnie wskazany, to rejestr kategorii czynności przetwarzania. No i tu już nam się robi miszmasz pojęciowy, bo mówię, że jednym jest rejestr czynności przetwarzania, a drugim rejestr kategorii czynności przetwarzania i to już na szczęście u Państwa będzie miało o wiele rzadziej zastosowanie. Rejestr kategorii czynności przetwarzania, to taki dokument, który muszą sporządzić podmioty, którym powierzono dane osobowe. Czyli którym jakaś inna jednostka powierzyła dane osobowe, których jest administratorem, powierzyła nam w jakimś tam celu. W placówkach medycznych to będzie się zdarzało stosunkowo rzadko.
Jacek: Wiesz co, czasami jest tak, że placówki są jakimiś na przykład podwykonawcami PZU, że to jest mimo wszystko podmiot leczniczy.
Irek: Oczywiście. To wtedy jest też kwestia sporna w takich sytuacjach, czy mamy tutaj do czynienia z powierzeniem, czy jednak te podmioty są współadministratorami. No bo tutaj placówka medyczna jednak też decyduje o celach przetwarzania i w związku z tym, że dana osoba przychodzi z własnej inicjatywy żeby skorzystać z jej usług, prawda? I tutaj to ja bym jednak bardziej uznał, że placówka medyczna będzie administratorem, a nie podmiotem, któremu powierzono dane osobowe. Ale to jest zawsze kwestia sporna.
Jacek: Ale dobrze byłoby to teraz doprecyzować. Czyli mamy tą placówkę, mamy zrobiony ten rejestr. No i ja rozumiem, że jesteśmy placówką medyczną, mamy oprogramowanie Proassist, powinniśmy mieć z nimi umowę o powierzenie przetwarzania danych osobowych.
Irek: Tak. No, to stosujesz, bo przeglądałem Wasze dokumenty. I to jest taki dobry przykład. Jeżeli dana placówka medyczna korzysta z usług Proassist, czy jakichkolwiek dostawców usług zewnętrznych, którym powierza dane osobowe, którymi administruje, no to należy z takim podmiotem zawrzeć umowę powierzchnia.
Jacek: Okej, teraz słuchaj. Teraz dwa trudne pytania. A co w przypadku, kiedy lekarz wpisuje te dane do kalendarza Google?
Irek: No, powierza dane osobowe Google’owi, niestety.
Jacek: Czyli powinien mieć tą umowę?
Irek: Wiesz, to może być w różny sposób rozwiązane. Chociaż akurat powiem, że przy kalendarzu Google, to powiem szczerze, że nigdy się w ten temat nie zagłębiałem, ale pewnie korzystając z tych usług, mamy ileś tam dokumentów, regulaminów, które musimy zaakceptować, że się zapoznaliśmy. Więc sądzę, że tutaj jednym z tych dokumentów była może nie tyle umowa powierzchnia, tylko taka informacja o powierzeniu danych. Jeżeli korzystasz z tych usług w określonych celach, no to powierzysz tam dane osobowe, a najważniejszą informacją dla każdego podmiotu, który powierza dane osobowe jest to, żeby ten podmiot, któremu je powierzamy zapewniał pełne bezpieczeństwo i zgodność z RODO. Powierzamy dane osobowe. Powinniśmy to sprawdzić jako administrator, który powierza dane osobowe. Chociaż domyślam się, że akurat Google’a nikt nie będzie sprawdzał, no ale w umowach powierzenia z innymi podmiotami, które są naszymi usługodawcami, z których usług korzystamy, chociażby z usług IT – jeżeli będziemy korzystać. Mamy też coraz większy nacisk teraz na informatyzację placówek medycznych. No dokumentacja medyczna już jest w zasadzie niemalże tylko w tej formie prowadzona, więc każdy dostawca usług, który nam jakieś usługi IT dostarcza, z takim podmiotem również umowę powierzenia powinniśmy zawrzeć.
Jacek: No, ale wiesz – mamy jeszcze coś takiego, że mamy jako placówka rejestratorki na miejscu, jakiegoś menedżera, różne umowy podpisujemy z tymi osobami. Niekoniecznie umowę o pracę, czasami nawet B2B. Wiesz, 90% lekarzy w placówkach pracuje na B2B, co prawda lekarz leczy tych pacjentów, ale zazwyczaj ma dostęp do również nie swoich pacjentów. I teraz pytanie jest takie: musimy też podpisać jako placówka z tymi pracownikami dokumenty odpowiednie?
Irek: Nie, tutaj – jeżeli jesteśmy podmiotem, który zatrudnia i tutaj za zatrudnienie nie tylko powinniśmy uważać umowę o pracę, ale również zleceniówki, umowy o dzieło. No o dzieło już coraz mniej, bo wiadomo, że tutaj ZUS dosyć poluje na takie umowy. Ale również umowy B2B, chociaż przy umowach B2B no właśnie tu bym to rozdzielił. Na razie zostańmy przy umowach o pracę i umowach zlecenia jako podstawa zatrudnienia. Tu z tymi osobami nie musimy zawierać oczywiście umów powierzenia, natomiast konieczną i wymaganą praktyką byłoby nadanie takim osobom upoważnień do przetwarzania danych osobowych. Mamy pracownika, jakąś rejestratorkę, kogoś na recepcji, pielęgniarki też przecież mają pełen dostęp do danych osobowych, jakieś asystentki medyczne, asystentki stomatologiczne.Te wszystkie osoby mają dostęp do danych osobowych w naszej placówce, więc jeżeli chcemy wykazywać zgodność naszych działań z przepisami RODO, to powinniśmy nadać tym osobom upoważnienia. Nie ma w przepisach RODO absolutnie wskazanej formy, w jakiej powinniśmy te upoważnienia nadawać. Większość podmiotów robi jednak tak, że jednak jest to forma pisemna. Bo to akurat nie jest jakiś wielki wysiłek, w szczególności, jeżeli nie mamy zbyt wielkiej liczby pracowników. Zrobić upoważnienie do przetwarzania, wskazać z imienia i nazwiska daną osobę. Do przetwarzania jakich danych jest ona upoważniona, to powinniśmy wskazać precyzyjnie, czy to są dane pacjentów, czy dane pracowników. I najlepiej jest też określić, na jaki okres czasu jest ta osoba upoważniona, z tym, że to zwykle robimy, że na czas zatrudnienia. Dopóki ta osoba jest u nas zatrudniona, już niezależnie od podstawy zatrudnienia, tak długo będzie upoważniona. Jeżeli jesteśmy pracodawcą, który zatrudnia wielu pracowników, ma nadaje wiele tych upoważnień, to powinniśmy w takim przypadku prowadzić Rejestr Upoważnień. Czyli mieć listę, może być ona oczywiście w formie elektronicznej prowadzona i zdecydowana większość jednostek tak robi, że jest to w formie elektronicznej.Mamy wykaz, którym osobom udzieliliśmy upoważnienia, w jakim zakresie oraz na jak długo.
Ale jeszcze, już może przedłużamy ten temat – to B2B powszechne w placówkach medycznych. Tu być może lepszą praktyką byłoby jednak zawieranie umów powierzenia. No bo B2B to jest jednak oddzielny przedsiębiorca, oddzielny podmiot. Trzeba go traktować jak naszego usługobiorcę, prawda. My jesteśmy usługodawcą, On jest usługobiorcą. My zlecamy mu wykonanie niektórych czynności, powierzamy mu oczywiście dane naszych pacjentów (przede wszystkim pacjentów). I raczej tu najlepszym rozwiązaniem byłaby umowa powierzenia.
Jacek: No wiesz, nie jest to duży problem, więc, że tak powiem, zawsze warto wziąć ten podpis.
Irek: Tak, tym bardziej, że dobrym pomysłem tutaj byłoby niekoniecznie – bo mówię o umowie powierzenia – spokojnie takie postanowienia możemy wrzucić do umowy ogólnej, o współpracy z takim lekarzem, z takim podmiotem. Takie umowy przy okazji B2B często są zawierane i tylko jeden jakiś tam punkt dotyczący powierzenia danych jest.
Jacek: Mhm, okej. Ale mam też takie pytania, które zadawali mi tutaj lekarze nasi. Oni mają taki problem, że Oni w końcu nie wiedzą. No bo tam jest coś uznane, że jeżeli przetwarzasz bardzo duże ilości tych danych osobowych, to powinieneś mieć Inspektora Ochrony Danych Osobowych. A jeżeli mniejsze, no to nie musisz. I tylko powiedz mi, gdzie jest ta linia?
Irek: Tak, to jest kolejne nieokreślone bliżej, z resztą, no ogólnie w prawie mamy wiele takich nieokreślonych pojęć. RODO sam od siebie jest nieprzyjaznym aktem prawnym. Jeśli chodzi o zapoznawanie się, nie wiem, czy ktokolwiek z Państwa próbował to zrobić. Ja będąc prawnikiem początkowo, gdy zabierałem się za lekturę tego, to naprawdę trudno było mi to zrozumieć i wyobrażam sobie, gdy ktoś nie jest praktykiem z dziedziny prawa, gdy to czyta, to mu się włos zaczyna jeżyć na głowie. To jest ten jeden z punktów nieokreślonych, ale jednym z podstawowych obowiązków placówek medycznych. Przynajmniej analiza, czy powinniśmy tego Inspektora Ochrony Danych powołać, jakie są dyspozycje. Tam są trzy przesłanki, kiedy jest to obowiązkowe. W przepisie bodajże 39 RODO wskazane. Nas interesuje w zasadzie jeden, on mówi o przetwarzaniu danych szczególnej kategorii, czyli tych danych wrażliwych. Danych dotyczących stanu zdrowia pacjenta w naszym przypadku. Ustaliliśmy na samym początku, że są to dane wrażliwe i jest do podstawa w przetwarzaniu danych w placówkach medycznych. I to drugie określenie – na dużą skalę. Czyli, jeżeli na dużą skalę przetwarzamy dane wrażliwe, powinniśmy powołać Inspektora Ochrony Danych. Nie ma żadnych wskazówek dotyczących tego, jaka to jest liczba, żeby ktoś wyraźnie wskazał jakąś liczbę i dopiero wtedy moglibyśmy mówić, że stosujemy, powołujemy tego inspektora albo go nie powołujemy.
Mówiłem też na wstępie naszego dzisiejszego spotkania o tych kodeksach branżowych, kodeksach postępowania. Co to jest? No, może teraz jeszcze dwa słowa. To są takie kodeksy branżowe, wymyślono je w artykule czterdziestym RODO biorąc pod uwagę to, że być może niektóre branże będą chciały ustalić jakieś swoje zasady postępowania związane z ochroną danych osobowych, które byłyby wskazówką właśnie dla podmiotów danej branży. Jak te dane osobowe przetwarzać, jak do w ogóle RODO się mieści, jeśli chodzi o naszą specyfikę działania. No i akurat jeśli chodzi o sektor ochrony zdrowia, jesteśmy w tak dobrej sytuacji, że mamy już dwa branżowe kodeksy postępowania.
Jeden dla małych placówek medycznych, które zrobiło Porozumienie Zielonogórskie. To znaczy tam jedna z firm doradczych oczywiście im to przygotowała, ale na zlecenie Porozumienia Zielonogórskiego i to był pierwszy kodeks branżowy postępowania zatwierdzony przez Prezesa Urzędu Ochrony Danych na jesieni 2022 roku. Jak widzą Państwo, pierwszy branżowy kodeks akurat z naszego sektora ochrony zdrowia, widać, że jest to ważne zagadnienie – ochrona danych osobowych. A drugi kodeks branżowy, który został zatwierdzony, to zatwierdzone na jesieni ubiegłego roku kodeks postępowania dla sektora ochrony zdrowia, gdzie Polska Federacja Szpitali była inicjatorem powstania tego kodeksu. Przygotowało to KTMG na zlecenie Polskiej Federacji Szpitali i możemy zapoznać się z tymi dwoma kodeksami postępowania w sektorze medycznym. Czyli naprawdę jest to fajnie zrobione i dużo nam wyjaśni jeśli chodzi o RODO i również właśnie pochylono się tam nad tym problemem, nad zagadnieniem powołania Inspektora Ochrony Danych – czy trzeba go powoływać, czy nie trzeba.
Porozumienie Zielonogórskie, przygotowując ten kodeks nawet dało taką propozycję Prezesowi Urzędu Ochrony Danych, żeby wskazać określoną liczbę. Były tam liczby 6000 unikalnych pacjentów, których mamy zarejestrowanych u siebie jako placówka medyczna i przetwarzamy ich dane osobowe albo 600 pacjentów miesięcznie, którzy korzystają z naszych usług. Prezes Urzędu Ochrony Danych odrzucił takie propozycje, stojąc na stanowisku, że trudno będzie nam zawsze jednoznacznie ocenić jakąś sztywną liczbę i wiedział, że jeżeli wskażemy tą liczbę, to już wszelkie inne branże będą się opierały na takich wskazówkach. Więc nie mamy tego wskazanego. Natomiast, no proszę Państwa, chyba nie jest to zbytnio rzadko spotykane, że jakaś placówka przetwarza dane kilku tysięcy osób.
Jacek: No wiesz, te dane, nie można ich usunąć, bo to jest dokumentacja medyczna, więc jeżeli mówimy o historycznych i archiwalnych danych, że na przykład 6 lat temu był u nas pacjent, to potrafią być setki tysięcy pacjentów w jednej placówce.
Irek: Dokładnie tak. I to jest to, o czym mówisz. Czyli dokumentacja i jak długo musimy ją przechowywać. Co do zasady 20 lat, w niektórych przypadkach 30, w niektórych 22, no ale jest to bardzo długi okres czasu. I już tutaj z tego powodu widać, że mamy tych danych osobowych przetwarzanych bardzo dużo. I w tych dwóch kodeksach branżowych, o których mówiłem, dla małych placówek medycznych i dla sektora ochrony zdrowia, wyraźnie wskazano, że co do zasady – nie trzeba Inspektora Ochrony Danych powoływać w Indywidualnych Praktykach Lekarskich, czy w Indywidualnych Praktykach Pielęgniarskich, bo takie przecież też są. Tu, jeżeli mamy nawet praktykę, która na dosyć dużą skalę przetwarza dane osobowe, wyraźnie w tych kodeksach stwierdzono, że no raczej nie trzeba tego robić.
Jacek: No właśnie. Lekarz pracuje od rana do wieczora i ma te sto tysięcy pacjentów.
Irek: Oczywiście. I tutaj powstają takie wątpliwości, ale jeżeli już tam w tych kodeksach wskazano, że Indywidualna Praktyka jest jakby luźniej traktowana niż inne podmioty. No to jeżeli mamy tą Indywidualną Praktykę, to pamiętajmy, że aż tak nie powinniśmy się tym przejmować, czy mamy tego IODO, czy nie. Natomiast każdy inny podmiot tak. Ale pamiętamy, że to co Ty słusznie zauważyłeś, tych danych osobowych – łatwo sobie obliczyć. Nawet jeżeli lekarz przyjmuje tylko 10 pacjentów dziennie, to robi się 50 pacjentów tygodniowo, robi się 200 miesięcznie i to myślę, że są takie bardzo delikatne szacunki.I już mamy 2500 pacjentów rocznie. Wiadomo, że niektórzy wracają, więc tutaj też nie możemy aż tak tego kalkulować, ale to będzie prędzej czy później i tak przetwarzanie na dużą skalę. Natomiast każdy inny podmiot będący w tej branży, będący placówką medyczną, który nie jest indywidualną praktyką lekarską, powinien to bardzo poważnie rozważyć, żeby tego Inspektora Ochrony Danych Osobowych powołać.
No i czym jest Inspektor Ochrony Danych? On jest osobą, która ma zapewnić wsparcie i bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami RODO. To może być osoba zatrudniona w danej jednostce, to może być ekspert zewnętrzny. Nie ma tutaj wyraźnych wskazówek, czy lepiej jest outsourcować, czy też nie. I ma być to taki ekspert, który nie powinien podlegać służbowo pod jakiegoś przełożonego w strukturze organizacyjnej, więc nie powinno być tak, że mogą być mu wydawane jakieś polecenia. W tym sensie, że jakiś przełożony chce, żeby w ten właśnie sposób postąpić z danymi osobowymi, Inspektor twierdzi, że nie, ale jest nacisk, żeby jednak ze względu na podległość służbową takie polecenia wykonywać. To ma być osoba, która czuwa nad prawidłowością przestrzegania przepisów o ochronie danych osobowych. Zwykle w praktyce jest tak, że na IODO przerzuca się w zasadzie wszystkie obowiązki związane z ochroną danych osobowych w danej jednostce. Nie tylko mówimy tu oczywiście o sektorze ochrony zdrowia. A w placówkach medycznych jest to jednak szczególnie mile widziane, no bo mamy i dane wrażliwe i przetwarzamy je na dużą skalę. A poza tym, kiedy jest jeszcze obowiązkowe powołanie IODO? W podmiotach publicznych. Prezes Urzędu Ochrony Danych Osobowych dał nawet taką wskazówkę, że jeżeli podmioty współpracują z NFZ, rozliczają się z NFZ, no to już świadczą jakieś usługi publiczne. Już mają powiązania bardzo mocne z sektorem publicznym. I jest to taka wskazówka, że tego IODO powołać by wypadało.
Ale nikt oczywiście nie będzie Państwa jakoś z automatu karał za to, że Inspektor nie jest powołany. Ani też myślę, że gdyby pojawiła się kontrola z Urzędu Ochrony Danych – no sam fakt tylko nie powołania, jeżeli wszystko byłoby w porządku, nie będzie aż tak mocno punktowany. No, chyba, że mielibyśmy jednostkę sektora finansów publicznych i tam nie byłby powołany IODO, to wtedy ewentualnie Prezes UODO mógłby się przyczepić.
Jacek: Teraz tak. Dużo się mówiło o tych karach. Pewnie znasz jakieś przypadki tych kar, które były. Z drugiej strony to też tak jest, że ci pacjenci, którzy też od razu jak tylko dowiedzą się o jakichś wyciekach danych, to już widzą tam miliony w oczach, ile od tej placówki dostaną. I teraz – jak to jest? Jesteśmy placówką i doszło w jakichś sposób do wykradzenia danych, naruszenia tej ochrony danych. Nie wiem, czy znasz jakieś przypadki placówek medycznych. Teraz jest taki słynny, to pewnie zaraz o nim powiemy, co się tam wydarzyło, ale co placówka – czy powinna się obawiać? Czy jeżeli ma wszystko poukładane tak jak powinno być, to nie powinna się obawiać? Czy jak to w ogóle wygląda?
Irek: Więc tak, mówiliśmy już wcześniej o tym, dlaczego ta świadomość, jeżeli chodzi o ochronę danych, tak mocno wzrosła w społeczeństwie i wśród przedsiębiorców również. A tutaj chyba po drugiej stronie mamy chyba głównie przedsiębiorców. W specyficznej branży, ale jednak ludzi, którzy prowadzą mniejsze lub większe biznesy. Właśnie jednym z głównych powodów wzrostu tej świadomości były maksymalne kary, jakie są przewidziane w Rozporządzeniu RODO. Tam są dwutorowo te kary wskazane. Pierwsza, do 10 milionów euro lub 2% przychodu rocznego, druga do 20 milionów euro i 4% przychodu rocznego. Już nie będę tutaj analizował, co za co grozi dokładnie za jakie naruszenie jaka kara powinna być. Ale takie są teoretycznie kary maksymalne. I rzeczywiście to podziałało bardzo mocno i nadal działa bardzo mocno na wyobraźnię. No bo szczególnie przy podmiotach, które mają duże przychody rocznie, to sumy robią się naprawdę poważne. Natomiast w Polskiej praktyce Prezes UODO jeszcze z tych maksymalnych kar nie korzystał. Z roku na rok, ilość kar pieniężnych nakładanych na administratorów oraz na podmiotu, którym powierzono też te dane, rośnie. I każdy tutaj rok jest rokiem rekordowym jeśli chodzi liczbę kar pieniężnych. Również rekordowo jest każdy rok, jeżeli chodzi o wolumen tych kar, ogólną formę kar nałożonych na podmiotu, które są administratorami i innymi podmiotami, które przetwarzają dane osobowe. Więc pod tym względem na pewno trzeba się tego bać, ale też proszę Państwa nie jest to od razu tak, że jeżeli będziemy mieli jakiś incydent, naruszenie związane z ochroną danych osobowych polegający na tym, że wyślemy omyłkowo dokumentację medyczną innemu pacjentowi niż powinniśmy, wystawimy skierowanie innej osobie, czy tym podobne incydenty, które chyba są najpopularniejsze jeżeli chodzi o tą działalność. Zwykle jest to po prostu błąd ludzki, jakieś niedopatrzenie, jakaś nieuwaga i dopiero to skutkuje najczęściej jakąś skargą albo – bo to też jest bardzo ważna informacja – przepisy RODO wyraźnie wskazują, że jeżeli dojdzie do naruszenia ochrony danych osobowych, do jakiegoś incydentu z tym związanego, to mamy tylko 72 godziny na zgłoszenie tego do Prezesa UODO.
Powinniśmy się sami przyznać do błędu i zgłaszamy taki incydent. No i możemy być pewni, że Prezes UODO zareaguje. I już wszystko zależy od tego, jak głęboko będziemy wyjaśniali wszystkie okoliczności z tym związane, tak bardzo będziemy mieli możliwość tego, czy Prezes UODO bardziej się nami zainteresuje, czy też mniej.
Większość kar pieniężnych, która była nakładana właśnie wiązała się z tym, że nastąpiło jakieś naruszenie, zgłosił to albo sam administrator albo ktoś, kogo dane zostały naruszone. Czyli po prostu dane osobowe zostały ujawnione, czy też przekazane osobie, której nie powinny być przekazane. No i wtedy Prezes wszczyna postępowanie, wyjaśnia wszystkie okoliczności, no i w zależności od tego, jak do tej pory postępowaliśmy z tym całym zagadnieniem, tak duże mamy zagrożenie tego, czy kara pieniężna zostanie nałożona, czy też nie.
Jeżeli Prezes w trakcie postępowania wyjaśniającego zobaczy, że nie mieliśmy prawidłowej dokumentacji, że byliśmy podmiotem większym i nie mieliśmy Inspektora Ochrony Danych Osobowych. Wtedy wszystko wskazuje, że te zagadnienia traktujemy lekko, to możemy być pewni, że kara pieniężna zostanie nałożona. Ale zrobię też zastrzeżenie. Proszę się też nie bać, że będą to jakieś niebotyczne kary pieniężne. Do tej pory najwyższa kara w ogóle jeśli chodzi o wszelkie jednostki działające w Polsce, którymi się zainteresował Prezes UODO, to było około 5 mln zł. To jest dużo, ale jeżeli to przełożymy na teoretyczne kary maksymalne, to jeszcze trochę nam brakuje, prawda? Tu chodziło akurat o sektor energetyczny, gdzie wykradziono dane w trakcie przenoszenie z serwera na inny serwer.
Dziękujemy za przeczytanie tego artykułu i dobrnięcie z nami do końca. Mamy nadzieję, że rozmowa z Ireneuszem Zabawą rzuciła nowe światło na temat ochrony danych osobowych w placówkach medycznych i dostarczyła Ci wartościowych informacji. RODO to niezwykle istotna sprawa, zwłaszcza w kontekście dziedziny medycyny, gdzie ochrona danych osobowych pacjentów jest priorytetem. Wiedza na ten temat może pomóc uniknąć niepotrzebnych naruszeń i zapewnić profesjonalną obsługę pacjentów. Jeśli masz dodatkowe pytania lub chciałbyś zgłębić temat jeszcze bardziej, nie wahaj się skontaktować z nami. Chętnie zorganizujemy kolejne spotkanie z Irkiem lub udzielimy odpowiedzi na Twoje pytania poprzez inne kanały komunikacji. Dziękujemy raz jeszcze za zaangażowanie i zapraszamy do śledzenia naszego bloga oraz kolejnych odcinków „Gość Proassist”. Zachęcamy też do obejrzenia nagrania z Webinaru. Znajduje się w nim wiele ciekawych, życiowych przykładów, które nie zostały opisane w tym artykule. Do zobaczenia!