NowośćOferta na wsparcie realizacji programu ChUKSprawdź, jak możemy Ci pomóc!
17/04/2024
Porady praktyczne Prawo w POZ

Obowiązki RODO placówki POZ a współpraca z lekarzem kontraktowym

  • 22 lutego 2024
  • czas czytania 5 min
Obowiązki RODO placówki POZ a współpraca z lekarzem kontraktowym

Aby zobaczyć pełną treść tego postu, proszę zaloguj się.

Logowanie i rejestracja są bezpłatne.

Jeśli nie masz jeszcze konta, możesz się zarejestrować tutaj.

Współczesny, cyfrowy świat to miejsce w którym codziennie obraca się milionami informacji, w tym danymi osobowymi. Tym bardziej oczywiste jest, że takie działania na danych osobowych głównie pacjentów (ale nie tylko) mają każdego dnia miejsce w placówkach POZ. Co istotne, są to tzw. dane szczególnych kategorii. Szczególnych, a więc umożliwiających  zidentyfikowanie określonej osoby, takie jak: dane genetyczne, biometryczne czy dotyczące zdrowia. Jakie obowiązki po stronie POZ nakłada RODO w ramach współpracy z lekarzami na kontrakcie? W jaki sposób POZ powinien zapewnić wykorzystywanie tych danych przez kontraktowy personel medyczny?

Kto odpowiada za ochronę?

Co do zasady, większość obowiązków wynikających z treści przepisów regulujących ochronę danych osobowych odnosi się do administratorów.

Zgodnie z art. 4 pkt 7 RODO za administratora uważa się podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

To właśnie administrator odpowiedzialny jest za zapewnienie bezpieczeństwa danych osobowych, które pozyskuje i przetwarza. W zakresie tej odpowiedzialności pozostaje również kompetencja do upoważniania pracowników i współpracowników do przetwarzania danych osobowych. W omawianym przypadku administratorem będzie POZ. To POZ odpowiada za ustalenie celów wykorzystywania danych pacjentów, realizację obowiązków informacyjnych czy ponoszenie odpowiedzialności w razie stwierdzenia naruszeń.

Cele upoważnienia i treść

Podstawowym obowiązkiem POZ wobec lekarza kontraktowego będzie upoważnienie go do przetwarzania danych osobowych. Ogólną podstawę do upoważnienia lekarzy POZ zatrudnionych zarówno na etacie, jak też na tzw. kontrakcie stanowi art. 29 RODO oraz art. 24 ust. 1-3 ustawy o prawach pacjenta. Jest przejawem implementacji RODO w placówce medycznej, a tym samym bezpośrednim środkiem zapewnienia polityki bezpieczeństwa danych. Z założenia ma to zagwarantować, że żadna osoba niepowołana (nieupoważniona) nie będzie mogła uzyskać dostępu do papierowych kartotek pacjentów czy też do systemów teleinformatycznych.

W treści przepisów RODO nie wskazano żadnej konkretnej formy w jakiej upoważnienie powinno być udzielone. Ogólne rozumienie RODO oraz jego praktycznego zastosowania pozwala na przyjęcie, że przyjęta forma ma umożliwić realizację obowiązku rozliczenia się. Przyjąć należy, że w pełni skuteczną i wystarczającą będzie albo forma papierowa (dołączana do akt osobowych współpracownika) lub elektroniczna, przechowywana w systemie.

Zasadniczo doktryna prawa ochrony danych osobowych wykształciła przekonanie, że upoważnienie powinno zawierać:

  • dane identyfikujące podmiot udzielający upoważnienia oraz osobę, której upoważnienie ma być udzielone ze wskazaniem zajmowanego stanowiska;
  • zakres danych, których przetwarzanie obejmuje upoważnienie;
  • w razie stosowania systemów informatycznych – dostęp do przetwarzaniach w ramach tych systemów;
  • cel przetwarzania wraz ze wskazaniem podstawy stosunku prawnego łączącego strony;
  • informację o tym, co należy rozumieć przez polecenie (instrukcję) administratora [1].

Praktyka wskazuje również, że warto by w treści upoważnienia znalazło się odpowiednie postanowienie, przewidujące końcową datę lub wydarzenie, skutkujące ustaniem upoważnienia.

Co poza upoważnieniem?

Odpowiednie upoważnienie zatrudnionych w POZ lekarzy to jedna strona medalu. Drugim, nie mniej istotnym obowiązkiem jest wypełnienie odpowiednich obowiązków informacyjno-szkoleniowych. Zakontraktowany lekarz musi być bowiem świadomy zarówno przepisów BHP obowiązujących w POZ, jak też procedur i przyjętej polityki RODO. Tylko w ten sposób stosowane systemy i procedury bezpieczeństwa okażą się faktycznie skuteczne i bezpieczne dla pacjentów oraz personelu. Warto, by POZ okresowo organizował szkolenia z RODO, które pozwolą na zaktualizowanie i utrwalenie wiedzy.

Odpowiedzialność i kary za naruszenie obowiązków RODO

Niespełnienie obowiązków przez placówki POZ i zatrudnianie lekarzy bez upoważnienia stanowi delikt i może skutkować nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych wysokiej administracyjnej kary pieniężnej. Zgodnie z art. 102 ust. 1 ustawy o ochronie danych osobowych na POZ nałożona może zostać kara w wysokości nawet do 100.000 zł. Z kolei nieupoważniony współpracownik narazić może się na poniesienie odpowiedzialności za wyrządzoną szkodę lub odpowiedzialności dyscyplinarnej. 

Przyjąć należy, że zarówno w interesie samej placówki POZ, jak też współpracującego lekarza pozostaje prawidłowe wykonanie zobowiązań wynikających z treści przepisów o ochronie danych osobowych.

Podsumowanie

Obowiązki RODO placówki POZ wobec lekarza zatrudnionego na kontrakcie stanowią jedynie drobny wycinek z całej ich palety. W praktyce mowa tu o obowiązkach dwojakiego rodzaju. 

  • Po pierwsze – obowiązki szkoleniowo-informacyjne. Tylko odpowiednio przeszkolony i świadomy pracownik, zapewni sprawne funkcjonowanie wdrożonych rozwiązań. 
  • Po drugie – obowiązki formalno-prawne. Aby uniknąć narażenia się na poniesienie odpowiedzialności finansowej, konieczne jest udzielnie pisemnych upoważnień zatrudnionym lekarzom oraz pozostałemu personelowi. Udzielone upoważnienia powinny odpowiadać swoją treścią zakresowi dostępu jaki oddany jest danemu współpracownikowi.

Źródła:

[1]  A. Sieradzka, D. Tykwińska-Rutkowska (red.), Dokumentacja RODO w placówkach medycznych, Warszawa 2019

Kontakt do autora:

O autorze

Kancelaria MK

Autorem artykułu jest aplikant radcowski Bartosz Włodarczyk, pracujący w zespole Kancelarii Radców Prawnych MK w Krakowie. Jest specjalistą w zakresie ochrony danych osobowych, w tym także w placówkach POZ. Kancelaria MK zapewnia profesjonalne i kompleksowe wsparcie w zakresie weryfikacji RODO w POZ oraz prywatnych gabinetach lekarskich. Kancelaria została założona przez radcę prawnego Dominikę Mróz-Krystę w 2011 r. Obecnie Kancelarię współtworzą radcowie prawni Dominika Mróz-Krysta, Andrzej Krysta, Izabela Ślusarczyk oraz Joanna Florek, których wspomagają aplikanci radcowscy Kacper Lewandowski oraz Bartosz Włodarczyk. Kancelaria specjalizuje się w szczególności w prowadzeniu spraw z zakresu prawa cywilnego, gospodarczego, spółek handlowych, autorskiego i praw pokrewnych. Radcowie prawni – założyciele nieustannie poszerzają swoją wiedzę i doświadczenie, uczestnicząc w różnego rodzaju szkoleniach i konferencjach - w tym jako prelegenci. Kontakt: https://www.mrozkrysta.com.pl

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *