RODO W SŁUŻBIE ZDROWIA.

Przeszło rok po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO) służba zdrowia zmaga się nadal z poważnymi problemami w zakresie należytej ochrony danych osobowych.

W niniejszym opracowaniu nie będziemy poruszać w ogóle problemów z jakimi zmagają się szpitale – są to duże jednostki, przetwarzające olbrzymie ilości danych osobowych, przy tym poważnie niedofinansowane. Jednostki te starają się niemniej najczęściej wdrożyć przynajmniej podstawy systemu ochrony danych osobowych. Wydaje się przy tym, że są w mniejszym stopniu narażone na kary. Są bowiem jednostkami publicznymi, stąd nałożone na nie mocą RODO kary nie mogą przekroczyć 100 tys. PLN, a ponadto i tak są już najczęściej mocno niedofinansowane i nie wydaje się by priorytetem Prezesa Urzędu Ochrony Danych Osobowych było karanie tych jednostek. Komornik w szpitalu zawsze źle odbierany jest przez społeczeństwo, a utrzymywanie szpitali przy życiu jest przecież w interesie nas wszystkich.

Problemy z prawidłowym przetwarzaniem danych osobowych nie dotyczą jednak jedynie szpitali. Gdy wybierzemy się do prywatnych gabinetów lekarskich, okazuje się, iż bardzo często nie zrobiono w nich absolutnie nic by nasze dane osobowe były bezpieczne. Gabinety takie przetwarzają co prawda znacznie mniej danych niż szpitale, nadal są to jednak spore ilości danych szczególnych kategorii, które – jak sama nazwa wskazuje – podlegają szczególnej ochronie. Bezprawne ujawnienie, modyfikacja, czy utrata takich danych prowadzić mogą do poważnego naruszenia praw pacjenta i poważnych problemów właścicieli gabinetu lekarskiego. Prywatna praktyka lekarska traktowana może być bowiem z mniejszym pobłażaniem niż szpital i wszelkie nieprawidłowości mające w niej miejsce spotkać mogą się z surowymi konsekwencjami. Prywatna praktyka lekarska nie podlega przy tym ustawowemu ograniczeniu wysokości kary pieniężnej wynikającej z RODO do 100.000,00 PLN. Na lekarzy prowadzących prywatny gabinet Prezes Urzędu Ochrony Danych Osobowych nałożyć może karę w pełnej wysokości wynikającej z RODO (mieć należy oczywiście przy tym na względzie, iż wysokość kary będzie najczęściej mniej lub bardziej współmierna do ilości przetwarzanych danych, przychodów placówki, jej wielkości oraz powagi stwierdzonych nieprawidłowości).

Z naszych obserwacji wynika, że najczęściej powtarzającymi się i najbardziej rzucającymi się w oczy nieprawidłowościami w prywatnych gabinetach medycznych są błędy w funkcjonowaniu recepcji. Nie należy mieć tu oczywiście pretensji jedynie do pracowników recepcji – u źródła tych nieprawidłowości najczęściej leży lekceważące podejście ze strony osób zarządzających placówką. Obserwowane przez nas nieprawidłowości polegały m.in. na:

  • Przechowywaniu dokumentacji pacjentów w niezabezpieczonych miejscach – luzem na biurku recepcji, na otwartych regałach, czy w niezamykanych szafkach. Zdarzało się nawet ustawianie segregatorów z dokumentacją pacjentów na parapecie – „pod ręką” innych pacjentów czekających na przyjęcie przez lekarza.

  • Długotrwałym pozostawianiu recepcji (i całej poczekalni) bez nadzoru. Poczekalnia nie była monitorowana, dokumentacja pacjentów leżała „wszędzie” – pod ręką pacjentów czekających w poczekalni, na drukarce co chwilę wyskakiwały nowe wydruki a jedyna osoba obsługująca recepcję opuszczała ją na 15-20 minut.

  • Braku blokowania komputera przed opuszczeniem stanowiska pracy przez pracownika recepcji.

  • Drukowaniu dokumentów na drukarce umieszczonej w poczekalni podczas nieobecności jakiegokolwiek pracownika placówki.

  • Pozostawianiu kluczy w drzwiczkach szafek stojących w poczekalni i pozostawianie poczekalni bez nadzoru.

  • Pozwalaniu pacjentom na samodzielne wyszukiwanie własnej dokumentacji pośród pliku dokumentów dotyczących różnych pacjentów.

  • Wchodzeniu w „pyskówki” z niezadowolonym, zachowującym anonimowość, pacjentem na portalach social media i ujawnianie (upublicznianie) tożsamości pacjenta i rodzaju usług medycznych, z których pacjent korzystał (!).

Powyższe nieprawidłowości są tak rażące, że świadczą o całkowitym lekceważeniu prywatności pacjentów gabinetu. Biorąc pod uwagę potencjalnie wysokie przychody (i dochody) placówki oraz newralgiczny charakter przetwarzanych danych, placówka naraża się na poważne kary pieniężne, a być może również inne środki – takie jak np. czasowy zakaz przetwarzania danych osobowych (skutkujący de facto wstrzymaniem możliwości prowadzenia działalności).

Do powyższych rażących naruszeń zasad przetwarzania danych osobowych dodać należy kwestie takie jak:

  • Brak należytego zabezpieczenia systemów informatycznych, przy użyciu których przetwarzane są dane pacjentów.

  • Wysyłanie dokumentacji zawierającej newralgiczne dane dotyczące zdrowia pacjentów pocztą nierejestrowaną. Prezes Urzędu Ochrony Danych Osobowych stwierdził co prawda nie tak dawno temu, że wysyłka korespondencji pocztą nierejestrowaną sama w sobie nie jest naruszeniem bezpieczeństwa danych osobowych, uważamy jednak, że w przypadku dokumentacji medycznej zachować należy szczególną ostrożność i zastosować szczególne środki bezpieczeństwa danych osobowych – przesyłkę nierejestrowaną każdy może (faktycznie) otworzyć, zapoznać się z jej treścią i następnie zniszczyć lub po prostu zatrzymać, a niezwykle trudno będzie dociec co się z nią stało i czy doszło do naruszenia prywatności pacjenta oraz jakie mogą być jego potencjalne skutki dla pacjenta (np. kradzież tożsamości, utrata zatrudnienia, ostracyzm społeczny.

  • Nieprawidłowo skalibrowany i skonfigurowany system monitoringu – obejmujący np. zbyt szeroki obszar, z losowym czasem przechowywania nagrań).

Niezależnie od powyższego, nie wolno zapominać o nieprawidłowościach natury formalnej, takich jak:

  • Brak rejestrów czynności przetwarzania danych osobowych.

  • Brak upoważnień do przetwarzania danych osobowych.

  • Brak umów powierzenia przetwarzania danych osobowych.

  • Brak jakiejkolwiek, najprostszej choćby, analizy ryzyka dla praw i wolności podmiotów, których dane przetwarzane są przez gabinet lekarski.

  • Brak jakichkolwiek rzetelnych szkoleń personelu.

  • Brak jakichkolwiek polityk mających na celu ochronę danych osobowych.

  • Brak realizacji obowiązku informacyjnego względem pacjentów (a także innych osób, których dane przetwarza placówka medyczna).

Podsumowując, rozmiar dostrzeganego problemu jest ogromny, a jego waga znacząca – ze względu na szczególny charakter przetwarzanych danych osobowych. Pamiętać należy, iż do wpędzenia się w problemy wystarczy jeden niezadowolony pacjent, który wniesie skargę do organu nadzorczego lub pozew do sądu i otworzy przysłowiową „puszkę Pandory”. Z całą pewnością warto więc zainwestować w podwyższenie poziomu bezpieczeństwa danych osobowych w placówkach medycznych.

Wpisy powiązane:

Naruszenie ochrony danych osobowych.

Obowiązek wyznaczenia inspektora ochrony danych.

Obowiązek informacyjny RODO.

Rejestr czynności przetwarzania danych.

Analiza ryzyka.

Kary pieniężne RODO w Polsce w 2019 r.

Kary pieniężne wynikające z RODO.

Zasady RODO.

Zasada rozliczalności.

Bezpieczeństwo przetwarzania danych.

Wdrożenie RODO.

RODO - podstawowe informacje.

Polityka ochrony danych osobowych.

Powierzenie przetwarzania danych osobowych.

Data publikacji: 14.06.2019.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

Audyt i wdrożenie RODO | Poznań, Warszawa, Bydgoszcz