RODO w służbie zdrowia – czyli rozporządzenie Parlamentu Europejskiego w sprawie ochrony danych osobowych. Obowiązujący od 25 maja 2018 r. akt prawny który wprowadza więcej zamieszania niż rzeczywistych zmian.
Czy RODO tak dużo zmienia?
Bezsprzecznie, RODO to akt prawny, który może poszczycić się tym, że wszedł w życie w otoczce ogromnego chaosu informacyjnego. Doniesienia z mediów oraz Internetu koncentrowały się w dużej części na potencjalnych (ogromnych) karach za uchybienia w stosowaniu jego przepisów, nie skupiając się na konkretach. Do dnia pisania tego artykułu można mnożyć dobiegające z mediów przykłady tego, jak w obawie przed konsekwencjami dochodzi do kuriozalnych wręcz sytuacji. Każdy już chyba słyszał o wyczytywaniu uczniów po numerach w dzienniku czy słynnych pseudonimach rodem z „Gwiezdnych Wojen” i powieści Tolkiena, jakie pojawiły się w rejestracji jednej z przychodni. Należy jednak zwrócić uwagę na fakt, że porównując RODO z dotychczas obowiązującymi regulacjami zawartymi w Ustawie o ochronie danych osobowych – RODO nie wprowadza rewolucji. Co więcej, wiele „wymagań” stawianych przez unijne rozporządzenie można wprowadzić w życie bez „wywracania do góry nogami” całej organizacji, w której je wdrażamy. Dlaczego więc mamy taki problem z RODO? W mojej opinii wynika to głównie ze sposobu, w jaki rozporządzenie to zostało napisane. RODO jest pełne ogólnych wytycznych, zaleceń lub informacji na temat tego jaki efekt powinno się osiągnąć, bez wskazania gotowych wskazówek i rozwiązań. Taki sposób redagowania rozporządzenia ma swoje uzasadnienie – RODO obowiązuje we wszystkich krajach członkowskich, a podczas jego tworzenia należało też wziąć pod uwagę wówczas obowiązujące regulacje państw całej Unii. Nie bez znaczenia jest też, że to właśnie kraje członkowskie mają wprowadzić swoje wewnętrzne przepisy, które dostosują i doprecyzują zawarte w RODO regulacje. W naszym kraju właśnie tutaj pojawia się problem, ponieważ proces legislacyjny, który ma na celu wprowadzenie regulacji RODO w Polsce rozpoczął się na dobre dopiero po jego wejściu w życie.
Przychodnia – rejestracja i poczekalnia – czyli RODO w oczekiwaniu na swoją kolej do lekarza.
Kontynuując wątek przychodni oraz sytuacji, w których to nadinterpretacja przepisów RODO bierze górę nad zdrowym rozsądkiem, warto wyjaśnić sobie kilka merytorycznych zagadnień, które tworzą całe zamieszanie. Przede wszystkim, RODO wprowadza szczególną kategorię danych osobowych – dane wrażliwe. Dane wrażliwe to katalog danych osobowych podlegających jeszcze większej ochronie niż tzw. dane zwykłe. Na katalog danych wrażliwych składają się m.in. informacje dotyczące stanu zdrowia, w związku z czym należy mieć te informacje pod wyjątkową ochroną. Należy jednak pamiętać, że dotychczasowe regulacje zawarte w Ustawie o ochronie danych osobowych także wyróżniały dwa „typy” danych osobowych. W związku z czym, trudno tutaj mówić o czymś nowym, można wręcz pokusić się o stwierdzenie że w końcu (przez wprowadzenie RODO), zaczęto pochylać się nad tematem ochrony danych osobowych z większą uwagą. Skupiając się jednak na przykładzie przychodni, chyba każdy z nas spotkał się z sytuacją, w której kolejka do zapisania się na wizytę odbywa się w otoczeniu dużej liczby osób. W tym momencie pojawiać się może problem – podczas rejestracji pacjenta przez pracownika przychodni, dochodzi do ustnego przekazania informacji, które są wrażliwymi danymi osobowymi – imię i nazwisko, specjalista do którego się rejestrujemy czy numer PESEL. Jak ochronić w takim razie dane osobowe? Należy przecież pamiętać, że podanie wyżej wymienionych danych jest niezbędne do prawidłowego zarejestrowania pacjenta. Jednocześnie, proces ochrony danych osobowych nie powinien odbywać się kosztem nieuzasadnionego zwiększenia formalizmu. Prostym sposobem na rozwiązanie tego problemu może być dokładne wyznaczenie „stref”, w których mogą znajdować się osoby rejestrujące się oraz oczekujące na rejestrację. Takie też stanowisko wyraża Ministerstwo Cyfryzacji w opublikowanym przez siebie „Przewodniku po RODO w służbie zdrowia”. Wracając do przytoczonego w pierwszym akapicie przypadku „nadawania pseudonimów”. Problem wywoływania pacjentów po nazwisku przez lekarzy można rozwiązać min. poprzez nadanie pacjentom numerków podczas rejestracji czy wywoływania ich „po godzinie”, na którą zostali zapisani. Zarówno w przypadku przychodni, jak i każdej innej firmy, która przetwarza dane osobowe – bez względu na to czy to dane wrażliwe czy nie, należy przede wszystkim zadbać o prawidłowy obieg tych danych, ich przechowywanie oraz zabezpieczenie przed dostępem osób nieuprawnionych. Jednak jak uczą przykłady – należy przede wszystkim pamiętać o zdrowym rozsądku. RODO ma być narzędziem, które ma nam pomagać, a nie komplikować życie.
Medycyna pracy – czyli każdy każdemu chce powierzać przetwarzanie danych osobowych.
W tym miejscu artykułu dochodzimy niejako do crème de la crème zamieszania związanego z RODO, czyli słynnych już umów powierzenia przetwarzania danych osobowych. Wraz z wejściem w życie rozporządzenia parlamentu europejskiego (a nawet przed jego wejściem w życie) zaczęło się – umowy zaczęli wysyłać sobie wszyscy. Firma mała czy duża, bez względu na to jakie dane, kto i po co je przetwarza. Często powodem do „zawarcia” umowy był fakt nawet jednorazowej współpracy między kontrahentami na kilka lat przed wejściem w życie RODO – tak zapobiegawczo. Same umowy często były (są) konstruowane zgodnie z zasadą – im więcej tym lepiej, czyli kolejna „rodoparanoja”. Tworzący umowy powierzenia przetwarzania danych osobowych eksperci starali się uregulować w nich prawie wszystko, zapominając chyba o tym, że regulacje prawne które są wprost wskazane w Rozporządzeniu nie wymagają ich powielania lub parafrazowania w samej umowie. Umowa powierzenia przetwarzania danych jest umową podobną do wielu innych z zakresu prawa cywilnego i w wielu przypadkach wystarczyłaby informacja że w sprawach których umowa nie reguluje, mają zastosowanie postanowienia RODO i kropka.
Co to ma wspólnego z medycyną pracy? Wbrew pozorom bardzo dużo. Wystarczy przeanalizować relację pracodawca (Podmiot wysyłający pracownika na badania) – przychodnia (Podmiot realizujący to zlecenie) pod kątem ochrony danych osobowych. Bezsprzecznie, z chwilą wykonania badań lekarskich przychodnia staje się administratorem danych względem wydelegowanych przez zakład pracy pracowników, jednak tylko w zakresie danych osobowych w jakim dane te zostają „wytworzone” przez przychodnię. W relacji przychodnia – klient (zakład pracy) oraz zakresie danych jakie zakład pracy przekazuje, przychodnia jest procesorem tych danych które otrzymuje. Przypadek należy rozpatrywać jako dwa osobne zbiory, w których część z nich jest wspólna. Dane osobowe otrzymane od przychodni są danymi „zwykłymi” w rozumieniu przepisów RODO, ponieważ zawierają tylko informacje takie jak imię, nazwisko i adres osoby stawiającej się na badania. Natomiast w osobnym zakresie (np. po uzupełnieniu kartoteki pacjenta) stają się danymi wrażliwymi i w tym zakresie placówka medyczna staje się ich administratorem względem pacjentów (nie zakładu pracy!), co wynika z przepisów dotyczących przechowywania danych medycznych. Chciałbym podkreślić, że przepisy RODO dopuszczają jedynie trzy możliwe relacje pomiędzy podmiotami przetwarzającymi dane osobowe:
-
Administrowanie danymi.
-
Przetwarzanie danych poprzez ich powierzenie od Administratora.
-
Współadministrowanie danymi.
Należy zwrócić uwagę na zamknięty katalog sytuacji, w jakich europejski ustawodawca stawia podmioty przetwarzające dane osobowe (wszystkie). W relacji współpracy między przychodnią i pracodawcą bezsprzecznie nie ma miejsca na współadministrowanie danymi. Zgodnie z art. 26 ust.1 RODO, współadministrowanie ma miejsce w chwili gdy „Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami...”. W omawianej relacji wskazana sytuacja nie ma zastosowania. Pracownik przychodzący na badania do placówki medycznej nie jest podmiotem na rzecz którego wspólnie realizowane są określone zadania. Osoba poddana badaniom w przychodni jest tylko i wyłącznie pracownikiem zleceniodawcy, który nie uczestniczy w procesie badań na zdolność do pracy. Co więcej, przychodnia jako taka nie nawiązuje żadnej relacji, czy to gospodarczej (pacjent nie jest przecież jej klientem) czy to pracowniczej z osobą skierowaną na badania, w związku z tym nie ma możliwości zakwalifikowania tej sytuacji jako współadministrowanie.
Reasumując, w opisanej relacji podmiotem przetwarzającym powierzone (udostępnione) przez pracodawcę dane osobowe (w formie skierowania na badanie) i w tym zakresie oraz w kwestii zabezpieczenia i przetwarzania tych danych odpowiada względem swojego klienta (zleceniodawcy). Natomiast dokumentacja medyczna która zostaje wytworzona przez placówkę medyczną w toku realizacji zleconej usługi, to osobny zbiór danych, i należy go rozpatrywać jako relację przychodnia – pacjent. Jeżeliby nawet hipotetycznie przyjąć stanowisko, zgodnie z którym przychodnia jest procesorem względem administratora danych ( zleceniodawcy wykonania badań) to pracodawca, jako administrator tych (powierzonych) danych miałby min. prawo do wglądu i ich kontroli. Czy wyobrażamy sobie sytuację w której pracodawca – bez względu na pobudki – przegląda naszą kartotekę medyczną? Przecież przychodnia wykonująca badania okresowe, może być równocześnie przychodnią w której leczymy się na co dzień. W związku z powyższym, w mojej opinii zawieranie umów dotyczących powierzenia przetwarzania danych w kontekście medycyny pracy jest bezcelowe. Po pierwsze, obowiązek skierowania pracownika na badania ubiegającego się o zatrudnienie lub już zatrudnionego wynika z przepisów Kodeksu Pracy. Techniczne aspekty dotyczące informacji jakie należy „pobrać” od pacjenta oraz sposób ich przechowywania wynika z przepisów ustaw o Prawach Pacjenta i Rzeczniku Praw Pacjenta i stosownych rozporządzeń. Po drugie trudno zrównywać zlecenie badań pracownika do outsourcingu księgowości czy usług kadrowych, gdzie można mówić o klasycznym przykładzie powierzenia przetwarzania danych osobowych innemu podmiotowi.
Stan prawny na dzień 26.10.2018 r.