Nie ulega wątpliwości, że fizjoterapeuta jak każdy inny przedsiębiorca powinien dostosować się do wymogów jakie przewiduje RODO. O RODO można ostatnio usłyszeć praktycznie wszędzie – media straszą wysokimi karami a internet huczy, że brak jest skonkretyzowanych informacji, co należy zrobić, by dostosować się do wymogów ustawodawcy.
Czy RODO należy się bać?
Strach przed RODO bierze się najczęściej z nieznajomości przepisów. Po głębszym zastanowieniu można dojść do wniosku, że wiele obowiązków, które wprowadza RODO wcale nie są nowe, a zostały one po prostu przejęte z aktualnie obowiązujących regulacji, choć często w nieco zmodyfikowanej formie. RODO nie można nazwać więc rewolucją, lecz ewolucją istniejących już przepisów.
Z internetu można często dowiedzieć się o wielu, wielu obowiązkach, które nakłada RODO na fizjoterapeutów. Jednak o czym powinna przede wszystkim pamiętać osoba odpowiedzialna za przetwarzanie danych w gabinecie fizjoterapeutycznym?
Czas na obowiązki…
Rozporządzenie w art. 24 ust. 1 stanowi, że administrator danych osobowych ma obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, tak by przetwarzanie danych odbywało się zgodnie z przepisami RODO. Środki, o których mowa powinny zostać wdrożone z uwzględnieniem zakresu, charakteru, celu i kontekstu przetwarzania a także ryzyka naruszenia praw czy wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia. Należy więc najpierw przeprowadzić dokładny audyt swojego gabinetu pod kątem analizy, jakie dane przetwarzamy oraz gdzie, kiedy i jak to przetwarzanie realnie wygląda. Podczas owej analizy fizjoterapeuta powinien wyszczególnić zbiory danych osobowych, które u niego występują oraz zrobić podsumowanie audytu zestawieniem prac niezbędnych do wykonania w zakresie wdrażania RODO w swoim gabinecie.
Należy również przeanalizować obsługę pacjenta, działania marketingowe, rekrutacje itp. Ważnym jest zadbać, by personel, który zatrudniamy był odpowiednio przeszkolony, chociażby z podstaw ochrony danych osobowych. Dodatkowo każdy fizjoterapeuta powinien posiadać umowy powierzenia przetwarzania danych osobowych z podmiotami, które mają dostęp do jakichkolwiek danych osobowych- mogą to być zatrudniani pracownicy, księgowi, prawnicy itp.
RODO wskazuje także, że powinien posiadać politykę bezpieczeństwa danych osobowych, fakultatywnie rejestr kategorii i czynności przetwarzania – jeśli oczywiście występuje jako podmiot przetwarzający.
Kolejnym krokiem jest właściwe zabezpieczenie systemów informatycznych przez fizjoterapeutów. Ustawodawca nie definiuje tego szczegółowo, tylko zaznacza, by były one “właściwie zabezpieczone”. Jednakże najważniejsza i kluczowa dla RODO jest analiza ryzyka, oczywiście potencjalnego jak również ocena i wskazanie jak ich zapobiec.
Ustawodawca przewiduje również możliwość powołania Inspektora Danych Osobowych, który sprawuje nadzór nad ochroną danych osobowych. Powołanie Inspektora Danych Osobowych głównie nie jest obligatoryjne, jednak istnieją trzy przypadki, w których rola IOD jest konieczna:-
-gdy przetwarzania dokonuje organ lub podmiot publiczny,
gdy główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
gdy główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Ważnym elementem, na które RODO kładzie olbrzymi nacisk to prawa i dostęp do tych praw osób, których dane dotyczą. Oczywistym jest również obowiązek poinformowanie danej osoby o przysługujących jej prawach. Każda osoba, która zostawia swoje dane osobowe w gabinecie fizjoterapeuty ma do nich pełne prawa. A w szczególności:
Prawo dostępu do danych, prawo do bycia zapomnianym, prawo do ograniczenia przetwarzania danych, prawo do przenoszenia i sprostowania danych, prawo do wniesienia sprzeciwu i prawo do tego, by nie podlegać profilowaniu.
To jednak nie są nowe prawa, obowiązek realizowania większości z nich istniał już od dłuższego czasu, jednak ustawodawca wprowadzając RODO podkreśla ważność i obligatoryjność ww praw.
Co z danymi wrażliwymi?
Jako, że fizjoterapeuta przyjmując pacjenta pobiera od niego dane wrażliwe, które są szczególnie chronione przez konieczna jest klauzula informacyjna a w niej konieczne jest wskazanie celu przetwarzania tych danych !
W każdym przypadku zgoda ta, musi być wyrażona w sposób świadomy, dobrowolny i powinna przede wszystkim stanowić jednoznaczne oświadczenie jej woli a fizjoterapeuta musi również wykazać fakt wyrażenia tej zgody przez pacjenta.
Warto pamiętać, że trwają prace nad kodeksem dobrych praktyk przeznaczonych dla branży medycznych, który mamy nadzieję, pomoże fizjoterapeutom dostosować ich gabinety do wymogów RODO.
Publikowane w niniejszym portalu treści o charakterze medycznym mają cel wyłącznie informacyjny i nie stanowią porady lekarskiej. Nie mogą w jakikolwiek sposób zastąpić wizyty u lekarza, lekarskiej porady, zaleceń lekarza, czy też postawionej przez lekarza diagnozy.
Wszystkie treści zamieszczone w Serwisie, w tym artykuły dotyczące tematyki medycznej, mają wyłącznie charakter informacyjny. Dokładamy starań, aby zawarte informacje były rzetelne, prawdziwe i kompletne, jednakże nie ponosimy odpowiedzialności za rezultaty działań podjętych w oparciu o nie, w szczególności informacje te w żadnym wypadku nie mogą zastąpić wizyty u lekarza.
