Niebywale często otrzymuje zapytania, typu:
co w związku z RODO powinien otrzymać Pacjent?
czy powinnam/powinien posiadać zgody na przetwarzanie danych medycznych ?
czy mogę zadzwonić do Pacjenta z informacją o wolnym terminie wizyty, albo o jej odwołaniu bądź przesunięciu tak po prostu, czy też muszę w tym zakresie dysponować zgodą ?
czy mogę do Pacjenta zadzwonić (wysłać e-mail lub smsa) i przypomnieć mu o okresie od ostatniego przeglądu bądź poinformować go o nowych promocjach/pakietach na usługi ?
Drodzy moi – zacznę od tego, że czytałem ostatnio wywiad Generalnego Inspektora Ochrony Danych Osobowych (GIODO) bodaj dla Business Insider Polska, gdzie Inspektor stwierdził wprost, że w związku z RODO zwiększa się zakres kompetencji i obowiązków Urzędu, ale na chwilę obecną nie idzie za tym zwiększone finansowanie. Urząd na ten moment czeka na ustawę uszczegóławiającą RODO i dopiero z jej uchwaleniem jakiś środki z rezerwy celowej będą przyznane na nowe zadania. Jednakże jakie środki i ile ich będzie – nikt tego jeszcze nie wie. Zatem nie wiadomo na co wystarczy, a na co zabraknie. Czy Urząd zwiększy zatrudnienie, czy wzrośnie liczba kontrolerów (i tym samym kontroli), czy też pieniążki pójdą na zmiany organizacyjne: nowy papier, logo, szyldy, pieczątki etc.
Jak zatem odczytywać takie informacje ? A no tak, że póki co nihil novi sub sole. Jak GIODO rzadko odwiedzał gabinety stomatologiczne, tak na pewno od 25 maja 2018r. częstotliwość wizy nie ulegnie zmianie, a stawiam tezę, że spadnie. Dlaczego ? A no m.in. dlatego, że nowe zadania trzeba będzie ogarnąć taką samą – póki co – ilością osób, co zawsze skutkuje obniżeniem aktywności Urzędu, a po wtóre podmiotów których dotyka RODO jest tak dużo, że prawdopodobieństwo kontroli konkretnego gabinetu spada. Zgodnie z przysłowiem – w mętnej wodzie łatwiej łowi się ryby.
Nie ma co jednak popadać w zachwyt. Kontrole była, są i będą, a zdecydowanie wydatnie przyczyniają się doń Pacjenci zakorzenione w naszej kulturze „Uprzejmie donoszę”.
Tak – gro kontroli w naszym kraju ma swoje źródło w donosach. Kontrole skarbowe, ZUS, NFZ, PIP. Jest w czym wybierać. Pacjenci mają szerokie możliwości popisu.
Dlatego wprowadzanie dokumentacji RODO należy zacząć od najsłabszego ogniwa – czyli od Pacjenta. Trzeba wobec niego stworzyć wrażenie, że w placówce wszystko działa wyśmienicie w zakresie ochrony danych osobowych, że placówka ma najlepszą na świecie dokumentacje, audyty i w ogóle „skóra, fura i komóra”.
Gro audytorów w ogóle nie zwraca na ten element uwagi i nie rozpoczyna wdrażania zasad ochrony danych osobowych od tego elementu. Osobiście nie znam żadnej osoby wdrażającej RODO (poza moją skromną istotą), która przy okazji prowadziłaby swój biznes medyczny i być może brak znajomości realiów codzienności pracy gabinetu jest przyczyną stanu rzeczy, o którym wspominam.
Dlatego wprowadzanie RODO zacząć należy od Pacjenta, bowiem to on stanowi potencjalnie największe zagrożenie dla naszej niezakłóconej działalności.
Wychodzę z założenia, że skoro wszystko działa dobrze, mamy opracowane i wdrożone procedury, personel jest przeszkolony i zasadniczo sprawnie funkcjonuje, to po jakiego gwinta narażać się na jakieś kontrole, tłumaczenia, sprawdzenia, wyjaśniania – które w założeniu potwierdzą, że działamy tak, jak Pan Bóg przykazał. Zatem w praktyce pierwszą rzeczą, jaką trzeba zrobić to odsunąć od siebie widmo wizyty smutnych panów w naszym gabinecie.
Z tego względu Pacjent i informacja mu przedstawiana wysuwa się na plan pierwszy.
Od czego zatem zacząć wdrażanie procedur ochrony danych osobowych w kontekście RODO?
Od informacji przedstawianej Pacjentowi.
Pacjent winien otrzymywać przed udostępnieniem swoich danych osobowych Formularz Informacyjny (ale jakkolwiek nazwany dokument), w treści którego winien być poinformowany:
- kto jest administratorem danych osobowych
- w jakim celu zbierane są dane
- w jakim zakresie dane są przetwarzane;
- czy podanie danych jest dobrowolne czy obowiązkowe;
- z czym wiąże się odmowa udostępnienia danych;
- czy przetwarzanie danych odbywa się na podstawie przepisu prawa czy w oparciu o zgodę;
- o przysługujących mu prawach związanych z przetwarzaniem danych osobowych;
Opisany obowiązek notyfikacyjny dotyczy każdego przypadku przetwarzania danych osobowych, niezależnie od tego, czy przetwarzanie danych odbywa się na podstawie przepisu ustawy, czy też w oparciu o oświadczenia o wyrażeniu zgody.
Innymi słowy – fakt, że dane medyczne mogą być przetwarzane na podstawie przepisu ustawy (Pacjent zatem nie ma uprawnienia do wyrażenie zgody na przetwarzanie jego danych w celach medycznych, może jednak odmówić zgody na ich podanie), a co za tym idzie nie ma konieczności odbierania w tym zakresie zgody Pacjenta, nie zwalnia podmiotu medycznego z wywiązania się z obowiązku informacyjnego.
W placówkach, które osobiście audytuję i wprowadzam procedury dot. ochrony danych osobowych w ślad za Formularzem Informacyjnym Pacjent otrzymuje także Formularze Zgód na przetwarzanie danych osobowych w celach innych niż medyczne.
W moich działaniach wychodzę z założenia, że jeżeli jakaś kwestia jest niejasna, to warto o zgodę Pacjenta się postarać, aby przeciąć wszelkie spekulacje. Wszak nie jest błędem dublowanie zgód, ale już dużym kłopotem jest przetwarzanie danych bez zgody.
Co mam na myśli? Są pewne sytuacje graniczne, gdzie nikt nie jest w stanie kategorycznie powiedzieć, czy w danej sytuacji przetwarzanie danych osobowych jest dopuszczalne na podstawie przepisu prawa – i co za tym idzie, zgoda nie jest wymagana – czy też już przetwarzanie wymaga zgody bowiem przepis prawa danego stanu faktycznego nie reguluje.
(1) Najlepszym tego przykładem jest wykorzystanie telekomunikacyjnych urządzeń końcowych do informowania Pacjenta o planowanych terminach wizyt, ich zmianach (przesunięciach) lub odwołaniach.
(2) Innym przykładem jest informacja kierowana do Pacjenta o ostatnim terminie wizyty, z zaproszeniem na bezpłatny przegląd stomatologiczny. Często bowiem jest tak, że placówki same przypominają Pacjentom o terminach kontroli, czy nastaniu czasu właściwego dla kontynuacji leczenia bądź podjęciu innych czynności medycznych zmierzających choćby do utrzymania gwarancji na wykonane uprzednio świadczenia medyczne – konieczność wykonania przeglądu stomatologicznego, skalingu, piaskowania etc.
(3) Nierzadko też sami lekarze dzwonią do Pacjentów i pytają, jak czują się po zabiegu, jak przebiega leczenie, gojenie, rekonwalescencja.
(4) Kolejnym przykładem jest informacja o aktualnych pakietach/promocjach/nowym zakresie usług gabinetu etc.
(5) Część placówek medycznych wysyła Pacjentom życzenia, bądź nawet upominki w ramach przeróżnych programów lojalnościowych bądź innych promocji czy eventów.
Część koleżanek i kolegów z branży powie – że przetwarzanie numeru telefonu oraz imienia i nazwiska bądź adres e-mail w zakresie punktów 1-3 mieści się w ustawowej podstawie i zgoda jest zbędna, a część (w tym i Ja) powie, że zgoda w tym zakresie nie jest błędem i że bardziej chroni oraz pomaga, niż przeszkadza. Wszyscy są w miarę zgodni, że w pkt. 4 i 5 zgoda zawsze będzie wymagana.
Posiadając odpowiednio (zgodnie z wytycznymi RODO) opracowany Formularz Informacyjny połączony z odpowiednio przygotowanymi Zgodami unieszkodliwiamy pierwszą linię ognia. Wzmacniamy najsłabsze ogniowo, pokazujemy, że w naszej placówce poważnie podchodzi się do danych osobowych i że temat ten już przepracowaliśmy.
Naprawdę to działa. Pacjent czuje się bezpieczny, dopieszczony i zaopatrzony. Jednocześnie – wytraca się Pacjentowi argument w razie ew. sporu z placówką. Wszak w czasie sporu Pacjenci najczęściej wyciągają wszystko, co tylko mogą – od brudnej podłogi, po niezgodne z prawem przetwarzanie danych osobowych.
Wszyscy mówią o RODO – Pacjenci również o to pytają i pytają czy placówka spełnia wymagania w zakresie ochrony danych osobowych. Oczywiście, że spełnia, czego najlepszym przykładem jest rzetelnie realizowany obowiązek informacyjny, czego Pacjent może namacalnie dotknąć, przeczytać i zobaczyć. Psychologia działa i się nie myli.
Formularz informacyjny oraz Zgody to tak naprawdę jedyne dokumenty, jakie Pacjent może otrzymać i z jakimi może się zapoznać.
Zarówno Polityka Bezpieczeństwa oraz Instrukcja Zarządzania – to dokumenty poufne, przeznaczone dla użytku wewnętrznego, których Pacjent nie powinien poznawać, tj. nie ma uprawnienia do zapoznania się z ich treścią. Kwestia ta była już przedmiotem orzecznictwa sądów polskich i została jednoznacznie rozstrzygnięta.
Dlatego wszelkie procedury trzeba zaczynać od Pacjentów, a resztę sobie spokojnie dopinać.
Do usłyszenia
Witam,
Czy jest możliwość aby zamieścił Pan na stronie wzór / przykład „Formularz Informacyjny połączony z odpowiednio przygotowanymi Zgodami” ?
Pozdrawiam
Czy do wykonania naprawy ( sklejenia) protezy niezbędne jest podanie wszystkich danych identyfikacyjnych
imię i nazwisko
adres
pesel
nr dowodu
nr telefonu
?
Na tak postawione pytanie – bez znajomości sytuacji i kontekstu – bardzo trudno jest odpowiedź. Ale jeżeli Administrator uznaje, że tak – to najpewniej pozyskanie tych danych jest niezbędne i uzasadnione.
Znając sposób działania Administratora (Stomatologa) podejrzewam, że w celu weryfikacji odcisku i przygotowania protezy najmniejszy zakres danych które potrzebuje pozyskać ADO to: imię, nazwisko, numer PESEL i numer telefonu klienta. Trzeba znać szerszy kontekst sprawy, żeby odpowiedzieć czy numer dowodu jest ADO niezbędny. Proszę pytać obsługę (rejestratorki medyczne lub higienistki) lub bezpośrednio przełożonych (ADO).