Ochrona danych osobowych (RODO) w gabinecie dietetycznym. Co dietetyk powinien wiedzieć?
Konferencja „Śląska Jesień Dietoterapii 2017” – relacja, wnioski, najważniejsze doniesienia
20 listopada, 2017
Nowy pacjent w gabinecie dietetycznym. Jak przełamać „pierwsze lody”, aby odnieść sukces? 7 ważnych wskazówek dla dietetyka.
1 marca, 2018
Rozporządzenie o ochronie danych osobowych dotyczy wszystkich podmiotów, które przetwarzają dane osobowe, niezależnie, jakie usługi czy produkty sprzedają. Dotyczy to również dietetyków, ponieważ przetwarzają oni dane osobowe swoich pacjentów – zarówno w poradni dietetycznej, jak i prowadząc gabinet online.
Rozporządzenie o ochronie danych osobowych zostało uchwalone w maju 2016 roku. Ustawodawca unijny dał 2 lata na przygotowanie się do nowych przepisów. Czas ten upływa 24 maja 2018 roku.
Nie ma zatem na co czekać. Trzeba wdrażać RODO.
Od czego dietetyk ma zacząć wdrażanie RODO w swoim gabinecie dietetycznym?
Od kartki papieru i długopisu ☺ Pierwszym zadaniem jest przeanalizowanie i spisanie następujących kwestii:
- w jaki sposób przetwarzane są dane (np. wysyłanie maili do pacjentów, przygotowywanie dla nich jadłospisów, rozmowa telefoniczna)
- za pomocą jakich środków (np. za pomocą programu dietetycznego, do którego się logują)
- jakie dane są przetwarzane (imię, nazwisko, adres, telefon, adres email, stan zdrowia itp.)
- jaki jest cel przetwarzania (porada dietetyczna, przygotowanie jadłospisu, sprzedaż jakiegoś produktu)
- na jakiej podstawie prawnej przetwarzane są dane (np. zgoda pacjenta, który udostępnia swoje dane, ułożenie i przekazanie jadłospisu, podpisana umowa)
Zgodnie z RODO trzeba posiadać zgodę na przetwarzanie danych osobowych od pacjenta podpisaną w formie papierowej lub elektronicznej.
- czy są udostępniane dane klientów do przetwarzania innym podmiotom (np. firmy udostępniające system mailingowy)
- czy inne osoby pracujące w poradni (np. pracownicy rejestracji lub inni dietetycy, którzy pracują w gabinecie dietetycznym) mają upoważnienie do przetwarzania danych
W przypadku udostępnienia innym danych do przetwarzania, należy wprowadzić rejestr takich upoważnień. Na szczęście nie trzeba, jak było to dotychczas, zbierać upoważnienia i oświadczenia osób, które przetwarzają. Jednak na wypadek kontroli lub ewentualnego wycieku danych ważne jest, aby wiedzieć, kto ma dostęp do danych. Taki rejestr może być prowadzony w wersji elektronicznej (np. Excel) lub papierowej (wydrukowana tabelka).
W przypadku korzystania z podmiotu zewnętrznego do przetwarzania danych, jak na przykład serwis mailingowy, warto wybrać taką firmę, która daje gwarancję wysokiego bezpieczeństwa danych. Należy z nią podpisać umowę powierzenia danych (może być w wersji elektronicznej).
- jaki jest stosowany system bezpieczeństwa, np. hasła dostępu, upoważnienia, szafy pancerne, i czy takie zabezpieczenia są konieczne dla ochrony danych?
Jeśli dane osobowe pacjentów są przechowywane w formie papierowej – może to być szafka zamknięta na klucz, jeśli natomiast w folderze na komputerze – wystarczy hasło do komputera.
- jakie jest ryzyko wycieku danych, jak można się przed tym zabezpieczyć?
Przykładem takiego ryzyka jest, możliwość zabrania przez przypadkową osobę kalendarza, w którym umawiane są wizyty pacjentów i zapoznania się przez nią z danymi pacjentów (imię i nazwisko, telefon). Przewidując taką sytuację, warto wprowadzić procedurę, żeby przykładowy kalendarz leżał poza zasięgiem oczekujących w poczekalni osób.
- czy robiona jest kopia zapasowa danych, gdzie przetrzymywane są dane i jak długo?
RODO nie nakazuje robienia kopii i nie rozstrzyga gdzie i jak długo ją trzymać. To zadanie dla administratora (w tym przypadku – dietetyka/właściciela poradni). Administrator musi wiedzieć, czy to on ma robić kopię zapasową danych, czy robi to firma zewnętrzna (np. hostingodawca), przez jaki czas trzyma dane i w jaki osób. Na pewno przy uwzględnieniu czasu musi wziąć pod uwagę fakt, czy przepisy prawa nie nakładają na niego określonego obowiązku (jak na przykład przy dokumentacji płacowej pracowników) oraz charakter i czas realizacji umowy lub usługi. Dokumentacja elektroniczna może być archiwizowana codziennie na serwerze.
- czy podpisana jest umowa powierzenia przetwarzania danych osobowych z innym podmiotem, np. firmą udostępniającą system mailingowy
W tej kwestii nie rezygnuje się z podpisywania umów powierzenia. Wręcz przeciwnie, nakłada pewne obowiązkowe elementy umów. Chociaż dużym ułatwieniem będzie podpisywanie umów w wersji elektronicznej.
- w jaki sposób zbierana jest zgoda na przetwarzanie danych wrażliwych (o stanie zdrowia pacjentów)
Co do zasady RODO zabrania przetwarzania danych wrażliwych z wyjątkiem między innymi sytuacji, gdy osoba wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach. Wykazanie, czy była to zgoda wyraźna, obciąża administratora. Procedurami lub mechanizmami dobrze nadającymi się do uzyskiwania zgody są wyraźne oświadczenia wyrażające przyzwolenie, takie jak podpisana umowa lub pisemne oświadczenia o chęci wyrażenia przyzwolenia. Jednocześnie dostarczają one administratorowi danych dowodu, że uzyskano zgodę.
Rozporządzenie umożliwia państwom członkowskim doprecyzowanie jego przepisów, w tym w odniesieniu do przetwarzania szczególnych kategorii danych osobowych (danych wrażliwych). W tej sprawie rozporządzenie nie wyklucza możliwości określenia w prawie państwa członkowskiego okoliczności dotyczących konkretnych sytuacji związanych z przetwarzaniem danych, w tym dookreślenia warunków, które decydują o zgodności przetwarzania z prawem. Obecnie nowa krajowa ustawa o ochronie danych nie została jeszcze uchwalona.
Kolejnym etapem wdrażania RODO jest analiza, jak brzmią klauzule informacyjne, czyli te kwestie, kiedy pacjent jest informowany o przetwarzaniu danych osobowych. Należy dostosować je do obowiązków wynikających z RODO.
Jak dietetyk powinien zbierać i gromadzić dane osobowe swoich pacjentów? Gdzie przechowywać zgody pacjentów na przetwarzanie danych?
Jeśli dietetyk przyjmuje w poradni, pacjenci powinni podpisać zgodę na przetwarzanie danych osobowych w formie papierowej. Natomiast prowadząc pacjentów online, wystarczy zgoda w formie elektronicznej (np. poprzez wypełnienie formularza przez pacjenta). Nie można wykluczyć, że dietetyk będzie miał zarówno klientów online, jak i przyjmował w poradni. Wówczas potrzebne jest rozróżnienie zbioru danych oraz zastosowanych zabezpieczeń.
Dane osobowe mogą być gromadzone w wersji papierowej. Do tego wystarczy dokumentacja papierowa (np. teczka pacjenta). Dietetyk może je również przechowywać w folderze na swoim komputerze.
RODO nie wymusza, aby dane były przechowywane w wersji elektronicznej lub papierowej. Jednak od sposobu gromadzenia danych będzie zależał dobór adekwatnego ich zabezpieczenia. Szafa pancerna czy zamykana na klucz będzie miała znaczenie dla dokumentacji papierowej, ale dla danych przechowywanych na serwerze zewnętrznym już niekoniecznie.
Jak długo należy przechowywać dokumentację z danymi osobowymi pacjentów w gabinecie dietetycznym?
Dane osobowe oraz dokumentacja pacjentów poradni, powinna być przechowywana przez okres nie dłuższy, niż wynika to z obowiązujących przepisów i jest niezbędne do funkcjonowania poradni lub wykonania umowy z pacjentami. Po tym okresie dane powinny zostać usunięte.\
Jakie dane osobowe dietetyk może zbierać od swoich pacjentów?
RODO wprowadza Minimalizację danych. To znaczy, że dietetycy nie mogą żądać od swoich pacjentów danych, które nie są koniecznie do świadczonej usługi (porady dietetycznej czy przygotowania planu żywieniowego). Dietetyk potrzebuje jedynie następujących informacji:
- imię i nazwisko pacjenta
- adres email
- numer telefonu w celu umówienia terminu wizyty
- stan zdrowia, przebyte choroby, alergie, leki, masa ciała, wzrost, tryb życia, płeć, stan fizjologiczny itp. (dane wrażliwe).
Jeżeli dietetyk będzie potrzebował dodatkowych danych, może o nie pacjenta poprosić, ale w przypadku kontroli musi udowodnić, że były niezbędne dla wykonania usługi (umowy z pacjentem).
Jak zabezpieczać dane osobowe swoich pacjentów?
Na to pytanie ciężko jednoznacznie odpowiedzieć. Szacowanie ryzyka powinno dać odpowiedź, jaki sposób zabezpieczeń jest najbardziej adekwatny i skuteczny.
Można posłużyć się dotychczasową listą zabezpieczeń, które proponowało GIODO we wniosku o zarejestrowanie zbioru danych (pole 16. Środki ochrony fizycznej). Na przykład, jeżeli wynajmowany jest lokal na gabinet, w którym jest ochrona, to wówczas zabezpieczeniem będzie fakt, że dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych, przez całą dobę jest nadzorowany przez służbę ochrony.
Innym zabezpieczeniem może być alarm, kraty w oknach, czy chociażby zamknięta metalowa szafa.
RODO nie wskazuje, że administrator powinien użyć takich, a nie innych zabezpieczeń. Pozostawia to w gestii administratora.
W sytuacji, kiedy dietetyk przechowuje dane na komputerze, np. w folderze i z tym komputerem wszędzie się porusza pracując mobilnie, może je zabezpieczyć hasłem dostępu do komputera lub dodatkowym hasłem dostępu do tego konkretnego folderu.
RODO wprowadza wymóg powołania inspektora ochrony danych, w przypadku przetwarzania danych osobowych szczególnie chronionych (dane wrażliwe), a do takich należą dane pacjentów przetwarzane przez dietetyka. Jednakże w przypadku przetwarzania danych wrażliwych, których skala przetwarzania nie jest duża, np. w przypadku indywidualnej praktyki lekarskiej, czy dietetycznej, takiego obowiązku powołania inspektora ochrony danych nie będzie.
Warto śledzić, co się będzie działo wśród profesjonalistów świadczących usługi dietetyczne, gdyż wydaje się, iż z biegiem czasu wytworzą się tzw. kodeksy branżowe zawierające schematy przetwarzania rekordów, zawierających dane szczególnie chronione.
Czy prowadząc bloga, można wysyłać newsletter, korzystając z usług firmy udostępniającej system mailingowy (np. Mailerlite), jakie ewentualnie zmiany trzeba wprowadzić?
Prowadzenie newslettera jest oczywiście dopuszczalne i RODO nie zabrania ani prowadzenia bloga, ani tym bardziej rozsyłania newslettera.
Dotychczas osoby decydujące się na przetwarzanie danych subskrybentów miały obowiązek sporządzenia dokumentacji, tj. o polityce bezpieczeństwa informacji, instrukcję zarządzania oraz zgłoszenia zbioru danych do GIODO.
Nowe przepisy od tego odchodzą. Niestety RODO nie wprowadza tak szczegółowo opisanych obowiązków, jak wcześniejsze przepisy. Z jednej strony daje to większą swobodę administratorowi, aby dostosować system przetwarzania danych do indywidualnej sytuacji przedsiębiorcy.
Z drugiej strony natomiast wymaga od administratora większego zaangażowania, przemyślenia procesu przetwarzania danych, co w konsekwencji sprowadza się do stwierdzenia, że nie można tego zrobić na przysłowiowym kolanie.
Dostosowanie dokumentacji do RODO
Jeżeli dotychczas gabinet prowadził dokumentację zgodnie z ustawą o ochronie danych osobowych i dyrektywą o ochronie danych (która została uchylona przez RODO), to powinien ją dostosować do wymogów RODO. Dla przykładu: RODO nie wymaga już polityki bezpieczeństwa informacji. Jeśli dietetyk takowy dokument posiada, jest on podstawą do przeanalizowania procedur i środków bezpieczeństwa, jakie podjął, jak i stworzenia rejestru przetwarzania danych.
Dlatego dietetyk powinien wdrożyć RODO i przeanalizować punkty wskazane na początku artykułu.
Czy pacjent korzystający z usług kilku dietetyków w jednej poradni powinien podpisać zgodę na przetwarzanie z każdym z dietetyków oddzielnie?
Gdy w poradni pracuje kilku dietetyków, np. jeden konsultuje, inny pisze jadłospisy, administratorem danych jest osoba odpowiedzialna za poradnię (właściciel poradni). Wówczas poradnia, podpisując umowę z dietetykiem (jak i innym personelem), zawiera kwestie powierzenia przetwarzania danych.
Artykuł został przygotowany przez współpracującą z nami Kancelarię Prawna Bliżej Prawa
