Prezes Urzędu zapowiada kontrole w sektorze zdrowia.
Prezes Urzędu Ochrony Danych Osobowych w opublikowanym rocznym planie kontroli sektorowych na rok 2019 wskazał sektor medyczny. W ramach planowanych kontroli znalazły się podmioty z obszaru ochrony zdrowia. Zakresem kontroli mają być podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.
Na konferencji poświęconej ochronie danych osobowych w sektorze zdrowia, która odbyła się w Warszawie 27 lutego 2019, dyrektor “Sektora Zdrowia” UODO Paulina Dawidczyk – wskazała, przyczyny wyboru sektora medycznego. Szczególny zakres danych przetwarzanych w sektorze zdrowia, zgłaszana ilość pytań, nieprawidłowości i naruszeń. Pani dyrektor odniosła się również do projektowanego kodeksu branżowego dla sektora medycznego. Potwierdziła wysoki poziom i mocno zaawansowany etap prac nad jego zatwierdzeniem. Nie podała jednak planowanej daty zatwierdzenia kodeksu przez urząd. Prawdopodobne jest również, zatwierdzenie jego części która jest bezsporna oraz wypracowanie wspólnego stanowiska w dalszej perspektywie.
Jakie naruszenia – nieprawidłowości?
Urząd Ochrony Danych Osobowych zarejestrował 110 naruszeń ochrony danych osobowych, które dotyczyły między innymi:
- kradzieży komputerów, laptopów z danymi medycznymi z placówek medycznych (włamania do podmiotów)
- udostępnienia danych osobowych pacjentów podmiotom nieuprawnionym (udostępnienia danych osobowych zawartych w dokumentacji medycznej, poprzez jej omyłkowe wydanie innemu pacjentowi)
- udostępnienie wyników badań osobom nieuprawnionym na skutek pomyłki lub rodzinie, znajomym pacjenta bez upoważnienia
- skierowanie korespondencji zawierającej dokumentację medyczną do niewłaściwych adresatów
- “podczepienie” wyników badań jednego pacjenta pod inne wyniki i wydanie ich łącznie
- skopiowanie danych z bazy szpitala przez ratownika medycznego i udostępnienie firmom odszkodowawczym
- udostępnienie danych pacjenta innemu lekarzowi bez upoważnienia
- utraty dostępu do danych na komputerze, laptopie, telefonie w wyniku działania złośliwego oprogramowania – zaszyfrowanie danych (oprogramowanie typu ransomware)
- zgubienia dokumentacji pacjenta, rejestru udostępnionej dokumentacji medycznej
- nieprawidłowej identyfikacji pacjenta (błędy w karcie pacjenta) – np. Dokonywanie wpisów w karcie dotyczących innego pacjenta, wpisanie przez lekarza błędnego nr PESEL na skierowaniu na badania
- udostępnianie dokumentacji medycznej
- umożliwienia kradzieży dowodu pacjenta (pacjent podczas wizyty u lekarza zabrał leżący na biurku dowód osobisty innego pacjenta, który przebywał na badaniu w innym pomieszczeniu)
- kradzieży bloczka recept z recepcji lub biurka lekarza pod nieuwagę pielęgniarki, lekarza
Najczęstsze pytania?
Urząd otrzymał około 60 pytań dotyczących sektora medycznego – najczęstsze pytania prawne dotyczyły:
- poprawnego wywoływania pacjentów
- zawierania umów powierzenia danych osobowych
- zakładania profilu lekarzom na serwisach medycznych
- sposobu rejestracji pacjentów
- monitoringu w podmiocie medycznym
- kopii danych z dokumentacji medycznej
- realizacji obowiązku informacyjnego w podmiotach leczniczych
- udostępniania informacji rodzinie o stanie zdrowia (telefonicznie)
Jakie skargi?
Do Prezesa UODO wpłynęło 45 skarg na nieprawidłowości w procesie przetwarzania danych osobowych, które dotyczyły:
- udostępniania danych osobowych pacjentów (lub wydania dokumentacji medycznej) osobom nieuprawnionym
- Kwestionowania podstaw prawnych do przetwarzania danych osobowych – udostępnianie danych osobowych przez lekarza i lekarza orzecznika osobom nieuprawnionym bez podstawy prawnej,
- przekazanie przez Szpital danych osobowych pacjenta, zawartych w kserokopii dokumentacji medycznej innemu podmiotowi leczniczemu (przychodni rehabilitacyjnej)
- przetwarzania danych osobowych przez placówki medyczne w celu innym niż ten dla którego dane zostały zebrane
- zakresu danych pozyskiwanych przez podmiot medyczny – nieuprawnionego uzyskiwania danych w zakresie wizerunku – utrwalenie na nagraniu z monitoringu przebiegu leczenia stomatologicznego bez uprzedniego powiadomienia i bez zgody pacjenta
- uzależnienia świadczenia usług medycznych od wyrażenia zgody na przetwarzanie danych osobowych
- brak dostępu pacjenta do danych osobowych (nie udostępnienie pacjentowi kopii jego danych osobowych przez podmiot leczniczy, m.in. nie wydanie kopii dokumentacji medycznej)
- przetwarzanie danych osobowych pacjentów przez nieupoważniony do tego celu personel placówki leczniczej
- przetwarzanie danych osobowych lekarzy przez portale obejmujące rankingi lekarzy, umożliwiające umawianie wizyt lekarskich
Uwaga na monitoring w gabinetach – nielegalny?
Monitoring jest jedną z najbardziej inwazyjnych form przetwarzania danych osobowych i powinien być stosowany jedynie w sytuacji, gdy nie istnieją inne, mniej ingerujące w prywatność środki umożliwiające zapewnienie bezpieczeństwa, takie stanowisko prezentuje UODO (Urząd Ochrony Danych Osobowych). Trudno się z tym stanowiskiem nie zgodzić. Pamiętajmy, że nagranie z monitoringu wizyjnego – wizerunek pacjentów, pracowników i wszelkich innych osób które znalazły się w obszarze objętym monitoringiem stanowi dane osobowe.
Monitoring wizyjny przyjął się na dobre w wielu podmiotach wykonujących działalność leczniczą. W miejscach w których do tej pory dopuszczony był przepisami prawa nie ma wątpliwości co do zasadności jego stosowania. Często jednak kamery montowane są w miejscach w których mogą budzić uzasadnione wątpliwości i narazić administratora na nieprzyjemności.
Projekt Ministerstwa Cyfryzacji – Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO), porządkuje w części stosowanie monitoringu. Ustawę przekazano Prezydentowi 22 lutego 2019r.. Warto uwzględnić już dziś zmiany w swojej organizacji, podmiocie medycznym czy praktyce lekarskiej. W omawianej ustawie sprawę monitoringu w działalności leczniczej zmienia Art. 110.
Wprowadza on zmiany w obecnej ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219) :
- po art. 23 dodaje się art. 23a w brzmieniu:
- „Art. 23a. 1. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń:
- 1) ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń,
- 2) w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring).
Zatem monitoring jest dopuszczalny tylko w ogólnodostępnych pomieszczeniach – korytarze, hole, poczekalnie. W pozostałych pomieszczeniach monitoring jest nie zalecany, chyba że inne przepisy szczegółowe nakładają taki obowiązek lub dają taką możliwość. Umieszczanie kamer w gabinetach zabiegowych, ambulatoryjnych np. gabinetach stomatologicznych jest więc bardzo kontrowersyjne i może być przyczyną kłopotów. Nie można się, powoływać na przesłankę wynikającą z prawnie usprawiedliwionego interesu administratora wynikającą z art 6. 1. lit. f RODO (zapewnienie bezpieczeństwa pacjentom i pracownikom oraz ochronie mienia) jak to miało miejsce dotychczas w przypadku podmiotów prywatnych. Oczywiście można spróbować legalizować kamery w gabinecie za pomocą zgody (art. 6. 1. Lit a RODO), jednak będzie to dość problematyczna przesłanka. Trudno wówczas wykazać dobrowolność zgody i wykonania zabiegu. Czy pacjent który odmówi podpisania zgody na monitoring nie uzyska pomocy w gabinecie?, czy może personel wyłączy kamerę?, te i wiele więcej pytań oraz komplikacji pojawia się tutaj. Nie budzi wątpliwości fakt, że kamera w gabinecie zabiegowym bez względu czy rejestruje obraz z kamery, czy tylko daje podgląd w czasie rzeczywistym narusza prawa pacjenta. Niewątpliwie monitoring na salach operacyjnych czy w gabinetach gdzie badanie wymaga dodatkowego nadzoru ma szansę jeszcze obronić się przed Prezesem Urzędu Ochrony Danych Osobowych, o tyle w gabinetach ambulatoryjnych – stomatologicznych będzie to bardzo trudne i prawdopodobnie nawet zgoda nie zalegalizuje takiej praktyki.
Na uwagę również zasługuje nowe brzmienie art. 24 ust. 2 o prawidłowym informowaniu i oznaczeniu obszaru i obiektów objętych monitoringiem. Informacje o monitoringu należy podać do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń (np w poczekalni, rejestracji) oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia. Obowiązek informacyjny o którym mowa może być dokonany w sposób warstwowy – czyli w momencie wejścia w obszar monitoringu wystarczy piktogram oraz krótka informacja o administratorze oraz miejscu gdzie znajduje się pełna klauzula informacyjna dotycząca monitoringu.
10 podstawowych zasad dotyczących dobrego monitoringu:
- Zabroniona jest rejestracja dźwięku
- Nie należy stosować atrap kamer
- Spełnić obowiązek informacyjny wobec osób objętych monitoringiem
- Prawidłowo oznakować obszar monitorowany
- Nie wszystkie pomieszczenia wolno objąć monitoringiem (tylko ogólnodostępne)
- Dostęp do nagrań z monitoringu tylko dla uprawnionej osoby
- Czas przechowywania nagrań – im krócej tym lepiej.
- Wprowadzić procedury udostępniania nagrań osobom
- Zwróćmy uwagę aby jakość obrazu z kamer i system teleinformatyczny nie miał możliwości identyfikacji osób (biometria)
- Oprogramowanie do obsługi monitoringu powinno mieć możliwość anonimizacji wybranych osób na zarejestrowanym materiale.
Na co zwrócić dziś uwagę w kontekście ochrony danych?
Jak można zauważyć po analizie najczęściej występujących naruszeń i skarg. W znaczący sposób zabezpieczyć się przed naruszeniami wdrażając odpowiednie procedury i dobre praktyki. Człowiek jako najsłabsze ogniwo systemu w przeważającej większości jest pośrednio lub bezpośrednio przyczyną występowania incydentów. Wartość szkoleń z zakresu ochrony danych osobowych dla całego personelu podmiotów leczniczych jest jednym z kluczowych elementów systemu ochrony danych osobowych. W znacznym stopniu może zmniejszyć potencjalne ryzyko wystąpienia naruszeń praw i wolności osób.
Z uwagi na rosnącą świadomość i roszczeniowość pacjentów warto zastosować odpowiednie środki techniczne i organizacyjne, aby zabezpieczyć przetwarzane dane. Nie musi to się zawsze wiązać z dużymi kosztami, a raczej chodzi tu zmianę przyzwyczajeń i nawyków. Czasem bardzo proste rozwiązania organizacyjne w znaczący sposób mogą wpłynąć na bezpieczeństwo przetwarzanych danych osobowych.
Prawidłowe procedury i dobre praktyki, świadomość personelu oraz administratora i dobra współpraca z IOD (Inspektorem Ochrony Danych) daje gwarancje dobrej polityki ochrony danych osobowych w podmiocie leczniczym.
Pytanie w zakresie ochrony danych osobowych?
Świadomośc w zakresie znaczenia danych osobowych jest coraz wyższa dlatego warto w kwestiach spornych lub wątpliwościach porozmawiać z ekspertem w dziedzinie ochrony danych osobowych. Kontakt z autorem Cezariusz Klonkowski, tel. 697.604.325, kontakt@k-consulting.pl
Inspektor Ochrony Danych, uczestnik licznych kursów i konferencji z zakresu ochrony danych osobowych. Absolwent Ochrony Danych Osobowych i Informacji Niejawnych, Wydziału Prawa i Administracji UKSW w Warszawie. Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001.