Co znajdziesz w artykule?
Ochrona danych osobowych stała się w ostatnich miesiącach bardzo nagłośnionym tematem. Ze względu na liczne ataki hakerskie, przez które z łatwością skradziono wrażliwe informacje z baz klientów niejednego wielkiego przedsiębiorstwa zdecydowano się zaostrzyć przepisy odnośnie bezpieczeństwa przetwarzania podawanych przez użytkowników wiadomości. W ramach działania Unii Europejskiej powstało Rozporządzenie Ogólne o Ochronie Danych Osobowych znane wszystkim pod nazwą RODO, które weszło w życie z dniem 25 maja 2018 roku. Niniejszy akt prawny ma za zadanie ograniczyć również wysyłany powszechnie spam oraz dać użytkownikowi możliwość “bycia zapomnianym” w internecie, poprzez rozszerzenie prawa do usunięcia danych. Nasuwa się pytanie: kogo dotyczy ta regulacja? Rozporządzenie nie wymienia wprost podlegających pod nie podmiotów, ale wyraźnie wskazuje, że obowiązuje wszelkie działalności, które w sposób całkowity lub częściowo zautomatyzowany przetwarzają dane osobowe – zatem salony kosmetyczne, gabinety SPA, czy internetowe hurtownie kosmetyczne wchodzą w zakres RODO i muszą nanieść zmiany w swoich systemach we wskazanym obszarze (o ile oczywiście nie chcą zapłacić gigantycznych pieniężnych kar za działanie wbrew prawu).
Zabiegi estetyczne wykonywane w różnego rodzaju placówkach poprzedzone są zbieraniem bardzo szczegółowych informacji odnośnie stanu zdrowia pacjenta. Taka dokumentacja jest niezbędna w celu przeprowadzenia bezpiecznego zabiegu, czy też posiadania formy dowodowej w przypadku ewentualnych roszczeń ze strony pacjenta.
Niniejsze dane w większej mierze przechowywanie są na dyskach i innych elektronicznych nośnikach, które dzięki wykorzystaniu rozwijającej się wciąż technologii i hakerskiej wiedzy mogą zostać skradzione i wykorzystane. Takie wiadomości stanowią szczególny rodzaj informacji – należą bowiem do danych sensytywnych i zostały zdefiniowane przez RODO jako informacje o przeszłym, obecnym lub przyszłym stanie fizycznym lub psychicznym zdrowia osoby, które zostały zebrane podczas rejestracji lub w czasie świadczenia usługi.
Są to również wiadomości pochodzące z badań laboratoryjnych oraz dotyczące ryzyka choroby, historii medycznej, czy leczenia klinicznego. Ochronie podlegają wszystkie dane niezależnie od źródła, z którego pochodzą – może być nim zarówno urządzenie medyczne, jak i pracownik służby zdrowia. Czas przyjrzeć się, jakie obowiązki spoczywają na odpowiedzialnych za pacjentach placówkach i jakie modyfikacje muszą wprowadzić w swoich regulaminach i systemach.
Rodo a zabiegi estetyczne
Jak już wiemy, dane gromadzone w gabinetach estetycznych należą do szczególnej grupy informacji. Kliniki muszą poświęcić wiele uwagi i dokonać należytej staranności, ponieważ rozporządzenie wyraźnie zabrania przetwarzania danych związanych ze stanem zdrowia pacjenta.
Dopuszcza jedynie parę wyjątków, po spełnieniu odpowiednich warunków:
- Jest to niezbędne do ustalenia roszczeń w postępowaniu sądowym lub administracyjnym
- Osoba wyraziła na to zgodę
- Stanowi konieczny środek ochrony interesu osoby, której dotyczą dane
- Jest niezbędne do celów profilaktyki zdrowotnej, medycyny pracy lub ze względów na interes publiczny w zakresie zdrowia publicznego (np. ochrona przed transgranicznymi zagrożeniami zdrowotnymi)
- Jest warunkiem koniecznym do realizacji celów badań naukowych, historycznych, archiwalnych i statystycznych w przewidzianym wymiarze.
Jaki obowiązek spoczywa więc na klinice estetycznej? Kontakt z danymi klientki jest widoczny już od samej rejestracji na zabieg, gdzie obok imienia i nazwiska pojawia się informacja o stanie skóry, przebytych chorobach i zabiegach z przeszłości. Dodajmy do tego późniejszą dokumentację z przebytej kuracji, do której często dołączone są zdjęcia…
Nie zaczynajmy więc działać bez zgody pacjentki – akceptacji zarówno na zabieg, jak i przetwarzanie danych osobowych oraz wykorzystywanie ich w celu marketingowym. Pamiętajmy też, by poinformować pacjentkę o prawie do żądania usunięcia jej danych czy też możliwości poprawiania ich.
Na wstępie należy także wskazać swoją tożsamość jako gabinetu, wyjaśnić cele przetwarzania podanych wiadomości i wskazać umocowanie prawne, a jeżeli istnieją odbiorcy danych to udzielić informacji również na ich temat.
Nowością, które wprowadza RODO jest wyznaczenie Inspektora Ochrony Danych. Jeżeli Twoja klinika przetwarza dane na dużą skalę to na administratorze ciąży obowiązek określenia takiego podmiotu, który będzie współpracował z organem nadzorczym, informował o obowiązkach związanych z implementacją RODO oraz monitorował przestrzeganie wdrożonej regulacji.
Nasuwa się tylko pytanie: jak interpretować dużą skalę? Możemy patrzeć na to pojęcie w kontekście czasu, obszaru i liczby osób, których dane są przetwarzane. Oczywiście, mikro i małe przedsiębiorstwa również mogą wyznaczyć Inspektora Ochrony Danych, jednak nie będzie to dla nich obligatoryjne. Zastanawiasz się kto może zostać takim “strażnikiem” danych?
Możesz wyznaczyć kogoś ze swojej załogi pracowników, czy też osobę niezależną z zewnątrz – ważne, by posiadała odpowiednią wiedzę lub doświadczenie w tym temacie.
Współpraca z pacjentem dobiegła końca, przeprowadzone zabiegi estetyczne dały upragnione rezultaty, a klientka poleca gabinet wszystkim koleżankom. Praktycznie historia dobiegła końca (i to z happy endem), ale formalnie wciąż obciążeni jesteśmy dokumentacją pełną sensytywnych danych klientki.
Jak długo należy przechowywać takie informacje? RODO wskazuje, że okres nie powinien być dłuższy niż jest to niezbędne do celów, dla których te dane były zebrane.
Medycyna – co zmienia RODO w tym zakresie
Zarówno medycyna, jak i medycyna estetyczna będą miały podobne zadania w zakresie zmian polityki prywatności w swoich działalnościach – oba sektory przetrzymują bowiem sensytywne dane odnoszące się do stanu zdrowia pacjenta. Przed lekarzami również pojawia się obowiązek pozyskiwania wyodrębnionych zgód na wszelkie działania, które dotyczą kontaktu z danymi pacjenta.
Dodajmy do tego konieczność informowania o sposobie ich przetwarzania przez jednostkę oraz o prawie pacjenta do sprostowania, czy usunięcia podanych danych. Ponadto, służba zdrowia musi pamiętać o wyznaczeniu Inspektora Danych Osobowych, który będzie odpowiedzialny za analizę ryzyka i przestrzeganie przepisów rozporządzenia.
W sytuacji, gdy występuje świadczenie jednego lekarza lub innego pracownika medycznego na rzecz niewielkiej grupy pacjentów, RODO definiuje to jako małą skalę przetwarzania danych, a co za tym idzie, wyznaczenie Inspektora Danych Osobowych staje się w tym momencie dla takich podmiotów fakultatywne.
Mając świadomość, że archiwizacja dokumentacji medycznej powinna zostać dokonana po czasie, który nie jest dłuższy niż niezbędny do realizacji celów przetwarzania danych, możemy uwzględnić także przepisy Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, które stanowią, że okres przechowywania szacuje się na 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu.
Sankcje
Jeśli studio urody, klinika, gabinet itp. zapomni o weryfikacji wyrażenia zgody przez opiekuna osoby poniżej 16 roku życia, która poddała się zabiegowi to musi przygotować się na spore koszty swojego błędu… Za taką pomyłkę organ nadzorczy może nałożyć karę w wysokości 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Radzimy także przestrzegać narzuconych przez instytucje środków naprawczych, ponieważ brak reakcji skutkować będzie powyższą karą, tyle że w wysokości 4%.
Ponadto, roszczenia mogą wystąpić także ze strony samego klienta – zgodnie z postanowieniami RODO, każda osoba, która uważa, że przetwarzanie jej danych osobowych narusza obowiązujące przepisy prawa, ma możliwość wniesienia skargi do Prezesa Urzędu Ochrony Danych. Jeżeli w związku z nieprzestrzeganiem zasad rozporządzenia użytkownik doznał jakiejkolwiek szkody (zarówno majątkowej, jak i niemajątkowej) to ma on uprawnienie do ubiegania się o odszkodowanie od administratora przetwarzającego wskazane przez niego informacje.
