Jak wygląda obowiązek RODO w placówce medycznej?

Od wejścia w życie RODO minęło już kilka lat. Niezależnie od wielkości placówki medycznej prowadząc działalność gospodarczą podmioty przetwarzają dane osobowe swoich pacjentów. Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. RODO wymaga się, podmiot poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.

Pacjenta należy poinformować między innymi o:

  • kto jest administratorem,
  • jak pacjent może się skontaktować z placówką. Należy podać adres, numer telefonu, adres e-mail,
  • w jakim celu przetwarzane są jego dane osobowe – celem tym będzie przede wszystkim udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe,
  • na jakiej podstawie prawnej przetwarzane są te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora. Podstawa prawna zależy przede wszystkim od kategorii danych i celu ich przetwarzania,
  • jakie prawa przysługują pacjentowi – należy go poinformować np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO,
  • jak długo będą przetwarzane dane osobowe przez placówkę medyczną – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa,
  • o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.

Oprócz klauzuli informacyjnej, ważnym dokumentem, który należy przygotować jest rejestr czynności przetwarzania. Określa się w nim m.in.:

  • cele przetwarzania danych osobowych,
  • kategorie przetwarzanych danych osobowych,
  • kategorie osób, których dane przetwarzasz,
  • opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne,
  • kategorie odbiorców, którym przekazujesz dane osobowe.

Izabela Dyjas

Na góre