Od wejścia w życie RODO minęło już kilka lat. Niezależnie od wielkości placówki medycznej prowadząc działalność gospodarczą podmioty przetwarzają dane osobowe swoich pacjentów. Podstawowym obowiązkiem, o którym musisz pamiętać prowadząc niewielki gabinet, jest obowiązek informacyjny. RODO wymaga się, podmiot poinformował swoich pacjentów o tym, że przetwarzasz ich dane osobowe.
Pacjenta należy poinformować między innymi o:
- kto jest administratorem,
- jak pacjent może się skontaktować z placówką. Należy podać adres, numer telefonu, adres e-mail,
- w jakim celu przetwarzane są jego dane osobowe – celem tym będzie przede wszystkim udzielanie świadczeń zdrowotnych, ale mogą to być również np. cele marketingowe,
- na jakiej podstawie prawnej przetwarzane są te dane – taką podstawą może być np. realizacja obowiązków wynikających z przepisów prawa, zgoda pacjenta, czy prawnie uzasadniony interes administratora. Podstawa prawna zależy przede wszystkim od kategorii danych i celu ich przetwarzania,
- jakie prawa przysługują pacjentowi – należy go poinformować np. o prawie dostępu do danych lub prawie żądania ich sprostowania, czy prawie wniesienia skargi do Prezesa UODO,
- jak długo będą przetwarzane dane osobowe przez placówkę medyczną – np. dane osobowe zawarte w dokumentacji medycznej przetwarzasz przez okres wymagany przepisami prawa,
- o tym, komu dane mogą być przekazywane – czyli np. innym podmiotom wykonującym działalność leczniczą, ubezpieczycielowi itd.
Oprócz klauzuli informacyjnej, ważnym dokumentem, który należy przygotować jest rejestr czynności przetwarzania. Określa się w nim m.in.:
- cele przetwarzania danych osobowych,
- kategorie przetwarzanych danych osobowych,
- kategorie osób, których dane przetwarzasz,
- opis technicznych i organizacyjnych środków bezpieczeństwa, które stosujesz, aby dane osobowe były bezpieczne,
- kategorie odbiorców, którym przekazujesz dane osobowe.