Informacja o przetwarzaniu danych (RODO)
Drogi Pacjencie.
Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z
dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych
osobowych i w sprawie swobodnego przepływu takich danych (określane w skrócie RODO).
Dotychczasowe podstawy prawne tj. Ustawa o Prawach Pacjenta i Rzeczniku Praw Pacjenta z 6 listopada
2008 roku oraz Rozporządzenie Ministra Zdrowia z 9 listopada 2015 roku w sprawie rodzajów
dokumentacji i sposobie jej przetwarzania zachowują swoją moc.
W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich
się to odbywa po 25 maja 2018 roku. Prosimy o zapoznanie się z poniższymi informacjami.
O jakich danych mówimy: Chodzi o dane osobowe, które są zbierane w ramach udzielanych przez nas świadczeń medycznych.
Kto będzie administratorem Twoich danych:
Administratorem danych jest Samorządowy Zakład Ośrodków Zdrowia w Zagnańsku. Administrator
danych w celu realizacji swoich obowiązków, powołał Inspektora Danych Osobowych, z którym możesz
się skontaktować mailowo wysyłając wiadomość na adres: inspektor.szoz@gmail.com.
Dlaczego przetwarzamy Twoje dane?
Jest to niezbędne w celu dokumentowania udzielania świadczeń zdrowotnych, ich weryfikacji oraz
prowadzenia rozliczeń tych świadczeń z płatnikami.
W szczególności przetwarzanie danych osobowych związane jest z procesem udzielania świadczeń
zdrowotnych (diagnostycznych i leczniczych), w tym prowadzeniem dokumentacji medycznej,
przeprowadzaniem badań profilaktycznych, rejestracją Pacjenta w podmiocie wykonującym działalność
leczniczą, zapewnieniem jakości udzielania świadczeń, m.in. poprzez badanie satysfakcji Pacjentów,
zapewnieniem ciągłości opieki zdrowotnej, w tym w procesie koordynacji udzielania świadczeń, co może
obejmować m.in. przypomnienie o terminie realizacji świadczenia zdrowotnego, potwierdzenie wizyty,
odwołanie wizyty, poinformowanie o zmianach organizacyjnych w PWDL, które mają wpływ na
udzielenie oczekiwanego świadczenia, komunikacją po udzieleniu świadczenia w celu oceny
samopoczucia/stanu zdrowia pacjenta itp., odbieraniem i archiwizacją oświadczeń woli Pacjentów,
pozyskiwaniem informacji zarządczych/ zarządzaniem podmiotem wykonującym działalnością leczniczą;
weryfikacją uprawnień do uzyskania świadczeń opieki zdrowotnej i rozliczaniem zrealizowanych
świadczeń opieki zdrowotnej; wykonywaniem innych czynności pomocniczych przy udzielaniu
świadczeń zdrowotnych, a także czynności związanych z utrzymaniem systemu teleinformatycznego,
wymianą informacji o stanie zdrowia pacjenta pomiędzy różnymi PWDL w celu zapewnia ciągłości
opieki zdrowotnej; związane z procesem wystawiania zaświadczeń lekarskich, orzekaniem o
niezdolności do pracy oraz wykonywania zadań przez lekarzy orzeczników określonych w innych
ustawach;
Gromadzenie danych takich jak e-mail, czy telefon mimo że nie wchodzą one w minimalny, wymagany
ustawowo zakres danych zawartych w dokumentacji medycznej, jest niezbędne i adekwatne wyłącznie do
celów zdrowotnych i nie będzie wykorzystane do innych celów w tym marketingowych.
Dane zdrowotne są również wykorzystywane do profilowania grup pacjentów zagrożonych
niekorzystnymi następstwami zdrowotnymi w celu oceny w skalach ryzyka, grupach dyspanseryjnych
oraz kierowania do nich poszerzonej opieki medycznej, programów profilaktycznych i edukacyjnych.
Profilowanie skutkuje podejmowaniem, przez personel medyczny, decyzji diagnostycznych lub leczniczych, opierających się na wiedzy medycznej i dobrej praktyce klinicznej. Profilowanie nie skutkuje podejmowaniem decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych.
Czy podanie danych jest obowiązkowe?
Tak, jest obowiązkiem prawnym zgodnie z który mamy obowiązek prowadzenia dokumentacji medycznej
i w tym celu niezbędne jest podanie prawidłowych i kompletnych danych. Konsekwencją niepodania
danych będzie odmowa udzielenia świadczenia. Wyjątek stanowi sytuacja gdy zwłoka w pozyskaniu
danych mogłaby spowodować niekorzystne skutki zdrowotne lub zagrożenie życia Twojego lub innej
osoby.
Komu możemy przekazać dane?
Zgodnie z obowiązującym prawem, dane te mogą zostać przekazane, Twojemu przedstawicielowi
ustawowemu, osobie przez Ciebie upoważnionej, osobie wykonującej zawód medyczny oraz innej osobie
wykonującej czynności pomocnicze lub nadzór nad działalnością podmiotu leczniczego i utrzymaniem
systemów teleinformatycznych, na podstawie upoważnienia, placówce medycznej lub pracownikowi
medycznemu który będzie kontynuował proces diagnostyki lub leczenia, organom władzy publicznej w
tym (Rzecznikowi Praw Pacjenta, Organom samorządu zawodów medycznych, konsultantom krajowym i
wojewódzkim, ZUS, NFZ, Zespołom Orzekania o Stopniu Niepełnosprawności) w zakresie sprawowania
przez nie nadzoru i kontroli, oraz organom przed którymi możesz dochodzić swoich praw lub roszczeń
(np. Wojewódzkie komisje ds. orzekania o zdarzeniach medycznych, prokuratura, sądy, rzecznik
odpowiedzialności zawodowej), zakładom ubezpieczeń za zgodą pacjenta, osobom wykonującym zawód
medyczny podczas procedury udzielania akredytacji w ochronie zdrowia, a także w celach naukowych
bez ujawniania nazwiska i innych danych umożliwiających identyfikację.
Jakie masz prawa w stosunku do Twoich danych?
Masz prawo dostępu do Twoich danych (o którym mowa w art. 15 RODO) w szczególności:
• uzyskania od Przychodni potwierdzenia czy przetwarza Twoje dane osobowe, a jeżeli ma to
miejsce,
• uzyskania dostępu do tych danych oraz informacji wskazanych w art. 15 ust. 1 lit. a – h oraz art.
15 ust. 2 RODO. Obowiązek informacyjny wynikający z art. 15 RODO powinien być realizowany na
zasadach określonych w art. 6.1.Kodeksu;
• uzyskania od PWDL kopii danych osobowych podlegających przetwarzaniu, w tym kopii
dokumentacji medycznej oraz innych danych osobowych Pacjenta (ale nie wyciągu lub odpisu),
• Zgodnie z art. 15 ust. 3 RODO, nieodpłatnemu udostępnieniu podlega pierwsza kopia
przetwarzanych danych. PWDL może jednak pobierać opłatę od kolejnych kopii. Za kolejne kopie uznaje
się w szczególności dokumentację medyczną w zakresie w jakim była uprzednio udostępniona (uprzednio
udostępnione i nie zmienione dokumenty dokumentacji medycznej).
Pacjent ma prawo do żądania sprostowania, uzupełnienia lub aktualizacji swoich danych. Pacjent ma
prawo zażądać niezwłocznego sprostowania lub uzupełnienia danych osobowych zawartych w
dokumentacji medycznej wyłącznie w zakresie w jakim nie będzie prowadzić to do naruszenia autonomii
zawodowej osoby wykonującej zawód medyczny, która dokonywała wpisu do dokumentacji medycznej.
Pacjent ma również prawo do informacji o swoim stanie zdrowia, o którym mowa w art. 9 ustawy o
Prawach Pacjenta i Rzeczniku Praw Pacjenta oraz od prawa dostępu do dokumentacji medycznej, o
którym mowa w art. 23 ust. 1 ustawy o Prawach Pacjenta poprzez wgląd w Przychodni z możliwością
sporządzania notatek i zdjęć, uzyskanie wydruku lub kopii na informatycznym nośniku lub za pomocą
środków komunikacji elektronicznej w tym kopii dokumentacji medycznej oraz innych danych
osobowych.
PRAWO DO BYCIA ZAPOMNIANYM (art. 17 RODO):
Z uwagi na to, że zgodnie z obowiązującym prawem Prawo Pacjenta do bycia zapomnianym nie znajduje
zastosowania wobec danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO,
w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych
przetwarzanych w oparciu o ww. przesłankę w przypadku świadczeń medycznych, nieskuteczne jest
żądanie usunięcia danych. Dokumentacja medyczna przechowywana jest przez okres 20 lat, a w
przypadkach szczególnych do 30 lat, stąd nie możesz wnieść o zaprzestanie jej przetwarzania przed
upływem tego okresu. Przychodnia nie przechowuje zdjęć rentgenowskich. Przychodnia przechowuje
skierowania na badania i zlecenia jako integralną część dokumentacji medycznej na zasadach jej
dotyczących tj. przez minimum 20 lat.
Pacjent może zrealizować prawo do bycia zapomnianym w zakresie celu, w którym dane osobowe
pacjenta są przetwarzane na podstawie tej zgody po upływie określonego do wypełnienia tego celu czasu
(dotyczy realizacji badań klinicznych i naukowych na podstawie zgody)
PWDL odmawia zrealizowania prawa Pacjenta do bycia zapomnianym w odniesieniu do danych
osobowych zawartych w dokumentacji medycznej przez cały wymagany przepisami prawa okres
archiwizacji dokumentacji medycznej powołując się na przepis art. 29 ust. 1 ustawy o prawach pacjenta w
zw. z art. 17 ust. 3 lit. b) RODO.
PRAWO DO OGRANICZENIA PRZETWARZANIA (art. 18 RODO):
Pomimo żądania przez
Pacjenta ograniczenia przetwarzania zgodnie z przesłanką określoną w art. 18 ust. 1 lit a) RODO w
odniesieniu do danych osobowych Pacjentów przetwarzanych na podstawie art. 9 ust. 2 lit h RODO, w
tym w szczególności wobec danych przetwarzanych w ramach dokumentacji medycznej i innych
przetwarzanych w oparciu o ww. przesłankę, PWDL może przetwarzać te dane w dotychczasowym
zakresie, bowiem ograniczenie przetwarzania danych dokonywanego w celach zdrowotnych i mogłoby
istotnie utrudnić realizację tych celów (brak skuteczności ograniczenia przetwarzania w związku z
ważnymi względami interesu publicznego).
PRAWO DO PRZENOSZENIA DANYCH (art. 20 RODO):
Prawo Pacjenta do przenoszenia danych
nie znajduje zastosowania wobec danych osobowych przetwarzanych przez PWDL na podstawie art. 9
ust. 2 lit. h RODO, w tym w szczególności wobec danych przetwarzanych w ramach dokumentacji
medycznej i innych przetwarzanych w oparciu o ww. przesłankę.
W przypadku otrzymania żądania Pacjenta związanego z wykonywaniem prawa do przenoszenia danych
w odniesieniu do danych osobowych zgromadzonych w dokumentacji medycznej, PWDL ma obowiązek
poinformować Pacjenta o braku podstawy prawnej tego prawa oraz poinformować o trybie w jakim
Pacjent może uzyskać dostęp do dokumentacji medycznej.
PRAWO DO SPRZECIWU WOBEC PRZETWARZANIA DANYCH (art. 21 RODO):
Prawo
Pacjenta do sprzeciwu wobec przetwarzania danych osobowych nie znajduje zastosowania wobec danych
osobowych przetwarzanych przez PWDL na podstawie art. 9 ust. 2 lit. h RODO, w tym w szczególności
wobec danych przetwarzanych w ramach dokumentacji medycznej i innych przetwarzanych w oparciu o
ww. przesłankę. Prawo Pacjenta do sprzeciwu wobec przetwarzania danych osobowych znajduje
zastosowanie tylko i wyłącznie wobec danych osobowych przetwarzanych przez PWDL: w celu
wykonywania zadań realizowanych w interesie publicznym lub w ramach sprawowania władzy
publicznej powierzonej administratorowi (art. 6 ust. 1 lit. e RODO); w oparciu o przesłankę tzw. prawnie
uzasadnionych interesów PWDL jako administratora danych osobowych (art. 6 ust. 1 lit. f RODO).
PROFILOWANIE:
- Następujące jednostkowe działania PWDL nie będą zakwalifikowane jako podejmowanie decyzji opierających się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych w rozumieniu art. 22 RODO:
- automatyczne ustalanie wyników skal stosowanych w medycynie
- ocena wystąpienia mutacji/ ryzyka choroby na podstawie analizy genom u Pacjenta;
- automatyczne klasyfikowanie wyniku jako „w normie” „ponad normę” i „poniżej normy” na podstawie zdefiniowanych przedziałów wyników (zależnych od czynników wynikających z danych pacjenta takich jak m.in. płeć czy wiek);
- wspieranie, za pomocą algorytmów procesu terapeutycznego np. poprzez przedstawienie sugestii badania diagnostycznego, sugestii terapii farmakologicznej i podobnych przez system komputerowy, pod warunkiem, że ostateczną decyzję o sposobie leczenia podejmuje personel medyczny;
- wspieranie, za pomocą algorytmów komputerowych, procesu selekcji Pacjentów do programów badań profilaktycznych i przesiewowych, pod warunkiem, że ostateczną decyzję o zakwalifikowaniu Pacjentów do udziału w programach podejmuje personel medyczny;
- wspieranie, za pomocą algorytmów komputerowych, procesu zamawiania przez Pacjentów recept na produkty lecznicze przyjmowane przez dłuższy okres czasu np. poprzez automatyczne informowanie personelu medycznego o konieczności skierowania na wizytę kontrolną Pacjentów, którzy składają zapotrzebowanie na receptę ze względu na upływ określonego czasu od ostatniej wizyty;
- procesy dotyczące badań profilaktycznych i medycyny pracy, gdzie decyzja o skierowaniu Pacjenta na określone badania opiera się o czynniki charakterystyczne dla danego stanowiska pracy (zdefiniowane przez pracodawcę), a nie czynniki charakterystyczne dla osoby Pacjenta;
- działanie aplikacji i algorytmów będących wyrobami medycznymi lub częściami wyrobów medycznych, pod warunkiem że wyroby takie zostały dopuszczone do obrotu na terytorium Unii Europejskiej w zgodzie z obowiązującymi przepisami prawa, w zakresie dokonanej certyfikacji.
Jaka jest podstawa prawna przetwarzania Twoich danych?
Art. 27.2 ust. 7 – Przetwarzanie danych wrażliwych jest dopuszczalne jeżeli przetwarzanie jest
prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez
osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania
udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony tych danych. W takim przypadku
zgoda pacjenta nie jest wymagana.
W szczególności podmioty wykonujące działalność leczniczą mogą przetwarzać dane osobowe
Pacjentów, w tym dotyczące zdrowia na podstawie: art. 9 ust. 2 lit h) RODO, który wymienia cele
zdrowotne przetwarzania zgodnie z ustawą o działalności leczniczej przy zachowaniu obowiązków
wynikających z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
W sytuacji, gdy udzielenie świadczenia zdrowotnego ze względu na swą specyfikę regulowane jest
szczegółowo przepisami innych aktów prawnych, zastosowanie znajdą również odpowiednio właściwe
przepisy szczegółowe, zawarte m.in. w; Ustawie o ochronie zdrowia psychicznego; ustawie o służbie
medycyny pracy; ustawie o Państwowym Ratownictwie Medycznym; ustawie o publicznej służbie krwi;
ustawie o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów; ustawie o
zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych u ludzi; ustawie o leczeniu niepłodności.
Dane osobowe Pacjenta mogą być także przetwarzane na podstawie zgody, o której mowa w art. 9 ust. 2
lit a), a także na podstawie przesłanek wskazanych w pkt 4.3.1. Kodeksu dotyczy to danych które są
przetwarzane w związku z realizacją badań klinicznych lub innych badań naukowych.
Inne przepisy regulujące zakres i sposób przetwarzania Twoich danych to:
Ustawa o Prawach Pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 roku (w szczególności art. 26 i
27) oraz Rozporządzenie Ministra Zdrowia z 9 listopada 2015 roku w sprawie rodzajów, zakresu i
wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
Dane kontaktowe administratora danych osobowych:
Samorządowy Zespół Ośrodków Zdrowia w Zagnańsku
ul. Spacerowa 8b
26-050 Zagnańsk
szoz.zagnansk@gmail.com
Dane kontaktowe inspektora ochrony danych osobowych:
inspektor.szoz@gmail.com
