Temat RODO w medycynie estetycznej powinniśmy rozpocząć od wyjaśnienia: czym właściwie są dane osobowe, jak je kategoryzujemy oraz co to właściwie oznacza dla administratora.
RODO definiuje dane osobowe funkcjonalnie. Oznacza to, że o tym, czy dane informacje są danymi osobowymi, będzie decydować przede wszystkim kontekst sytuacyjny, w którym dane te będą przetwarzane.
Za dane osobowe uznaje się wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W następstwie tego rozumowania za daną osobową będzie uznana taka informacja, dzięki której można dotrzeć do konkretnej osoby, przy jednoczesnym braku wkładania w tę czynność nadmiernego wysiłku i ponoszenia kosztów. Identyfikowalność osoby oznacza, że można tę osobę w wyróżnić w grupie, pośród innych osób. Nie ma wątpliwości, że dane osobowe pacjentów (klientów) lub potencjalnych pacjentów, są danymi osobowymi i podlegają ochronie.
Po ustaleniu, że mamy do czynienia z daną osobową, należy sprawdzić do której kategorii danych informacja ta należy. Na gruncie RODO wyodrębniamy 3 kategorie danych osobowych: dane zwykłe, dane szczególnej kategorii (art. 9 RODO) oraz dane nt. wyroków skazujących i czynów zabronionych (art. 10 RODO). Podział danych osobowych na wskazane wyżej kategorie ma bezpośrednie przełożenie na obowiązki administratora przy ich przetwarzaniu – a precyzując, w odniesieniu do danych z art. 9 i art. 10 RODO, ich przetwarzanie jest poddane dodatkowym rygorom.
Co istotne dla podmiotów z branży medycyny estetycznej, wśród danych osobowych szczególnej kategorii przepisy wskazują dane na temat stanu zdrowia. RODO nie odwołuje się do pojęcia danych medycznych, ale praktyka pokazuje, że dane dotyczące stanu zdrowia i dane medyczne pokrywają się znaczeniowo. W tym miejscu należy zaznaczyć, że niniejsza publikacja nie uwzględnia rygorów i obowiązków związanych z przetwarzaniem danych medycznych, które wynikają z przepisów ustaw szczególnych, takich jak ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta czy ustawy o ubezpieczeniach społecznych.
Na gruncie RODO ww. informacje o stanie zdrowia należy rozumieć szeroko: są to wszystkie dane o stanie zdrowia osoby, której dotyczą, ujawniające informacje o jej przeszłym, obecnym lub przyszłym stanie zdrowia fizycznego lub psychicznego. Również dane genetyczne są traktowane jak dane na temat zdrowia i należą do szczególnej kategorii. Dane biometryczne mogą być traktowane jako dane dotyczące zdrowia, w zależności od celu ich przetwarzania.
Z perspektywy branży medycyny estetycznej, która przeprowadza rozmaite zabiegi medyczne i podlega reżimom wielu przepisów szczególnych, niezwykle ważnym jest, aby zgodnie z prawem (w tym wypadku akurat zgodnie z RODO) przetwarzać informacje nt. zdrowia osób, które się tym zabiegom poddają i zapewniać nieustanne bezpieczeństwo tych danych.
W podmiotach, gdzie wykonuje się zabiegi medycyny estetycznej, dane zdrowotne nie tylko samodzielnie się gromadzi (poprzez ankiety, formularze czy wywiady), ale również odbiera – np. w postaci dokumentacji medycznej, którą dostarcza pacjent. Wszystkie te informacje podlegają podwyższonej i stałej ochronie, a kiedy odpadnie podstawa prawna dla ich dalszego przetwarzania – powinny zostać zwrócone lub usunięte.
Co do zasady, na gruncie RODO przetwarzanie danych dotyczących zdrowia jest zakazane. Jednym z wyjątków od tej reguły jest zgoda osoby, której dane dotyczą, na przetwarzanie jej danych w określonym celu lub celach. Wyrażenie zgody na przetwarzanie danych nt. stanu zdrowia będzie nierozłącznie wiązać się ze zgodą na wykonanie zabiegu medycznego. Oznacza to nic innego, że już przy rozpoczęciu świadczenia usług należy nie tylko spełnić obowiązek informacyjny z art. 13 RODO, ale również uzyskać zgodę na przetwarzanie danych dot. stanu zdrowia w celu wykonania zabiegu.
Drugim wyjątkiem od zakazu przetwarzania danych dot. zdrowia, a który jest istotny z perspektywy świadczenia usług medycyny estetycznej, jest możliwość ich procesowania wówczas, kiedy jest to niezbędne do ustalenia, dochodzenia lub obrony roszczeń. Np. w sytuacji składania reklamacji przez pacjenta. Po wykonaniu zabiegu (i najczęściej stosownie do przepisu szczególnego) dane można jeszcze przetwarzać, aby móc odpierać ewentualne roszczenia.
Ponadto, administrator – czyli podmiot świadczący usługi z obszaru medycyny estetycznej – zobowiązany jest do zapewnienia odpowiednich standardów ochrony danych w jego przedsiębiorstwie (zakładzie), poprzez wdrożenie odpowiednich środków organizacyjnych, informatycznych oraz technicznych, adekwatnie do stopnia ryzyka naruszenia praw i wolności osób, których dane dotyczą. Wszelkie dane osobowe przetwarzane w strukturach administratora powinny być przetwarzane zgodnie z RODO i dalej podlegać rygorom przepisów szczególnych. Dotyczy to tak samo danych osobowych pacjentów (klientów), jak i pracowników, kontrahentów, odbiorców działań marketingowych oraz innych.
Każde przetwarzanie danych osobowych musi mieć prawnie dopuszczalną podstawę oraz odbywać się w konkretnym celu. Osoby biorące udział w przetwarzaniu danych osobowych powinny być do tego upoważnione, zobowiązane do zachowania poufności (jeśli nie dotyczy ich obowiązek zachowania tajemnicy zawodowej) oraz posiadać stosowną wiedzę na temat ochrony danych osobowych. Dane powinny być gromadzone nie dłużej, niż jest to niezbędne dla realizacji celów, w jakich zostały zebrane i po tym czasie zwrócone lub usunięte. Osoby, których dane są przetwarzane, mają prawo dostępu do tych danych i mogą podejmować decyzje co do sposobów ich przetwarzania w określonych sytuacjach.
Podsumowanie
Z perspektywy RODO w medycynie estetycznej mamy dwa kierunki obowiązków do zrealizowania: tzw. obowiązki ogólne (czyli posiadanie opracowanych i wdrożonych procedur postępowania z danymi, prowadzenie właściwych rejestrów, odpowiednio przeszkolony personel, przeprowadzanie audytów kontrolnych, itd.) oraz szczególne, tj. zebrać zgodę na przetwarzanie danych osobowych w związku z planowanym zabiegiem oraz spełnić obowiązek informacyjny.
Dobrym rozwiązaniem jest wyznaczenie w strukturach administratora Inspektora Ochrony Danych Osobowych, który nadzorowałby prawidłowość procesów przetwarzania danych osobowych, w szczególności biorąc pod uwagę fakt, że kliniki urody i inne podobne placówki procesują dużą ilość danych dotyczących zdrowia swoich klientów. W przypadku dużych placówek, gdzie liczba pacjentów przekracza 10 tysięcy osób, wyznaczenie IOD może być już obowiązkowe. Podobnie w przypadku podmiotów publicznych – w tym wypadku IOD musi być wyznaczony.
Co więcej, również powierzenie lub podpowierzenie danych, musi odbywać przy zachowaniu właściwych standardów bezpieczeństwa, włącznie z uprzednią weryfikacją podmiotu, któremu dane mają zostać przekazane, czy podmiot ten stosuje się do zasad opisanych w RODO.
Retencję danych medycznych najczęściej wskazywać będą przepisy ustaw szczególnych, regulujących obowiązki archiwizacji takich danych i należy wskazanych tam terminów dotrzymywać.
Pamiętajmy również o tym, że pacjentami placówek z branży medycyny estetycznej bywają również osoby niepełnoletnie, co rodzi dodatkowe obowiązki i ryzyka. Aby móc ocenić czy i kto może w imieniu dziecka wyrazić zgodę na przetwarzanie jego danych, sięgamy do przepisów ogólnych kodeksu cywilnego (k.c.), ponieważ RODO na ten temat milczy. Zgodę na przetwarzanie danych osobowych osoby poniżej 18 r.ż. wyrażają rodzice lub opiekunowie prawni.
Odpowiedzialność administratora za naruszenie bezpieczeństwa danych dotyczących zdrowia może być dotkliwa i mieć różnorodny charakter: administracyjny, cywilny, a nawet i karny. Informacje na temat zdrowia człowieka są danymi wrażliwymi, które – gdy trafią w niepowołane ręce – mogą wyrządzić niepowetowaną szkodę. Jeśli ten nieuprawniony dostęp lub inna niedozwolona czynność na danych nastąpi z winy administratora, ponosi on z tego tytułu pełną odpowiedzialność i musi mieć tego świadomość. Z tego też powodu tak ważnym jest, aby działając na rynku branży estetycznej stosować wszelkie wymogi związane z ochroną danych osobowych, a w szczególności danych medycznych.