Rozporządzenie GDPR ( RODO) pozostaje dla wielu osób — nawet kilka lat po wejściu w życie — niezrozumiałym pojęciem lub administracyjnym postrachem. Częścią niniejszego artykułu jest również przedstawienie podstawowych obowiązków fizjoterapeutów wynikających z GDPR (RODO).

Jak GDPR ( RODO) wiąże się z fizjoterapią?

GDPR (RODO) to europejskie rozporządzenie, które określa ogólne zasady przetwarzania i ewidencjonowania danych osobowych. Ma zastosowanie praktycznie we wszystkich sytuacjach, w których dochodzi do przetwarzania takich danych. Fizjoterapeuta w swojej praktyce musi oczywiście gromadzić różne informacje o pacjentach, dlatego również podlega temu rozporządzeniu. Nie zmienia tego fakt, że przetwarzanie danych osobowych w fizjoterapii jest już w dużej mierze regulowane czeskim prawem — przede wszystkim ustawą o usługach zdrowotnych i rozporządzeniem o dokumentacji medycznej. GDPR ma bowiem pierwszeństwo przed prawem krajowym. Czeska regulacja uzupełnia i konkretyzuje rozporządzenie, ale nie wyłącza jego obowiązywania.

Obowiązki fizjoterapeuty

Fizjoterapeuta, który gromadzi i przechowuje dane osobowe dotyczące pacjentów i ich stanu zdrowia, występuje w roli administratora, a typowo także podmiotu przetwarzającego dane osobowe. Zgodnie z GDPR (RODO) ma więc szereg obowiązków, które są sformułowane bardzo ogólnie. Najważniejsze zasady to legalność i przejrzystość przetwarzania danych osobowych. W praktyce oznacza to, że fizjoterapeuta może przetwarzać dane pacjentów wyłącznie na podstawie powodów i w celach określonych w rozporządzeniu. Ma również obowiązek chronić dane pacjentów przed nieuprawnionym wyciekiem lub utratą i ponosi odpowiedzialność za ewentualne naruszenia swoich obowiązków prawnych.

Do konkretnych obowiązków fizjoterapeuty należy przede wszystkim prowadzenie rejestru czynności przetwarzania, w którym m.in. wskazuje, jakie dane podmiotów przetwarza i w jakim celu. Podstawowe informacje o przetwarzaniu danych osobowych fizjoterapeuta musi udostępnić pacjentom — zazwyczaj poprzez stronę internetową lub wywieszenie w gabinecie.

GDPR (RODO) a zgoda na przetwarzanie danych osobowych

W fizjoterapii dochodzi do przetwarzania danych o stanie zdrowia pacjentów oraz do zbierania ich danych biometrycznych. Dane te należą do szczególnej kategorii wrażliwych danych osobowych, które co do zasady nie mogą być przetwarzane bez zgody. Świadczenie usług zdrowotnych, w tym opieki fizjoterapeutycznej, stanowi jednak wyjątek — dane te są przetwarzane nie na podstawie zgody pacjenta, lecz na podstawie obowiązku wynikającego z ustawy o usługach zdrowotnych.

Zgodnie z GDPR (RODO) fizjoterapeuta może więc przetwarzać dane osobowe pacjenta i jego stan zdrowia bez jego zgody…

…jeśli przetwarzanie jest niezbędne do świadczenia usług zdrowotnych. W takim przypadku nie ma potrzeby, by pacjent wyrażał wyraźną zgodę.

Zakres przetwarzanych danych wynika przede wszystkim z rozporządzenia o dokumentacji medycznej, które określa, jakie dane wchodzą w skład dokumentacji medycznej i są potrzebne do świadczenia usług zdrowotnych.

Kolejnym wyjątkiem dotyczącym opieki zdrowotnej, w tym fizjoterapii, jest ograniczenie prawa pacjenta do usunięcia danych osobowych z dokumentacji medycznej. W tym przypadku obowiązuje czeska regulacja, zgodnie z którą pacjent nie może żądać usunięcia danych z dokumentacji medycznej, które są związane ze świadczeniem usług zdrowotnych — choć w innym kontekście miałby do tego prawo.

Zgodnie z ustawą o usługach zdrowotnych świadczeniodawcy są zawsze zobowiązani do prowadzenia i przechowywania dokumentacji medycznej. Okres przechowywania danych osobowych w dokumentacji medycznej jest określony w rozporządzeniu o dokumentacji medycznej, konkretnie w załączniku nr 3, który dla poszczególnych rodzajów i form usług zdrowotnych określa konkretne okresy, przez które dokumentacja musi być przechowywana/archiwizowana. W odniesieniu do opieki ambulatoryjnej, w tym fizjoterapii ambulatoryjnej, obowiązuje okres przechowywania wynoszący 5 lat od ostatniego świadczenia usług zdrowotnych dla pacjenta.

Inną sytuacją, w której fizjoterapeuta powinien uzyskać zgodę na przetwarzanie danych osobowych, są przypadki, gdy dane są wykorzystywane do innych celów niż świadczenie usług zdrowotnych — na przykład do wysyłania newsletterów lub innych komunikatów marketingowych.

Ale o tym opowiemy innym razem.