Drukuj ten rozdziałDrukuj ten rozdział

1.3. Obowiązki prawne i ramy regulacyjne (Polska i UE) — ubezpieczenia, zgody pacjenta, kiedy odsyłać do lekarza

6. Prawo pacjenta, poufność danych i RODO w praktyce terapeutycznej

Wprowadzenie — dlaczego to jest ważne

Ochrona danych osobowych i prawa pacjenta to fundament bezpiecznej, etycznej i zgodnej z prawem praktyki terapeutycznej. Dokumentacja medyczna i dotyczące zdrowia informacje należą do szczególnej kategorii danych objętych silniejszą ochroną (tzw. „dane wrażliwe”/„dane szczególnych kategorii”), dlatego terapeuta wykonujący zabiegi (w tym bańkowanie, masaż bańkami, hijama w zakresie dozwolonym prawem) musi znać zarówno prawa pacjenta określone w polskim prawie, jak i obowiązki wynikające z RODO/GDPR oraz krajowych wytycznych. Naruszenia poufności niosą ryzyko prawne, finansowe i reputacyjne, a także realne szkody dla pacjenta. GoFin+1

1) Ramy prawne — co terapeuta musi znać (skrót)

  • RODO / GDPR — ogólne zasady przetwarzania danych osobowych (legalność, celowość, minimalizacja, integralność i poufność, rozliczalność). W przypadku danych dotyczących zdrowia przetwarzanie jest dozwolone jedynie na szczególnych podstawach (np. zgoda pacjenta, obowiązki prawne w ochronie zdrowia, ochrona żywotnych interesów).

  • Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oraz przepisy dotyczące dokumentacji medycznej — określają prawa pacjenta (dostęp do dokumentacji, prawo do informacji, prawo do wyrażenia zgody/odmowy, prawo do skargi) oraz obowiązki podmiotów prowadzących dokumentację.

  • Krajowe wytyczne/poradniki organów nadzorczych (UODO — Urząd Ochrony Danych Osobowych) dotyczące przetwarzania danych zdrowotnych i postępowania w placówkach medycznych.
    Terapeuta powinien znać powyższe akty w zakresie niezbędnym do prawidłowej praktyki i mieć procedury wdrożone w gabinecie. Jamano+1

2) Prawa pacjenta istotne w praktyce terapeutycznej

  • Prawo do informacji — pacjent ma prawo otrzymać jasne informacje o planowanej terapii, ryzyku, korzyściach, alternatywach oraz o tym, kto i w jakim celu będzie przetwarzał jego dane.

  • Prawo dostępu — pacjent może uzyskać dostęp do swojej dokumentacji medycznej i kopii danych przetwarzanych przez terapeutę.

  • Prawo do sprostowania/uzupełnienia — pacjent może żądać poprawienia błędnych danych.

  • Prawo do ograniczenia przetwarzania / prawo do usunięcia — w określonych sytuacjach pacjent może wnioskować o ograniczenie przetwarzania lub usunięcie danych, choć w praktyce dokumentacja medyczna może podlegać ustawowym okresom przechowywania, które ograniczają automatyczne prawo do „wymazania”.

  • Prawo do sprzeciwu — pacjent może w określonych okolicznościach zgłosić sprzeciw wobec przetwarzania swoich danych.

  • Prawo do przenoszenia danych — w ograniczonym zakresie może mieć zastosowanie (np. wyniki badań w formie elektronicznej).
    Wykładowca powinien omówić mechanizmy realizacji tych praw w praktyce placówki oraz wyjątki wynikające z przepisów o dokumentacji medycznej. GoFin

3) Podstawy prawne przetwarzania danych zdrowotnych w gabinecie

  • Zgoda pacjenta — jest jedną z podstaw, ale nie zawsze najlepszą lub jedyną (zwłaszcza w sytuacjach, gdy przetwarzanie jest niezbędne do wypełnienia obowiązków prawnych lub do świadczenia opieki zdrowotnej). Zgoda musi być dobrowolna, konkretna, świadoma i możliwa do wycofania; trzeba dokumentować jej udzielenie i wycofanie.

  • Podstawa prawna wynikająca z obowiązków prawnych — np. ustawowe obowiązki prowadzenia dokumentacji medycznej, raportowania zdarzeń, przechowywania dokumentów itp.

  • Niezbędność do ochrony żywotnych interesów — w nagłych przypadkach (np. zagrożenie życia) dopuszczalne jest przetwarzanie bez zgody.
    W praktyce terapeuta powinien rozumieć, która podstawa prawna ma zastosowanie do każdego rodzaju operacji (np. gromadzenie wywiadu — zgoda/niezbędność świadczenia; zdjęcia dokumentacyjne — często wymaga odrębnej zgody). Jamano

4) Zasady minimalizacji i proporcjonalności

  • Zbieraj tylko te informacje, które są niezbędne do świadczenia danej usługi (zasada minimalizacji).

  • Jeśli nie jest konieczne przechowywanie wrażliwych danych (np. szczegółów chorób niezwiązanych z terapią), nie zapisuj ich lub przechowuj w formie ograniczonej, z uzasadnieniem.

  • Dziel dane na: niezbędne do świadczenia usługi vs. dodatkowe (marketing, statystyki) — do tych ostatnich wymagana jest osobna podstawa (zwykle zgoda).

5) Dokumentacja zgód, informacji i procedur

Każde przekazanie informacji pacjentowi (ustne/telefoniczne) i każda zgoda powinna być rejestrowana. Przykładowe elementy dokumentu zgody:

  • dane pacjenta (imię, nazwisko, PESEL jeśli wymagany przez przepisy prowadzenia dokumentacji),

  • cel przetwarzania,

  • rodzaj danych (wywiad, zdjęcia, zapisy zabiegów, wyniki pomiarów),

  • podstawy prawne przetwarzania,

  • informacja o prawach pacjenta (dostęp, sprostowanie, sprzeciw itp.),

  • zgoda na konkretne działania (np. wykonanie zdjęć dokumentacyjnych/zdjęć pozabiegowych; zgoda na kontakt marketingowy — osobna zgoda),

  • data i podpis pacjenta oraz osoby informującej.

Warto opracować standardowe formularze zgody i informacji dostosowane do rodzajów usług (sucha bańka, masaż bańkami, demonstracja/filmy edukacyjne). GoFin

6) Bezpieczeństwo danych — wymagania techniczne i organizacyjne

Organizacyjne

  • polityka prywatności i procedury przetwarzania danych (opis operacji przetwarzania),

  • wyznaczenie osoby odpowiedzialnej za ochronę danych (DPO) — jeśli wymagane — lub osoby kontaktowej w gabinecie,

  • szkolenia personelu z zakresu RODO i zasad ochrony informacji,

  • procedury dostępu do dokumentacji (kto, kiedy, w jakim celu) oraz rejestrowanie dostępu (logi),

  • umowy o powierzeniu przetwarzania danych z podmiotami zewnętrznymi (np. hosting, e-rejestracja, systemy płatności).

Techniczne

  • hasła, polityka zarządzania hasłami, autoryzacja wielopoziomowa,

  • szyfrowanie urządzeń i kopii zapasowych (jeśli przechowywane są elektronicznie),

  • firewall, oprogramowanie antywirusowe, aktualizacje systemowe,

  • kontrola urządzeń przenośnych i nośników (pendrive’y, dyski zewnętrzne) — zakaz przechowywania wrażliwych danych bez szyfrowania,

  • bezpieczne usuwanie danych z nośników (procedury nadpisania/niszczenia),

  • bezpieczne usuwanie dokumentów papierowych (niszczarki zgodne z polityką).

Wdrożenie powyższych środków jest elementem rozliczalności (accountability) wymaganej przez RODO. Jamano

7) Przekazywanie danych osobowych (kiedy i jak)

  • Do innych specjalistów/placówek — dopuszczalne po uzyskaniu zgody pacjenta lub jeśli istnieje inna podstawa prawna (np. skierowanie/potrzeba konsultacji medycznej). Przekazywanie musi być ograniczone do niezbędnych informacji.

  • Do rodzin/prawnych opiekunów — tylko za wyraźną zgodą pacjenta albo gdy pacjent nie jest zdolny do wyrażenia zgody (np. nieprzytomny) i konieczne jest działanie w jego interesie.

  • Do dostawców usług IT/hosting — zawsze na podstawie umowy powierzenia przetwarzania z odpowiednimi klauzulami bezpieczeństwa.

  • Do organów państwowych — zgodnie z obowiązującymi przepisami (np. zgłaszanie niektórych zdarzeń), w takim przypadku wskazana jest procedura wewnętrzna i ewidencja takich przekazań.

Zawsze dokumentuj podstawę prawną przekazania i zakres przesłanych danych. GoFin

8) Fotografie i materiały obrazowe — zasady szczególne

  • Zdjęcia przed/po zabiegu lub do celów edukacyjnych wymagają odrębnej, świadomej zgody pisemnej; zgoda powinna określać sposób wykorzystania (wewnętrzny case, publikacja, social media) i możliwość wycofania zgody (np. usunięcie zdjęć z mediów społecznościowych).

  • Jeśli zdjęcia będą anonimowane — opisz metodę anonimizacji; pamiętaj, że pełna anonimizacja jest trudna do osiągnięcia przy fotografiach ciała.

  • W przypadku materiałów edukacyjnych nagrywanych podczas zajęć praktycznych — zgoda wszystkich uczestników oraz osób modelujących jest obowiązkowa.

9) Okres przechowywania i zasady archiwizacji

  • Dokumentacja medyczna jest regulowana ustawowo — gabinet powinien znać i stosować okresy przechowywania wynikające z prawa (np. określone terminy dla różnych typów dokumentacji). Okresy te mogą przewyższać żądanie „usunięcia” przez pacjenta.

  • W praktyce: miej politykę retencji, harmonogram przeglądu i bezpiecznego usuwania (zgodnego z UODO) oraz procedury archiwizacji papierowej i elektronicznej. Jamano

10) Reagowanie na incydenty i naruszenia danych

  • Plan reakcji na incydenty: identyfikacja, ograniczenie skutków, ocena ryzyka dla praw i wolności osób, notyfikacja organu nadzorczego (UODO) w ciągu 72 godzin jeśli istnieje ryzyko, powiadomienie osób, których dane dotyczą — gdy ryzyko jest wysokie.

  • Dokumentuj każde naruszenie: opis incydentu, przyczyny, skutki, działania naprawcze i prewencyjne.

  • Przeprowadzaj regularne ćwiczenia reagowania i aktualizuj procedury. Jamano

11) Edukacja personelu i kultura ochrony prywatności

  • Regularne szkolenia obowiązkowe (pierwsze przy zatrudnieniu + odświeżające co rok) obejmujące: RODO w praktyce, zasady tajemnicy zawodowej, procedury zgłaszania incydentów, obsługa wniosków pacjentów o dostęp do danych.

  • Jasne instrukcje „co robić, a czego nie robić” (np. zasady korzystania z telefonów komórkowych w gabinecie, dyskusje o pacjentach poza gabinetem).

  • Prowadzenie ewidencji szkoleń i certyfikatów personelu.

12) Praktyczne procedury i checklisty (do wdrożenia w gabinecie)

A. Przed przyjęciem pacjenta

  • wypełniony formularz wywiadu (tylko niezbędne pola),

  • podpisana zgoda na przetwarzanie danych i na konkretną procedurę (jeśli wymagana),

  • informacja o polityce prywatności (ulotka/strona internetowa).

B. Podczas zabiegu

  • rejestrowanie wykonanych procedur w karcie zabiegu (data, rodzaj zabiegu, użyte narzędzia, nazwisko terapeuty),

  • minimalizowanie liczby osób obecnych (ochrona prywatności).

C. Po zabiegu / przy dokumentowaniu

  • bezpieczne przechowywanie karty pacjenta (szafa zamykana/kontrolowany dostęp do plików elektronicznych),

  • jeżeli wykonano zdjęcia — zapis zgody i wskazanie miejsca przechowywania.

D. W odpowiedzi na wniosek pacjenta o dostęp/sprostowanie/usunięcie

  • formularz potwierdzający otrzymanie wniosku, czas reakcji (zwyczajowo 30 dni; krótsze terminy jeśli wymagane),

  • procedura identyfikacji wnioskującego i ograniczenia wynikające z wymogów przechowywania dokumentacji.

13) Przykładowe wzory / dokumenty do załączenia do kursu

  • Formularz informacji i zgody na zabieg (wersja podstawowa + rozszerzona dla zdjęć i materiałów edukacyjnych).

  • Polityka prywatności gabinetu (krótka, dla pacjenta) oraz wersja wewnętrzna (szczegółowa, techniczna).

  • Procedura postępowania przy incydencie naruszenia danych.

  • Wzór umowy powierzenia przetwarzania danych (dla dostawców IT).

14) Współpraca z podmiotami medycznymi i wymiana informacji

  • Wymiana informacji medycznej powinna odbywać się na zasadzie minimalnego niezbędnego zakresu, po zabezpieczeniu podstawy prawnej (zgoda lub inna podstawa) oraz po stosownym udokumentowaniu.

  • Kiedy kierować do lekarza i jak formalnie przekazać dokumentację: standardowe protokoły przekazywania (skierowanie + kopia karty zabiegu lub wyciąg z dokumentacji), z oznaczeniem, które dane są istotne dla kontynuacji leczenia.

15) Kary, inspekcje i odpowiedzialność

  • Naruszenia RODO i przepisów dotyczących dokumentacji medycznej mogą skutkować sankcjami administracyjnymi (kary finansowe), odpowiedzialnością cywilną oraz konsekwencjami zawodowymi i reputacyjnymi. Dlatego istotne jest prowadzenie audytów wewnętrznych i dokumentowanie zgodności z wymogami. Jamano

16) Rekomendacje wdrożeniowe dla kursantów (co każdy terapeuta powinien umieć po kursie)

  1. Umieć wyjaśnić pacjentowi jego prawa i udokumentować udzielenie informacji.

  2. Opracować i stosować wzory zgód i politykę prywatności dostosowaną do zakresu usług.

  3. Wdrażać i dokumentować techniczne i organizacyjne środki bezpieczeństwa.

  4. Umieć przeprowadzić procedurę reagowania na naruszenie danych.

  5. Wiedzieć kiedy i jak legalnie przekazywać dokumentację innym podmiotom.

  6. Przeprowadzać roczne przeglądy zgodności i ćwiczenia z personelowym scenariuszem incydentów.

17) Ograniczenia i uwagi praktyczne (ważne dla prowadzącego kurs)

  • Prawo i wytyczne bywają aktualizowane — zalecane jest odniesienie do stron UODO i oficjalnych źródeł krajowych oraz konsultacja z prawnikiem specjalizującym się w ochronie danych i prawie medycznym podczas opracowywania dokumentów kursowych.

  • W części dotyczącej hijama należy jasno wskazać rozgraniczenie: instrukcje inwazyjne wymagają uprawnień medycznych i nadzoru (uwaga prawna).

Krótkie podsumowanie (do wykorzystania jako slajd)

  1. Dane zdrowotne to kategoria szczególnej wrażliwości — wymagają silniejszych zabezpieczeń.

  2. Pacjent ma szereg praw (informacja, dostęp, sprostowanie), ale obowiązują też ustawowe okresy przechowywania dokumentacji.

  3. Zgoda — ważna, ale nie zawsze wystarczająca jako jedyna podstawa przetwarzania.

  4. Dokumentuj wszystko (zgody, informacje, incydenty).

  5. Wdrażaj techniczne i organizacyjne środki bezpieczeństwa i szkolenia personelu.