RODO dietetyk: podstawa prawna i praktyka w praktyce prawnej
Prowadzenie działalności w branży dietetycznej, niezależnie od tego, czy przybiera formę indywidualnej praktyki lekarskiej, jednoosobowej działalności gospodarczej, czy też większej kliniki zdrowia i urody, nierozerwalnie wiąże się z przetwarzaniem danych osobowych. Dietetyk w swojej codziennej pracy nie ogranicza się jedynie do zbierania podstawowych informacji, takich jak imię, nazwisko czy numer telefonu klienta. Kluczowym elementem procesu diagnostycznego i terapeutycznego jest pozyskiwanie szczegółowych informacji o stanie zdrowia, nawykach żywieniowych, przebytych chorobach, alergiach, a także wynikach badań laboratoryjnych pacjenta. Wszystkie te informacje na gruncie Ogólnego Rozporządzenia o Ochronie Danych (RODO) stanowią dane szczególnej kategorii, potocznie nazywane danymi wrażliwymi. Właściwe podejście do ich ochrony to nie tylko wymóg formalny, ale przede wszystkim fundament zaufania na linii pacjent-dietetyk oraz zabezpieczenie przed dotkliwymi sankcjami finansowymi.
Teza publikacji: Szczególny status danych medycznych w gabinecie dietetyka
Główną tezą niniejszego opracowania jest stwierdzenie, że dietetyk, przetwarzając informacje o sposobie odżywiania, masie ciała, chorobach współistniejących oraz wynikach badań medycznych, przetwarza dane dotyczące zdrowia w rozumieniu art. 9 RODO. Oznacza to, że nie może on opierać swojej działalności wyłącznie na ogólnych zasadach przetwarzania danych osobowych. Każdy gabinet dietetyczny musi wdrożyć rygorystyczne środki techniczne i organizacyjne, precyzyjnie określić podstawę prawną swoich działań oraz skrupulatnie realizować obowiązki informacyjne. Brak rozróżnienia między danymi zwykłymi a wrażliwymi jest najczęstszym źródłem błędów interpretacyjnych, które mogą prowadzić do wszczęcia postępowania przez Urząd Ochrony Danych Osobowych (UODO).
Na czym polega problem: Dane zwykłe a dane o stanie zdrowia
Wielu dietetyków błędnie zakłada, że skoro nie posiadają statusu lekarza medycyny, to zbierane przez nich informacje nie mają charakteru danych medycznych. To niebezpieczny mit. Zgodnie z motywem 35 RODO, do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia tej osoby. W kontekście usług dietetycznych danymi o stanie zdrowia będą m.in.:
- informacje o masie ciała, wskaźniku BMI oraz składzie ciała (zawartość tkanki tłuszczowej, wody, mięśni);
- dane o alergiach, nietolerancjach pokarmowych oraz chorobach takich jak cukrzyca, Hashimoto czy celiakia;
- wyniki badań krwi, moczu czy testów genetycznych dostarczane przez pacjenta;
- informacje o przyjmowanych lekach, suplementach diety oraz ogólnym samopoczuciu i poziomie aktywności fizycznej.
Przetwarzanie tego typu danych jest co do zasady zabronione na mocy art. 9 ust. 1 RODO, chyba że zaistnieje jedna z przesłanek uchylających ten zakaz, wymieniona w art. 9 ust. 2 RODO. To sprawia, że dietetyk musi wykazać się szczególną starannością przy konstruowaniu formularzy, kart pacjenta oraz systemów teleinformatycznych służących do układania jadłospisów.
Kogo dotyczy obowiązek ochrony danych w dietetyce?
Obowiązki wynikające z RODO dotyczą każdego podmiotu, który decyduje o celach i sposobach przetwarzania danych osobowych, czyli staje się Administratorem Danych Osobowych (ADO). W branży dietetycznej status ten posiada:
- dietetyk prowadzący jednoosobową działalność gospodarczą (indywidualny gabinet);
- spółka cywilna lub handlowa prowadząca sieć gabinetów dietetycznych;
- podmiot leczniczy zatrudniający dietetyków na umowę o pracę lub kontrakty B2B;
- dietetyk świadczący usługi wyłącznie online za pośrednictwem portali internetowych i aplikacji mobilnych.
Warto pamiętać, że jeśli dietetyk jest zatrudniony w szpitalu lub przychodni na umowę o pracę, administratorem danych pacjentów jest ta placówka medyczna, a sam dietetyk działa jako osoba upoważniona do przetwarzania danych. Jeśli jednak prowadzi własną praktykę i jedynie podnajmuje gabinet w przychodni, najczęściej sam staje się administratorom danych swoich pacjentów.
Podstawa prawna przetwarzania danych przez dietetyka
Wybór właściwej podstawy prawnej to kluczowy krok w procesie legalizacji przetwarzania danych. W praktyce prawnej dietetyków najczęściej rozważa się dwie główne podstawy z art. 9 ust. 2 RODO:
Zgoda pacjenta (art. 9 ust. 2 lit. a RODO)
W przypadku dietetyków, którzy nie posiadają statusu zawodu medycznego uregulowanego odrębnymi przepisami ustawy o działalności leczniczej, najbezpieczniejszą i najpowszechniejszą podstawą prawną jest wyraźna, dobrowolna zgoda pacjenta. Zgoda ta musi spełniać określone warunki: być świadoma, konkretna, jednoznaczna i możliwa do wycofania w każdym momencie. Wycofanie zgody musi być tak samo łatwe jak jej wyrażenie. Dietetyk musi przygotować odpowiedni formularz zgody, w którym jasno określi, na co pacjent się zgadza (np. na analizę składu ciała, ułożenie planu żywieniowego na podstawie wyników badań).
Profilaktyka zdrowotna i medycyna pracy (art. 9 ust. 2 lit. h RODO)
Ta podstawa prawna ma zastosowanie głównie wtedy, gdy usługi dietetyczne są świadczone w ramach podmiotu leczniczego lub przez osoby wykonujące zawód medyczny (np. lekarza-dietetyka, pielęgniarkę-dietetyka lub dietetyka medycznego działającego w strukturach ochrony zdrowia). Pozwala ona na przetwarzanie danych do celów profilaktyki zdrowotnej, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego. Wówczas przetwarzanie odbywa się na podstawie prawa krajowego lub umowy z pracownikiem służby zdrowia, pod warunkiem zachowania tajemnicy zawodowej.
W polskim systemie prawnym status zawodu dietetyka przez lata budził wiele kontrowersji. Choć ustawa o niektórych zawodach medycznych z 2023 roku uregulowała status wielu profesji medycznych, dietetycy wciąż często działają na granicy usług medycznych i usług ogólnoprozdrowotnych. Ta niejednoznaczność prawna bezpośrednio wpływa na kwalifikację podstawy przetwarzania danych. Jeśli dietetyk wykonuje swoją działalność w ramach podmiotu leczniczego (np. szpitala, przychodni specjalistycznej), przetwarzanie danych pacjentów odbywa się na podstawie art. 9 ust. 2 lit. h RODO w związku z przepisami o działalności leczniczej i prawach pacjenta. W takim przypadku pacjent nie musi wyrażać odrębnej zgody na przetwarzanie danych medycznych, ponieważ jest ono niezbędne do udzielenia świadczenia zdrowotnego. Jeśli jednak dietetyk prowadzi samodzielny gabinet poza strukturami podmiotu leczniczego i nie posiada statusu osoby wykonującej zawód medyczny w rozumieniu ustawy, podstawą przetwarzania danych o zdrowiu musi być wyraźna zgoda pacjenta na podstawie art. 9 ust. 2 lit. a RODO. Brak takiej zgody przy jednoczesnym zbieraniu danych o chorobach czy wynikach badań stanowi rażące naruszenie prawa.
Warunki i obowiązki: Co musi zrobić dietetyk?
Aby gabinet dietetyczny działał zgodnie z prawem, administrator musi dopełnić szeregu obowiązków formalnych i organizacyjnych. Poniżej przedstawiamy najważniejsze z nich:
1. Obowiązek informacyjny (art. 13 RODO)
Podczas pierwszej wizyty lub przed rozpoczęciem świadczenia usług online, dietetyk ma obowiązek przekazać pacjentowi tzw. klauzulę informacyjną. Musi ona zawierać m.in. dane identyfikacyjne administratora, cele i podstawy prawne przetwarzania, informacje o odbiorcach danych, okresie przechowywania danych, a także o prawach przysługujących pacjentowi (prawo do dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu oraz wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych).
2. Rejestr Czynności Przetwarzania (RCP)
Choć RODO w art. 30 ust. 5 zwalnia przedsiębiorców zatrudniających poniżej 250 osób z obowiązku prowadzenia rejestru, zwolnienie to nie dotyczy podmiotów, które przetwarzają dane szczególnej kategorii (dane o zdrowiu) w sposób regularny. Ponieważ przetwarzanie danych o zdrowiu jest istotą pracy dietetyka, każdy gabinet dietetyczny musi prowadzić Rejestr Czynności Przetwarzania. W rejestrze tym opisuje się m.in. kategorie przetwarzanych danych, cele przetwarzania, kategorie odbiorców oraz planowane terminy usunięcia danych.
3. Umowy powierzenia przetwarzania danych (art. 28 RODO)
Dietetycy w swojej pracy korzystają z zewnętrznych narzędzi i usług. Jeśli dane pacjentów trafiają do podmiotów zewnętrznych, konieczne jest zawarcie umowy powierzenia przetwarzania danych (DPA). Dotyczy to w szczególności dostawców hostingu, oprogramowania do układania jadłospisów, biur rachunkowych oraz laboratoriów medycznych. Brak zawarcia umowy powierzenia przetwarzania danych z podmiotami zewnętrznymi to jedno z najczęstszych uchybień wykrywanych podczas kontroli Prezesa Urzędu Ochrony Danych Osobowych. Dietetycy często nie zdają sobie sprawy, że samo zaakceptowanie ogólnego regulaminu usługi internetowej nie spełnia wymogów art. 28 RODO. Umowa powierzenia musi mieć formę pisemną lub elektroniczną i precyzyjnie określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz obowiązki i prawa administratora.
Procedura wdrożenia RODO krok po kroku
Wdrożenie procedur ochrony danych w gabinecie dietetycznym nie musi być skomplikowane, jeśli podejdzie się do tego metodycznie. Oto rekomendowana ścieżka postępowania:
- Inwentaryzacja danych: Zidentyfikuj, jakie dane zbierasz, w jaki sposób (papierowo, elektronicznie), gdzie je przechowujesz (dysk komputera, chmura, szafa zamykana na klucz) i komu je przekazujesz.
- Analiza ryzyka: Oceń, jakie zagrożenia wiążą się z przetwarzaniem tych danych (np. zgubienie laptopa, wyciek danych z programu do dietetyki, nieuprawniony dostęp osób trzecich).
- Wdrożenie zabezpieczeń: Zastosuj odpowiednie środki ochrony, takie jak szyfrowanie dysków, silne hasła, dwuskładnikowe uwierzytelnianie (2FA), fizyczne zamki w szafach na dokumentację papierową oraz programy antywirusowe.
- Przygotowanie dokumentacji: Opracuj Politykę Bezpieczeństwa, Instrukcję Zarządzania Systemem Informatycznym, rejestr czynności przetwarzania, wzory upoważnień dla personelu oraz klauzule informacyjne i formularze zgód dla pacjentów.
- Szkolenie personelu: Jeśli zatrudniasz pracowników, recepcjonistki czy innych dietetyków, przeszkol ich z zasad ochrony danych i nadaj im pisemne upoważnienia do przetwarzania danych osobowych.
Zabezpieczenia techniczne i organizacyjne: Jak chronić dane w praktyce?
RODO nie narzuca gotowych rozwiązań technologicznych, lecz opiera się na tzw. podejściu opartym na ryzyku (risk-based approach). Oznacza to, że dietetyk sam musi dobrać odpowiednie zabezpieczenia, biorąc pod uwagę stan wiedzy technicznej, koszt wdrożenia, charakter, zakres i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych. W praktyce gabinetu dietetycznego standardem powinny być następujące zabezpieczenia techniczne: szyfrowanie całego dysku twardego komputera (np. za pomocą narzędzia BitLocker lub FileVault), stosowanie unikalnych i silnych haseł dostępu do systemów operacyjnych oraz programów dietetycznych, regularne aktualizowanie oprogramowania antywirusowego i systemu operacyjnego, a także tworzenie kopii zapasowych (backupów) przechowywanych w bezpiecznym, zaszyfrowanym miejscu. Z kolei do najważniejszych zabezpieczeń organizacyjnych należy zaliczyć: wprowadzenie polityki czystego biurka i czystego ekranu (blokowanie komputera przy każdorazowym odejściu od stanowiska), fizyczne zabezpieczenie pomieszczeń gabinetu przed dostępem osób niepowołanych po godzinach pracy oraz niszczenie dokumentacji papierowej za pomocą niszczarek spełniających odpowiednie normy bezpieczeństwa (co najmniej klasa DIN P-3 lub wyższa).
Rola Inspektora Ochrony Danych (IOD) w gabinecie dietetycznym
Wielu przedsiębiorców zastanawia się, czy jako administratorzy danych mają obowiązek wyznaczenia Inspektora Ochrony Danych (IOD). Zgodnie z art. 37 RODO, wyznaczenie IOD jest obowiązkowe m.in. wtedy, gdy główna działalność administratora polega na przetwarzaniu na dużą skalę szczególnych kategorii danych, o których mowa w art. 9 RODO. W przypadku indywidualnych gabinetów dietetycznych lub małych placówek zatrudniających kilku specjalistów, przetwarzanie danych nie odbywa się zazwyczaj na 'dużą skalę' w rozumieniu przepisów unijnych. Oznacza to, że mniejsi dietetycy nie mają ustawowego obowiązku powoływania IOD. Sytuacja zmienia się jednak w przypadku dużych sieci franczyzowych, portali internetowych oferujących diety online dla tysięcy użytkowników jednocześnie lub dużych centrów medycznych. W takich przypadkach powołanie IOD staje się koniecznością. Niemniej jednak, nawet jeśli dietetyk nie ma obowiązku wyznaczenia IOD, może to zrobić dobrowolnie, co znacznie ułatwia bieżący nadzór nad bezpieczeństwem danych i odciąża administratora z codziennych obowiązków związanych z interpretacją przepisów prawa ochrony danych osobowych.
Wniosek pacjenta o realizację praw: Jak i w jakim terminie odpowiedzieć?
Zgodnie z RODO pacjenci gabinetów dietetycznych posiadają szereg uprawnień, które mogą realizować poprzez złożenie odpowiedniego wniosku. Najważniejszym z nich jest prawo dostępu do swoich danych, prawo do ich sprostowania, usunięcia (prawo do bycia zapomnianym) oraz prawo do przenoszenia danych. Kiedy pacjent składa wniosek, na przykład o usunięcie jego danych z bazy gabinetu, dietetyk jako administrator musi zareagować bez zbędnej zwłoki. Zgodnie z art. 12 ust. 3 RODO, termin na udzielenie odpowiedzi i realizację żądania wynosi maksymalnie miesiąc od otrzymania wniosku. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, jednak dietetyk musi poinformować pacjenta o takim przedłużeniu w ciągu pierwszego miesiąca, podając przyczyny opóźnienia. Warto pamiętać, że prawo do usunięcia danych nie ma charakteru bezwzględnego. Jeśli dietetyk przechowuje dane w celu obrony przed ewentualnymi roszczeniami prawnymi (np. zarzutem błędu w sztuce dietetycznej), może odmówić usunięcia niektórych danych do czasu upływu terminów przedawnienia tych roszczeń.
Najczęstsze błędy i ryzyka w praktyce dietetycznej
W praktyce prawnej najczęściej spotyka się następujące uchybienia w gabinetach dietetycznych:
- Wysyłanie jadłospisów otwartym tekstem: Przesyłanie diet i planów żywieniowych zawierających szczegółowe dane pacjenta na zwykłe, nieszyfrowane adresy e-mail. Bezpieczniejszym rozwiązaniem jest szyfrowanie plików PDF hasłem przekazywanym innym kanałem (np. SMS-em) lub korzystanie z dedykowanych, zabezpieczonych portali pacjenta.
- Brak umów powierzenia: Korzystanie z darmowych programów do układania diet lub przechowywania danych pacjentów bez zweryfikowania, czy dostawca oprogramowania gwarantuje zgodność z RODO i czy podpisano z nim umowę powierzenia.
- Przechowywanie ankiet na biurku: Pozostawianie wypełnionych przez pacjentów ankiet medycznych w miejscach dostępnych dla innych klientów gabinetu.
- Niewłaściwa realizacja praw pacjenta: Ignorowanie wniosków pacjentów o usunięcie danych lub brak wiedzy, w jakim terminie należy na taki wniosek odpowiedzieć.
Przykład praktyczny: Pacjent z nietolerancją pokarmową
Pani Anna zgłosiła się do gabinetu dietetycznego prowadzonego przez pana Tomasza. Podczas pierwszej wizyty pan Tomasz przeprowadził szczegółowy wywiad, w którym pani Anna ujawniła, że choruje na celiakię, cierpi na nawracające bóle brzucha oraz przedłożyła wyniki badań krwi. Pan Tomasz, działając zgodnie z RODO, przed przystąpieniem do wywiadu:
- Wręczył pani Annie do podpisu formularz zgody na przetwarzanie danych o stanie zdrowia w celu opracowania spersonalizowanego planu dietetycznego.
- Przedstawił czytelną klauzulę informacyjną, wyjaśniając, że jej dane będą przechowywane przez okres 5 lat od zakończenia współpracy, a dostęp do nich będzie miał jedynie on oraz biuro rachunkowe (na podstawie umowy powierzenia).
- Po zakończeniu wizyty pan Tomasz schował papierową kartę pacjentki do szafy zamykanej na klucz, a dane do programu dietetycznego wprowadził na komputerze zabezpieczonym hasłem i szyfrowaniem dysku. Jadłospis przesłał pani Annie w pliku PDF zabezpieczonym hasłem, które przesłał jej na numer telefonu komórkowego.
Dzięki temu proces przetwarzania danych pani Anny przebiegł w sposób w pełni legalny, bezpieczny i zgodny z najwyższymi standardami ochrony danych osobowych.
Skutki prawne niedopełnienia obowiązków
Naruszenie przepisów RODO może neść za sobą poważne konsekwencje dla dietetyka. Organ nadzorczy, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), posiada szerokie uprawnienia kontrolne i dyscyplinujące. W przypadku stwierdzenia uchybiń organ może nałożyć upomnienie, nakazać dostosowanie operacji przetwarzania do przepisów RODO, wprowadzić czasowe lub całkowite ograniczenie przetwarzania danych, a także nałożyć administracyjną karę pieniężną. Poza sankcjami ze strony UODO, dietetyk musi liczyć się z ryzykiem cywilnym. Pacjent, którego dane zostały ujawnione lub były przetwarzane niezgodnie z prawem, ma prawo wnieść pozew do sądu powszechnego i żądać odszkodowania lub zadośćuczynienia za poniesioną szkodę majątkową lub niemajątkową na podstawie art. 82 RODO.
Podsumowanie i rekomendacje
Ochrona danych osobowych w pracy dietetyka to proces ciągły, wymagający regularnej weryfikacji stosowanych procedur i zabezpieczeń. Przepisy RODO nie powinny być jednak postrzegane wyłącznie jako uciążliwy obowiązek biurokratyczny. Wdrożenie wysokich standardów ochrony danych chroni gabinet przed kosztownymi incydentami bezpieczeństwa, buduje profesjonalny wizerunek w oczach pacjentów i minimalizuje ryzyko dotkliwych kar finansowych. Każdy dietetyk powinien zadbać o to, aby jego dokumentacja była kompletna, systemy informatyczne odpowiednio zabezpieczone, a pacjenci w pełni poinformowani o przysługujących im prawach. W przypadku wątpliwości prawnych warto skonsultować się ze specjalistą ds. ochrony danych osobowych lub radcą prawnym specjalizującym się w prawie medycznym, aby dostosować procedury do indywidualnej specyfiki prowadzonej działalności.