Piotr Robakowski1, Marlena Robakowska2, Daniel Ślęzak3, Klaudia Skelnik4, Anna Tyrańska-Fobke3, Andrzej Basiński5, Przemysław Żuratyński3, Jakub Kraszewski6

1 Wydział Nauk Społecznych Uniwersytet Gdański, Gdańsk, Polska

2 Zakład Zdrowia Publicznego i Medycyny Społecznej, Wydział Nauk o Zdrowiu z Oddziałem Pielęgniarstwa i Instytutem Medycyny Morskiej i Tropikalnej,
Gdański Uniwersytet Medyczny, Gdańsk, Polska

3 Katedra i Klinika Medycyny Ratunkowej, Pracownia Ratownictwa Medycznego, Wydział Nauk o Zdrowiu z Oddziałem Pielęgniarstwa i Instytutem
Medycyny Morskiej i Tropikalnej, Gdański Uniwersytet Medyczny

4 Wydział Dowodzenia i Operacji Morskich Akademia Marynarki Wojennej w Gdyni

5 Katedra i Klinika Medycyny Ratunkowej, Wydział Nauk o Zdrowiu z Oddziałem Pielęgniarstwa i Instytutem Medycyny Morskiej i Tropikalnej,
Gdański Uniwersytet Medyczny, Gdańsk, Polska

6 Uniwersyteckie Centrum Kliniczne, Gdańsk, Polska

„Paraliż” to słowo słyszymy nader często w trakcie szkoleń z zakresu ochrony danych osobowych kierowanych do przedstawicieli sektora medycznego. Za ostrą wymową tego sformułowania staje nierzadko wysoka świadomość medyków w zakresie praw pacjenta. Ale czy rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE zwanego RODO nie precyzuje uprawnień pacjenta, które od dawna są respektowane. Nadużywanie słowa paraliż bierze się najprawdopodobniej z faktu niezrozumienia unijnych procedur oraz obawy przed nadmierną biurokracją, która i tak osiąga już poziom stanu krytycznego. Szereg uregulowań prawnych oraz procedur, z jakimi przychodzi na co dzień zmierzyć się lekarzom, ratownikom, pielęgniarkom, rehabilitantom oraz osobom pracującym w szeroko pojętym sektorze medycznym wprawia wszystkich w niemałe zakłopotanie, skłaniając do pytania czy nadal najważniejsze jest dobro pacjenta. Ale to właśnie coraz szerzej pojmowane prawa osób fizycznych, a co za tym idzie i pacjentów, leżą u podwalin nowego unijnego prawa. RODO − rozporządzenie unijne, które spędza sen z powiek wielu medykom z racji swojego charakteru, zaczęło być stosowane w całej Unii Europejskiej z dniem 25 maja 2018 roku. Jego przepisy nie wymagają implementacji w prawie krajowym, są stosowane wprost. To najczęściej brak właściwych regulacji prawnych uszczegóławiających pewne rozwiązania wprowadza szereg nieporozumień natury prawnej i proceduralnej. Problem wydaje się leżeć po stronie braku przygotowaniu sektora medycznego do nowych uwarunkowań, do pracy w nowym środowisku prawnym oraz w nowej zmienionej rzeczywistości. Stworzono Kodeks branżowy dla sektora usług medycznych, jednak na dzień 25 maja 2018 r, doczekał się swojej 14 wersji i nadal nie może być traktowany jako oficjalny dokument regulujący stosowanie unijnych przepisów dotyczących ochrony danych osobowych. Nie byłoby błędem przyjęcie tezy, że prace nad dokumentem podzieliły środowisko medyczne co do zasad ochrony danych osobowych. Nierzadko u podstaw rozumowania oponentów rodzi się niezdrowe myślenie, że jeśli coś nie jest uregulowane to nie trzeba tego stosować. W tym wypadku sytuacja jest nieco bardziej skomplikowana.

Pacjent jako osoba fizyczna, której dane są przetwarzane zyskuje nowe uprawnienia, często trudne do zrealizowania z uwagi na specyfikę sektora, różnorodność procedur medycznych oraz zróżnicowany okres, w jakim gromadzone i przechowywane są dane o pacjencie. Problem ten dotyka każdej branży, lecz w różnym zakresie. Sektor usług medycznych jest obszarem wyjątkowym z uwagi na gromadzenie tzw. danych osobowych szczególnej kategorii (danych wrażliwych), czyli informacji o stanie zdrowia, przebytych chorobach, danych genetycznych oraz wielu innych informacji niezbędnych w procesie leczenia. Informacji, które w dobie intensywnego rozwoju zaawansowanych narzędzi informatycznych stają się szczególnie podatne na wszelkiego rodzaju ryzyka mogące skutkować naruszeniu istotnych praw osób, których te dane dotyczą. Nowe obowiązki spadają na administratora danych, który decyduje o celach zbierania danych osobowych oraz środkach ich zabezpieczenia w sensie fizycznym i organizacyjnym.

Ważnym jest określenie, kto jest administratorem danych osobowych. Może to być podmiot publiczny lub prywatny (np. jednostka organizacyjna, organ władzy publicznej, osoba). Administrator danych osobowych decyduje o tym, jakie dane zbiera, do czego je przetwarza, czy przetwarza je sam, czy np. powierza dane do przetwarzania pomiotom zewnętrznym osobom trzecim (np. outsourcing). W przypadku jednostki publicznej są to organy państwowe, samorządu terytorialnego oraz państwowych i komunalnych jednostek organizacyjnych. Jednostki publiczne uznaje się za jednego administratora, w przypadku gdy przetwarzanie danych służy temu samemu interesowi publicznemu. Do podstawowych obowiązków administratora danych osobowych należy spełnienie jednej ze wskazanych przesłanek legalizujących przetwarzanie danych osobowych. Przyjmuje się dwa zamknięte katalogi przesłanek:

1. Przesłanki prawne dotyczące danych zwykłych, jeśli:

• osoba, której dane dotyczą wyraziła zgodę na przetwarzanie jej danych;

• przetwarzanie odbywa się na podstawie przepisu prawa, ustanawiającego uprawnienia lub obowiązki;

• przetwarzanie jest konieczne do realizacji umowy, której osoba, której dane dotyczą, jest stroną lub też do podjęcia działań przed zawarciem umowy na żądanie tej osoby;

• jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego;

• jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

2. Przesłanki prawne dotyczące danych szczególnej kategorii, jeśli:

• osoba, której dane dotyczą, wyraziła na to zgodę

• przepis prawa zezwala na przetwarzanie danych bez zgody osoby,

• przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby (gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody − do czasu ustanowienia opiekuna prawnego lub kuratora);

• jest to niezbędne do wykonywania statutowych zadań kościołów i związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych

• przetwarzanie dotyczy danych osobowych, które są niezbędne do dochodzenia praw przed sądem;

• przetwarzanie jest niezbędne do wykonania zadań administratora danych osobowych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

• przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych

• przetwarzanie dotyczy danych osobowych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;

• przetwarzanie jest niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

• przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Podstawą prawną do przetwarzania danych szczególnej kategorii w szpitalach oraz oddziałach ratunkowych jest przesłanka prawna stanowiąca, iż przetwarzanie danych jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych oraz zarządzania udzielaniem usług medycznych. Aby móc zgodnie z prawem przetwarzać dane osobowe niezależnie od celu ich przetwarzania, podstawy prawnej, należy przestrzegać kluczowych zasad

ZASADA ZGODNOŚCI Z PRAWEM,
RZETELNOŚCI
I PRZEJRZYSTOŚCI

Zgodnie z nią dane osobowe muszą być przetwarzane na podstawie prawa, rzetelnie i w sposób jasny dla osoby, której dotyczą:

a. dla osób których dane dotyczą powinno być przejrzyste, że ich dane osobowe są gromadzone, wykorzystywane, udostępniane, przeglądane lub przetwarzane w inny sposób;

b. komunikaty i wszelkie informacje mające związek z przetwarzaniem danych osobowych powinny być łatwo dostępne i zrozumiałe oraz jasno sformułowane;

c. osoby fizyczne należy informować o tożsamości administratora i celach przetwarzania oraz innych danych mających wpływ na zapewnienie rzetelności i przejrzystości w związku z przetwarzaniem danych osobowych;

d. osobom których dane są przetwarzane należy zapewnić możliwość uzyskania potwierdzenia i informacji o sposobie przetwarzania danych osobowych ich dotyczących;

e. osobom należy uświadomić ryzyko związane z przetwarzaniem ich danych osobowych, zasady zabezpieczenia oraz prawa związane z przetwarzaniem, ponadto wskazać sposoby wykonania ich praw w związku z przetwarzaniem danych osobowych;

f. cele przetwarzania danych powinny być konkretne wyraźne, uzasadnione oraz określone na etapie ich zbierania.

ZASADA OGRANICZENIA CELU

Zgodnie z tą zasadą dane osobowe powinny być zbierane w konkretnych, wyraźnych oraz prawnie uzasadnionych celach i nie mogą być dalej przetwarzane w sposób niezgodny z wcześniej określonymi celami:

a. dane osobowe mogą być przetwarzane jedynie w przypadkach, gdy celu tego nie można osiągnąć innymi sposobami,

b. dalsze przetwarzanie do celów archiwalnych, jeśli gromadzenie odbywa się w interesie publicznym, na przykład do celów badań naukowych lub historycznych oraz do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami,

ZASADA MINIMALIZACJI DANYCH

Zgodnie z nią gromadzone dane osobowe powinny być adekwatne, stosowne oraz ograniczone jedynie do tego, co niezbędne do celów, do których są przetwarzane,

Zasada prawidłowości

Według tej zasady dane osobowe muszą być prawidłowe i w miarę możliwości aktualizowane; należy podjąć wszelkie możliwe działania, aby dane osobowe były aktualne,

Zasada ograniczenia przechowywania

Dane osobowe muszą być przechowywane w sposób umożliwiający identyfikację osoby, której one dotyczą, jednak przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane:

a. dane osobowe można przechowywać przez okres dłuższy jedynie w przypadku, gdy są przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do badań naukowych lub historycznych oraz do celów statystycznych, pod warunkiem że wdrożone zostały odpowiednie środki techniczne i organizacyjne określone w rozporządzeniu;

b. aby uniknąć przechowywania danych osobowych przez okres dłuższy niż jest to niezbędne, administrator musi ustalić termin ich usuwania oraz okresowego przeglądu,

ZASADA INTEGRALNOŚCI I POUFNOŚCI

Dane osobowe muszą być przetwarzane w sposób zapewniający im bezpieczeństwo i poufność oraz ochronę przed:

a. niedozwolonym, niezgodnym z prawem przetwarzaniem- nieuprawnionym dostępem do nich oraz do sprzętu służącego przetwarzaniu danych i przed nieuprawnionym korzystaniem z tych danych;

b. przypadkową utratą, zniszczeniem lub uszkodzeniem, wprowadzając odpowiednie środki techniczne lub organizacyjne.

ZASADA ROZLICZALNOŚCI

Administrator jest odpowiedzialny za przestrzeganie zasad ochrony danych osobowych. Zobowiązany jest również do wskazania ich przestrzegania (to po stronie ADO leży ciężar dowodu, że przestrzega zasad rozporządzenia GDPR) − wynika stąd, że administrator musi być w stanie udowodnić przestrzeganie, opisanego w art. 25 GDPR, obowiązku uwzględniania ochrony danych w fazie projektowania oraz zapewnienia domyślnej ochrony danych) oraz wykazania, jakie środki techniczne i organizacyjne stosuje. Jeśli określamy zasady ochrony danych osobowych, należało by wyjaśnić co to w ogóle są dane osobowe: uważa się za nie wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Dane osoby, której zidentyfikowanie jest możliwe lub jej tożsamość można określić w sposób bezpośredni lub pośredni, w szczególności powołując się na numer identyfikacyjny lub jeden bądź kilku specyficznych czynników, jak cechy fizyczne, umysłowe, fizjologiczne, ekonomiczne, społeczne lub kulturowe. Danymi osobowymi będą dane, które pozwalają na określenie tożsamości konkretnej osoby, jak również te, które nie pozwalają na jej bezpośrednią identyfikację, ale są możliwe, przy odpowiednim nakładzie kosztów, czasu i działań, do jej ustalenia. Daną osobową będzie każda informacja, która umożliwia ustalenie tożsamości konkretnej osoby, bez nadzwyczajnego nakładu wysiłku i kosztów, zwłaszcza przy wykorzystaniu powszechnie dostępnych źródeł. W świetle wspomnianej definicji można przyjąć, że poprzez dane osobowe nie będziemy rozumieli informacji o dużym stopniu ogólności, dotyczących nazwa ulicy czy numeru domu oraz wysokości wynagrodzenia. Informacje te będą jednak stanowić dane osobowe wówczas, gdy zestawione z innymi dodatkowymi informacjami, w konsekwencji pozwolą na identyfikację konkretnej osoby. Wynikiem tak szeroko rozumianej definicji danych osobowych jest ujęcie katalogu danych osobowych jako katalogu otwartego. W rezultacie to, czy dana informacja stanowi dane osobowe rozpatrzeć można poprzez kontekst, w jakim one występują. Stąd też nowe zorientowanie unijnych przepisów przez pryzmat procesu przetwarzania danych osobowych. Począwszy od momentu zbierania danych osobowych, utrwalania ich, przetwarzania, przekazywania, usuwania. Potrzeby stałego zarządzania bezpieczeństwem danych osobowych w oparciu o analizę ryzyka na każdym etapie procesu. Dlatego na każdy podmiot przetwarzający dane osobowe spada obowiązek rozstrzygania czy określona informacja lub zbiór informacji stanowi dane osobowe. W szczególności w sektorze medycznym, nieuniknione staje się dokonanie zindywidualizowanej oceny, w odniesieniu do konkretnych okoliczności oraz rodzaju środków i metod potrzebnych do identyfikacji osoby w konkretnych sytuacjach. Należy przy tym pamiętać, że duża cześć danych osobowych przetwarzanych przez jednostki medyczne to tzw. dane szczególnej kategorii (dane wrażliwe) wymagające wyższego poziomu ochrony. Niezbędnym staje się tu uwzględnienie skutku, jaki ich nieuprawnione ujawnienie mogło by przynieść osobie, której dotyczą i w jakim zakresie naruszyło by to jej dobra osobiste. Zapisy RODO precyzują tę sytuacje nakładając na administratorów obowiązek oceny skutków dla ochrony danych (DPIA − Data Protection Impact Assessment) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”. Ma to szczególne znaczenie w przypadku pacjentów trybu pilnego, którzy nierzadko nie mają możliwości wyrażenia swojej woli, tym bardziej zgłoszenia sprzeciwu, zarówno w kwestii ochrony danych osobowych, jak i innych procesów związanych z procedurami medycznymi. Fakt, iż podstawową przesłanką prawną do podjęcia działań przez służby medyczne, a w konsekwencji przetwarzanie danych osobowych, jest dobro pacjenta i jego żywotny interes, nie zdejmuje obowiązku przestrzegania zasad ochrony danych osobowych. Wręcz nakłada obowiązek szczególnego przestrzegania tych zasad z uwzględnieniem ryzyka, które zostało wcześniej określone i przeanalizowane dla konkretnego procesu. Zasadę tę doprecyzowują wytyczne Grupy roboczej (Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych została powołana na mocy Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. niezależny podmiot o charakterze doradczym. Grupa robocza aktywnie włącza się w proces wspierania i tłumaczenia nowych regulacji dotyczących ochrony danych osobowych. Opracowuje i publikuje wytyczne dotyczące stosowania RODO) wskazujące, iż dane dotyczące osób wymagających szczególnej opieki mogą wymagać DPIA ze względu na zwiększony brak równowagi sił powstający między osobą, której dane dotyczą a administratorem danych. Oznacza to, że osoba może nie być w stanie wyrazić zgody na przetwarzanie jej danych, a tym bardziej sprzeciwić się takiemu przetwarzaniu. Na przykład chory psychicznie, osoba ubiegająca się o azyl, osoba starsza, pacjent. Obowiązek taki zachodzi w każdym przypadku, gdy zachodzi brak równowagi w relacji między pozycją osoby, której dane dotyczą a administratorem. Do sytuacji takiej dochodzi w momencie podjęcia czynności ratujących życie przez zespół ratowniczy. Trudno było by wyobrazić sobie ratowników odbierających zgody na przetwarzanie danych osobowych czy informujących pacjenta o przysługujących mu prawach i klauzuli informacyjnej zgodnej z RODO. Nie znaczy to jednak, że dane pacjenta nie będą właściwe chronione i przetwarzane zgodnie z obowiązującym prawem. Od początku samego procesu przetwarzania danych osobowych pacjenta, obowiązek dochowania szczególnej staranności, spadnie na każdą osobę, która będzie uczestnikiem, czy też wykonawcą kolejnych procedur medycznych. Począwszy od udzielenia pierwszej pomocy poprzez transport medyczny przyjęcie do szpitala, aż do wypisu. Wyjątkowy charakter ma w tym przypadku dbałość, aby w całym tym procesie do konkretnych danych o pacjencie miały dostęp jedynie osoby uprawnione. Nie bez znaczenia zostaje tu właściwe dokumentowanie czynności na danych osobowych umożliwiające ich rozliczalność. Nagminnym przypadkiem staje się bowiem udzielanie informacji o stanie pacjenta osobom nieuprawnionym, np. mediom, sprawcy wypadku etc. W tych przypadkach, w związku z nieuprawnionym ujawnieniem danych dochodzić może do istotnych naruszeń w zakresie dóbr pacjentów w związku z przetwarzaniem danych osobowych. Nowe uprawnienia, jakie przysługują pacjentom w zakresie ochrony danych osobowych zobowiązują administratora danych do ich właściwego zabezpieczenia. Tym samym pacjent, który wykaże, że jego dane w procesie leczenia nie były właściwie zabezpieczone będzie mógł zwrócić się do Urzędu Ochrony Danych oraz wystąpić na drogę prawną. Sprawą drugorzędną w tym wypadku będzie ujawnienie przez pacjenta, iż jego dobra zostały naruszone. Należało by wspomnieć jednocześnie o wysokich karach finansowych, które mogą zostać nałożone na administratora za złamanie zasad przetwarzania danych osobowych, jakie określa RODO, a sięgające nawet dwudziestu milionów euro. Świadomość dotycząca kar niejednokrotnie wzbudza wśród medyków strach, który paraliżuje. Sprawia, iż wiele decyzji dotyczących danych pacjenta nie jest podejmowanych. Przytoczyć tu można wypadek autokaru w Tenczynie w czerwcu 2018 roku, kiedy to rodzice nie mogli uzyskać żadnych informacji o poszkodowanych w nim dzieciach. Zdesperowani godzinami jeździli po szpitalach w poszukiwaniu jakichkolwiek danych o miejscu hospitalizacji ich podopiecznych. Media momentalnie wychwyciły te fakty, przypisując cała winę bezdusznemu RODO. Opierając się na takich przykładach rzeczywiście, odnieść można wrażenie, że RODO paraliżuje służbę zdrowia. Nic bardziej mylnego. To nie zapisy unijnego rozporządzenia paraliżują właściwą pracę służb medycznych, a niska znajomość przepisów, brak odpowiednich szkoleń i rozwiązań systemowych.

Jednak pamiętać też należy, iż z punktu widzenia RODO, dużo groźniejszym od nie udzielenia informacji jest dopuszczenie do ich bezprawnego przetwarzania czy udostępnienia osobom nieuprawnionym. Jedynym rozwiązaniem tego problemu jest zbudowanie właściwego systemu ochrony danych osobowych. O ile ramy tego systemu określa rozporządzenie, a wytyczne w tym zakresie znajdą swoje odzwierciedlenie w kodeksie branżowym, to obowiązek dostosowania procedur oraz przestrzegania zasad ochrony danych osobowych spoczywa na podmiocie je przetwarzającym, który za to odpowiada. Ważnym i podstawowym elementem jest budowanie wysokiej świadomości rangi tego zagadnienia wśród pracowników medycznych i nie jest to kwestia jednorazowych szkoleń. Trzeba mieć na uwadze pewien proces szkolenia i doskonalenia, uwzględniający ciągle zmieniające się realia. Jest to niezwykle istotne z uwagi na dynamikę pracy w zawodach medycznych szczególnie w obszarze wypadków nagłych, gdzie kwestie ochrony danych i procedur z przyczyn oczywistych nierzadko stają się drugorzędne. Niemniej jednak wypełnienie tych istotnych uprawnień pacjenta przy dobrze usystematyzowanej pracy i zbudowanym systemie bezpieczeństwa staje się elementem dobrej praktyki.

Czy można więc podać przepis na dostosowanie się do nowych regulacji prawnych RODO, tak by każda jednostka medyczna, postępując zgodnie z pewną „ścieżką”, sama zbudowała system? W ogólnym zarysie tak. Praca u podstaw, czyli szkolenia uświadamiające pracowników. O ile zasób ludzki jest jednym z najważniejszych zasobów w działalności usługowej, o tyle też może generować największą liczbę zdarzeń niepożądanych. Następnym krokiem jest opracowanie konkretnych procedur i instrukcji zgodnie z obowiązującymi przepisami. Tu pojawia się problem, każda jednostka ma swoją specyfikę, zakres działania i odmienną liczbę procesów, w których przetwarzane są dane osobowe. Nadmienić też należy, że procedury w danej jednostce winny być spójne i złożyć się na jednolitą politykę bezpieczeństwa informacji. Uwidacznia się więc problem związany z faktem, iż ze względu na powyższe nie ma możliwości podania gotowego rozwiązania na właściwe wprowadzenie RODO w jednostkach medycznych. Każda z placówek wymaga odmiennego podejścia, poznania sposobu szczegółowego działania jednostki, specyfiki pracy, rozwiązywania problemów, obiegu dokumentów, podejmowania decyzji etc. Cały proces wdrażania wymaga współpracy na różnych szczeblach, nie tylko administracyjnych, ale przede wszystkim działalności operacyjnej jednostki medycznej.

Piśmiennictwo

1. Krzysztofek M. Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 Warszawa 2016 pod. red. M.Kawecki, T.Osiej, Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia.

2. Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

3. Kodeks Postępowania podmioty wykonujące działalność leczniczą-projekt

4. Wytyczne dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie „z dużym prawdopodobieństwem może powodować wysokie ryzyko”, do celów rozporządzenia 2016/679, 17/EN WP 248

5. https://www.giodo.gov.pl/pl/1520285/10078

6. https://ec.europa.eu/info/law/law-topic/data-protection_en

7. https://www.zdrowie.abc.com.pl/artykuly/rodo-kogo-obejmie-kodeks-branzowy-dla-sektora-ochrony-zdrowia,119183.html

8. http://www.rodowzdrowiu.pl/

9. https://odoserwis.pl/a/1170/wytyczne-dotyczace-zgody-w-rodo

Adres do korespondencji:

Daniel Ślęzak

e-mail: slezakdaniel@wp.pl