RODO dla dietetyka: podstawa prawna i praktyka

Prowadzenie gabinetu dietetycznego, niezależnie od tego, czy odbywa się w formie jednoosobowej działalności gospodarczej, czy w ramach większej placówki medycznej, nieodłącznie wiąże się z przetwarzaniem danych osobowych. Dietetyk w swojej codziennej pracy nie ogranicza się jednak do podstawowych informacji kontaktowych, takich jak imię, nazwisko czy numer telefonu. Pracując z pacjentem, zbiera on szczegółowe informacje o stanie zdrowia, przebytych chorobach, alergiach, wynikach badań laboratoryjnych, a także o stylu życia i nawykach żywieniowych. Wszystkie te informacje stanowią tzw. dane wrażliwe (dane szczególnej kategorii), których przetwarzanie podlega rygorystycznym przepisom Ogólnego Rozporządzenia o Ochronie Danych (RODO). W niniejszej analizie szczegółowo omawiamy obowiązki prawne dietetyków, podstawy prawne przetwarzania danych, wymogi dokumentacyjne oraz praktyczne aspekty ochrony prywatności pacjentów.

Status prawny dietetyka a RODO – kim jest administrator danych?

Z punktu widzenia przepisów o ochronie danych osobowych, dietetyk prowadzący własny gabinet lub świadczący usługi online pełni rolę Administratora Danych Osobowych (ADO). Oznacza to, że samodzielnie decyduje o celach i sposobach przetwarzania danych swoich pacjentów. Status ten nakłada na niego pełną odpowiedzialność za bezpieczeństwo tych informacji od momentu ich pozyskania, przez przechowywanie, aż po ich ostateczne usunięcie lub archiwizację.

Warto również zwrócić uwagę na dynamicznie zmieniający się status prawny zawodu dietetyka w Polsce. Wejście w życie ustawy o niektórych zawodach medycznych w 2024 roku uregulowało pozycję prawną wielu specjalistów, w tym dietetyków posiadających określone kwalifikacje. Ma to bezpośredni wpływ na kwalifikację prawną przetwarzania danych. Dietetyk medyczny, działający w ramach systemu ochrony zdrowia, może korzystać z innych podstaw prawnych przetwarzania niż osoba prowadząca działalność wyłącznie o charakterze doradztwa żywieniowego bez uprawnień medycznych. Bez względu jednak na dokładną kwalifikację, ochrona danych pacjenta pozostaje priorytetem.

Kategorie danych przetwarzanych w gabinecie dietetycznym

Aby prawidłowo wdrożyć RODO, dietetyk musi najpierw zidentyfikować, jakie dokładnie informacje gromadzi. W dietetyce dane możemy podzielić na dwie główne grupy:

  • Dane zwykłe: imię, nazwisko, adres zamieszkania, numer PESEL, adres e-mail, numer telefonu oraz dane rozliczeniowe (np. NIP, numer rachunku bankowego).
  • Dane szczególnej kategorii (dane wrażliwe): informacje o stanie zdrowia fizycznego i psychicznego, masie ciała, wzroście, wynikach badań krwi, chorobach współistniejących, alergiach, nietolerancjach pokarmowych, a także dane genetyczne czy biometryczne (np. analiza składu ciała metodą bioimpedancji elektrycznej).

Zgodnie z art. 9 ust. 1 RODO, przetwarzanie danych szczególnej kategorii jest co do zasady zabronione, chyba że spełniony zostanie jeden z wyjątków wskazanych w art. 9 ust. 2 RODO. Dla dietetyka oznacza to konieczność precyzyjnego ustalenia podstawy prawnej, która legalizuje jego działania.

Podstawa prawna przetwarzania danych – zgoda czy obowiązek ustawowy?

Wybór właściwej podstawy prawnej zależy od charakteru świadczonych usług oraz statusu prawnego dietetyka:

  1. Zgoda pacjenta (art. 9 ust. 2 lit. a RODO): Jest to najpowszechniejsza podstawa prawna stosowana w prywatnych gabinetach dietetycznych, zwłaszcza tych, które nie posiadają statusu podmiotu leczniczego. Pacjent musi wyrazić jednoznaczną, dobrowolną, konkretną i świadomą zgodę na przetwarzanie jego danych dotyczących zdrowia w celu przygotowania planu żywieniowego. Zgoda ta powinna mieć formę pisemną lub elektroniczną i być łatwa do wycofania.
  2. Profilaktyka zdrowotna i medycyna pracy (art. 9 ust. 2 lit. h RODO): Ta podstawa ma zastosowanie, gdy usługi dietetyczne są świadczone przez podmiot leczniczy lub w ramach wykonywania zawodu medycznego do celów diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego. W takim przypadku przetwarzanie danych odbywa się na podstawie przepisów prawa, a dodatkowa zgoda pacjenta na przetwarzanie danych o zdrowiu nie jest wymagana (choć nadal konieczna jest umowa na świadczenie usług).
  3. Wykonanie umowy (art. 6 ust. 1 lit. b RODO): Przetwarzanie danych zwykłych (np. danych kontaktowych) w celu realizacji samej umowy o świadczenie usług dietetycznych.

Obowiązek informacyjny – kluczowy dokument w relacji z pacjentem

Każdy dietetyk ma bezwzględny obowiązek poinformować pacjenta o tym, kto, jak i dlaczego przetwarza jego dane. Obowiązek informacyjny, wynikający z art. 13 RODO, must być spełniony w momencie pozyskiwania danych (np. podczas pierwszej wizyty lub rejestracji online). Informacje te powinny być sformułowane jasnym, prostym i zrozumiałym językiem.

Klauzula informacyjna dla pacjenta musi zawierać:

  • Pełne dane identyfikacyjne i kontaktowe dietetyka (jako administratora);
  • Cele przetwarzania danych oraz podstawę prawną (np. realizacja umowy, zgoda na przetwarzanie danych o zdrowiu);
  • Informację o odbiorcach danych (np. biuro rachunkowe, dostawca oprogramowania do układania diet, hostingodawca);
  • Okres przechowywania danych (np. przez czas trwania umowy, a po jej zakończeniu przez okres przedawnienia roszczeń lub zgodnie z przepisami o dokumentacji medycznej – zazwyczaj 20 lat w podmiotach leczniczych);
  • Prawa przysługujące pacjentowi (prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych oraz prawo do cofnięcia zgody);
  • Informację o prawie wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO);
  • Informację, czy podanie danych jest dobrowolne, czy wymogiem ustawowym/umownym.

Niezbędna dokumentacja RODO w gabinecie dietetyka

Zasada rozliczalności (art. 5 ust. 2 RODO) wymaga, aby administrator był w stanie wykazać, że przestrzega przepisów o ochronie danych. W tym celu dietetyk musi opracować i wdrożyć odpowiednią dokumentację wewnętrzną. Do najważniejszych dokumentów należą:

1. Rejestr Czynności Przetwarzania (RCP)

Mimo że art. 30 ust. 5 RODO zwalnia z obowiązku prowadzenia rejestru przedsiębiorców zatrudniających poniżej 250 osób, zwolnienie to nie dotyczy podmiotów, które przetwarzają dane szczególnej kategorii (dane o zdrowiu) w sposób systematyczny. Dietetyk ma zatem obowiązek prowadzenia RCP. W rejestrze tym należy opisać m.in. kategorie przetwarzanych danych, cele przetwarzania, kategorie odbiorców oraz planowane terminy usunięcia danych.

2. Polityka Ochrony Danych Osobowych

Jest to wewnętrzny dokument opisujący zasady bezpieczeństwa informacji w gabinecie. Określa on procedury postępowania z dokumentacją papierową i elektroniczną, zasady nadawania uprawnień, tworzenia kopii zapasowych oraz zabezpieczenia sprzętu komputerowego.

3. Umowy powierzenia przetwarzania danych (MMP)

Dietetycy bardzo często korzystają z zewnętrznych narzędzi wspierających ich pracę: programów do układania jadłospisów, systemów do rezerwacji wizyt online, dysków chmurowych czy usług zewnętrznej księgowości. Każdy taki podmiot zewnętrzny staje się procesorem (podmiotem przetwarzającym). Zgodnie z art. 28 RODO, dietetyk musi zawrzeć z każdym z tych podmiotów pisemną umowę powierzenia przetwarzania danych osobowych, aby upewnić się, że gwarantują one odpowiedni poziom bezpieczeństwa.

4. Upoważnienia do przetwarzania danych

Jeśli dietetyk zatrudnia pracowników, stażystów lub asystentów, którzy mają dostęp do danych pacjentów, musi wydać im imienne upoważnienia do przetwarzania danych osobowych oraz odebrać od nich oświadczenia o zachowaniu poufności.

Prawa pacjentów i terminy ich realizacji

W praktyce każdy pacjent może złożyć do dietetyka wniosek o realizację swoich praw. Przepisy nie narzucają formy takiego wniosku – może być on złożony ustnie, piśmiennie lub drogą elektroniczną (np. poprzez e-mail). Dietetyk ma obowiązek zweryfikować tożsamość osoby składającej wniosek, aby nie dopuścić do ujawnienia danych osobie nieuprawnionej. Kluczowym aspektem jest tutaj termin. Zgodnie z art. 12 ust. 3 RODO, odpowiedź na wniosek musi zostać udzielona bez zbędnej zwłoki, a najpóźniej w terminie miesiąca od dnia otrzymania żądania. Jeśli sprawa jest skomplikowana lub liczba wniosków jest duża, termin ten może ulec przedłużeniu o kolejne dwa miesiące. Jednak w takiej sytuacji dietetyk musi w ciągu pierwszego miesiąca poinformować pacjenta o przedłużeniu terminu wraz z podaniem przyczyn opóźnienia. Brak odpowiedzi w terminie stanowi naruszenie przepisów i może być podstawą do wniesienia skargi do organu nadzorczego.

Do najważniejszych praw pacjenta należą:

  • Prawo dostępu do danych (art. 15 RODO): Pacjent ma prawo uzyskać od dietetyka potwierdzenie, czy jego dane są przetwarzane, a także otrzymać kopię swoich danych (np. historii wizyt, pomiarów, jadłospisów).
  • Prawo do sprostowania danych (art. 16 RODO): Możliwość poprawienia nieaktualnych lub błędnych informacji.
  • Prawo do usunięcia danych / "bycia zapomnianym" (art. 17 RODO): Pacjent może żądać usunięcia danych, jeśli np. wycofał zgodę na ich przetwarzanie. Należy jednak pamiętać, że prawo to jest ograniczone, jeśli dietetyk ma prawny obowiązek przechowywania dokumentacji medycznej przez określony czas.
  • Prawo do ograniczenia przetwarzania (art. 18 RODO): Pacjent może zażądać, aby dane były jedynie przechowywane, a nie poddawane innym operacjom.

Naruszenie ochrony danych osobowych – rola organu nadzorczego (UODO)

Naruszenie ochrony danych to każde zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W gabinecie dietetycznym może to być np. zgubienie pendrive'a z dietami pacjentów, kradzież laptopa, wysłanie maila z jadłospisem do niewłaściwego adresata czy wyciek danych z programu do układania diet.

Prezes Urzędu Ochrony Danych Osobowych (PUODO) to organ stojący na straży przestrzegania przepisów RODO w Polsce. Organ ten posiada szerokie uprawnienia kontrolne i śledcze. Może on przeprowadzić kontrolę w gabinecie dietetycznym zarówno w sposób planowy, jak i w reakcji na skargę niezadowolonego pacjenta. Jeśli organ wykaże uchybienia, może nałożyć na dietetyka upomnienie, nakazać dostosowanie operacji przetwarzania do przepisów w określonym terminie, a w skrajnych przypadkach nałożyć administracyjną karę finansową. Kary te, zgodnie z RODO, mogą wynosić do 10 000 000 EUR lub do 2% całkowitego rocznego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Dla małego gabinetu dietetycznego nawet ułamek tej kwoty może okazać się katastrofalny w skutkach, dlatego tak ważne jest rzetelne podejście do tematu.

W przypadku wystąpienia naruszenia, dietetyk jako administrator musi podjąć natychmiastowe kroki:

  1. Ocena ryzyka: Należy przeanalizować, czy naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Ze względu na to, że dane o zdrowiu są danymi wrażliwymi, ryzyko to niemal zawsze jest wysokie.
  2. Zgłoszenie do organu nadzorczego (UODO): Jeśli istnieje prawdopodobieństwo naruszenia praw lub wolności pacjentów, dietetyk musi zgłosić ten fakt do Prezesa Urzędu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia.
  3. Zawiadomienie pacjentów: Jeżeli ryzyko naruszenia praw lub wolności jest wysokie, administrator musi niezwłocznie, bez zbędnej zwłoki, zawiadomić o tym fakcie osoby, których dane dotyczą, opisując charakter naruszenia oraz zalecane środki minimalizujące negatywne skutki.

Najczęstsze błędy dietetyków w praktyce – jak ich unikać?

Analiza praktyki rynkowej wskazuje na kilka powtarzających się błędów popełnianych przez dietetyków w obszarze ochrony danych osobowych:

  • Wysyłanie diet niezabezpieczoną pocztą elektroniczną: Jadłospisy zawierające szczegółowe zalecenia medyczne, wyniki badań oraz dane identyfikacyjne pacjenta nie powinny być wysyłane w otwartych plikach PDF. Dobrą praktyką jest zabezpieczanie plików hasłem (przesyłanym np. SMS-em) lub korzystanie z dedykowanych, szyfrowanych platform dla pacjentów.
  • Brak umów powierzenia z dostawcami oprogramowania: Korzystanie z aplikacji dietetycznych bez uprzedniej weryfikacji ich regulaminów pod kątem RODO oraz bez podpisania umowy powierzenia przetwarzania danych.
  • Niewłaściwe przechowywanie dokumentacji papierowej: Karty pacjentów pozostawiane na biurku w obecności innych osób, brak zamykanych na klucz szaf kartotecznych.
  • Zbieranie danych "na zapas": Pytanie o informacje, które nie są niezbędne do przeprowadzenia terapii dietetycznej (naruszenie zasady minimalizacji danych).

Praktyczny przykład (Case Study)

Stan faktyczny: Pani Anna prowadzi jednoosobowy gabinet dietetyczny "Zdrowe Żywienie". Do układania jadłospisów używa popularnego programu online, a rozliczenia zleca zewnętrznemu biuru rachunkowemu. Dodatkowo wysyła pacjentom newsletter z poradami.

Wdrożenie RODO krok po kroku:

  1. Pani Anna przygotowała formularz pierwszej wizyty, na którym pacjent składa wyraźną, pisemną zgodę na przetwarzanie danych o zdrowiu (art. 9 ust. 2 lit. a RODO) oraz potwierdza zapoznanie się z klauzulą informacyjną (art. 13 RODO).
  2. Podpisała umowę powierzenia przetwarzania danych z dostawcą programu dietetycznego oraz z biurem rachunkowym.
  3. Wdrożyła zasadę czystego biurka – karty pacjentów chowa do zamykanej szafy, a na komputerze ustawiła silne hasło oraz automatyczną blokadę ekranu po 3 minutach bezczynności.
  4. Do wysyłki newslettera stworzyła osobną bazę danych, na którą zbiera odrębną, marketingową zgodę (zgodnie z ustawą o świadczeniu usług drogą elektroniczną).
  5. Wprowadziła procedurę szyfrowania plików PDF z jadłospisami wysyłanymi drogą mailową.

Podsumowanie

RODO w gabinecie dietetycznym nie musi być barierą utrudniającą codzienną pracę. Kluczem jest zrozumienie, że dane o zdrowiu pacjentów wymagają szczególnej troski. Prawidłowe zidentyfikowanie podstaw prawnych, rzetelne spełnienie obowiązku informacyjnego, podpisanie niezbędnych umów powierzenia oraz dbałość o codzienne bezpieczeństwo fizyczne i cyfrowe to fundamenty, które chronią dietetyka przed karami finansowymi, a pacjentom dają poczucie bezpieczeństwa i profesjonalizmu.