Ochrona danych osobowych w placówkach opieki zdrowotnej
Zgodnie z art. 6 ust. 1 ustawy o ochronie danych osobowych (dalej: u.o.d.o.) W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny dot. osoby albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne osoby.
Do danych osobowych należą również tzw. dane wrażliwe, czyli ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o.).
Przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przetwarzanie danych wrażliwych przez podmioty lecznicze dopuszczalne jest w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt 7 u.o.d.o.)
Jak wynika z art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta do przetwarzania danych zawartych w dokumentacji medycznej, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione: osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych.
Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta nakłada również obowiązek ochrony danych zawartych w dokumentacji medycznej.
Osobą odpowiedzialną za bezpieczeństwo danych osobowych jest Administrator danych, który obowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Mając na uwadze powyższe, do podstawowych obowiązków administratora należy:
- upoważnienie pracowników – rejestratorek do przetwarzania danych osobowych i prowadzenie rejestru osób upoważnionych;
- zgodnie z art. 24 i 25 ustawy o ochronie danych osobowych (gdy dane zbierane są bezpośrednio od osoby, której dotyczą, jak też, gdy zbierane są pośrednio) na administratorze danych spoczywa obowiązek informacyjny - chodzi o to, aby na podstawie uzyskanych informacji osoba, której dane dotyczą miała możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do udostępnienia swoich danych, a także, aby mogła korzystać z praw wynikających z ustawy;
- zgodnie z § 3 i § 4 rozporządzenia administrator danych jest zobowiązany do opracowania w formie pisemnej polityki bezpieczeństwa danych osobowych, czyli dokumentu zawierającego zestaw praw i reguł dotyczących sposobu zarządzania danymi osobowymi, ich ochrony oraz dystrybucji wewnątrz organizacji;
- zabezpieczenie dokumentacji medycznej przed jej kradzieżą, udostępnieniem, ujawnieniem oraz zniszczenie (zamykanie pomieszczeń, szaf, biurek, nie wykładanie kartotek na widok ogólnodostępny, wyświetlanie na monitorze dokumentacji tylko jednego pacjenta, którego ta dokumentacja dotyczy, korzystanie z wygaszaczy ekranu, nie wywoływanie pacjentów po nazwiskach itp.)
- zabezpieczenie systemów informatycznych, w szczególności:
- stosowanie mechanizmów kontroli dostępu (jeżeli dostęp do systemu informatycznego posiadają co najmniej dwie osoby, wówczas każdy z użytkowników otrzymuje odrębny identyfikator, a dostęp warunkowany jest wprowadzeniem identyfikatora i dokonaniem uwierzytelnienia przy pomocy hasła składającego się co najmniej z ośmiu znaków, małych i wielkich liter oraz cyfr lub znaków specjalnych),
- zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- zabezpieczenie przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,
- identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie,
- wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych, przechowywanie kopii zapasowych w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem,
- stosowanie środków ochrony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
- monitorowanie wdrożonych zabezpieczeń w systemach informatycznych.
Podstawa prawna:
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
- Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Adwokat Jarosław Bonk
Grupa 4 Adwokaci
http://adwokatbielsko.g4a.pl/
https://www.facebook.com/kancelariaG4A/