• Nie Znaleziono Wyników

Chroń dane pacjenta swegojak siebie samego

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "Chroń dane pacjenta swegojak siebie samego"

Copied!
3
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 3 Stron )

Pełen tekst

(1)

108 menedżer zdrowia czerwiec-lipiec 4-5/2016

p r a w o

Fot. iStockphoto.com

Dla prowadzenia podmiotu leczniczego, czy to w ramach gabinetu lekarskiego, przychodni, czy szpitala, niezbędne jest przetwarzanie danych osobowych pacjentów. Jak to zrobić, żeby nie narazić się na konsekwencje prawne?

Chroń dane

pacjenta swego jak siebie samego

Jak bezpiecznie przetwarzać dane pacjentów

Od początku. Pojęcie danych osobowych jest szero- kie i obejmuje „wszelkie informacje dotyczące zidenty- fikowanej lub możliwej do zidentyfikowania osoby fi- zycznej”. W kontekście działalności medycznej danymi osobowymi będą zatem wszelkie informacje o pacjencie zawarte w dokumentacji medycznej umożliwiające jego identyfikację. Dane te to m.in. imię i nazwisko, PESEL i płeć, ale w kontekście pacjenta – przede wszystkim dane wrażliwe, dotyczące stanu zdrowia i świadczeń me- dycznych, których mu udzielono. Jak wskazuje sama na- zwa, dane te wymagają specjalnego traktowania, w tym odpowiedniej ochrony, co w konsekwencji powoduje na- łożenie na podmiot leczniczy szczególnych obowiązków.

Wspomniany obowiązek ochrony zgromadzonych danych osobowych pacjentów wynika z faktu, iż pod-

mioty lecznicze przetwarzają je w ramach prowadzo- nej przez siebie działalności. Tymczasem definicja przetwarzania jest bardzo szeroka, obejmuje bowiem każdą operację na danych, m.in. zbieranie, utrwalanie, przechowywanie, udostępnianie, modyfikację, usuwa- nie. Bez wątpienia każdy podmiot świadczący usługi medyczne dokonuje tych czynności, co w świetle prze- pisów ustawy o ochronie danych osobowych czyni go administratorem danych.

Zgodnie z prawem ochrona danych pacjentów to świętość

Zarówno pojęcie danych osobowych, jak i ich prze- twarzania są bardzo szerokie. Konsekwencją takiego uregulowania prawnego jest również rozlegle rozumia-

(2)

czerwiec-lipiec 4-5/2016 menedżer zdrowia 109

p r a w o

na ochrona danych, która implikuje konieczność stoso- wania odpowiednich środków przez podmiot przetwa- rzający dane osobowe.

Kompleksowa analiza wspomnianych wyżej po- jęć prowadzi do wniosku, iż administratorem danych będzie zarówno lekarz w gabinecie lekarskim, jak i spółka prowadząca działalność leczniczą. To właśnie na administratorze ciąży ustawowy obowiązek zasto- sowania odpowiednich środków (technicznych i or- ganizacyjnych) zapewniających odpowiednią ochronę przetwarzanych danych osobowych, rozumianą jako dostosowaną do zagrożeń oraz kategorii danych podle- gających ochronie. Innymi słowy, należy zabezpieczyć dane w sposób uniemożliwiający dostęp do nich osób nieupoważnionych, przetwarzanie ich w sposób naru- szający ustawę oraz ich zmianę, uszkodzenie i znisz- czenie.

Jak wskazuje praktyka, im nowocześniejsze sposo- by przechowywania informacji o pacjencie, np. elek- troniczna baza pacjentów, tym konieczny jest szerszy

zakres ochrony danych osobowych – bardziej rozbudo- wany niż w przypadku gabinetu lekarskiego, w którym lekarz prowadzi dokumentację w formie papierowej i nie zatrudnia personelu medycznego.

Jak chronić dane pacjentów?

Podmiot świadczący usługi medyczne jako admini- strator danych jest zobligowany do prowadzenia do- kumentacji opisującej sposób ich przetwarzania oraz do podjęcia środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych informacji o pacjentach. Przepisy prawa dają również możliwość wyznaczenia administratora bezpieczeństwa informa- cji, nadzorującego przestrzeganie zasad ochrony w da- nym podmiocie, co pozwala na delegację obowiązków.

W przypadku niepowołania administratora bezpie- czeństwa podmiot świadczący usługi medyczne jest zobowiązany sam wykonywać jego zadania, polegające na sprawdzaniu zgodności przetwarzania danych oso- bowych z przepisami ustawy, nadzorowaniu opraco- wywania i aktualizacji dokumentacji i przestrzeganiu zasad w niej określonych oraz zapoznaniu z nimi osób upoważnionych do ich przetwarzania w zgodzie z prze- pisami.

Kompleksowa analiza przepisów związanych z ochro- ną danych pacjentów przez podmiot świadczący usługi medyczne wskazuje, iż powinien on jako administrator:

• sporządzić i wprowadzić do stosowania Politykę bez- pieczeństwa informacji oraz w przypadku dokumen- tacji prowadzonej w formie elektronicznej Instrukcję zarządzania systemem informatycznym,

• prowadzić Ewidencję osób upoważnionych do prze- twarzania danych, czyli personelu, który przetwarza dane osobowe pacjentów, oraz wprowadzić imienne upoważnienia uprawniające do dostępu do danych osobowych z określeniem zakresu tego dostępu,

• informować pacjentów o nazwie praktyki, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści i zmiany swoich danych, a zatem niezbędne jest szkolenie personelu w tym zakresie.

Podstawowe dokumenty związane z ochroną danych

Polityka bezpieczeństwa informacji jest dokumen- tem podstawowym w zakresie ochrony danych osobo- wych pacjentów. Dokument ten jest zbiorem spójnych, precyzyjnych reguł i procedur, według których dany podmiot leczniczy organizuje, zarządza oraz udostęp- nia dane osobowe. Określa ona, które dane i w jaki sposób mają być chronione. Polityka powinna zawie- rać w szczególności wykaz pomieszczeń, w których przetwarzane są dane osobowe, wskazywać zbiory da- nych wraz z informacją o sposobie ich przetwarzania, opis struktury danych dokumentacji medycznej, który określa, jakie pola informacyjne wypełnia pacjent, spo- sób przepływu danych pomiędzy poszczególnymi sys-

” Im nowocześniejsze sposoby

przechowywania informacji

o pacjencie, tym konieczny

szerszy zakres ochrony

danych osobowych ”

(3)

110 menedżer zdrowia czerwiec-lipiec 4-5/2016

p r a w o

temami, środki techniczne i organizacyjne niezbędne do zapewnienia odpowiedniej ochrony przetwarzanych danych.

E-dokumentacja

W przypadku, gdy dokumentacja medyczna pro- wadzona jest w formie elektronicznej, niezbędne jest przygotowanie także Instrukcji zarządzania systemem, w której należy wskazać: zasady nadawania uprawnień do przetwarzania danych osobowych, sposób kontroli dostępu osób uprawnionych do kontroli, procedurę rozpoczęcia, zawieszenia i zakończenia pracy progra- mu komputerowego, który służy do przetwarzania danych osobowych, procedurę wykonywania kopii zapasowych danych oraz sposób zabezpieczenia pro- gramu przed ingerencją osób trzecich lub złośliwego oprogramowania.

Dodatkowo niezwykle istotne jest wdrożenie środ- ków technicznych w celu zabezpieczenia obszaru prze- twarzania danych osobowych przed dostępem osób nieupoważnionych, przykładowo: systemów podtrzy- mywania, „silnego” hasła dostępu, szyfrowania danych w przypadku przesyłania ich za pośrednictwem pu- blicznej sieci internetowej.

W zakresie bardzo szerokich obowiązków związa- nych z przetwarzaniem danych osobowych ustawodaw- ca zwolnił podmioty lecznicze z obowiązku:

• uzyskiwania zgody pacjentów na przetwarzanie da- nych (co nie uchyla obowiązku informacyjnego wo- bec nich),

• rejestracji zbioru danych osobowych pacjentów ko- rzystających z usług medycznych dla Generalnego Inspektora Ochrony Danych Osobowych (dalej:

GIODO).

Jednocześnie należy podkreślić, że jeżeli zbiór da- nych jest w podmiocie leczniczym wykorzystywany również do innych celów niż świadczenie usług me- dycznych, obowiązek zgłoszeniowy istnieje.

Ochrona danych osobowych a GIODO

Generalny Inspektor Ochrony Danych Osobowych to podmiot powołany do badania zgodności przetwarzania danych osobowych z przepisami prawa. Tym samym, jeżeli w wyniku przeprowadzonej kontroli zostanie stwierdzone naruszenie przepisów, GIODO w drodze decyzji administracyjnej nakazuje w pierwszej kolejno- ści przywrócenie stanu zgodnego z prawem, m.in. po- przez usunięcie uchybień, zastosowanie dodatkowych środków zabezpieczających lub przekazanie ich innym podmiotom. Inspektor może żądać także wszczęcia po- stępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym do- puszczenia uchybień i poinformowania go w określonym terminie o wynikach i podjętych działaniach. Z kolei w przypadku stwierdzenia, że działanie lub zaniechanie administratora danych wyczerpuje znamiona przestęp-

stwa określonego w ustawie, GIODO jest zobowiązany skierować zawiadomienie o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw, dołączając dowody dokumentujące podejrzenie.

Konsekwencje prawne

Przetwarzając dane osobowe pacjentów w sposób niezgodny z obowiązującymi przepisami, można się narazić na konsekwencje prawne w postaci sankcji o charakterze zarówno administracyjnym, jak i kar- nym. Ustawodawca wprowadził szczególne rodzaje przestępstw polegające na:

• przetwarzaniu danych osobowych, których przetwa- rzanie nie jest dopuszczalne albo do których przetwa- rzania osoba nie jest uprawniona,

• udostępnieniu lub umożliwieniu dostępu do danych osobowych osobom nieupoważnionym,

• naruszeniu, choćby nieumyślnie, obowiązku zabez- pieczenia danych przed zabraniem przez osobę nie- uprawnioną, uszkodzeniem lub zniszczeniem,

• niepoinformowaniu osoby, której dane są przetwa- rzane, o jej prawach wynikających m.in. z ustawy o ochronie danych osobowych.

Powyższe przestępstwa zagrożone są surowymi ka- rami – przykładowo, w przypadku popełnienia pierw- szego z nich jest to nawet pozbawienie wolności do lat trzech.

W zakresie możliwości nakładania przez GIODO kar administracyjnych należy wspomnieć, iż posiada on także uprawnienia organu egzekucyjnego. Również te kary mogą być dla podmiotu leczniczego dotkliwe, bowiem:

• za każde uchybienie kara może wynieść nawet do 10 000 zł w przypadku osoby fizycznej (lekarza), a w przypadku osoby prawnej (np. spółki z o.o.) 50 000 zł;

• łącznie za wszystkie uchybienia kara nie może prze- kroczyć 50 000 zł w przypadku osoby fizycznej (le- karza), a w przypadku osoby prawnej (np. spółki z o.o.) 200 000 zł.

Wachlarz sankcji, zarówno finansowych, jak i zwią- zanych z odpowiedzialnością osobistą, wskazuje, jak ważne dla podmiotu leczniczego powinno być zadbanie o prawidłową ochronę danych osobowych. Nie należy lekceważyć obowiązków nakładanych przez przepisy prawa, albowiem koszty nałożonych sankcji mogą być wyższe niż te związane z prawidłowym wdrożeniem metod ochrony danych osobowych. Warto również skorzystać z pomocy profesjonalistów przy sporządza- niu koniecznej dokumentacji, aby sprostać wymaga- niom przepisów ustawodawczych oraz wykonawczych i zapewnić bezpieczeństwo własne i prowadzonej bądź zarządzanej przez siebie działalności leczniczej.

Monika Błońska Autorka jest radcą prawnym z Mariański Group Kancelaria Prawno-Podatkowa.

Cytaty

Pobierz teraz ( PDF - 3 Stron - 480.01 KB )

Powiązane dokumenty

Chroń dane osobowe

W przypadku wątpliwości co do konieczności reje- stracji zbiorów danych osobowych (w podmiotach leczniczych mogą być inne zbiory podlegające obo- wiązkowi rejestracji) oraz

Dokumentacja w praktyce stomatologicznejinna niż medyczna

Akta osobowe – poprzednie świadectwa pracy (jeże- li takie są), dokumenty potwierdzające kwalifikacje zawodowe, umowa o pracę, aktualne orzeczenie le- karskie o stanie

NFZ jest instytucją potrzebną, działającą w interesie pacjenta

Obecnie, w czasach intensywnej cyfryzacji i raportowania danych online, ko- nieczne jest zbudowanie centralnej architektury IT w celu zapewnie- nia efektywnego, uszczelnionego

Zwłaszcza w przypadku rozpoczęcia działalności gospodarczej niezbędne jest przeprowadzenie dokładnej analizy otoczenia

Inne czynniki makrootoczenia to: stopa bezrobocia, dochody ludności, infrastruktura (drogi, hotele, transport), koszty energii (dostęp do tańszych źródeł),

Dzikie jest niezbędne

Zanim to jednak nastąpi, upłynie jeszcze trochę czasu, a poza tym problemem jest już obecnie zbyt duża populacja (znaczna jej część to w dodatku ludzie w wieku prokreacyjnym),

w formie elektronicznej na adres

prosimy o przyprowadzenie dzieci na halę basenową 5 minut przed rozpoczęciem zajęć tak, aby lekcje rozpoczynały się punktualnie?. rodzic może wejść do szatni oraz

PROCEDURA UDOSTĘPNIANIA DOKUMENTACJI MEDYCZNEJ CENTRUM MEDYCZNE LA PERLA. 1. Dokumentacja medyczna pacjenta jest własnością spółki La perla sp. z o.o.

Biuro przygotowuje dokumentację medyczną do udostępniania (sporządzanie wyciągów, odpisów, kopii). Kopie udostępnianych dokumentów podpisuje za zgodność z oryginałem

KIM JEST dla siebie samego ten twór nieszczęśliwy

Aleksander Wat – bohater trzeciej części książki – na pytanie „kim jest dla siebie samego ten twór nieszczęśliwy” zdaje się odpowiadać:.. „ciemnym świecidłem”,