Dane wrażliwe, określane również pojęciem danych sensytywnych definiuje art. 27 ustawy o ochronie danych osobowych. Ustawodawca we wskazanym artykule zawarł ich zamknięty katalog, do którego m. in. zaliczył informację na temat:
Przetwarzanie danych wrażliwych w placówkach ochrony zdrowia
Podmioty z branży medycznej, bez względu czy są to placówki publiczne czy prywatne, przetwarzają dane osobowe. Co jest istotne, placówki medyczne przetwarzają dane osobowe jako administrator danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. Dodatkowo ciąży na nich szczególny obowiązek ochrony danych osobowych wynikający z okoliczności, że w związku ze swoją działalnością przetwarzane są tzw. dane wrażliwe.
-
pochodzenia rasowego lub etnicznego,
-
poglądów politycznych,
-
przekonań religijnych lub filozoficznych,
-
przynależności wyznaniowej, partyjnej lub związkowej,
-
stanu zdrowia,
-
kodu genetycznego,
-
nałogów,
-
życia seksualnego.
Biorąc pod uwagę specyfikę prowadzonej działalności, podmioty z szeroko pojętej branży medycznej przetwarzają dane wrażliwe szczególnie w zakresie stanu zdrowia. Należy mieć świadomość, że danymi sensytywnymi mogą być nie tylko „standardowe” informacje o stanie zdrowia jak np. przebieg choroby ale to również mogą być dane, które na pierwszy rzut oka takimi się nie wydają np. informacje o wadze danej osoby.
W myśl art. 27 ust 1 ustawy o ochronie danych osobowych zabronione jest przetwarzanie danych wrażliwych Od zakazu tego, ustawodawca przewidział jednak pewne wyjątki. Jednym z tych wyjątków jest możliwość przetwarzania danych wrażliwych w placówkach ochrony zdrowia, m.in. gdy, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Na szczególną uwagę zasługuje gwarancja pełnej ochrony danych osobowych, którą należy rozumieć jako odpowiednie zabezpieczenie danych osobowych. W tym miejscu należy wspomnieć, że jeżeli przepisy innych ustaw przewidują dalej idącą ochronę, to powinniśmy stosować przepisy tych ustaw. Taka sytuacja ma miejsce w związku z udzielaniem dostępu do dokumentacji medycznej.
W art. 26 ust. 3 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta jest wskazany zamknięty katalog podmiotów, którym taką dokumentację można przekazać. Wśród wymienionych tam podmiotów nie ma firm informatycznych, którym dane są powierzane do przetwarzania w związku np. z utrzymaniem systemu IT i zgodnie z ustawą o ochronie danych osobowych wystarczającym będzie podpisanie umowy powierzenia przetwarzania danych. Udzielanie dostępu do dokumentacji medycznej takim podmiotów stanowi naruszenie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
Na ten problem zwrócił uwagę GIODO i zwrócił się w tej sprawie do minister zdrowia (wystąpienie z 23 sierpnia 2011 r.) w sprawie podjęcia prac legislacyjnych mających na celu wprowadzenie podstaw prawnych dla zlecania informatycznej obsługi procesu przetwarzania danych osobowych przez administratorów danych przetwarzających dane osobowe pacjentów w związku z udzielaniem świadczeń zdrowotnych innym wyspecjalizowanym w tym zakresie podmiotom (tzw. outsourcing).
Słowa kluczowe:
dane wrażliweUzyskaj nieograniczony dostęp do SerwisZOZ.pl
- Aktualne informacje o zmianach prawnych
- Indywidualne konsultacje e-mail z ekspertem (odpowiedź w 48 h)
- Bazę 3500 porad ekspertów, gotowych wzory dokumentów i procedur