Ochrona danych osobowych w placówkach ochrony zdrowia

Ustawa o ochronie danych osobowych obowiązuje od 1997 roku i od tej daty jesteśmy zobowiązani do ich ochrony, jeżeli je przetwarzamy. Przetwarzanie danych osobowych to każda operacja, którą na danych wykonujemy i możemy sobie ją wyobrazić. Od zniszczenia przez modyfikację, czytanie, archiwizację, aż do nawet zmiany lokalizacji. Przetwarzanie danych osobowych w zasadzie jest niezależne od medium czyli nośnika. Czy rozmawiamy przez telefon, przy kawie z koleżankami, z pacjentem przy okienku, korzystamy z systemu komputerowego, odbieramy, wysyłamy, sporządzamy pisma to nadal przetwarzamy dane osobowe. Tutaj drobna uwaga. Sama techniczna możliwość przetwarzania danych osobowych czyli informacji jednoznacznie identyfikujących osobę fizyczną powinna zostać zabezpieczona nawet, jeżeli osoba lub podmiot tych danych nie przetwarza. Wystarczy, że ma taką możliwość bez kontroli osób za to odpowiedzialnych. Przykładem tutaj są centrale telefoniczne z możliwością nagrywania znajdujące w lokalizacji innych podmiotów i pod ich opieką.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Dodam, że wolno nam przetwarzać dane osobowe zawsze, jeżeli poinformowaliśmy właściciela tych danych o celu ich przetwarzania oraz zakresie przetwarzania. 

1. Powierzyć dane osobowe – wynika to z art. 31 ustawy o ochronie danych osobowych i niesie ze sobą trzy cechy. Po pierwsze nie zmienia się administrator danych osobowych, czyli podmiot odpowiadający za ich ochronę. To ważna kwestia bo dosyć często firmy zewnętrzne przystępujące do współpracy z administratorem danych osobowych bulwersują się zapisami zawartymi w umowie o powierzenie przetwarzania danych osobowych dotyczącymi możliwości kontroli przez odpowiedzialne służby ADO w zakresie ochrony powierzonych im danych. Po drugie powierzenie danych osobowych bazuje na Kodeksie cywilnym. Zawarta jest zatem umowa, której wykonanie jest możliwe jedynie wtedy, kiedy wykonawca będzie miał dostęp lub możliwość dostępu do danych osobowych. Po trzecie powierzenie danych nie musi przyjmować formy pisemnej. Dla przykładu informatyk serwisujący nasze oprogramowanie medyczne ma dostęp do danych naszych pacjentów znajdujących się w bazie. Nie ma podstaw, aby przekazywać mu te dane pisemnie. Sam zapewne nie będzie tym zainteresowany.

2. Udostępnić dane osobowe– tu zaczynają się problemy. Pierwszą cechą jest fakt, że udostępniając komuś dane osobowe zmieniamy administratora danych osobowych informacji, które przekazujemy. Zatem przestajemy w chwili udostępnienia za nie odpowiadać. Drugą cechą jest podstawa prawna. Aby dane komuś udostępnić, musimy mieć podstawę prawną z ustawy branżowej umożliwiającą przetwarzanie tych danych bez zgody właściciela. Ten punkt sprawia wiele trudności ze względu na zawiłość przepisów oraz często błędne przekonanie niektórych instytucji, że prawo takie mają, bo np. „zawsze tak było”. Trzecią cechą udostępnienia jest forma. Zawsze jest to forma pisemna. Dotyczy to wniosku lub żądania udostępnienia danych osobowych i odpowiedzi na ten wniosek - niezależnie będzie czy zawierać wnioskowane dane czy będzie odpowiedzią odmowną.

Tu drobna uwaga dotycząca głównie powierzenia. Wykonawca, który ma dane powierzone, nie może bez zgody administratora danych osobowych powierzającego mu dane przekazać tych danych podwykonawcy lub choćby umożliwić mu do nich dostęp. Ta zasada jest również często zaniedbywana.

Pamiętajmy, że pacjent zgodnie z ustawą o ochronie danych osobowych ma prawo nas zapytać komu, kiedy i w jakim celu przekazaliśmy jego dane osobowe. Mamy obowiązek odpowiedzieć mu na takie pytanie, jeżeli oczywiście pozwalają na to inne przepisy.

Dane osobowe wrażliwe lub inaczej sensytywne to dane wynikające z art. 27 uodo. W pierwszym zdaniu ten artykuł informuje nas o tym, że zabrania się przetwarzania w Polsce takich danych poza wyjątkami, które są w ustawie wymienione. Grupą takich danych osobowych są dane dotyczące stanu zdrowia, a można je przetwarzać jedynie w celu jego ochrony. Z tego przepisu wynika poziom ochrony, ale niestety nie taki, który o którym słyszymy podczas konferencji lub czytamy w ofertach. Nie jest istotą budowania przysłowiowego fortu chroniącego dane osobowe, a doprowadzenie w przedsiębiorstwie do takiego stanu, że informacje będą przetwarzane przez osoby upoważnione jedynie w celu wyznaczonym przez ustawę. Tu mamy dostęp do rozlicznych narzędzi enigmatycznie nazwanych techniczne i organizacyjne środki ochrony. Uważam, że to jest istota tego przepisu i zabezpieczenia powinny być dostosowane do sytuacji.

Nie ma takiej możliwości, aby można zdalnie przygotować dokumentację przetwarzania DO (organizacyjny środek ochrony danych osobowych) nie znając specyfiki zakładu pracy oraz jego otoczenia prawnego.

Wszystkie te informacje w zakresie ich stosowanie są już pełnoletnie w tym kraju. Co zatem się zmieniło? I skąd nagle ten temat zrobił się popularny?

Po każdej większej nowelizacji każdej ustawy robi się na jej temat głośno, bo wzbudza to rynek, bazując na niepokojach ludzi. Takie mam na ten temat zdanie.

Co do istotnych zmian w ustawie nareszcie pojawiły się obowiązki administratora bezpieczeństwa informacji. To osoba wyznaczona w celu nadzorowania przepisów z zakresu ochrony danych osobowych w imieniu ADO tak w skrócie. ABI ma obowiązek:

1. Dbać o wykonanie przepisów prawa w tym zakresie na terenie ADO (ADO to zawsze podmiot nie osoba – dosyć częsty błąd).

2. Rozwijać dokumentację przetwarzania danych osobowych wraz z rozwojem firmy, przedsiębiorstwa szpitala, przychodni.

3. Zadbać o przeszkolenie personelu. To również eliminuje nam oferty, w których ktoś nam proponuje ABI „zdalnego”.

4. Wykonać sprawozdanie dla ADO ze stanu ochrony danych osobowych – zdalnie się audyty robi ciężko - tak wynika z mojego doświadczenia.

5. Wykonać sprawozdanie na żądanie GIODO zgodnie z zasadami określonymi w ustawie.

6. Prowadzić rejestr zbiorów.

Nadal ABI może być powołany, ale nie musi. ADO może po za sprawozdaniami i rejestrem zbiorów wykonywać te obowiązki sam.

Tu znowu pojawiła się dyskusja poparta spekulacjami, które moim zdaniem wprowadzają tylko niepotrzebne zamieszanie.

Słyszałem już różne argumenty. Jeżeli powołamy ABI mamy obowiązek go zgłosić do GIODO. GIODO zatem dowie się o naszej obecności. Może więc lepiej go nie powoływać, bo narażamy się na kontrolę? Z drugiej jednak strony, jak go powołamy, mamy ogromna szansę na stworzenie sprawozdania, które nas od kontroli może uchronić.

Moim zdaniem te spekulacje robią tylko krzywdę. Gdyby GIODO chciało się dowiedzieć o obecności przedsiębiorców, ma do tego zestaw narzędzi, które na to pozwolą. Jest KRS, CEIDG oraz RPWDL.

Dodatkowo istnieje porozumienie z Państwową Inspekcją Pracy, które upoważnia inspektorów PIP do kontroli również w zakresie ochrony danych osobowych. PIP tego nie robi, ponieważ jeszcze nie ma jasnych wytycznych w tym zakresie.

Ten punkt widzenia jest zatem „ślepą drogą”, która może być smutna w skutkach. Wrzuciłbym go zatem do „koszyka” podpisanego MITY.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Proponowałbym podejście, które - jak mniemam - jest bardziej zdroworozsądkowe. Jeżeli jesteście Państwo małą jednostką, która zatrudnia kilka osób, nie ma uzasadnienia powoływanie ABI i ponoszenie z tego tytułu kosztów. Trudno też, aby prezes dużej spółki wykonywał obowiązki wynikające z ustawy sam. Istnieje już możliwość powołania LABI (lokalnych administratorów bezpieczeństwa informacji) przy bardzo dużych instytucjach.

Podmioty lecznicze czują się nieco zagubione w związku ze zmianami przepisów, ponieważ od zawsze są zwolnione z rejestracji przetwarzanych zbiorów danych i przez te 18 lat skupiały się na wykonaniu własnych przepisów branżowych, pomijając ustawę o ochronie danych osobowych. Niektóre z nich dopiero teraz powoli zaczynają rozumieć, kiedy nowelizacja stała się tematem głośnym, że nie są zwolnione z ochrony tych danych i muszą wykonać postanowienia uodo, tym bardziej, że przetwarzają dane wrażliwe.

GIODO od 2012 roku ma zdolność egzekucyjną co oznacza, że ma prawo wystawić mandat. I tutaj spotkałem się z kolejnym mitem. Wysokości kar. Niejednokrotnie przecieram oczy ze zdziwieniem na konferencjach lub czytając niektóre oferty firm „specjalizujących” się w ochronie danych osobowych, gdzie kary urastają wręcz do milionowych sum. Najpopularniejsza informacja to 200 tys zł. Sporo prawda? Nie do końca wiem, jak to się ma z artykułami ze stron GIODO, gdzie Generalny Inspektor walczy o podniesienie kar z uwagi na lekceważący stosunek do ustawy. Ja osobiście nie słyszałem, aby mandat wynikający z naruszenia uodo wyniósł więcej niż 5 tys zł. Jest to moim zdaniem kolejny mit.

Nie jest problem w kwotach, a w tytule. Rozdział wprowadzający rygor ma tytuł „Przepisy karne”. Zgodnie zatem z Kodeksem karnym, w który wchodzimy, osoba ukarana może zostać pozbawiona wolności oraz będzie miała zakaz wykonywania funkcji publicznych. Uważam również, że GIODO uda się przeprowadzić proces legislacyjny umożliwiający podniesienie kar finansowych za naruszenie ustawy.

Poniżej przedstawię kilka pytań i wątpliwości tych z Państwa, którzy zrozumieli powagę sytuacji i zdecydowali się na dostosowanie się do wymogów prawa, które obowiązuje w tym kraju od 18 lat.

To zależy. Jeżeli chodzi tylko o rejestrację to moim zdaniem można. Gorzej, jeżeli babcia ma podjąć decyzję o wykonaniu badań lub leczeniu. Babcia nie jest opiekunem faktycznym wnuczka wbrew niektórym opiniom, jeżeli nie ma tej funkcji przyznanej sądownie lub stosownego upoważnienia od opiekuna ustawowego. Nie może zatem podejmować decyzji ani też mieć dostępu do dokumentacji medycznej wnuczka. Sam proces rejestracji sprowadza się do przetwarzania danych osobowych udostępnionych nam przez babcię - ważny jest kierunek udostępnienia. To nie my udostępniamy dane babci, a babcia nam, więc jeśli nie jest opiekunem faktycznym, to jest jej problem.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Może, o ile ma stosowne od babci upoważnienie. W przeciwnym razie niestety nie może.

Tu odpowiedź jest teoretycznie prosta. Decyduje zawsze opiekun prawny dziecka. Takim opiekunem prawnym będzie rodzic dziewczynki poza jednym wyjątkiem. Jeżeli dziewczynka jest zamężna, decyzją sądu nabywa pełni praw obywatelskich, stając się osoba pełnoletnią i wtedy to ona jest opiekunem prawnym dziecka. Lekarz zatem może odmówić wizyty, jeżeli stan dziecka jest stabilny i nic nie zagraża jego życiu oraz jeżeli dziewczynka nie jest zamężna.

Tak. Ma niestety takie prawo wynikające z ustawy o prawach pacjenta i rzeczniku praw pacjenta. Pacjentowi należy wydać dokumentację oryginalną po uprzednim pokwitowaniu jej odbioru z pouczeniem natychmiastowego zwrotu po jej wykorzystaniu oraz sporządzeniu kserokopii tej dokumentacji, które pozostaje w podmiocie leczniczym. Z doświadczenia jednak wiem, że nie jest to dobry pomysł, ponieważ ta dokumentacja wraca w różnym stanie lub nie wraca często wcale. Istnieje zatem ucieczka w rozporządzeniu ministra zdrowia, umożliwiająca lekarzowi udzielenie pisemnej odmowy udostępnienia oryginału dokumentacji z uzasadnieniem.

Cóż. Uważam, że może o ile jest zabezpieczona w taki sposób, że osoby nieupoważnione do przetwarzania danych tam zawartych, nie mają do niej dostępu. Jest to kwestia, które jest do uregulowania w polityce bezpieczeństwa.

Nie. Do tego aby stwierdzić prawdziwość dokumentu są odpowiednie służby. W przypadku podejrzenia o sfałszowanie takiego dokumentu wydaj kserokopię dokumentacji oraz zgłoś swoje wątpliwości do prokuratury.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Nie. Tutaj przepisy branżowe są bardziej restrykcyjne niż ustawa o ochronie danych osobowych. Zgodnie z uodo nie chronimy danych osób zmarłych. Natomiast dokumentacje medyczną osoby zmarłej, w której nie ma upoważnienia możemy wydać jedynie decyzją sądu administracyjnego.

Jeżeli nie ma zagrożenia życia to niestety nie. W takich sytuacjach należy to zgłosić do sądu rodzinnego z prośbą o wydanie decyzji.

Oczywiście. W swoich przepisach branżowych, czyli w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych NFZ ma cały rozdział dotyczący kiedy i w jakim zakresie mają dostęp do dokumentacji medycznej.

Zgodnie z przepisem - tak. Oczywiście pod warunkiem, że udostępnią podmiotowi leczniczemu zgodę pacjenta na dostęp do jego dokumentacji medycznej.

Jeżeli pacjent jest podopiecznym MOPS - tak. MOPS ma prawo przetwarzać dane swoich podopiecznych bez ich zgody zgodnie z ustawą o pomocy społecznej.

Tak. Przypominam jednak, że jest to forma udostępnienia danych osobowych wynikająca wprost z ustawy o ochronie danych osobowych, więc nie może się to odbywać na przysłowiową „twarz”. Proponuje się zaopatrzyć w stosowne wzory wniosków o udostępnienie dokumentacji medycznej aby nie irytować pacjentów spisywaniem wniosków odręcznie.

Ten temat jest dosyć trudny, dlatego zalecałbym ostrożność z uwagi na fakt, że aby takiej informacji udzielić musimy być pewni, że osoba, z którą rozmawiamy jest osobą upoważnioną do otrzymywania takich informacji.

Nie uważam, aby księgowość powinna w zakresie swoich upoważnień mieć dostęp do danych medycznych. Uważam, że takie załączniki powinny zostać odpersonalizowane, aby pokazać statystykę liczbową bez danych jednoznacznie identyfikujących osobę fizyczną. Wysłanie takich informacji z numerami PESEL lub innymi danymi osobowymi pozwalającymi na identyfikację jest moim zdaniem naruszeniem. Ustawa o rachunkowości precyzuje opisanie zdarzenia gospodarczego, który opiera się w tym wypadku na jakiejś umowie. Wykonawca przedstawia jedynie dowód wykonania usługi. Pozostałe dane osobowe są moim zdaniem zbędne.

Kategorycznie odradzam takiej praktyki. Jest wiele metod umożliwiających wykorzystanie protokołów pocztowych do celu podszywania się, lub uzyskiwania informacji w sposób nieautoryzowany. Oczywiście możemy posuwać się do „protez” rozwiązania, szyfrując załączniki i inną drogą wysyłając hasła do rozszyfrowania, ale po pierwsze są to dla mnie nadal „protezy”, nie zawsze owe szyfrowania są dobre i dodatkowo utrudniają przepływ danych. Uważam, że jest to obszar wiedzy fachowej znany jednie osobom kształconym w moim zawodzie i nie powinni go stosować ludzie, którzy nie mają o tym pojęcia. Ponadto nie mamy gwarancji, że pocztę odbiera jedynie osoba upoważniona, gdzie spoczywają dane, które wysłaliśmy i jak są zabezpieczone (mam na myśli tutaj serwery pocztowe). Nawet więc w przypadku, kiedy pacjent sam naciska, aby jego dokumentację (skan) wysłać mailem, to należy go najpierw uświadomić jakie to niesie zagrożenia zanim ta dokumentację mu się wyśle. Sądzę że SIM rozwiąże ten problem z czasem. Jestem absolutnym zwolennikiem rozwiązań portalowych pod względem udostępniania wiedzy tego rodzaju.

Spotkałem się również w swojej karierze z posunięciami takimi, jak tzw. open space w rejestracji mający sugerować, że przychodnia jest blisko pacjenta. Przypominam, że administratorzy danych osobowych są zobowiązani do należytej ochrony danych osobowych w tym wypadku „danych wrażliwych”. Nie zalecam zatem otwierania rejestracji, likwidacji zapór fizycznych, szyb, czy innych rzeczy, które de facto zabezpieczają nie tylko dokumentację, lecz także personel. Obniżanie poziomu bezpieczeństwa w przypadku danych wrażliwych nie jest dobrym kierunkiem i może być brzemienne w skutkach. Co więcej, pacjent ma prawo do zachowania intymności zatem pomyślałbym bardziej o tym, aby stanowiska w rejestracjach obsługi pacjentów umożliwiły większą swobodę pacjentom. Oddalenie kolejki od okienek z poinformowaniem pacjentów, że mają podchodzić pojedynczo to prosty zabieg, a służy poprawieniu komfortu w rejestracji.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Przypominam również, że zgodnie z ustawą można nam w podmiotach leczniczych przetwarzać jedynie dane w celu ochrony zdrowia. Jest to zamknięty katalog informacji, który reguluje rozporządzenie ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.

Dokumentacja związana z przetwarzaniem danych osobowych nie może być aktem martwym, który zbudowało się raz i włożyło na półkę. Nie da się tego również robić zdalnie i nie można sobie lekceważyć tej tematyki tym bardziej, że EDM ma ogromny związek z przepływem danych osobowych oraz poziomami uprawnień na poszczególnych stanowiskach.

Zawsze w przypadku przetwarzania danych osobowych macie Państwo wybór poproszenia pacjenta o zgodę na ich przetwarzanie z określeniem celu i zakresu przetwarzanych danych osobowych. Wtedy wolno nam wyjść poza ograniczony katalog informacji.

Polecamy najnowsze wideoszkolenie: Osoby upoważnione do przetwarzania danych osobowych w podmiocie leczniczym w kontekście zmian w przepisach prawa, ze szczególnym uwzględnieniem RODO >>