EDM: przesłanki oraz granice powierzenia przetwarzania danych osobowych pacjentów

Na wstępie kilka ogólnych uwag. Zgodnie z rozporządzeniem Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, z dniem 1 sierpnia 2017 r. w każdej placówce medycznej, przychodni, NZOZ oraz każdym innym podmiocie medycznym, dokumentacje medyczną będzie można prowadzić wyłącznie w formie elektronicznej. Wydłużony okres przejściowy związany jest ze zróżnicowanym stopniem informatyzacji poszczególnych podmiotów.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Rozdziały 6,7 oraz 8 ww. rozporządzenia wskazują na obowiązki jakie leżą po stronie administratora danych. Są one zbieżne z wymogami szczegółowo określonymi w ustawie o ochronie danych osobowych. Przepisy odnoszą się do sposobu przechowywania dokumentacji, jej udostępniania, a także szeregu wymagań jakie powinny spełniać systemy EDM. Do wymogów tych należą:

• zapewnienie selektywnego dostępu do informacji;

• zabezpieczenie informacji przed zniszczeniem, uszkodzeniem lub utratą;

• rejestrowanie historii zmian dokumentacji oraz autorów tychże zmian.

W przypadku EDM w kontekście ochrony danych osobowych przed szereg wysuwa się zagadnienie dotyczące powierzenia przetwarzania danych osobowych pacjentów firmom informatycznym udostępniającym systemy EDM. Instytucja powierzenia przetwarzania danych osobowych pozwala administratorowi na korzystanie z wiedzy i doświadczenia podmiotów świadczących wyspecjalizowane usługi. Szpital (dyrektor jednostki), jako administrator danych, powinien zawrzeć z firmą informatyczną stosowną umowę powierzenia, w której szczegółowo określi zakres i cel przetwarzania powierzonych danych. W jednym z pism Generalny Inspektor Ochrony Danych Osobowych do Ministra Zdrowia wskazał, że Departamenty Ministerstwa błędnie przyjmują, iż dla przetwarzania danych osobowych przez podmioty prowadzące działalność leczniczą wystarczającą podstawą jest art. 31 ustawy o ochronie danych osobowych. W jednym z wyjaśnień wskazano, że ustawa o ochronie danych osobowych umożliwia podmiotowi wykonującemu działalność leczniczą powierzenie przechowywania dokumentacji medycznej prowadzonej w formie elektronicznej wyspecjalizowanym pomiotom zewnętrznym.

Wracając jednak do sedna sprawy. Do obligatoryjnych elementów umowy powierzenia należy zaliczyć zakres i cel przetwarzanych danych. Powinna być ona sporządzona w formie pisemnej. Należy jednak zwrócić uwagę na to, że przepisy komentowanej ustawy nie wskazują na sankcję w przypadku niedochowania takiej formy. Dodatkowo, w umowie powierzenia warto zawrzeć inne elementy niż zakres i cel. Dobrymi praktykami są postanowienia odnoszące się do:

• prawa do przeprowadzania kontroli u procesora (firmy informatycznej);

• kar umownych za niezgodne z umową i ustawą o ochronie danych osobowych przetwarzanie danych osobowych;

• dopuszczalności dalszego powierzenia przetwarzania danych osobowych;

• sposobu wydawania upoważnień.

Warto nadmienić, że cechą charakterystyczną umowy powierzenia jest fakt, że administrator danych nie traci kontroli i władztwa nad przekazanymi danymi pacjentów, a podmiot przetwarzający te dane na zlecenie nie uzyskuje statusu administratora danych. Wynika z tego, że procesor (firma informatyczna) może przetwarzać dane osobowe tylko wyłącznie w celu określonym w umowie powierzenia.

Na podstawie rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych szpital (dyrektor szpitala), jako administrator danych, powinien wdrożyć Politykę bezpieczeństwa zawierającą w szczególności:

• wykaz zbiorów danych osobowych wraz z wskazaniem programów zastosowanych do przetwarzania tych danych oraz

• sposób przepływu danych pomiędzy poszczególnymi systemami.

W związku z powierzeniem przetwarzania danych osobowych w kontekście EDM, w Polityce bezpieczeństwa należy uwzględnić obszary przetwarzania danych osobowych przez procesora (firmę informatyczną obsługującą EDM). Jeśli zatem firma informatyczna ma zdalny dostęp do danych w systemie EDM w swojej siedzibie (lokalizacja nr 1) i zajmuje się przechowywaniem kopii zapasowych z systemu w swoim centrum zapasowym (lokalizacja nr 2) to obydwa obszary należy wskazać w polityce bezpieczeństwa szpitala jako miejsca przetwarzania danych osobowych.

Kolejne pytanie jakie nasuwa się na myśl dotyczy rejestru zbiorów danych osobowych. O konieczności prowadzenia ww. rejestru stanowi art. 36 ust. 2 pkt 2 ustawy o ochronie danych osobowych. Należy zasygnalizować, że prowadzenie i aktualizacja rejestru spoczywa w rękach Administratora Bezpieczeństwa Informacji. Szczegółowy tryb prowadzenia jawnego rejestru określa Rozporządzenie Ministra Administracji i Cyfryzacji w sprawie prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych osobowych         ⁴. W rejestrze znajdują się takie informacje jak: nazwa zbioru danych, oznaczenie administratora danych, oznaczenie podmiotu, któremu powierzono przetwarzanie danych ze zbioru na podstawie art. 31 ustawy, adres jego siedziby lub miejsca zamieszkania itd. Zatem jawny rejestr zbiorów danych osobowych to kolejny dokument, w którym należy poczynić odpowiednią wzmiankę o zawarciu umowy powierzenia przetwarzania danych osobowych.

Wielokrotnie słyszymy, iż dane medyczne przetwarzane są w niezabezpieczonych systemach informatycznych i tym samym narażone są na wyciek danych. Zaleceń i rekomendacji w tym zakresie wydaje się być wiele. Szeroko rozumiane zapewnienie środków organizacyjnych i technicznych (określone procedury bezpieczeństwa) połączone ze szkoleniami z zakresu ochrony danych osobowych wydają się kluczem do sukcesu. W przypadku umów powierzenia, ich prawidłowe zredagowanie i jasne określenie praw i obowiązków leżących po każdej z umawiających się stron jest długoterminową inwestycją i na pewno pozwoli na uniknięcie w przyszłości przykrych konsekwencji.

Jakie obowiązki spoczywają z kolei na podmiocie, któremu powierzono przetwarzanie danych? Zobowiązany jest on do podjęcia środków, o których mowa w art. 36- 39 ustawy o ochronie danych osobowych (zabezpieczenie danych, opracowanie dokumentacji ochrony danych osobowych), a także do spełnienia innych obowiązków wynikających z rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakimi powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Warto pamiętać, że ww. obowiązki powinny być realizowane niezależnie od brzmienia zawartej umowy powierzenia przetwarzania danych osobowych.