Prowadzenie rejestrów medycznych przez podmioty zewnętrzne – jakie zmiany czekają placówki

Projekt nowelizacji ustawy o systemie informacji w ochronie zdrowia z 9 sierpnia br. zakłada możliwość prowadzenia rejestrów medycznych przez wyspecjalizowane podmioty zewnętrzne. Jest to krok milowy ku przeniesieniu części odpowiedzialności za bezpieczeństwo przetwarzanych danych z ministra zdrowia na firmy świadczące usługi outsourcingowe.

Chciałbym wskazać, jak kwestia powierzenia przetwarzania danych wrażliwych będzie wyglądała w pierwszej połowie 2018 roku w związku z wejściem w życie ogólnego rozporządzenia w sprawie ochrony danych osobowych.

Podstawowymi aktami prawnymi regulującymi problematykę powierzenia przetwarzania danych osobowych jest ustawa o ochronie danych osobowych, a także nowelizowana ustawa o systemie informacji w ochronie zdrowia. Analiza tych aktów pozwala na sformułowanie kilku ogólnych obowiązków, jakie spoczywają na podmiocie przetwarzającym w ramach działań outsourcingowych. Jest on zobowiązany w pierwszej kolejności do:

  1. podejmowania czynności zmierzających do zapewnienia bezpieczeństwa przetwarzanych danych,

  2. zapewnienia odpowiednich warunków technicznych i organizacyjnych w celu zabezpieczenia przetwarzanych danych,

  3. utrzymywania i doskonalenia systemu zarządzania bezpieczeństwem informacji zapewniając jednocześnie poufność, dostępność i integralność informacji z uwzględnieniem charakteru przetwarzanych danych w rejestrach medycznych,

  4. zachowania w tajemnicy informacji pozyskanych w ramach umowy powierzenia.

Obowiązki, jakie leżą po stronie podmiotu przetwarzającego są dość rozbudowane. Należy zauważyć, że to jedynie wierzchołek góry lodowej w porównaniu do obowiązków, jakie nałożone będą na podmiot przetwarzający w związku z wejściem w życie rozporządzenia unijnego. W celu usystematyzowania przepisów dotyczących powierzenia przetwarzania danych, a rozsianych po całym akcie prawnym, przedstawię kluczowe zagadnienia do dalszych rozważań:

  1. Forma powierzenia przetwarzania danych osobowych, w tym danych wrażliwych. Czy rozporządzenie ogólne precyzuje tą kwestię?

  2. Dodatkowe obowiązki leżące po stronie podmiotu przetwarzającego. Praktyczne wskazówki na temat tego jak podmiot przetwarzający ma sprostać wymaganiom stawianym przez ogólne rozporządzenie w sprawie ochrony danych osobowych.

Jeśli chodzi o pierwszą kwestię, a mianowicie umowę powierzenia przetwarzania danych osobowych, nasuwa się pytanie, jak ją poprawnie skonstruować. Po pierwsze rozporządzenie wskazuje, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. I tu pojawia się pierwszy problem. Co należy rozumieć pod pojęciem „innego instrumentu prawnego”? Unijny prawodawca niestety nie pochylił się nad tą kwestią. W porównaniu do obecnego stanu prawnego do obligatoryjnych elementów umowy powierzenia przetwarzania danych osobowych należy zaliczyć oprócz celu i zakresu przetwarzanych danych także czas trwania przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą. Pewnym novum jest także forma umowy powierzenia. Rozporządzenie obok formy pisemnej wskazuje dodatkowo formę elektroniczną. Ciężko jest ocenić tego typu rozwiązanie. Na pewno jest to postęp w celu zapewnienia szybkości przeprowadzanych transakcji. Niemniej moim zdaniem będzie wiązało się to chociażby z problemami interpretacyjnymi na tle odmiennych wyobrażeń co do treści zawieranych umów powierzenia. Jest to najistotniejszy problem w szczególności jeśli będziemy mieć do czynienia z powierzeniem przetwarzania danych szczególnie chronionych.

Przechodząc do obowiązków podmiotu przetwarzającego należy zauważyć, że wszystkie obowiązki oscylują wokół zapewnienia bezpieczeństwa przetwarzanych danych. W przypadku powierzenia prowadzenia rejestrów medycznych, a zawierających dane szczególnie chronione zasadę bezpieczeństwa należy rozumieć chociażby poprzez stosowanie pseudonimizacji, zapewnienie poufności, integralności, dostępności i odporności systemów, a także zapewnienie szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego czy technicznego.

Oprócz zapewnienia zasady bezpieczeństwa podmiot przetwarzający (procesor) będzie zobowiązany do:

  1. wyznaczenia inspektora ochrony danych osobowych, który będzie kontynuatorem funkcji administratora bezpieczeństwa informacji, w związku z powierzeniem przetwarzania na dużą skalę szczególnych kategorii danych,

  2. prowadzenia rejestru czynności przetwarzania danych osobowych dokonywanych w imieniu administratora danych,

  3. zgłaszania naruszenia ochrony danych osobowych administratorowi danych w szczególności w przypadku wystąpienia incydentów godzących w bezpieczeństwo przetwarzanych danych,

  4. zapewnienia by osoby upoważnione do przetwarzania danych medycznych zobowiązały się do zachowania tychże danych w tajemnicy,

  5. wzmożonej współpracy z administratorem danych i organem nadzorczym,

  6. zapewnienia by po zakończonej współpracy dane osobowe były usunięte lub zwrócone i usunięte wszelkie ich kopie,

  7. pomocy administratorowi w celu oceny skutków operacji dokonywanych w rejestrach medycznych dla ochrony wolności i praw osób, których dane są przetwarzane.

Rozmawiając z przedstawicielami firm specjalizujących się w usługach outsourcingowych pada często pytanie o to, jak będzie można wykazać, po wejściu w życie nowych przepisów, iż zapewnia się wystarczające gwarancje ochrony przetwarzanych danych. W jaki sposób można to udowodnić? Za każdym razem podnoszę, że wykazanie maksymalnych standardów ochrony może odbywać się poprzez stosowanie zatwierdzonych kodeksów postępowania i mechanizmów certyfikacji o których wspomina rozporządzenie.

Moim zdaniem projektowana nowelizacja ustawy o systemie informacji w ochronie zdrowia powinna być bardziej dostosowana do wyzwań jakie stawia przed placówkami medycznymi i firmami świadczącymi usługi outsourcingowe rozporządzenie ogólne w sprawie ochrony danych osobowych. Mając nadzieję, że kwestia prowadzenia rejestrów medycznych przez podmioty zewnętrzne w końcu zostanie prawnie uregulowana, nie można zapomnieć, że obowiązki procesora w niedługim czasie zostaną poszerzone i rozbudowane. Nowelizacja ustawy o systemie zdrowia w ochronie zdrowia nie poświęca temu zagadnieniu chociażby jednego artykułu. Czy zmiany będą dobre i efektywne tzn. czy zapewnią bezpieczeństwo przetwarzanych danych wrażliwych w rejestrach? Czy rozbudowane obowiązki leżące po stronie podmiotu przetwarzającego będą wypełniane z należytą starannością i uwagą? Trudno na to pytanie jednoznacznie odpowiedzieć. Trudne do przyjęcia dla firm outsourcingów jest natomiast to, że rozporządzenie unijne przewiduje, iż w przypadku naruszenia podstawowych obowiązków podmiot przetwarzający naraża się na administracyjną karę pieniężną sięgającą bagatela 10 000 000 euro.

Autor: Piotr Janiszewski ochrona danych w placówce medycznej
Słowa kluczowe:
ochrona danych osobowych

Uzyskaj nieograniczony
dostęp do SerwisZOZ.pl

  • Aktualne informacje o zmianach prawnych
  • Indywidualne konsultacje e-mail z ekspertem (odpowiedź w 48 h)
  • Bazę 3500 porad ekspertów, gotowych wzory dokumentów i procedur
UZYSKAJ NIEOGRANICZONY DOSTĘP

Uzyskaj bezpłatny 24-godzinny dostęp do SerwisZOZ.pl

aktywuj dostęp testowy