Przetwarzanie danych wrażliwych w placówkach ochrony zdrowia

Podmioty z branży medycznej, bez względu czy są to placówki publiczne czy prywatne, przetwarzają dane osobowe. Co jest istotne, placówki medyczne przetwarzają dane osobowe jako administrator danych w rozumieniu art. 7 pkt 4 ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. Dodatkowo ciąży na nich szczególny obowiązek ochrony danych osobowych wynikający z okoliczności, że w związku ze swoją działalnością przetwarzane są tzw. dane wrażliwe.

Dane wrażliwe, określane również pojęciem danych sensytywnych definiuje art. 27 ustawy o ochronie danych osobowych. Ustawodawca we wskazanym artykule zawarł ich zamknięty katalog, do którego m. in. zaliczył informację na temat:

  • pochodzenia rasowego lub etnicznego,

  • poglądów politycznych,

  • przekonań religijnych lub filozoficznych,

  • przynależności wyznaniowej, partyjnej lub związkowej,

  • stanu zdrowia,

  • kodu genetycznego,

  • nałogów,

  • życia seksualnego.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Biorąc pod uwagę specyfikę prowadzonej działalności, podmioty z szeroko pojętej branży medycznej przetwarzają dane wrażliwe szczególnie w zakresie stanu zdrowia. Należy mieć świadomość, że danymi sensytywnymi mogą być nie tylko „standardowe” informacje o stanie zdrowia jak np. przebieg choroby ale to również mogą być dane, które na pierwszy rzut oka takimi się nie wydają np. informacje o wadze danej osoby.

W myśl art. 27 ust 1 ustawy o ochronie danych osobowych zabronione jest przetwarzanie danych wrażliwych Od zakazu tego, ustawodawca przewidział jednak pewne wyjątki. Jednym z tych wyjątków jest możliwość przetwarzania danych wrażliwych w placówkach ochrony zdrowia, m.in. gdy, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Na szczególną uwagę zasługuje gwarancja pełnej ochrony danych osobowych, którą należy rozumieć jako odpowiednie zabezpieczenie danych osobowych. W tym miejscu należy wspomnieć, że jeżeli przepisy innych ustaw przewidują dalej idącą ochronę, to powinniśmy stosować przepisy tych ustaw. Taka sytuacja ma miejsce w związku z udzielaniem dostępu do dokumentacji medycznej.

W art. 26 ust. 3 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta jest wskazany zamknięty katalog podmiotów, którym taką dokumentację można przekazać. Wśród wymienionych tam podmiotów nie ma firm informatycznych, którym dane są powierzane do przetwarzania w związku np. z utrzymaniem systemu IT i zgodnie z ustawą o ochronie danych osobowych wystarczającym będzie podpisanie umowy powierzenia przetwarzania danych. Udzielanie dostępu do dokumentacji medycznej takim podmiotów stanowi naruszenie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Na ten problem zwrócił uwagę GIODO i zwrócił się w tej sprawie do minister zdrowia (wystąpienie z 23 sierpnia 2011 r.) w sprawie podjęcia prac legislacyjnych mających na celu wprowadzenie podstaw prawnych dla zlecania informatycznej obsługi procesu przetwarzania danych osobowych przez administratorów danych przetwarzających dane osobowe pacjentów w związku z udzielaniem świadczeń zdrowotnych innym wyspecjalizowanym w tym zakresie podmiotom (tzw. outsourcing).

Autor: Piotr Janiszewski ochrona danych w placówce medycznej
Słowa kluczowe:
dane wrażliwe

Nie masz jeszcze konta?

Zamów pełny dostęp do portalu


SPRAWDŹ OFERTĘ

Chcesz przetestować nasze usługi?

Załóż konto testowe na 24 godziny


ZAŁÓŻ KONTO TESTOWE NA 24 GODZINY

Pełny dostęp do portalu to:

  • Aktualność tematów
  • Szeroki zasób informacji eksperckich
  • Porady ekspertów za pośrednictwem e-maila
  • Gotowe rozwiązania najistotniejszych problemów
Sprawdź »