Przetwarzanie danych wrażliwych w placówkach ochrony zdrowia

Dane wrażliwe, określane również pojęciem danych sensytywnych definiuje art. 27 ustawy o ochronie danych osobowych. Ustawodawca we wskazanym artykule zawarł ich zamknięty katalog, do którego m. in. zaliczył informację na temat:

• pochodzenia rasowego lub etnicznego,

• poglądów politycznych,

• przekonań religijnych lub filozoficznych,

• przynależności wyznaniowej, partyjnej lub związkowej,

• stanu zdrowia,

• kodu genetycznego,

• nałogów,

• życia seksualnego.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Biorąc pod uwagę specyfikę prowadzonej działalności, podmioty z szeroko pojętej branży medycznej przetwarzają dane wrażliwe szczególnie w zakresie stanu zdrowia. Należy mieć świadomość, że danymi sensytywnymi mogą być nie tylko „standardowe” informacje o stanie zdrowia jak np. przebieg choroby ale to również mogą być dane, które na pierwszy rzut oka takimi się nie wydają np. informacje o wadze danej osoby.

W myśl art. 27 ust 1 ustawy o ochronie danych osobowych zabronione jest przetwarzanie danych wrażliwych Od zakazu tego, ustawodawca przewidział jednak pewne wyjątki. Jednym z tych wyjątków jest możliwość przetwarzania danych wrażliwych w placówkach ochrony zdrowia, m.in. gdy, przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Na szczególną uwagę zasługuje gwarancja pełnej ochrony danych osobowych, którą należy rozumieć jako odpowiednie zabezpieczenie danych osobowych. W tym miejscu należy wspomnieć, że jeżeli przepisy innych ustaw przewidują dalej idącą ochronę, to powinniśmy stosować przepisy tych ustaw. Taka sytuacja ma miejsce w związku z udzielaniem dostępu do dokumentacji medycznej.

W art. 26 ust. 3 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta jest wskazany zamknięty katalog podmiotów, którym taką dokumentację można przekazać. Wśród wymienionych tam podmiotów nie ma firm informatycznych, którym dane są powierzane do przetwarzania w związku np. z utrzymaniem systemu IT i zgodnie z ustawą o ochronie danych osobowych wystarczającym będzie podpisanie umowy powierzenia przetwarzania danych. Udzielanie dostępu do dokumentacji medycznej takim podmiotów stanowi naruszenie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Na ten problem zwrócił uwagę GIODO i zwrócił się w tej sprawie do minister zdrowia (wystąpienie z 23 sierpnia 2011 r.) w sprawie podjęcia prac legislacyjnych mających na celu wprowadzenie podstaw prawnych dla zlecania informatycznej obsługi procesu przetwarzania danych osobowych przez administratorów danych przetwarzających dane osobowe pacjentów w związku z udzielaniem świadczeń zdrowotnych innym wyspecjalizowanym w tym zakresie podmiotom (tzw. outsourcing).