Niedawno spotkałem się w trakcie audytu z ochrony danych osobowych z takim twierdzeniem, iż jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta, to informacje te nie pozwolą na identyfikację tożsamości dane osoby, a więc w konsekwencji system ten nie służy do przetwarzania danych osobowych. Nic bardziej mylnego. To czy istnieje możliwość identyfikacji danej osobowy nie powinno być weryfikowane w oparciu o szczątkowe informacje przetwarzane w jednym systemie, ale z wykorzystaniem wszystkich systemów i dokumentach papierowych będących w dyspozycji szpitala. Proszę także pamiętać, że z punktu widzenia ustawy o ochronie danych osobowych 1 nie ma znaczenia czy mówimy o danych kadrowych (personel administracyjny, lekarze, pielęgniarki) czy o danych dotyczących pacjentów. W obydwu wypadkach powinniśmy zapewnić ich ochronę, której intensywność oczywiście będzie uwzględniała kategorie i istotność przetwarzanych danych osobowych.
Systemy informatyczne wykorzystywane do przetwarzania danych osobowych w szpitalu
Każdy szpital wykorzystuje co najmniej kilka systemów informatycznych służących do przetwarzania danych osobowych. Coraz częściej są to systemy dedykowane – szyte na miarę. Systemy te umożliwiają wsparcie i obsługę aptek przyszpitalnych, bloków operacyjnych i porodowych, prowadzenie dokumentacji medycznej, rejestracji pacjentów, itd. Jak łatwo wykazać, w każdym z ww. systemów przetwarzane są dane osobowe. Chodzi tutaj bardzo często nie tylko o tzw. dane zwykłe, ale o dane wrażliwe, a więc takie, które podlegają większej ochronie.
Dlaczego ustalenie czy system służy do przetwarzania danych osobowych jest takie ważne? Jeśli odpowiedź na to pytanie jest twierdząca to w konsekwencji szpital jest zobowiązany zapewnić zgodność takiego systemu z przepisami o ochronie danych osobowych.
Zatem przejdźmy do sedna. Jakie wymogi wynikające z przepisów o ochronie danych osobowych powinien spełniać system informatyczny wykorzystywany przez szpital do przetwarzania danych osobowych? Odpowiedź na to pytanie znajdziemy w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Zgodnie z § 7 pkt 1 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten powinien zapewnia
odnotowanie:
-
daty pierwszego wprowadzenia danych do systemu (automatycznie);
-
identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba (automatycznie);
-
źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
-
informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (wystarczy odnotowanie w 1 systemie)
-
sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.
Dodatkowo, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten powinien zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje wymienione w pkt 1-5 powyżej.
Oczywiście nie są to wszystkie wymogi. Pozostałe, których omówienie pozostawiłem na odrębny artykuł, związane są z wprowadzonym w szpitalu poziomem bezpieczeństwa przetwarzania danych osobowych, który określa się z uwzględnieniem kategorii przetwarzanych danych oraz zagrożeń godzących w ich bezpieczeństwo.
Słowa kluczowe:
informatyzacja ochrony zdrowiaUzyskaj nieograniczony dostęp do SerwisZOZ.pl
- Aktualne informacje o zmianach prawnych
- Indywidualne konsultacje e-mail z ekspertem (odpowiedź w 48 h)
- Bazę 3500 porad ekspertów, gotowych wzory dokumentów i procedur