Systemy informatyczne wykorzystywane do przetwarzania danych osobowych w szpitalu

Niedawno spotkałem się w trakcie audytu z ochrony danych osobowych z takim twierdzeniem, iż jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta, to informacje te nie pozwolą na identyfikację tożsamości dane osoby, a więc w konsekwencji system ten nie służy do przetwarzania danych osobowych. Nic bardziej mylnego. To czy istnieje możliwość identyfikacji danej osobowy nie powinno być weryfikowane w oparciu o szczątkowe informacje przetwarzane w jednym systemie, ale z wykorzystaniem wszystkich systemów i dokumentach papierowych będących w dyspozycji szpitala. Proszę także pamiętać, że z punktu widzenia ustawy o ochronie danych osobowych            ¹ nie ma znaczenia czy mówimy o danych kadrowych (personel administracyjny, lekarze, pielęgniarki) czy o danych dotyczących pacjentów. W obydwu wypadkach powinniśmy zapewnić ich ochronę, której intensywność oczywiście będzie uwzględniała kategorie i istotność przetwarzanych danych osobowych.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Dlaczego ustalenie czy system służy do przetwarzania danych osobowych jest takie ważne? Jeśli odpowiedź na to pytanie jest twierdząca to w konsekwencji szpital jest zobowiązany zapewnić zgodność takiego systemu z przepisami o ochronie danych osobowych.

Zatem przejdźmy do sedna. Jakie wymogi wynikające z przepisów o ochronie danych osobowych powinien spełniać system informatyczny wykorzystywany przez szpital do przetwarzania danych osobowych? Odpowiedź na to pytanie znajdziemy w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Zgodnie z § 7 pkt 1 rozporządzenia, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten powinien zapewnia

odnotowanie:

1. daty pierwszego wprowadzenia danych do systemu (automatycznie);

2. identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba (automatycznie);

3. źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;

4. informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (wystarczy odnotowanie w 1 systemie)

5. sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.

Dodatkowo, dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system ten powinien zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje wymienione w pkt 1-5 powyżej.

Oczywiście nie są to wszystkie wymogi. Pozostałe, których omówienie pozostawiłem na odrębny artykuł, związane są z wprowadzonym w szpitalu poziomem bezpieczeństwa przetwarzania danych osobowych, który określa się z uwzględnieniem kategorii przetwarzanych danych oraz zagrożeń godzących w ich bezpieczeństwo.