Pod koniec roku mieliśmy do czynienia z głośną sprawą, w której pracownik pobrał dane z systemu informatycznego, a następnie sprzedał je „obecnie nieznanemu podmiotowi zewnętrznemu”. W związku z tym warto się zastanowić, jaka odpowiedzialność za naruszenie ochrony danych osobowych spoczywa na pracowniku?
Z artykułu dowiesz się:
Ustalenie wspólnych standardów cyberbezpieczeństwa nakłada nowe obowiązki na placówki medyczne. Podobnie, jak w przypadku RODO, konieczne będzie zapewnienie odpowiedniego poziomu bezpieczeństwa współmiernego do poziomu ryzyka. Jakie rozwiązania będziesz musiał zastosować, aby nie narazić się na kary ze strony UODO?
Operatorami usług kluczowych (OUK) zgodnie z ustawą o Krajowym Systemie Cyberbezpieczeństwa (dalej ustawa), są m.in. podmioty z sektora ochrony zdrowia. Identyfikacja operatorów usług kluczowych odbywa się w postępowaniu administracyjnym prowadzonym przed organem właściwym do spraw cyberbezpieczeństwa. W przypadku sektora ochrony zdrowia jest to minister zdrowia, chyba że chodzi o podmioty podległe ministrowi obrony narodowej lub przez niego nadzorowane. W tych przypadkach organem właściwym do spraw cyberbezpieczeństwa w sektorze ochrony zdrowia jest minister obrony narodowej.
opr. Piotr Glen, administrator bezpieczeństwa informacji
Często dochodzi do naruszeń zasad i przepisów w zakresie przetwarzania dokumentacji medycznej. Dowiedz się, jak unikać błędów popełnianych przez pracowników rejestracji w placówce medycznej i uniknij przykrych konsekwencji.
Przetwarzanie i ochrona danych osobowych zawartych w dokumentacji medycznej, tzw. danych wrażliwych, które dotyczą stanu zdrowia, obarczone jest reżimem prawnym i wymaga szczególnej staranności w działaniach administratora danych i osób upoważnionych do przetwarzania danych. Wymaga między innymi poszanowania praw osób, których dane dotyczą. Pracownicy rejestracji w placówce medycznej, czyli osoby, które mają jako pierwsze kontakt z pacjentem i jego danymi, muszą być przede wszystkim odpowiednio przygotowane i przeszkolone do zgodnego z przepisami wykonywania obowiązków i należytego rejestrowania pacjentów. Błędy w tym zakresie mogą skutkować odpowiedzialnością zarówno dla placówki, jako administratora danych, jak i pracownika. Na co więc należy zwrócić szczególną uwagę, jakie błędy najczęściej się przydarzają w podmiotach udzielających świadczeń zdrowotnych?
Zapisy w umowie głównej o współpracy, opracowane i wdrożone procedury i standardy postępowania udostępnione zleceniodawcom, lub załączniki czy aneksy w postaci umów powierzenia to dopuszczalne formy umowy powierzenia danych, które mogą stosować placówki medyczne.
Administrator danych, czyli każdy szpital, przychodnia oraz lekarz prowadzący prywatną praktykę, jest zobowiązany zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Powinien przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zwłaszcza tam, gdzie w grę wchodzą dane wrażliwe, szczególnie chronione, a są to między innymi informacje o stanie zdrowia, ochrona musi być zapewniona na wysokim poziomie i na każdym etapie przetwarzania. Pamiętajmy, że przetwarzanie danych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Natomiast dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zlecenie badania laboratoryjnego to jak najbardziej przetwarzanie danych, a jeśli wykonuje je laboratorium zewnętrzne, mamy do czynienia z powierzeniem danych do przetwarzania.
Tak, jeśli zostanie mu wystawione odpowiednie upoważnienie. Wgląd w dokumentacje medyczną powinni mieć tylko pracownicy wykonujący zawód medyczny. Często jednak dostęp zarówno do systemu informatycznego, jak i do rzeczywistych danych medycznych w nim przetwarzanych musi mieć informatyk – najczęściej w celach serwisowych.
W tym celu powinien posiadać upoważnienie do przetwarzania danych lub mieć podpisaną umowę powierzenia danych, w której będą określone jego uprawnienia i zakres operacji wykonywanych na danych, a także zobowiązanie do zachowania tajemnicy danych osobowych.
Skontakuj się z Centrum Obsługi Klienta: 22 518 29 29 (Poniedziałek-Piątek: 8:00 - 16:00).
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
Czy chcesz otrzymywać powiadomienia o zmianach prawnych, webinariach i promocjach?
Wyrażając zgodę na otrzymywanie powyższych powiadomień, oświadczam iż zapoznałem/am się z Regulaminem usługi i zgadzam się na stosowanie jego postanowień.