Skip to main content

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych.

Podstawa prawna:

  • ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
  • ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,
  • rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania,
  • rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

1. Administrator danych

Lekarz, lekarz dentysta wykonujący działalność leczniczą w ramach praktyki zawodowej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Administrator danych jest osobą decydującą o celach i środkach przetwarzania danych osobowych.

Obowiązki administratora danych:

  • obowiązek informacyjny wypełniany przy zbieraniu danych osobowych,
  • szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza,
  • udzielanie informacji o zakresie przetwarzanych danych osobowych,
  • obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora,
  • obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
  • kontroluje, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane,
  • prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych,
  • zgłasza zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (nie dotyczy zbiorów danych będących dokumentacją medyczną).

2. Gromadzenie i przetwarzanie danych w ramach prowadzenia dokumentacji medycznej

Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Podmioty wykonujące działalność leczniczą są obowiązane prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.). Podmioty wykonujące działalność leczniczą zapewniają ochronę danych zawartych w tej dokumentacji.

Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w przypadkach wymienionych w art. 26 ustawy prawach pacjenta i Rzeczniku Praw Pacjenta, który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją.

Uwaga

  1. zbiór danych osobowych gromadzony w ramach dokumentacji medycznej nie podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;
  2. nie ma obowiązku uzyskiwania zgody pacjenta na przetwarzanie danych osobowych zawartych w dokumentacji medycznej w celach świadczenia usług medycznych;
  3. przetwarzanie ww. danych w innym celu (np. marketingowym) wymaga zgody pacjenta.

3. Sposób zabezpieczenia danych osobowych przez lekarza, lekarza dentystę wykonującego praktykę zawodową.

Lekarz, lekarz dentysta jako administrator danych osobowych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności.

Ww. obowiązek obejmuje:

  • poinformowanie pacjentów o nazwie praktyki lekarskiej, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści swoich danych,
  • wdrożenie polityki bezpieczeństwa,
  • wdrożenie instrukcji zarządzania systemem informatycznym (jeśli taki jest), który służy przetwarzaniu danych pacjentów,
  • wdrożenie środków technicznych i organizacyjnych – mających na celu realizację powyższych punktów,
  • w przypadku zatrudniania personelu pomocniczego, przygotowanie imiennych upoważnień dostępu do danych osobowych z określeniem zakresu dostępu, jak również ewidencji osób upoważnionych.

Przy konstruowaniu dokumentu, polityki bezpieczeństwa należy uwzględnić w szczególności następujące elementy:

  • wykaz budynków i pomieszczeń gdzie dane osobowe są przetwarzane,
  • wykaz zbiorów danych osobowych, wraz ze wskazaniem narzędzi informatycznych używanych do zarządzania zbiorami,
  • opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne wypełnia pacjent.

Jeśli dodatkowo lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie elektronicznej powstaje konieczność przygotowania instrukcji przetwarzania danych:

Przy redagowaniu takiej instrukcji należy uwzględnić w szczególności następujące elementy:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania: sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • elektronicznych nośników informacji zawierających dane osobowe,
  • kopii zapasowych, o których mowa w pkt 4,
  • sposób odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Ponadto wskazane jest wdrożenie środków technicznych polegających na:

  • zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób nieupoważnionych,
  • stosowanie systemów podtrzymywania napięcia lub innych metod zapobiegających nagłej utracie danych,
  • stosowanie wieloznakowego hasła dostępu,
  • stosowania szyfrowania danych w przypadku przesyłania ich za pomocą publicznej sieci internetowej.

Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przez GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych.

 
Źródło: Materiały z posiedzenia Komisji Stomatologicznej NRL