OCHRONA DANYCH OSOBOWYCH I MEDYCZNYCH

Transkrypt

1 OCHRONA DANYCH OSOBOWYCH I MEDYCZNYCH Nowa rola ABI Do 30 czerwca administrator bezpieczeństwa informacji powołany przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestru GIODO. Jeżeli tak się nie stanie, jego zadania przejmie administrator danych osobowych, czyli szef placówki medycznej. str. 3

2 OFERTA 2015 Szkolenia dla placówek medycznych TEMATY SZKOLEŃ: Prawa lekarza i prawa pacjenta Zasady prowadzenia dokumentacji medycznej Zasady kontraktowania przez NFZ Kontrola realizacji umów przez NFZ Ochrona danych osobowych w działalności leczniczej Zarządzanie ryzykiem w placówce medycznej jak minimalizować straty? Patronat merytoryczny: Poznaj naszą ofertę szkoleń zamkniętych! Przygotujemy szkolenie odpowiadające Twoim potrzebom! Powiedz, jakie masz warunki, a my dostosujemy szkolenie do Twoich możliwości. Kontakt do Organizatora: Izabela Staszkiewicz-Wąs Izabela Staszkiewicz-Wąs st. specjalista ds. konferencji i szkoleń istaszkiewicz@wip.pl GRATIS» Kolekcja limitowana książek Vademecum zarządzania placówką medyczną 2015 o wartości 366 zł brutto za zamówienie szkolenia zamkniętego

3 Partner magazynu Stowarzyszenie Menedżerów Opieki Zdrowotnej spis treści archiwum online: zpm.wip.pl Spis treści OCHRONA DANYCH OSOBOWYCH I MEDYCZNYCH OCHRONA DANYCH OSOBOWYCH I MEDYCZNYCH Niezależny ABI skontroluje placówkę... 3 Audyt jako narzędzie kontroli... 8 Uprawnienia kontrolne GIODO Co skontroluje GIODO GIODO sprawdzi cel gromadzenia danych Jak skutecznie chronić dane medyczne Jak dobrze zabezpieczać dokumentację medyczną Udostępnianie kartotek a ochrona danych Umowa powierzenia: na co uważać WZORY DOKUMENTÓW Wzór 1. Upoważnienie do przetwarzania danych osobowych Wzór 2. Ewidencja osób upoważnionych do przetwarzania danych Wzór 3. Zgłoszenie powołania ABI do rejestracji GIODO Wzór 4. Zgłoszenie odwołania ABI do rejestracji GIODO Wzór 5. Wniosek pacjenta o udostępnienie dokumentacji medycznej Wzór 6. Wniosek osoby upoważnionej o udostępnienie dokumentacji medycznej pacjenta PODSTAWA PRAWNA Wykaz aktów prawnych związanych z zagadnieniem ochrony danych osobowych Redaktor prowadzący: Anna Rubinkowska Kierownik marketingu i sprzedaży: Julita Lewandowska-Tomasiuk Menedżer produktu: Alina Sulgostowska Koordynator produkcji: Magdalena Huta ISSN: Drukarnia: MDruk Nakład: 1000 egz. Projekt graficzny: Dominika Raczkowska Skład: Raster studio, Norbert Bogajczyk Prenumerata: Zarządzanie placówką medyczną Centrum Obsługi Klienta tel.: z cok@wip.pl Masz pytanie? Skontaktuj się z nami: serwiszoz@wip.pl Wydawnictwo Wiedza i Praktyka ul. Łotewska 9a, Warszawa NIP: KRS: Sąd Rejonowy dla m.st. Warszawy, Sąd Gospodarczy XIII Wydział Gospodarczy Rejestrowy Wysokość kapitału zakładowego: zł Biuro reklamy Menedżer projektu: Agnieszka Zduńczyk tel.: azdunczyk@wip.pl Zarządzanie placówką medyczną chronione jest prawem autorskim. Przedruk materiałów bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. W związku z powyższym redakcja nie ponosi odpowiedzialności prawnej za zastosowanie zawartych w Zarządzaniu placówką medyczną wskazówek, przykładów informacji itp. do konkretnych przypadków.

4 Zarządzanie placówką medyczną l i s t o d r e d a k c j i ANNA RUBINKOWSKA redaktor prowadzący Drogi Czytelniku Do 30 czerwca ABI powołany przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestru GIODO. Jeżeli tak się nie stanie jego zadania przejmie administrator danych osobowych czyli szef (właściciel, dyrektor) placówki. Gdy w placówce nie zostanie wyznaczony ABI, obowiązki związane z ochroną danych osobowych spoczną na administratorze danych, który mimo to powinien wskazać konkretną osobę odpowiedzialną za ochronę danych osobowych w organizacji. Zmiany wynikają ze znowelizowanej ustawy o ochronie danych osobowych. W związku ze znaczną modyfikacją obowiązków, pozycji i roli ABI w placówce medycznej poświęcamy tej tematyce numer specjalny. Powstaje więc pytanie, czy lepiej powołać niezależnego ABI, czy wskazać wewnętrznego ABI i pozostawić pełną odpowiedzialność formalną na administratorze danych? Wybór danego wariantu będzie zapewne uzależniony od struktury organizacyjnej jednostki, poziomu jej złożoności, rodzaju i liczby danych osobowych, od możliwości organizacyjnych i finansowych. Więcej na ten temat piszemy w artykule Niezależny ABI skontroluje placówkę na str. 3. Dodatkowo przed 1 stycznia 2015 r. prowadzenie kontroli stanu przestrzegania przepisów o ochronie danych osobowych prowadziło do wielu nieporozumień. Ma to zmienić rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. Określi ono ściśle zadania związane z prowadzeniem audytu, m.in. plan prowadzenia audytu i sposoby przygotowania sprawozdania. W projekcie zostały zawarte wytyczne, jak zorganizować i prowadzić audyt. Więcej na ten temat w artykule Audyt jako narzędzie kontroli na str. 8. Przy okazji zachęcam Państwa do przetestowania naszego portalu Zarządzanie w Ochronie Zdrowia, gdzie zamieszczamy wiele praktycznych artykułów poświęconych tematyce bezpieczeństwa danych. Teraz można go wypróbować przez 5 dni za darmo. Rejestracja zajmie tylko 15 sekund. Polecam Życzę udanej lektury Nasi eksperci: Janusz Atłachowicz Dobrawa Biadun Dorota Kaczmarczyk Dominika Kołodziejska- -Koza Aneta Naworska Agnieszka Pietrzak Jarosław Rosłon Arkadiusz Trela Anna Zubkowska- -Rojszczak wiceprezes Zarządu Głównego STOMOZ radca prawny, ekspert Konfederacji Lewiatan aplikantka radcowska przy Okręgowej Izbie Radców Prawnych w Krakowie adwokat, Kancelaria Adwokacka APDK w Warszawie radca prawny, Kancelaria Naworska Marszałek Jarzembska sp.k. w Toruniu adwokat, Kancelaria Adwokacka APDK w Warszawie dyrektor Międzyleskiego Szpitala Specjalistycznego w Warszawie pełnomocnik oraz trener systemów zarządzania wg ISO adwokat, prowadzi kancelarię adwokacką w Poznaniu

5 archiwum online: zpm.wip.pl Niezależny ABI skontroluje placówkę Nowelizacja ustawy o ochronie danych osobowych zwiększyła pozycję administratorów bezpieczeństwa informacji (ABI). Od 1 stycznia 2015 r. mogą samodzielnie nadzorować proces przetwarzania danych w placówce. Zmiany w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych wprowadziła ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, przyjęta w ramach tzw. IV pakietu deregulacyjnego. Nowe zasady ochrony danych osobowych dotyczą przede wszystkim: zmiany statusu administratorów bezpieczeństwa informacji (ABI), którzy będą nadzorować proces przetwarzania danych w firmie, zwolnienia ABI powołany przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestru GIODO do 30 czerwca. Jeżeli nie zostanie zgłoszony jego zadania przejmuje administrator danych osobowych czyli szef (właściciel, dyrektor) placówki. PIOTR GLEN administrator bezpieczeństwa informacji, audytor Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC z obowiązku zgłaszania zbiorów danych do GIODO w określonych przypadkach i ułatwienia transferu danych do państw trzecich. Najważniejsze zmiany praktyczne dotyczą jednak roli ABI oraz jego nowych zadań w organizacji. Powołanie i zgłoszenie ABI Artykuł 36a ustawy o ochronie danych osobowych mówi, że administrator danych, np. kierownik placówki medycznej, może powołać administratora bezpieczeństwa informacji, ale nie jest to obligatoryjne. Wtedy zgodnie z brzmieniem art. 36b w przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI będzie wykonywać administrator danych. W obu przypadkach musi więc w organizacji być ktoś, kto zapewni przestrzeganie przepisów o ochronie danych osobowych. Nie powołując ABI, nie rejestrując go u GIODO, administrator danych jest zwolniony np. z obowiązku sporządzania sprawozdań w formie określonej ustawą o ochronie danych osobowych. Wprawdzie nadal trzeba wtedy zgłaszać zbiory danych do GIODO, ale w przypadku niewielkich podmiotów jest to mniejsze obciążenie niż zapewnienie odpowiednich środków i organizacyjnej odrębności dla administratora bezpieczeństwa informacji niezbędnych do niezależnego wykonywania przez niego zadań określonych w ustawie. Natomiast te osoby, które wykonują nadzór nad ochroną danych w imieniu administratora danych, a nie są zarejestrowane u GIODO, możemy roboczo nazywać numer specjalny 3

6 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą wewnętrznym ABI. Chcąc być skutecznymi, wewnętrzni ABI także kontrolują zgodność przetwarzania danych z przepisami i sporządzają odpowiednie podsumowania czy raporty dla administratora danych osobowych. Czy więc oficjalnie powołać niezależnego ABI, czy wskazać wewnętrznego ABI i pozostawić pełną odpowiedzialność formalną na administratorze danych, to decyzja ADO. Wybór danego wariantu będzie zapewne uzależniony od struktury organizacyjnej jednostki, poziomu jej złożoności, rodzaju i liczby danych osobowych, od możliwości organizacyjnych i finansowych. Gdy w placówce nie zostanie wyznaczony ABI, obowiązki związane z ochroną danych osobowych spoczną na administratorze danych, który mimo to powinien wskazać konkretną osobę odpowiedzialną za ochronę danych osobowych w organizacji. Administrator danych, który zdecyduje się na powołanie administratora bezpieczeństwa informacji, jest zobowiązany zgłosić go do rejestracji Generalnemu Inspektorowi w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Wykreślenie ABI z rejestru następuje po powiadomieniu GIODO przez administratora danych o odwołaniu. Generalny Inspektor może również z urzędu wydać administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru, jeżeli dany ABI nie spełnia określonych warunków lub nie wykonuje swoich zadań. Sprawdzanie zgodności przetwarzania danych osobowych Do zadań administratora bezpieczeństwa informacji należą m.in.: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. ABI wprawdzie zawsze miał to robić, ale teraz obowiązek audytu wewnętrznego, sprawdzeń i sporządzania rocznych sprawozdań został szczegółowo określony. Trwają prace nad projektem rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. Projekt określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie. W projekcie opisano czynności, jakie należy podjąć w ramach sprawdzenia i w celu zweryfikowania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenie ma być dokonywane dla administratora danych, a czasami dla Generalnego Inspektora. Sprawdzenie dla administratora danych ma mieć charakter sprawdzenia planowego według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji lub sprawdzenia pozaplanowego w przypadku wystąpienia naruszenia ochrony danych osobowych. Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji (ale tylko wpisanego do rejestru GIODO) o przeprowadzenie sprawdzenia w danej placówce zgodności przetwarzania danych osobowych z przepisami wskazując zakres i termin sprawdzenia. Dzięki temu GIODO nie musi już osobiście (czyli w praktyce przez swoich inspektorów) odwiedzać z kontrolą administratora danych wystarczy, że otrzyma wyczerpujące odpowiedzi w danej sprawie od ABI. Dotyczy to jednak administratora danych, który powołał administratora bezpieczeństwa informacji i zgłosił go do GIODO. Zgłoszeń można dokonywać już od 1 stycznia 2015 r. na podstawie rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji obecnie pełniący tę rolę również będą musieli być zgłoszeni przez administratora danych do Generalnego Inspektora. Warto w tym miejscu wspomnieć i podkreślić, że w projektowanym rozporządzeniu nie ma mowy o regularnych sprawozdaniach sporządzanych przez ABI dla GIODO. Często spotykam się z wypowiedziami, że administrator 4 numer specjalny

7 archiwum online: zpm.wip.pl bezpieczeństwa informacji ma raz na rok przedstawić sprawozdanie do Generalnego Inspektora Ochrony Danych Osobowych z przestrzegania przepisów u swojego administratora danych. Otóż nie. Może jest to mylna interpretacja art. 19b ust. 1 ustawy o ochronie danych osobowych, który mówi, że Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru GIODO o dokonanie sprawdzenia u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia. Chodzi więc o to, że jeśli GIODO, zamiast przyjść od razu na kontrolę, zwróci się do ABI o wyjaśnienia, np. związane ze skargą osoby, której dane dotyczą, czy sprawdzenie z urzędu zakresu i celów przetwarzanych danych, to dopiero wtedy ABI za pośrednictwem ADO przesyła odpowiednie sprawozdanie, zgodne z ustawowymi wymogami. Nie róbmy z ABI szpiega GIODO opłacanego przez ADO. Tak czy inaczej administrator bezpieczeństwa informacji sprawuje nadzór nad przestrzeganiem przepisów o ochronie danych osobowych. Wykonuje w tym celu regularne sprawdzenia, kontrole, audyty wewnętrzne, zarówno planowe, jak i pozaplanowe wynikające z incydentów i jakichś konkretnych naruszeń bezpieczeństwa danych. Plan sprawdzeń ABI będzie zobowiązany do przedstawienia administratorowi danych planu sprawdzeń na dany okres, np. na kwartał lub na rok. W takim planie i harmonogramie kontroli powinno być określone co, kiedy, jak i przez kogo będzie sprawdzane. Sprawdzeniu podlegają zasady przetwarzania danych, tj. jakie dane gromadzimy, na podstawie jakich przepisów czy zgód, w jakim celu i czy zbierane dane są adekwatne do celów, w jakich je przetwarzamy. Sprawdzane muszą też być organizacyjne i techniczne środki bezpieczeństwa stosowane dla zapewnienia odpowiedniej ochrony przetwarzanym danym osobowym. Dokonując sprawdzeń, administrator bezpieczeństwa informacji wykonuje i dokumentuje podejmowane czynności. ABI może zbierać ustne lub pisemne wyjaśnienia od osób objętych sprawdzeniem. Przeprowadza oględziny miejsc przetwarzania danych osobowych, a także ma dostęp do urządzeń, nośników oraz systemów informatycznych Jakie zadania wykona ABI Sprawdzi zgodność przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracuje sprawozdania dla administratora danych w tym zakresie, nadzoruje opracowanie i aktualizowanie Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym oraz przestrzegania określonych w nich zasad, zapewnia zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, prowadzi rejestr zbiorów danych przetwarzanych przez administratora danych. służących do przetwarzania danych osobowych. Analizuje dokumenty dotyczące przetwarzania danych osobowych, np. umowy serwisowe i umowy powierzenia przetwarzania danych. Z tych czynności powinny być robione odpowiednie notatki, raporty czy wręcz protokoły. To wszystko będzie ujęte w okresowym sprawozdaniu dla administratora danych. Administrator bezpieczeństwa informacji, zwłaszcza w podmiocie leczniczym, powinien skrzętnie wykorzystać ustawowe narzędzie, jakim jest obowiązek przeprowadzenia sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, i zwracać uwagę dyrektorom czy prezesom na problemy w tym zakresie. Sprawozdanie powinno zawierać oznaczenie administratora danych i adres jego siedziby oraz imię i nazwisko administratora bezpieczeństwa informacji. ABI przedstawia wykaz czynności podjętych w toku sprawdzenia oraz imiona, nazwiska i stanowiska osób biorących udział w tych czynnościach, podaje datę rozpoczęcia i zakończenia sprawdzenia oraz wskazuje przedmiot i zakres sprawdzenia. Sprawozdanie streszcza opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami numer specjalny 5

8 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą o ochronie danych osobowych. Wskazuje się w nim stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem. Wcześniej tworzone raporty czy notatki wyszczególniamy jako załączniki stanowiące składową część sprawozdania. Sprawozdanie ABI podpisuje sprawozdanie, przedstawia do wiadomości i do podpisu administratorowi danych. ADO nie może odrzucić czy nie zgodzić się ze sprawozdaniem. Odnosi się do zawartych tam wniosków i rekomendowanych rozwiązań ewentualnych braków i uchybień, decydując o podjęciu lub niepodejmowaniu dodatkowych kroków i środków zapewniających ochronę danych osobowych. Na Politykę bezpieczeństwa informacji może składać się wiele różnych instrukcji, procedur, regulaminów itd. W dobie elektronicznej dokumentacji medycznej, nowelizowanej ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta i zwiększanej ochrony dla danych pacjenta, przy korzystaniu z usług zewnętrznych firm, zwłaszcza informatycznych, kwestii i obszarów do sprawdzania i szczególnej ochrony jest bardzo wiele. W placówce ochrony zdrowia, gdzie przetwarzane są przecież dane wrażliwe, związane ze stanem zdrowia, podlegające szczególnej prawnej ochronie, ustanawianie, wdrożenie, monitorowanie, utrzymanie i doskonalenie szeroko rozumianego systemu zarządzania bezpieczeństwem informacji powinno mieć kluczowe znaczenie. Nadzorowanie opracowania i aktualizowania dokumentacji Kolejnym zadaniem ABI jest nadzorowanie opracowania i aktualizowania dokumentacji, tj. Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych. Chodzi o to, aby dokumentacja była kompletna, zgodna z obowiązującymi przepisami oraz opisywała stan faktyczny w zakresie przetwarzania danych osobowych. Z zasadami określonymi w Polityce bezpieczeństwa informacji oraz z przepisami ochrony danych ABI ma obowiązek zapoznać wszystkie osoby upoważnione do przetwarzania danych osobowych. W jaki sposób to zrobi, to już kwestia wtórna. Może zorganizować szkolenie, instruktaż, odesłać do dokumentacji, przeprowadzić szkolenie online itp. Po jego odbyciu powinien pobrać od współpracowników oświadczenia o zapoznaniu się z obowiązującymi przepisami odnośnie do ochrony danych. Natomiast podmioty wykonujące zadania publiczne są zobowiązane do zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. Obowiązek Administrator danych osobowych to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przychodnia reprezentowana przez dyrektora. ten wynika z 20 ust. 2 pkt 6 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Bez obowiązku rejestrowania zbiorów danych u GIODO Administrator danych, który powoła administratora bezpieczeństwa informacji, będzie zwolniony z obowiązku rejestrowania zbiorów danych u GIODO, z wyjątkiem zbiorów zawierających dane wrażliwe, a podlegających zgłoszeniu. Obowiązek prowadzenia jawnego rejestru zbiorów jest zadaniem ABI. Jawnego, czyli na przykład opublikowanego na stronie internetowej administratora danych lub dostępnego na żądanie osoby, której dane dotyczą. W przygotowaniu i konsultacjach jest także rozporządzenie ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Niezależność i skuteczność ABI W zmienionych przepisach dużą wagę kładzie się na niezależność 6 numer specjalny

9 archiwum online: zpm.wip.pl i skuteczność administratora bezpieczeństwa informacji. Artykuł 36a ust. 4 mówi, że administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań określonych w przepisach. Kolejne ustępy 7 i 8 mówią, że administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Tym samym ABI powinien w strukturze organizacyjnej zajmować pozycję pozwalającą mu na skuteczne egzekwowanie przestrzegania przepisów ochrony danych. Jeżeli taką rolę pełni osoba na innym stanowisku, to jej obowiązki służbowe nie mogą kolidować z prawami i zadaniami ABI. W niektórych przypadkach zasadne jest wydzielenie na tę okoliczność samodzielnego stanowiska lub korzystanie z usług specjalisty zewnętrznego. Tak czy inaczej administrator danych jest zobowiązany do zapewnienia środków i organizacyjnej odrębności ABI niezbędnych do niezależnego wykonywania przez niego zadań. Kto może zostać ABI Administratorem bezpieczeństwa informacji może być osoba, która ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, ma odpowiednią wiedzę w zakresie ochrony danych osobowych. Nie ma natomiast mowy o żadnych certyfikatach, egzaminach czy studiach. Jednak Kto może pełnić funkcję abi i jakie ma przywileje Pełna zdolność do czynności prawnych oraz korzystanie z pełni praw publicznych, posiadanie odpowiedniej wiedzy z zakresu ochrony danych osobowych, niekaralność za przestępstwo popełnione z winy umyślnej, podległość bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych, zapewnienie przez podmiot środków i odrębności organizacyjnej umożliwiającej niezależne wykonywanie jego zadań. do prawidłowego wykonywania zadań ABI potrzebna jest szeroka wiedza i umiejętności z zakresu stosowania przepisów dotyczących przetwarzania danych osobowych. Te zaś dotyczą bardzo wielu aspektów związanych z prawem pracy, prawami konsumenta czy pacjenta, usługami świadczonymi drogą elektroniczną, administracją publiczną itd. ABI więc to po trosze prawnik, humanista, organizator. Warto pamiętać, że GIODO nie wystawia żadnych certyfikatów dla ABI, a także nie honoruje wystawianych przez jakiekolwiek firmy. Liczy się skuteczność. Do tego dochodzą jeszcze niełatwe kwestie zabezpieczeń informatycznych. Dlatego wskazane jest wydzielić także administratora systemu informatycznego ASI, głównego informatyka, który zadba o bezpieczną, ciągłą pracę systemów informatycznych, w których przetwarzane są dane osobowe. Administratorem bezpieczeństwa informacji może być osoba, która nie była karana za umyślne przestępstwo. Oznacza to przy okazji, że administrator danych może zażądać od kandydata na ABI oraz od osób powołanych na zastępców administratora bezpieczeństwa informacji zaświadczenia o niekaralności, a są to dane wrażliwe. Rola i pozycja administratorów bezpieczeństwa informacji wzrasta. Nowe regulacje, mimo że wprowadzone w ramach deregulacji, systematyzują kwestie dotyczące nadzoru nad bezpieczeństwem danych osobowych. Uprzedzają też przepisy unijnego rozporządzenia dotyczącego ochrony danych osobowych, które zapewne wejdzie w życie za jakiś czas i będzie obowiązywać wszystkie kraje członkowskie UE. Administratorzy danych powinni skorzystać z instytucji ABI, który będzie nadzorować cały proces przetwarzania danych i będzie swego rodzaju wewnętrznym inspektorem ochrony danych. O ile zapewne duże firmy, korporacje i instytucje nie będą miały z tym problemu, to małe i średnie firmy, a także jednostki organizacyjne miast i gmin mogą mieć mniejsze możliwości powołania kompetentnej osoby. Musi być jednak wskazany ktoś, kto będzie nadzorować przestrzeganie zasad ochrony danych osobowych. W ostateczności będzie to dyrektor, kierownik czy właściciel firmy. Chodzi przede wszystkim o skuteczne zabezpieczenie danych osobowych, które są dużą, wymierną wartością, również handlową. numer specjalny 7

10 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Audyt jako narzędzie kontroli Ściśle określone zadania związane z prowadzeniem audytu, m.in. plan prowadzenia audytu, sposoby jego prowadzenia oraz przygotowania sprawozdania te kwestie reguluje rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych, nad którym wciąż trwają prace. Rozporządzenie w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych ma, moim zdaniem, nieprecyzyjną nazwę. Sugeruje ona bowiem, że dotyczy realizacji (wszystkich) zadań (obowiązków) wynikających z ustawy o ochronie danych osobowych, podczas gdy obejmuje jedynie ściśle określone zadania związane z prowadzeniem audytu (plan prowadzenia audytu, sposób prowadzenia audytu, sposób przygotowania sprawozdania). Zawiera dodatkowo kilka zaskakujących rozwiązań, które mogą zmienić w praktyce w znaczny sposób tryb działania ABI w organizacji. Podstawą do wydania rozporządzenia jest art. 36a ustawy z 29 sierpnia 1997 r. o ochronie PIOTR JANISZEWSKI radca prawny, audytor w obszarze ochrony danych osobowych, administrator bezpieczeństwa informacji, uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO danych osobowych (wprowadzony do ustawy 1 stycznia 2015 r.). Jego 9 ustęp stanowi, że: Minister właściwy do spraw administracji publicznej określi, w drodze rozporządzenia: 1) tryb i sposób realizacji zadań, o których mowa w ust. 2 pkt 1 lit. a i b, 2) sposób prowadzenia rejestru zbiorów danych, o którym mowa w ust. 2 pkt 2 uwzględniając konieczność zapewnienia prawidłowości realizacji zadań administratora bezpieczeństwa informacji oraz niezależności i organizacyjnej odrębności w wykonywaniu przez niego zadań. Omawianego rozporządzenia dotyczy pkt 1. Z kolei ust. 2 pkt 1 stanowi, że: Do zadań administratora bezpieczeństwa informacji należy: 1) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, b) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz 8 numer specjalny

11 archiwum online: zpm.wip.pl przestrzegania zasad w niej określonych, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Zatem granice regulacji rozporządzenia wyznacza kwestia sprawdzenia zgodności przetwarzania danych osobowych z przepisami oraz nadzorowanie opracowania i aktualizowania dokumentacji. Dla porządku dodam tylko, że przez dokumentację rozumiemy Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Projekt rozporządzenia zawiera dwie nowe definicje: zsprawdzenie należy przez to rozumieć czynności mające na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, zsprawozdanie należy przez to rozumieć dokument, o którym mowa w art. 36c ustawy, opracowany przez administratora bezpieczeństwa informacji po dokonaniu sprawdzenia. Wytyczne dotyczące prowadzenia audytu Obydwie z wymienionych definicji dotyczą audytu. Mamy tutaj pierwszą zasadniczą nowość. O ile do chwili wejścia w życie omawianego rozporządzenia prowadzenie audytu z zakresu ochrony danych osobowych było dobrą praktyką, można było wywieść taki obowiązek z ogólnych zasad dotyczących ochrony danych osobowych, o tyle nigdzie nie mogliśmy znaleźć Uregulowanie zagadnień związanym z prowadzeniem i organizacją audytu w przepisach wykonawczych pomoże ujednolicić i podnieść poziom kontroli w obszarze ochrony danych osobowych. wytycznych, jak audyt zorganizować i prowadzić. Był to jeden z problemów, który stał na przeszkodzie właściwemu stosowaniu przepisów o ochronie danych osobowych. Każdy chyba się zgodzi, że aby chronić dane osobowe, niezbędne jest prowadzenie kontroli stanu przestrzegania przepisów o ochronie danych osobowych. Pytanie, jak to robić, prowadziło już niestety do wielu nieporozumień. Na rynku można spotkać organizacje, które traktują po macoszemu kwestie związane z ochroną danych osobowych (a więc i audyt), w ogóle go nie prowadząc albo prowadząc go w bardzo uproszczony i powierzchowny sposób. Być może uregulowanie tych zagadnień w przepisach wykonawczych do ustawy o ochronie danych osobowych pomoże ujednolicić i podnieść poziom kontroli w obszarze ochrony danych osobowych. Przepisy przejściowe We wcześniejszej wersji rozporządzenia przepisy przejściowe wskazywały, że wymagania dotyczące Najważniejsze zmiany/nowości przewidziane w projekcie rozporządzenia w sprawie realizacji zadań przez ABI 1. Rozróżnienie kontroli prowadzonej na wniosek GIODO oraz kontroli prowadzonej bez takiego wniosku. 2. Rozróżnienie kontroli planowej i nieplanowej (w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia przez administratora bezpieczeństwa informacji o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia). 3. Wprowadzenie planu sprawdzeń (planu kontroli). 4. Określenie zakresu audytu (weryfikacja stosowania art , 31 35, 36 39, 41, 47 48). 5. Określenie sposobów prowadzenia sprawdzenia (kontroli), tj. sporządzenia notatek, protokołu odebrania ustnych wyjaśnień, protokołu oględzin, odebrania kopii dokumentu, wydruku, obrazu, zapisów. 6. Wprowadzenie obowiązku udzielania wyjaśnień na rzecz ABI przez kontrolowaną osobę. 7. Określenie terminów prowadzenia sprawdzeń. 8. Obowiązek pouczania lub instruowania przez ABI osób nieprzestrzegających zasad określonych w dokumentacji przetwarzania danych osobowych o prawidłowym sposobie ich realizacji lub zawiadamianie administratora danych ze wskazaniem osób odpowiedzialnych za naruszenie tych zasad oraz jego zakresie. numer specjalny 9

12 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą sprawdzeń oraz nadzoru nad dokumentacją przetwarzania danych określone w rozporządzeniu uważa się za spełnione, jeżeli administrator danych wdrożył system zarządzania bezpieczeństwem informacji z uwzględnieniem Polskiej Normy PN-ISO/IEC 27001, pod warunkiem że system ten obejmuje ochronę danych osobowych, a osobą wykonującą określone w nim czynności jest administrator bezpieczeństwa informacji. Oznaczało to, że jeżeli organizacja wdrożyła wymienioną normę bez wyłączenia dotyczącego ochrony danych osobowych, a czynności wykonuje ABI, wtedy uznaje się, że wymogi z rozporządzenia zostały spełnione. Takie podejście, mimo że korzystne dla wielu osób mających ten certyfikat, zostało przeze mnie wcześniej skrytykowane. Z zadowoleniem więc przyjmuję, że najnowsza wersja rozporządzenia nie przewiduje tego typu rozwiązań. Fakt wdrożenia ISO w żaden sposób nie przekłada się na kwestie prawne związane z ochroną danych osobowych, jak choćby legalność podstaw przetwarzania danych osobowych. Fakt wdrożenia ISO w żaden sposób nie przekłada się na kwestie prawne związane z ochroną danych osobowych, jak choćby legalność podstaw przetwarzania danych osobowych. Oczywiście zazwyczaj oznacza to, że poziom techniczno-organizacyjny ochrony stoi na wysokim poziomie, jednak przeniesienie takiego wniosku automatycznie na kwestie prawne może budzić sprzeciw. 10 numer specjalny

13 archiwum online: zpm.wip.pl Uprawnienia kontrolne GIODO Placówki medyczne ze względu na liczbę i wrażliwy charakter przetwarzanych danych mogą często podlegać kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Co sprawdzi GIODO i jak poinformuje o kontroli? Przepisy, których przestrzeganie podlega kontroli GIO- DO, zawarte są w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (u.o.d.o.) oraz w wydanym na podstawie art. 39a tej ustawy rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, Podczas kontroli bardzo często badana jest zasadność przetwarzania danych osobowych, następnie dokumentacja (posiadanie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym), aż po fizyczne zabezpieczenie miejsc przetwarzania danych osobowych. jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Od strony podmiotowej zakres kontroli GIODO jest bardzo szeroki weryfikacji poddawane są podmioty należące zarówno do sfery publicznej, jak i prywatnej. Kontrola przetwarzania danych osobowych obejmuje zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji, jak i administratorów danych, którzy z mocy ustawy są z obowiązku rejestracji zwolnieni jakimi są placówki medyczne. W samej ustawie o ochronie danych osobowych regulacja dotycząca zasad i trybu kontroli jest bardzo lakoniczna. Stąd została ona uzupełniona o przepisy ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (rozdział 5 tego aktu) regulujące m.in. kwestie zawiadomienia, czasu trwania czy częstotliwości kontroli. Kontrola z inicjatywy GIODO i na wniosek Kontrola GIODO może być prowadzona z własnej inicjatywy organu, ale także w nawiązaniu do zgłoszonego wniosku, uwag czy zastrzeżeń. W praktyce właśnie niepokojące sygnały i zgłoszenia, czy to od poszczególnych osób, czy też doniesienia medialne np. o wycieku danych czy innym incydencie bezpieczeństwa, mogą wywołać zainteresowanie inspektorów GIODO w efekcie kontrolę. Podobnie jak w przypadku innych organów (np. Państwowej Inspekcji Pracy) kontrole GIODO są zapowiedziane (poza wyjątkami, kiedy brak takiego zawiadomienia dopuszczają przepisy np. przeprowadzenie kontroli jest niezbędne dla przeciwdziałania popełnieniu przestępstwa lub wykroczenia). numer specjalny 11

14 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Samo zawiadomienie następuje najczęściej za pośrednictwem poczty bądź faksu. Kontrolę wszczyna się nie wcześniej niż po upływie 7 dni i nie później niż przed upływem 30 dni od dnia doręczenia zawiadomienia o zamiarze wszczęcia kontroli. Jeżeli kontrola nie zostanie wszczęta w terminie 30 dni od dnia doręczenia zawiadomienia, wszczęcie kontroli wymaga ponownego zawiadomienia. Brak wcześniejszego zawiadomienia nie jest wystarczającą przyczyną odmowy wstępu inspektorom GIODO do siedziby kontrolowanej placówki. Zawiadomienie może wskazywać w szczególności: ztermin przeprowadzenia czynności kontrolnych, zprzedmiot i zakres kontroli, zwstępny zakres dokumentów wymaganych przez inspektorów GIODO. Brak wcześniejszego zawiadomienia nie jest wystarczającą przyczyną odmowy wstępu inspektorom do siedziby kontrolowanego administratora. Jest to natomiast podstawa do wniesienia do GIODO sprzeciwu. W toku czynności kontrolnych inspektorzy zwracają uwagę przede wszystkim (lecz nie wyłącznie) na następujące kwestie: zprzetwarzanie danych osobowych zgodnie z prawem, przede wszystkim czy podmiot gromadzi (przetwarza) dane osobowe na podstawie wskazanej w art. 23 (u.o.d.o.), a w zakresie danych wrażliwych (dane o stanie zdrowia) zgodnie z art. 27 (u.o.d.o.), zzabezpieczenie przetwarzanych danych np. czy dane osobowe zabezpieczane są zgodnie z wymogami technicznymi i organizacyjnymi przewidzianymi w ustawie o ochronie danych osobowych i przepisach wykonawczych, zzakres i cel przetwarzania danych osobowych, zwypełnianie przez kontrolowany podmiot obowiązków informacyjnych wobec osób, których dane są przetwarzane (w szczególności: poinformowanie tych osób o celu przetwarzania danych, o prawie dostępu do ich treści i dokonywania zmian, o dobrowolności wyrażenia zgody na przetwarzanie), zobowiązki w zakresie rejestracji zbioru danych w bazie GIODO. Kontrola jest zazwyczaj przeprowadzana na podstawie planu kontroli, który jest również przedstawiany kontrolowanemu. Plan kontroli zawiera zazwyczaj m.in.: zcel kontroli, zzakres kontroli i jej szczegółową tematykę (np. sposoby zabezpieczania danych osobowych, kompletność wymaganej prawem dokumentacji), ztermin czynności kontrolnych. Nie można odmówić inspektorom wstępu do siedziby administratora danych z tego powodu, że nie przedstawili planu kontroli. Skład inspektorów przeprowadzających kontrolę Kontrole przeprowadzają inspektorzy w zespołach kontrolnych składających się najczęściej z trzech osób dwóch pracowników (prawników) Departamentu Inspekcji Biura GIODO oraz jednego pracownika (informatyka) Departamentu Informatyki Biura GIODO. Czynności kontrolne na miejscu są prowadzone w siedzibie kontrolowanego podmiotu oraz w innym miejscu (np. jednostce organizacyjnej) wskazanym jako obszar przetwarzania danych osobowych. Uprawnienia pracowników Biura GIODO Upoważnieni pracownicy Biura GIODO mają prawo: wstępu, w godzinach od 6.00 do 22.00, za okazaniem imiennego upoważnienia i legitymacji służbowej do pomieszczeń, w których zlokalizowane są zbiory danych lub przetwarzane są dane, żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby, wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, np. statutu, regulaminu organizacyjnego, instrukcji kancelaryjnej, umowy powierzenia danych do przetwarzania, decyzji i zarządzeń określających procedury przetwarzania danych, przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych. 12 numer specjalny

15 archiwum online: zpm.wip.pl Same kontrole trwają z reguły około kilku dni (2 4). Czynności kontrolne są prowadzone w obecności osoby wskazanej przez kontrolowanego. Kontrolowany ma obowiązek umożliwić inspektorowi GIODO przeprowadzenie niezbędnych czynności oraz udostępnić żądane dokumenty i nośniki informacji. Na żądanie inspektora kontrolowany jest obowiązany wydać kopie wskazanych dokumentów oraz tzw. zrzuty (wydruki) z ekranu komputera. Kontrole trwają z reguły około 2 4 dni i przeprowadzane są przez trzech inspektorów (dwóch prawników i informatyka). Powinien czynnie uczestniczyć w prowadzonej kontroli: udzielać wyjaśnień, zapewnić terminowe udzielanie informacji przez podległych pracowników i inne osoby uczestniczące w procesie przetwarzania danych, być do dyspozycji w czasie trwania kontroli w celu zapewnienia sprawnego jej przebiegu. Po zakończeniu czynności kontrolnych inspektorzy sporządzają protokół kontroli (często jest on przygotowywany roboczo już podczas kontroli). Jeden egzemplarz tego protokołu doręczany jest kontrolowanemu administratorowi danych (prezesowi, dyrektorowi Podczas kontroli GIODO sprawdzane jest m.in. fizyczne zabezpieczenie miejsc przetwarzania danych osobowych placówki). W toku samej kontroli bardzo często badane są przede wszystkim kwestie podstawy dla przetwarzania danych osobowych, następnie dokumentacja (czy dany administrator ma Politykę bezpieczeństwa oraz Instrukcję zarządzania systemem informatycznym), aż po kwestie związane z bezpieczeństwem m.in. fizyczne zabezpieczenie stref przetwarzania danych osobowych. W zakresie protokołu kontroli kontrolowanemu przysługują następujące uprawnienia: zprawo wniesienia umotywowanych uwag i zastrzeżeń odnośnie do jego treści, zprawo odmowy podpisania protokołu kontroli (ma to szczególne znaczenie w przypadku nieuwzględnienia przez inspektora uwag i zastrzeżeń kontrolowanego wykonanie tego uprawnienia wskazuje, że kontrolowany nie zgadza się z wynikami kontroli. W takim wypadku inspektor powinien Na podstawie wyników kontroli GIODO może zostać wszczęte postępowanie administracyjne. wskazać w protokole przyczyny odmowy podpisu, a kontrolowany może w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO). Na podstawie wyników kontroli może nastąpić wszczęcie postępowania administracyjnego (art Kodeksu postępowania administracyjnego). W praktyce następuje to kilka do kilkudziesięciu dni po zakończeniu kontroli. Zawiadomienie o wszczęciu postępowania przesyłane jest kontrolowanemu podmiotowi. Zawiera ono m.in. wyszczególnienie stwierdzonych podczas kontroli uchybień dotyczących przedmiotu postępowania. W zawiadomieniu wymienione są przepisy o ochronie danych osobowych, które zostały naruszone (uzasadnienie prawne), oraz opis stanu faktycznego ze wskazaniem dowodów, na podstawie których został on ustalony (uzasadnienie faktyczne). Ponadto kontrolowany podmiot jest informowany o prawie złożenia dodatkowych wyjaśnień i o prawie przesłania uzupełniających dowodów (np. dokumentów lub wydruków z systemu informatycznego) potwierdzających usunięcie stwierdzonych uchybień. Jednocześnie zostaje określony numer specjalny 13

16 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą termin, w jakim może nastąpić realizacja tego prawa. W sytuacji gdy kontrolowany nie skorzysta z przysługującego mu uprawnienia, decyzja kończąca postępowanie zostanie wydana na podstawie materiału dowodowego zebranego w toku kontroli, o czym również kontrolowany podmiot jest informowany. Decyzje pokontrolne wydawane przez GIODO W wyniku przeprowadzonej kontroli GIODO wydaje decyzje: znakazujące przywrócenie stanu zgodnego z prawem, jeżeli zostały naruszone przepisy o ochronie danych osobowych (treść nakazu wynika z art. 18 u.o.d.o.), zumarzające postępowanie jako bezprzedmiotowe, jeżeli postępowanie administracyjne zostało wszczęte w wyniku stwierdzonych w toku kontroli uchybień, a w czasie postępowania kontrolowany podmiot je usunął i przywrócił stan zgodny z prawem. W drodze decyzji administracyjnej nakazującej przywrócenie stanu zgodnego z prawem GIODO może żądać: zusunięcia stwierdzonych uchybień, zuzupełnienia, uaktualnienia, sprostowania, udostępnienia lub nieudostępnienia danych osobowych, Kontrolowany ma prawo odmówić podpisania protokołu, jeśli nie zgadza się z wynikami kontroli. Może wtedy w terminie 7 dni przedstawić swoje stanowisko na piśmie GIODO. Co powinno zawierać imienne upoważnienie inspektora Wskazanie podstawy prawnej przeprowadzenia kontroli, oznaczenie organu kontroli, imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej, określenie zakresu przedmiotowego kontroli, oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli, wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli, podpis Generalnego Inspektora, pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach, datę i miejsce wystawienia imiennego upoważnienia. zzastosowania dodatkowych środków zabezpieczających zgromadzone dane osobowe, zwstrzymania przekazywania danych osobowych do państwa trzeciego, zzabezpieczenia danych lub przekazania ich innym podmiotom, zusunięcia danych osobowych. Jeżeli kontrolowany podmiot kwestionuje skierowaną do niego decyzję, może zwrócić się do GIODO z wnioskiem o ponowne rozpatrzenie sprawy (art. 21 ust. 1 u.o.d.o.). Następnie GIODO może swoją decyzję uchylić albo utrzymać w mocy. Na decyzję Generalnego Inspektora Ochrony Danych Osobowych wydaną w przedmiocie wniosku o ponowne rozpatrzenie sprawy przysługuje kontrolowanemu skarga do sądu administracyjnego (art. 21 ust. 2 u.o.d.o.). Do postępowania sądowo-administracyjnego z tego zakresu stosuje się przepisy dotyczące procedury administracyjnej (Kodeks postępowania administracyjnego). Jeżeli wyniki kontroli będą wskazywać, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej wyczerpuje znamiona przestępstw określonych w ustawie, wówczas Generalny Inspektor Ochrony Danych Osobowych jest zobowiązany złożyć zawiadomienie o popełnieniu przestępstwa do policji lub prokuratury. Do zawiadomienia dołącza zgromadzone podczas czynności kontrolnych dowody dokumentujące podejrzenie popełnienia wskazanego czynu zabronionego. Materiał dowodowy, będący podstawą skierowania zawiadomienia, jest zatem pozyskiwany przez GIODO w wyniku bezpośredniej i szczegółowej kontroli podmiotu przetwarzającego dane osobowe. 14 numer specjalny

17 archiwum online: zpm.wip.pl Co skontroluje GIODO Podczas kontroli inspektorzy kontrolują co najmniej 13 obszarów związanych z zapewnieniem bezpieczeństwa danym medycznym. Kontrola przeprowadzana przez Generalnego Inspektora Ochrony Danych Osobowych obejmuje sprawdzenie działań placówki związanych z przetwarzaniem danych pacjentów. Ewidencje danych osobowych pacjentów leczonych w placówkach medycznych są zwolnione z rejestracji u Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Sankcjonuje to art. 43 ustawy o ochronie danych osobowych. Abolicja ta nie dotyczy jednak innych zbiorów danych osobowych tworzonych w przychodni. Nie obejmuje więc osób niebędących pacjentami, np. upoważnionych do odbioru wyników badań. Rejestry takie trzeba już zgłaszać do GIODO. Takich zawiłości związanych z przetwarzaniem i ochroną danych osobowych jest wiele, mogą one wyjść przy kontroli przeprowadzanej przez inspektorów. Zbiory danych zwolnione z rejestracji Podczas kontroli GIODO inspektorzy sprawdzają, czy prowadzone przez kontrolowaną placówkę medyczną zbiory danych podlegają czy też są zwolnione z rejestracji. A także czy zgłoszono je do Biura GIODO. Należy pamiętać, że zwolnienie z rejestracji w żadnym wypadku nie zwalnia z ochrony danych. Administrator bezpieczeństwa informacji (ABI) w danej placówce musi prowadzić wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych służących do przetwarzania danych w tych zbiorach. Administrator bezpieczeństwa informacji (ABI) to osoba wyznaczona przez administratora danych, nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych i informacji chronionych prawem. Każdy administrator powinien być świadomy posiadanych aktywów. Dodatkowo trzeba przeprowadzić inwentaryzację oprogramowania i mieć pewność, że wszystkie programy i systemy informatyczne są użytkowane legalnie, z zachowaniem praw autorskich i licencji. Wprawdzie tę kwestię GIODO kontroluje rzadziej, ale stwierdzone w protokole nieprawidłowości mogą zachęcić inne uprawnione instytucje do przeprowadzenia swojej kontroli. Zanim przyjadą inspektorzy GIODO, reprezentujący placówkę medyczną ABI powinien zastanowić się, w jaki sposób system zabezpiecza dane medyczne pacjentów przed niepowołanym dostępem. Czy jest tak zabezpieczony przed skutkami awarii, aby w jej przypadku dokumenty nie zostały utracone? Czy i w jaki sposób tworzone są kopie zapasowe? O te elementy ochrony na pewno zapytają kontrolerzy. numer specjalny 15

18 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Inne środki bezpieczeństwa w zakresie zabezpieczeń technicznych i fizycznych, jakie będą sprawdzane, to m.in. dostęp do pomieszczeń, w których są przetwarzane dane osobowe. Powinien być on zagwarantowany jedynie osobom upoważnionym, a pozostałym pod nadzorem takich osób. Natomiast tam, gdzie nie można wyodrębnić pomieszczenia, np. w rejestracji czy w recepcji, dane medyczne i osobowe nie mogą być dostępne dla osób nieuprawnionych. Trzeba więc uważać na to, co jest widoczne na monitorach komputerów oraz czy wyniki badań nie są umieszczone na ladzie, przy której rejestrują się pacjenci. Nieporządek i brak rozwagi to częste przyczyny utraty lub naruszenia ochrony danych osobowych. Upoważnienie pracowników do przetwarzania danych Inspektorzy na pewno skontrolują, czy wszystkie osoby biorące udział w przetwarzaniu danych mają odpowiednie upoważnienia nadane przez administratora. Forma takich upoważnień może być różna, ale każda osoba musi wiedzieć, do jakich danych, w jakim zakresie i w jakim celu może mieć dostęp oraz co z nimi może zrobić. Administrator musi też prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych. Taki dokument musi zawierać: zimię i nazwisko osoby upoważnionej, zdatę nadania upoważnienia, zdatę ustania upoważnienia, zzakres upoważnienia, zidentyfikator użytkownika w systemie IT. 13 obszarów kontroli GIODO Podczas kontroli inspektorzy GIODO sprawdzą, czy: 1. Właściwe zbiory danych są zarejestrowane w GIODO. 2. Istnieje wykaz zbiorów danych osobowych. 3. Pomieszczenia, w których przetwarzane są dane osobowe, są zabezpieczone przed dostępem osób nieupoważnionych. 4. Dane osobowe nie są widoczne na monitorach dla osób trzecich. 5. Wszystkie osoby biorące udział w przetwarzaniu danych mają upoważnienia. 6. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych. 7. Osobom nowo zatrudnionym wydano upoważnienia i zostały umieszczone w ewidencji, a byłym pracownikom zostały one zablokowane. 8. W koszach na śmieci znajdują się dokumenty medyczne (powinny być niszczone lub przekazywane wyspecjalizowanej w tym firmie). 9. Placówka podpisała umowy na powierzenie przetwarzania danych osobowych z firmami zewnętrznymi, np. biurem księgowym, laboratorium, firmą informatyczną. 10. Dostęp do systemu informatycznego jest zabezpieczony za pomocą indywidualnych haseł. 11. System informatyczny jest chroniony przed wirusami i oprogramowaniem hakerskim. 12. System jest zabezpieczony przed skutkami awarii, tak aby w jej przypadku dokumenty nie zostały utracone. 13. Placówka posiada: Politykę bezpieczeństwa informacji (wydrukowaną, formalnie zatwierdzoną i wdrożoną) oraz Instrukcję zarządzania systemem informatycznym. Inspektorzy zapewne skontrolują, czy każda nowo zatrudniona osoba otrzymała już stosowne upoważnienie i została umieszczona w ewidencji. To, o czym mogą zapomnieć administratorzy, to zablokowanie uprawnień w systemie wobec pracowników, z którymi rozwiązano stosunek pracy. Sprawdzenia tego elementu nie pominą natomiast kontrolerzy. Przy okazji nadawania upoważnień trzeba zadbać o zobowiązanie osób przetwarzających dane do zachowania tajemnicy danych osobowych. Kontrola systemu utylizacji dokumentacji medycznej Podczas kontroli ustala się również wszelkie poboczne sposoby przetwarzania danych osobowych. Czasami wiele informacji zdradzają śmieci. Zdarza się, że na śmietnikach znajdowane są całe dokumenty medyczne. Żeby temu przeciwdziałać, należy niszczyć 16 numer specjalny

19 archiwum online: zpm.wip.pl Wzór upoważnienia do przetwarzania danych osobowych UPOWAŻNIENIE NR... DO PRZETWARZANIA DANYCH OSOBOWYCH Z dniem... r., na podstawie art. 37 w związku z art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), upoważniam... do przetwarzania, w ramach wykonywanych obowiązków służbowych, następujących zbiorów danych osobowych:... Upoważnienie obowiązuje do dnia odwołania, nie później jednak niż do dnia... Upoważnienie wygasa z chwilą ustania Pana/Pani* zatrudnienia w: (czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień) dokumenty w niszczarce lub korzystać z usług wyspecjalizowanych firm zewnętrznych. Przy tej okazji należy pamiętać, że jeśli placówka korzysta z jakichkolwiek usług firm zewnętrznych (np. biura księgowego, laboratorium, firmy informatycznej), które mogą mieć możliwość dostępu do danych administratora, należy zawrzeć odpowiednią umowę powierzenia przetwarzania danych osobowych. Kanały przekazywania danych podmiotom trzecim są żelaznym elementem kontroli GIODO. W każdym przypadku administrator danych musi wiedzieć, komu, w jakim zakresie, w jakim celu powierza dane, i mieć gwarancję, że nie są one wykorzystane w inny sposób. Inspektorzy GIODO sprawdzają formę uregulowania powierzenia danych zewnętrznym podmiotom (umowę powierzenia przetwarzania danych). Jeśli chodzi o techniczne środki bezpieczeństwa bardzo ważny jest proces uwierzytelniania w systemie operacyjnym komputera, w którym przetwarzane są dane medyczne i osobowe. Musi on PRZYKŁAD być zabezpieczony co najmniej z wykorzystaniem identyfikatora użytkownika i hasła. Są i zapewne będą wykorzystywane coraz wyższe metody uwierzytelniania, ale tam, gdzie wymagane jest hasło, musi ono mieć odpowiednią długość, składnię i częstotliwość zmiany. Hasło nie może być ujawniane, ODWIEZIONE POD ZŁY ADRES Błędy związane z przetwarzaniem danych mogą mieć różne skutki. Mniej groźna sytuacja wydarzyła się w jednym z pomorskich szpitali, gdzie źle zweryfikowano nazwiska i adresy pacjentek. Cierpiące na afazję po udarze mózgu nie mówiły. Po wypisaniu z placówki zostały odwiezione, lecz nie do swoich domów. Skończyło się na szczęście tylko na zdenerwowaniu, strachu i przeprosinach. Bywają niestety bardziej brzemienne w skutkach pomyłki. Podczas procesu leczenia czy podawania leków jakakolwiek pomyłka może grozić powikłaniami, trwałą utratą zdrowia, a nawet życia. numer specjalny 17

20 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą pożyczane, zapamiętywane na obcych komputerach itd. Bardzo ważne jest zagwarantowanie rozliczalności, tj. właściwości zapewniającej, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie. System informatyczny musi być chroniony przed wirusami i innym szkodliwym oprogramowaniem. Środki takiej ochrony są również przedmiotem kontroli GIODO. Oczywiście całościową ocenę bezpieczeństwa danych w placówce inspektor powinien rozpocząć od analizy dokumentów określających politykę bezpieczeństwa, tj. przede wszystkim Polityki bezpieczeństwa informacji i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych. Takie dokumenty Administrator systemu informatycznego (ASI) to informatyk wyznaczony przez administratora danych, odpowiedzialny za prawidłowe funkcjonowanie sprzętu, oprogramowania i jego konserwację, techniczno-organizacyjną obsługę systemu teleinformatycznego. w formie wydrukowanej, formalnie zatwierdzonej i wdrożonej, musi posiadać każdy administrator danych. Nie powinny one jednak być kolejnym segregatorem na półce. Opisane procedury muszą być zrozumiałe i stosowane w praktyce, aby faktycznie zabezpieczać dane i minimalizować ryzyko ich utraty czy uszkodzenia. Kontrolerzy pomagają w przestrzeganiu przepisów Administratorzy danych nie powinni się jednak obawiać inspektorów GIODO, ale raczej zagrożeń, z powodu których dane osobowe, a zwłaszcza wrażliwe, m.in. medyczne, są łupem o ogromnej wartości. Zanim inspekcja sięgnie po różnego rodzaju kary, najpierw sprawdzi obecny stan ochrony danych, wskaże ewentualne uchybienia, opisze je w stosownych raportach i pozwoli odnieść się do uwag administratorowi danych. W przypadku drastycznych zaniedbań GIODO może wydać wniosek o wszczęcie postępowania dyscyplinarnego, nałożyć grzywnę, a w skrajnych przypadkach nawet złożyć zawiadomienie o popełnieniu przestępstwa. Dla przykładu, za przetwarzanie danych wrażliwych niezgodnie z przepisami przewidziana jest kara do 3 lat pozbawienia lub ograniczenia Administratorzy danych nie powinni obawiać się kontroli GIODO, lecz innych zagrożeń i przyczyn, dla których dane osobowe, a zwłaszcza wrażliwe, m.in. medyczne, są łupem o ogromnej wartości. wolności. A zatem za naruszenia bezpieczeństwa danych, uchybienia i łamanie przepisów dotyczących ochrony danych osobowych grozi odpowiedzialność administracyjna, dyscyplinarna, karna, finansowa, a coraz częściej też odszkodowawcza. Kontrola GIODO nie jest jednak tak dokuczliwa, jak straty dla działań organizacyjnych, biznesowych i finansowych instytucji spowodowane wyciekiem czy utratą danych osobowych. Dlatego też nie tylko ze względu na uprawnienia kontrolne GIODO, które pozwalają sprawdzać zarówno podmioty z sektora publicznego, jak i prywatne, ale przede wszystkim ze względów praktycznych placówka medyczna powinna przestrzegać przepisów z zakresu ochrony danych osobowych i medycznych oraz realizować procedury polityki bezpieczeństwa informacji. Bezpłatne konto testowe na portalu serwiszoz.pl XX Wypróbuj nasz portal za darmo i zyskaj dostęp do 5 zamkniętych treści. X Wykorzystaj 5-dniowy darmowy dostęp! X Zarejestruj się. To zajmie tylko 15 sekund! Wejdź na i śledź blogi naszych ekspertów na bieżąco. 18 numer specjalny

21 archiwum online: zpm.wip.pl GIODO sprawdzi cel gromadzenia danych Kontrolowany podmiot musi uzasadnić potrzebę przetwarzania danych osobowych w stosunku do celu, w jakim je pozyskał, lub podać przepis uprawniający do przetwarzania określonych danych. GIODO kontroluje realizację jednej z podstawowych zasad dotyczącej przetwarzania danych zasadę celowości. Chodzi o to, aby zbierać dane do oznaczonych, zgodnych z prawem celów i nie poddawać ich dalszemu przetwarzaniu niezgodnemu z nimi. Placówki medyczne nie mogą więc zbierać danych na zapas, bo się przydadzą, lub na wszelki wypadek. Tym samym tworzenie wewnętrznych zestawień na podstawie dodatkowych danych jest najczęściej sprzeczne z prawem. Inspektor sprawdza również, w jaki sposób realizowany jest obowiązek informacyjny, tzn.: zjak jest informowana każda osoba, której dane dotyczą, zkto jest administratorem danych, zw jakim celu i jakie dane są pozyskiwane, zczy podanie danych jest obowiązkowe czy dobrowolne. Jeżeli jest obowiązkowe, należy wskazać podstawę prawną, gdy dobrowolne, trzeba mieć odnotowaną zgodę osoby, której dane dotyczą. Jeżeli dane zostały pozyskane z innego źródła niż osoba, której one dotyczą, trzeba wskazać to źródło. Jeśli dane miałyby być przekazywane tzw. odbiorcom, czyli podmiotom innym niż uprawnione, należy informować o przewidywanych odbiorcach lub ich kategoriach. Informowanie o zasadach udostępniania dokumentacji Osoba, której dane dotyczą, musi być świadoma, że przysługuje jej prawo wglądu w swoje dane. Przy tej okazji należy pamiętać, że podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej przez pacjenta. Placówka medyczna powinna więc w dokumentacji zamieścić odpowiednie upoważnienie uzyskane od pacjenta. Informowanie o zasadach udostępniania dokumentacji medycznej ma mieć charakter indywidualny i zrozumiały dla odbiorcy. Należy więc odpowiednio zredagować klauzule informacyjne, politykę prywatności, formularze zgłoszeniowe itp. Każdy administrator danych powinien być świadomy posiadanych aktywów, czyli wszystkiego, co ma dla instytucji wartość. Naruszenie bezpieczeństwa danych Podmiot medyczny przechowujący dokumentację medyczną musi mieć procedury postępowania na wypadek zdarzeń polegających na naruszeniu bezpieczeństwa danych medycznych. Zdarzenie może wyniknąć nieprzewidzianie, ale pracownicy muszą wiedzieć, jak należy postąpić w danej sytuacji. Wszyscy pracownicy placówki muszą być poinformowani o sposobie postępowania w przypadku powstania zagrożenia dla bezpieczeństwa danych. Co ważne, nawet numer specjalny 19

22 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Administrator bezpieczeństwa informacji musi prowadzić wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych służących do przetwarzania danych w tych zbiorach. rozwiązanie problemu we własnym zakresie, np. przez pracownika, nie może pozostać bez zgłoszenia przełożonemu (lub administratorowi bezpieczeństwa informacji). Każde zdarzenie musi być odnotowane i przeanalizowane po to, żeby uniknąć podobnych sytuacji w przyszłości. Informacja taka pozwala ABI identyfikować potencjalne słabości systemu informatycznego lub organizacji pracy placówki. Naruszenie bezpieczeństwa informacji Za wypracowanie procedury zgłaszania zdarzeń naruszających bezpieczeństwo danych odpowiada właściciel placówki. Wraz z pozostałym kierownictwem powinien opracować procedurę i poinformować o niej wszystkich pracowników. Taki schemat postępowania powinien zostać oparty na kilku kluczowych zasadach: zkażdy pracownik ma obowiązek niezwłocznego zgłaszania wszystkich zdarzeń mających związek z bezpieczeństwem informacji, zinformację o zdarzeniu należy przekazać wskazanej osobie odpowiedzialnej (przełożony, ABI, ASI lub inna wyznaczona osoba) w określony sposób: pocztą , telefonicznie, za pośrednictwem systemu zgłoszeniowego itd., zniedopuszczalne jest, aby zdarzenie mogące mieć wpływ na bezpieczeństwo systemu czy danych nie było formalnie zgłoszone, nawet jeśli problem został rozwiązany we własnym zakresie, zosoba odbierająca zgłoszenie dokonuje jego rejestracji oraz przesyła informację zwrotną do osoby zgłaszającej, a następnie dokonuje kategoryzacji zgłoszenia. Konieczne jest też wyznaczenie osoby odpowiedzialnej za zbadanie i przeanalizowanie danego naruszenia przepisów czy bezpieczeństwa przetwarzanych danych wrażliwych. W sytuacji gdy po analizie zdarzenia okaże się, że wyznaczona osoba odpowiedzialna nie ma uprawnień lub kompetencji do podjęcia właściwych działań rozstrzygających lub zabezpieczających, to przekazuje zgłoszenie do przełożonego. W konsekwencji może okazać się, że zdarzenia krytyczne zgłaszane będą bezpośrednio do wykonawcy systemu informatycznego obsługującego przetwarzanie e-dokumentacji. Postępowanie dyscyplinarne wobec pracowników W większości przypadków to nie błąd aplikacji czy sprzętu, ale ludzka niefrasobliwość są przyczynami zagrożenia bezpieczeństwa danych pacjentów. W przypadku pracowników, którzy naruszyli obowiązujące zasady bezpieczeństwa, zaleca się stosowanie formalnego postępowania dyscyplinarnego. Takie postępowanie powinno być prowadzone wyłącznie po zgromadzeniu dowodów, po upewnieniu się, że nastąpiło naruszenie stopniowane w zależności od rodzaju, wagi naruszenia, okoliczności, faktu, czy pracownik został wcześniej przeszkolony itd. W procedurze postępowania na wypadek naruszenia bezpieczeństwa informacji powinny być określone również sankcje dla osób, które naruszyły procedury bezpieczeństwa. Postępowanie dyscyplinarne ma stanowić również swego rodzaju środek odstraszający dla pracowników, którzy byliby skłonni do lekceważenia zasad bezpieczeństwa. Takie postępowanie powinno być prowadzone zgodnie z obowiązującymi przepisami, w tym m.in.: wynikającymi z Kodeksu pracy, regulaminu organizacji oraz przepisami szczególnymi dotyczącymi pracowników. W przypadku gdy naruszenie zasad bezpieczeństwa prowadzi do szkody po stronie pracodawcy, może on dochodzić odszkodowań zgodnie z przepisami Prawa pracy. Jeśli naruszenie to jest jednocześnie czynem zabronionym, w myśl przepisów karnych, pracodawca jest zobowiązany zgłosić zawiadomienie o popełnieniu przestępstwa do właściwych organów. W przypadku gdy działania podejmowane po wystąpieniu incydentu bezpieczeństwa wymagają użycia kroków prawnych, należy gromadzić, przechowywać oraz przedstawić materiał dowodowy zgodnie z obowiązującym prawem. Zaleca się, żeby w podmiocie medycznym istniały mechanizmy służące do analizy incydentów związanych z bezpieczeństwem informacji (np.: rodzajów, rozmiarów i kosztów incydentów), co umożliwi wyciąganie wniosków. 20 numer specjalny

23 archiwum online: zpm.wip.pl Jak skutecznie chronić dane medyczne Zabezpieczając dane osobowe i medyczne podlegające ochronie, należy stosować zasadę czystego biurka i czystego ekranu. Chodzi o to, aby zwłaszcza po zakończeniu pracy dokumenty papierowe i nośniki elektroniczne chować m.in. do zamykanych szaf. Wprzypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu powinno się umieszczać wszelkie dokumenty i nośniki zawierające dane osobowe w bezpiecznym miejscu, np. zamykanej W przepisach nie ma wprawdzie mowy o obowiązkowych metalowych, zamykanych na klucz szafach, ale dane osobowe, a zwłaszcza dane medyczne powinno się trzymać pod kluczem. W przeciwnym razie do takiego pomieszczenia, w którym są dokumenty zawierające dane osobowe, nie powinna mieć dostępu żadna osoba po godzinach pracy osób upoważnionych. szafce, w celu uniemożliwienia dostępu do nich osobom nieuprawnionym. Nie należy również pozostawiać dokumentów i nośników w łatwo dostępnych miejscach, np. przy drukarkach. Polityka czystego ekranu mówi o tym, że w przypadku opuszczenia stanowiska pracy pracownik jest zobowiązany do wylogowania się z aplikacji lub zablokowania dostępu do pulpitu stacji roboczej, żeby uniemożliwić dostęp do systemu lub aplikacji osobie nieupoważnionej. Stąd obowiązek instalowania wygaszaczy ekranów zabezpieczonych hasłem i umiejętność blokowania stanowiska pracy. Przechowywanie dokumentacji papierowej Jeśli chodzi o przechowywanie danych osobowych czy dokumentacji medycznej w wersji papierowej, przepisy ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (u.o.d.o.) nie określają szczegółowych warunków postępowania. Administrator danych jest jednak zobowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Przede wszystkim powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 u.o.d.o.). Z kolei z 73 rozporządzenia ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania wynika, że podmiot zapewnia odpowiednie warunki zabezpieczające dokumentację numer specjalny 21

24 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiające jej wykorzystanie bez zbędnej zwłoki. Przebywanie osób nieuprawnionych w pomieszczeniach, w których są dane chronione, jest dopuszczalne jedynie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych (załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Oznacza to, że nie można interesanta, pacjenta czy dostawcy zostawić samego w pokoju, gdzie znajdują się dane. Gospodarka kluczami do pomieszczeń Niezbędne jest stworzenie skutecznej gospodarki kluczami. Chodzi o to, aby było wiadomo, kto i na jakich zasadach ma dostęp i do którego pomieszczenia. Należy sobie zadać następujące pytania czy klucze są w posiadaniu upoważnionych użytkowników i czy jest to udokumentowane? Jeżeli klucze są zdawane i pobierane, to jak są zabezpieczone przed dostępem dla osób nieuprawnionych? Jeśli funkcjonuje system kontroli dostępu w postaci kart zbliżeniowych, zamków kodowanych, systemów alarmowych to czy upoważnieni użytkownicy mają indywidualne kody, PIN-y, hasła? Jak już zamkniemy szafy z dokumentami, wyjmiemy kluczyki z zamków i schowamy je np. do zamykanej szuflady czy kasetki, to czy kluczyk do kluczyków nie jest deponowany w umówionym miejscu, którym najczęściej jest doniczka czy kubek z długopisami? W takich sytuacjach dobrym rozwiązaniem są skrzynki na klucze zamykane na szyfr. Uważajmy też na awaryjne komplety kluczy zapasowych lub na tzw. klucze generały (Master Key), aby nie były ogólnodostępne, a ich użycie było widoczne i odnotowane. Ochrona danych to ciągły proces Jeśli zastosujemy podstawowe środki ochrony danych osobowych, nie trzeba się obawiać odwiedzin interesantów czy dziennikarzy w placówce. Pamiętajmy jednak, że ustawa o ochronie danych osobowych określa ogólne zasady postępowania przy przetwarzaniu danych medycznych. Dlatego w pierwszej kolejności trzeba stosować przepisy szczegółowe, branżowe, wynikające z ustaw obowiązujących w konkretnej sytuacji danego administratora danych. Dane osobowe, a zwłaszcza wrażliwe, jakimi są między innymi informacje o stanie zdrowia, chronimy zawsze i ze szczególną starannością. Robimy wszystko, aby się nie dostały w niepowołane oczy, uszy, ręce, miejsce. Ochrona serwerów placówki przed atakiem hakerów Cyfryzacja ochrony zdrowia rodzi nowe zagrożenia. Powoduje, że kradzież danych może być dokonana zdalnie i na masową skalę. Wymusza więc jednoczesne zastosowanie urządzeń i oprogramowania do ochrony elektronicznych danych o pacjentach. Przechodzenie podmiotów ochrony zdrowia na elektroniczną dokumentację medyczną wymusza odpowiednie zagwarantowanie bezpieczeństwa obiegu danych medycznych. Jakość stosowanych zabezpieczeń, jeszcze niedoceniana, stanie się priorytetem, gdy systemy te będą użytkowane powszechnie. W kraju mamy już doświadczenia ze skuteczną ochroną przed atakiem zarówno hakerów, jak i wirusów komputerowych. Wojewódzki Szpital Specjalistyczny we Wrocławiu jako pierwszy w Europie Środkowo-Wschodniej przeszedł na cyfrowe karty Podstawowe zasady zabezpieczenia danych przed dostępem osób nieuprawnionych Zamykamy pomieszczenie czy szafę na klucz, który wyjmujemy z zamka, monitory komputerów ustawiamy w sposób uniemożliwiający wgląd osobom postronnym w zawartość przetwarzanych na nich danych, instalujemy wygaszacze ekranów, uwierzytelniamy się w systemie za pomocą swojego loginu i hasła, haseł nie przyklejamy do komputera, nie wieszamy na tablicy nad komputerem, nie chowamy pod klawiaturą. 22 numer specjalny

25 archiwum online: zpm.wip.pl pacjentów. Od tego czasu, czyli od 2009 roku, skutecznie chroni dane swoich pacjentów. Z danych szpitala wynika, że tylko w ciągu jednego roku dokonanych było 66 prób włamań do jego systemu informatycznego. Póki co żadna z nich nie była udana. O próbie włamania system natychmiast powiadamia operatora za pomocą a, a także komunikatu SMS. Znając zagrożenie, operator może mu przeciwdziałać np. poprzez odłączenia zagrożonego komputera lub fragmentu sieci. Dzięki jednolitemu systemowi bezpieczeństwa w całym szpitalu, nad całością sieci przy pulpicie operatorskim czuwa tylko jedna osoba. Z praktyki wiadomo, że próby włamań prowadzą zazwyczaj studenci czy to dla zabawy, czy też sprawdzenia siebie. Najwięcej ataków na Wojewódzki Szpital Specjalistyczny we Wrocławiu pochodziło, jak dotąd, z terytoriów Indii oraz krajów ościennych. Kompleksowa ochrona UTM W szpitalu poszukiwano rozwiązania zapewniającego bezpieczeństwo przetwarzanych danych wrażliwych przed wyciekiem lub kradzieżą. Specjaliści ds. zabezpieczenia sieci mawiają, że darowizny komputerów i innego sprzętu są w informatyce przekleństwem. W przypadku awarii trzeba kontaktować się z serwisami różnych firm, które często przerzucają się odpowiedzialnością. Szpital jest podmiotem z dużą liczbą furtek informatycznych Szpital we Wrocławiu, ze względu na rozbudowaną infrastrukturę oraz zastosowane urządzenia, ma teoretycznie wiele furtek, przez które można się cyfrowo dostać do jego zasobów. W placówce tej lekarze podchodzą do łóżek pacjentów z tabletami (mobilnymi asystentami klinicznymi). Urządzenia te kontaktują się ze szpitalnym HIS-em poprzez sieć bezprzewodową. Lekarze mają też możliwość korzystania ze szpitalnych aplikacji medycznych u siebie w domu, np. neurolog ma możliwość obejrzenia zdjęcia pacjenta udarowego i podjęcia wstępnej decyzji, zanim przyjedzie do szpitala. Takie udogodnienia dla lekarzy skutkują jednak koniecznością zabezpieczenia rozległej sieci. Równolegle kierownictwo placówki chciało stworzyć możliwość dostępu do Internetu dla pacjentów, ale tak żeby nie podwyższać ryzyka kradzieży danych poprzez sieć lokalną. W 2011 roku podjęto decyzję o wdrożeniu zintegrowanej ochrony pod postacią urządzenia klasy UTM (Wielofunkcyjna zapora sieciowa). Rozwiązanie to zapewnia możliwość tworzenia reguł bezpieczeństwa zarówno dla grup komputerów, jak i pojedynczych maszyn. Do ochrony sieci Wojewódzkiego Szpitala Specjalistycznego we Wrocławiu wybrano urządzenie zabezpieczające FortiGate 1240B. Pozwala ono wykorzystywać firewall w różnych segmentach sieci jednocześnie, oferując przy tym placówce wiele innych funkcjonalności, takich jak Antyspam, Antywirus, IPS (ang. Intrusion Prevention System system wykrywania i zapobiegania włamaniom), kontrolę aplikacji czy Web Filtering (filtrowanie zawartości stron WWW). Podstawową zaletą urządzenia UTM jest możliwość kontrolowania urządzeń typu Access Point z poziomu jednej platformy. W szpitalu został wprowadzony elektroniczny obieg dokumentów oraz wewnętrzna wymiana informacji. Lekarze mają pełen dostęp do danych pacjenta i historii jego choroby w czasie obchodów i wizyt konsultacyjnych na tabletach, co znacznie usprawnia pracę szpitala. Dzięki zintegrowanej i bezpiecznej sieci dokumentacja medyczna jest rejestrowana i przesyłana dalej pomiędzy oddziałami szpitalnymi. Uruchomiona sieć Wi-Fi została udostępniona pacjentom oraz gościom szpitala. Muszą oni jedynie zaakceptować regulamin korzystania z zasobów Internetu. Do analizy ruchu wykorzystano FortiAnalyzer 1000C, dzięki któremu administrator jest w stanie wskazać, które stacje robocze generują większy ruch (niż zwykle), co może oznaczać zagrożenie albo niewłaściwe użytkowanie komputerów. Darowizny problemem zintegrowanej sieci Częstym problemem szpitali i innych placówek ochrony zdrowia jest stosowanie niejednolitych rozwiązań do poszczególnych zadań, dostarczanych przez różnych producentów. Wynika to np. ze stopniowego rozbudowywania numer specjalny 23

26 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą systemu w kolejnych latach lub też z darowizn otrzymywanych od producentów czy organów nadzorczych. Czasami sprzęt i oprogramowanie konkurujących producentów z nieznanych powodów nie chce ze sobą współpracować. Łączenie różnych aplikacji komplikuje architekturę i powoduje zakłócenia w skutecznym działaniu niektórych urządzeń, co może skutkować ułatwieniami w przedarciu się hakerów do wnętrza serwerów przez słabiej chroniony obszar sieci. Zapewnienie bezpieczeństwa niezwykle rozbudowanej struktury informatycznej dużych jednostek ochrony zdrowia stanowi wyzwanie zarówno dla władz szpitala, jak i producentów urządzeń bezpieczeństwa. Unikanie łączenia różnych rozwiązań jest ogromną zaletą systemu szpitalnego. Dobrym wyborem jest postawienie na jednego dostawcę. Wdrożenie rozwiązań jednej marki eliminuje problem kompatybilności urządzeń różnych producentów. Wykorzystanie zestawu komplementarnych systemów redukuje koszty operacyjne, zwiększa efektywność, zapewnia wyższy poziom bezpieczeństwa oraz ułatwia prace związane z administracją sieci. Unifikacja powoduje, że za funkcjonowanie systemu bezpieczeństwa odpowiedzialna może być tylko jedna osoba (administrator) na zmianie. Przetwarzanie danych w chmurze Informatyzacja placówek ochrony zdrowia to ogromne wyzwanie. Zbyt duże, żeby każda placówka przeprowadzała je na własną rękę. W przyszłości najprawdopodobniej dojdzie do profesjonalizacji w tym zakresie i zarządzanie danymi przekazane zostanie do wyspecjalizowanych firm zewnętrznych. Tylko one, posiadając sprzęt i oprogramowanie, którego koszty rozłożone zostaną na kilku lub kilkudziesięciu kontrahentów (szpitali, przychodni, gabinetów prywatnych), będą w stanie skupić się na Wielofunkcyjne zapory sieciowe UTM (unified threat management) to wielofunkcyjne zapory sieciowe zintegrowane w postaci jednego urządzenia. Urządzenia tej klasy pojawiły się na rynku w odpowiedzi na problemy oraz koszty, jakie stwarzało zarządzanie wieloma oddzielnymi urządzeniami zaporą sieciową, IPS itd. Większość urządzeń klasy UTM oferuje następujące funkcje: filtr antyspamowy, sieciowy filtr antywirusowy, wykrywanie włamań, filtrowanie treści, router. zapewnianiu najwyższego poziomu bezpieczeństwa. Dane będą więc przetwarzane w tzw. chmurze. Samodzielne przetwarzanie i zabezpieczenie danych stanie się wkrótce nieopłacalne. Trzeba pamiętać, że zakup sprzętu to dopiero część kosztów, bardzo drogie jest natomiast samo utrzymanie systemu. BYOD własny sprzęt przynoszony do pracy Szpitale i inne placówki opieki zdrowotnej tradycyjnie projektowały swoje sieci, koncentrując bezpieczeństwo na jej obrzeżach. Niestety wiele z tych architektur zabezpieczeń nie zostało dostosowanych do zmian zachodzących w dzisiejszym świecie IT. Ponieważ wymiana informacji elektronicznej o stanie zdrowia, wirtualizacja, cloud computing i BYOD stają się rzeczywistością, istnieje potrzeba ponownego przemyślenia infrastruktury bezpieczeństwa w branży ochrony zdrowia. Lekarze mogą teraz w domu na prywatnym tablecie wstępnie przejrzeć zdjęcia, a następnie dalej konsultować je, już po przyjeździe do szpitala. BYOD (Bring Your Own Device) to właśnie trend polegający na używaniu przez pracowników w miejscu pracy swoich prywatnych smartfonów i tabletów. Nieformalna z początku tendencja rozwija się w swego rodzaju fenomen. Zapewnienie 100% bezpieczeństwa danych wkrótce będzie przekraczało możliwości przeciętnego szpitala. Dlatego wszystkie dane, które obecnie przechowywane są w szpitalnych serwerowniach, w przeciągu kilku lat będą powierzone profesjonalnym centrom zabezpieczenia danych. Coraz szersze grono dyrektorów placówek medycznych ma świadomość, że wyciek danych z instytucji może nieść za sobą poważne konsekwencje prawne i finansowe. Z danych firmy Kaspersky wynika, że częstym celem cyberprzestępców są firmy, które świadczą usługi finansowe lub też te związane z ochroną zdrowia. W obu tych sektorach klienci powierzają firmom ogromną ilość poufnych informacji dokumentację medyczną, dane 24 numer specjalny

27 archiwum online: zpm.wip.pl bankowe i te dotyczące płatności. W przypadku dostawców usług związanych z ochroną zdrowia konsekwencje takich ataków obejmują uszczerbek na reputacji oraz utratę zaniepokojonych klientów. Problemem dla sektora zdrowia mogą być potencjalne sprawy sądowe i wysokie grzywny w przypadku wycieku danych. Z tych powodów placówki ochrony zdrowia coraz częściej decydować będą się na powierzenie przetwarzania i zabezpieczania swoich danych wyspecjalizowanym firmom zewnętrznym. Opis środków bezpieczeństwa na poziomie podstawowym, podwyższonym i wysokim A. Środki bezpieczeństwa na poziomie podstawowym I 1. Budynki, pomieszczenia lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. 2. Przebywanie osób nieuprawnionych w tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. II 1. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych. 2. Jeżeli dostęp do danych przetwarzanych w systemie informatycznym mają co najmniej dwie osoby, wówczas zapewnia się, aby: a) w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; b) dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i uwierzytelnieniu. III System informatyczny służący do przetwarzania danych osobowych zabezpiecza się przede wszystkim przed: 1) działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; 2) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. IV 1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie. 2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków. 3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. 4. Kopie zapasowe: a) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; b) usuwa się niezwłocznie po ustaniu ich użyteczności. V Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, w którym przetwarzane są dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. numer specjalny 25

28 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą VI Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: 1) likwidacji pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; 2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; 3) naprawy pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych. VII Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego. B. Środki bezpieczeństwa na poziomie podwyższonym VIII W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. IX Urządzenia i nośniki zawierające dane osobowe przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. X Instrukcja zarządzania systemem informatycznym rozszerza się o sposób stosowania środków, o których mowa w pkt IX. XI Administrator danych stosuje na poziomie podwyższonym środki bezpieczeństwa określone w części A załącznika, o ile zasady zawarte w części B nie stanowią inaczej. C. Środki bezpieczeństwa na poziomie wysokim XII 1. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 2. W przypadku zastosowania logicznych zabezpieczeń obejmują one: a) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną; b) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych. XIII Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. XIV Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa, określone w częściach A i B załącznika, o ile zasady zawarte w części C nie stanowią inaczej. Źródło: załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych 26 numer specjalny

29 archiwum online: zpm.wip.pl Jak dobrze zabezpieczać dokumentację medyczną Dokumentacja medyczna powinna być szczególnie chroniona przez świadczeniodawcę ze względu na fakt, że zawiera wrażliwe dane osobowe pacjentów. Stanowi także podstawę rozliczenia udzielanych świadczeń z NFZ. Wewnętrzna dokumentacja medyczna stanowi własność podmiotu, który ją sporządził, musi być przez ten podmiot przechowywana i udostępniana zgodnie z wymogami ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i rozporządzenia ministra zdrowia z 21 grudnia 2010 r. w sprawie zakresów i rodzaju dokumentacji medycznej oraz sposobu jej przetwarzania. Dokumentacja pacjenta zostaje w przychodni, w której została sporządzona. Może oczywiście być skopiowana i w ten sposób przekazana dotychczasowemu lekarzowi w jego nowym miejscu pracy. Okoliczność ta ma znaczenie w kontekście zagubienia dokumentacji, która często jest zabierana przez osoby, które ją sporządziły. Warto pamiętać, że dokumentacja medyczna pacjenta jest przechowywana przez podmiot udzielający świadczenia, co niekoniecznie jest tożsame z lekarzem udzielającym świadczenia. Podmiot ten zapewnia odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiające jej wykorzystanie bez zbędnej zwłoki. Lekarze, pielęgniarki i położne są uprawnieni jedynie do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej. Przetwarzanie danych osobowych Wszelkie czynności wykonywane z udziałem danych osobowych ich zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie mieszczą się w definicji przetwarzania danych osobowych w świetle przepisów o ich ochronie. Zasadą jest możliwość przetwarzania danych tylko za zgodą osoby, której dotyczą (art. 23 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych), zaś pozostałe wymienione przesłanki są tylko wyjątkami od tej zasady. Zgoda na przetwarzanie danych może zostać w każdym czasie cofnięta przez osobę, której te dane dotyczą (art. 7 pkt 5 ustawy o ochronie danych osobowych). W przypadku upoważnienia do dostępu do dokumentacji medycznej w grę mogą wchodzić również inne niż zgoda przesłanki z art. 23 ustawy o ochronie danych osobowych. Upoważnienie osoby stanowi w zasadzie realizację prawa pacjenta do dostępu do dokumentacji medycznej można sobie Dokumentacja medyczna pacjenta jest przechowywana przez podmiot udzielający świadczenia, co niekoniecznie jest tożsame z lekarzem udzielającym świadczenia. numer specjalny 27

30 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Dokumentacja pacjenta zostaje w przychodni, w której została sporządzona. bowiem wyobrazić sytuację, w której realizacja tego prawa nie będzie możliwa przez pacjenta osobiście i dla ochrony jego interesów konieczny będzie udział osób trzecich przez niego upoważnionych. Przetwarzanie danych osobowych zawartych w upoważnieniu jest uzasadnione samą koniecznością zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisów lub też wypełnienia usprawiedliwionych prawem celów. Ponadto należy pamiętać, że to pacjent podaje dane osoby, która ma być upoważniona, często bez jej wiedzy i zgody. Artykuł 32 ust. 1 pkt 6 ustawy o ochronie danych osobowych przyznaje osobie, której dane podlegają przetwarzaniu, prawo żądania usunięcia danych w przypadku, gdy są one zbędne do realizacji celu, w którym zostały zebrane. W hierarchii źródeł prawa polskiego rozporządzenie jest aktem Ustawa o ochronie danych osobowych Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta Ustawa o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych niższej rangi niż ustawa, tym samym w przypadku sprzeczności między zakazem wynikającym z rozporządzenia (zakaz usunięcia dokumentu, a więc upoważnienia zawierającego dane osobowe z dokumentacji medycznej) a obowiązkiem wynikającym z ustawy (obowiązek usunięcia danych na żądanie osoby, której dotyczą) pierwszeństwo należy przyznać przepisom ustawy. Zakres dostępu do dokumentacji Wskazany w upoważnieniu zakres dokumentacji, do którego dostęp będzie miała osoba upoważniona, zależy od woli pacjenta. Nie wydaje się, aby w obowiązujących przepisach istniały przeszkody do tego, żeby pacjent w swoim oświadczeniu sprecyzował ten zakres, wskazując dokładnie, do jakich części dokumentacji osoba upoważniona może mieć dostęp (np. do historii choroby, skierowań, upoważnień), Tabela. Odpowiedzialność placówki za zgubienie dokumentacji medycznej Konsekwencje prawnokarne: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku Pacjent może skorzystać z powództwa cywilnego o odszkodowanie z tytułu poniesionej szkody, nie przysługuje mu jednak prawo do zadośćuczynienia Na podmiot może zostać nałożona kara umowna oraz powstanie obowiązek korekty raportów statystycznych i odpowiadających im korekt rachunków, a co się z tym wiąże konieczność zwrotu środków finansowych do NFZ lub wyłączając dostęp osoby upoważnionej do określonych części dokumentacji. Kary za zgubienie dokumentacji medycznej Konsekwencje utraty dokumentacji medycznej mogą być wielorakie, gdyż podlega ona ochronie przez kilka przepisów. Na gruncie ustawy o ochronie danych osobowych są to konsekwencje natury prawnokarnej. Ponosić je będzie osoba, której zadaniem było zabezpieczenie dokumentacji przed zniszczeniem bądź kradzieżą administrator danych. Osoba, której dane podlegają przetwarzaniu, ma prawo żądania ich usunięcia w przypadku, gdy dane te są zbędne do realizacji celu, w którym zostały zebrane. Przepis art. 52 ustawy o ochronie danych osobowych stanowi, że ten, kto, administrując danymi, narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Należy zwrócić uwagę, że popełnienie tego przestępstwa może nastąpić przez zaniechanie, czyli nie wymaga żadnej aktywności osoby zobowiązanej do ochrony tych danych. Wszelkie formy zaniedbań mogą być zatem poczytane jako przestępstwo. Z tego powodu szczególnie istotne jest, aby poradnia 28 numer specjalny

31 archiwum online: zpm.wip.pl miała wyraźnie sprecyzowaną politykę bezpieczeństwa danych osobowych, a administrator danych świadomość ciążącej na nim odpowiedzialności. Lekarz sporządzający historię choroby pacjenta nie może tej dokumentacji zabrać ze sobą, gdy np. zmienia miejsce pracy. Na gruncie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej przez pacjenta. Prawo do wglądu w dokumentację medyczną mają także podmioty wskazane w ustawie, m.in. sądy, prokuratura, zakłady ubezpieczeń. W przypadku kradzieży lub zniszczenia dokumentacji prawo pacjenta i wskazanych podmiotów nie może być zrealizowane, co może narażać pacjenta lub jego spadkobierców na wymierną szkodę, np. w postaci utraty prawa do odszkodowania, uzyskania prawa do renty itp. W przypadku gdy Zgodnie z art. 4 tej ustawy pacjentowi nie przysługuje jednak prawo do zadośćuczynienia, czyli naprawienia szkody niematerialnej (krzywdy) spowodowanej naruszeniem jego prawa do dostępu do dokumentacji medycznej. Utrata dokumentacji medycznej może wiązać się z koniecznością zwrotu środków finansowych wypłaconych przez NFZ. utrata dokumentacji będzie zawiniona przez podmiot zobowiązany do jej ochrony, pacjent może skorzystać z drogi powództwa cywilnego o odszkodowanie z tytułu poniesionej szkody. W świetle przepisów ustawy z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, zgubienie, zniszczenie, kradzież czy inna utrata dokumentacji medycznej mogą wiązać się z koniecznością zwrotu środków finansowych wypłaconych świadczeniodawcy przez NFZ. Zgodnie z art. 64 tej ustawy NFZ ma prawo kontrolować dokumentację medyczną m.in. pod względem zasadności udzielanych świadczeń i poprawności samej dokumentacji. Brak dokumentacji w takiej sytuacji może wiązać się z nałożeniem na świadczeniodawcę kary umownej oraz obowiązku korekty raportów statystycznych i odpowiadających im korekt rachunków, a co się z tym wiąże obowiązku zwrotu pobranych środków finansowych. Dokumentację medyczną należy szczególnie chronić ze względu na fakt, że zawiera dane wrażliwe numer specjalny 29

32 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Udostępnianie kartotek a ochrona danych Prawo wglądu do dokumentacji medycznej jest elementem prawa pacjenta do informacji na temat jego stanu zdrowia. Jednak czynności takie jak m.in. zbieranie, przechowywanie i udostępnianie danych osobowych stanowią przetwarzanie danych osobowych, a ta czynność jest dopuszczalna tylko za zgodą osoby, której dotyczą. Prawo wglądu do dokumentacji medycznej jest elementem ogólnego prawa pacjenta do informacji na temat jego stanu zdrowia. Zgodnie z art. 23 ust. 1 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta pacjent ma prawo dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych. Podmioty prowadzące dokumentację nie mają więc w zasadzie wynikającego z przepisów obowiązku udostępniania jej osobom upoważnionym przez pacjenta w zakresie danych osobowych dotyczących osób innych niż pacjent (a więc informacji niezwiązanych w żaden sposób ze stanem zdrowia pacjenta oraz udzielanymi mu świadczeniami). Potencjalnie udostępnienie danych osobowych osoby upoważnionej bez jej zgody w ramach udostępniania dokumentacji medycznej innej osobie upoważnionej mogłoby być uzasadnione usprawiedliwionym prawem celem realizowanym przez placówkę. Wydaje się jednak, że dane te nie powinny być nawet w takim przypadku przetwarzane (udostępniane) bez zgody osoby, której dotyczą. Prawo do dostępu do dokumentacji medycznej dotyczy bowiem przede wszystkim informacji na temat zdrowia pacjenta i udzielanych mu świadczeń zdrowotnych. Czy placówki mogą zbierać dane na zapas Placówka ochrony zdrowia nie musi uzyskiwać dodatkowych zgód od pacjentów, aby gromadzić ich dane. Artykuł 25 ustawy z o prawach pacjenta i Rzeczniku Praw Pacjenta, rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania oraz art. 4 ustawy z 28 Ze względu na fakt, że nie istnieje ustalony przez ustawodawcę wzór upoważnienia, należałoby przyjąć, że od woli pacjenta będzie zależeć treść oświadczenia i jego zakres, a więc również zakres dokumentacji medycznej, do jakiej dostęp będzie miała upoważniona osoba. 30 numer specjalny

33 archiwum online: zpm.wip.pl kwietnia 2011 r. o systemie informacji w ochronie zdrowia wskazują, jakie dane pacjent musi podać, a jakie placówka może zebrać, udzielając świadczeń zdrowotnych. Tym samym na przetwarzanie wskazanych danych placówka wcale nie musi prosić dodatkowo o zgodę. Pacjent musi podać np. numer PESEL. Nie może też nie wyrazić zgody na przetwarzanie jego danych osobowych. Każda osoba, której dane dotyczą, ma prawo wiedzieć, kto, jakie, z jakiego źródła, kiedy i w jakim celu pozyskał jej dane oraz czy, komu i kiedy były udostępnione. Jeśli pojawiłyby się takie pytania, to administrator danych, np. dyrektor szpitala, musi w zrozumiałej, pisemnej formie odpowiedzieć na nie najpóźniej w ciągu 30 dni. Jednocześnie nie może być mowy o tak zwanej wymuszonej zgodzie. Jeśli jest już potrzebna, np. na wykorzystanie adresu do celów marketingowych, to ma być dobrowolna, świadoma i nie może być dorozumiana. Nie można też uzależniać wykonania jakiejś usługi od wyrażenia zgody na przetwarzanie danych osobowych. W związku z tym przesłanka zgody osoby, której dane dotyczą, bardzo rzadko ma zastosowanie w placówkach medycznych. W myśl art. 26 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Przede wszystkim jest zobowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem, zbierane do oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu. Nie można zbierać danych na zapas, na wszelki wypadek, na zasadzie a może do czegoś się przydadzą. Zgodnie z art. 20 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta pacjent ma prawo do prywatności, poszanowania intymności i godności, zwłaszcza podczas udzielania mu świadczeń zdrowotnych. Dlatego więc, aby nie łamać przepisów i tym samym nie narażać się na odpowiedzialność administracyjną, dyscyplinarną, odszkodowawczą, karną czy finansową, należy przetwarzać te dane, które wyliczone są w ustawach dotyczących ochrony zdrowia, a jest to bardzo szeroki zakres. W pozostałych przypadkach można zbierać tylko takie informacje, które są niezbędne do realizacji ściśle określonych celów. Przetwarzanie danych wrażliwych Najistotniejsze jest jednak, że przetwarzanie danych wrażliwych jest zakazane. Dopuszczalność ich zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania jest wyjątkiem opartym na art. 27 ust. 2 pkt 5 ustawy o ochronie danych osobowych. W kategoriach wyjątku należy zatem traktować wszelkie operacje na danych wrażliwych, czyli na dokumentacji medycznej. Z drugiej strony zawsze uzasadniona jest szczególna dbałość i zabezpieczanie takiej dokumentacji. Wypada przytoczyć art. 51 ust. 1 ustawy o ochronie danych osobowych, zgodnie z którym kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Przetwarzanie danych osobowych po śmierci Zgodnie z ustawą o ochronie danych osobowych dane osobowe, a ściślej ich ochrona są przywilejem należnym osobie żyjącej. Osobą fizyczną jest bowiem osoba od chwili urodzenia do śmierci. Taki wniosek płynie z postanowień Kodeksu cywilnego (dalej: kc). Można zatem stwierdzić, że z chwilą śmierci ustaje ochrona danych osobowych. Byłoby to słuszne, gdyby nie postanowienie art. 26 ust. 2 ustawy o prawach pacjenta, zgodnie z którym po śmierci pacjenta prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia. Trudno jest jednoznacznie ustalić cel tego ograniczenia. Może ono korelować z normami prawa karnego. Nieprzestrzeganie reguł przetwarzania danych osobowych może skutkować odpowiedzialnością karną, przy czym odpowiedzialność ta spoczywa na administratorze (kierowniku podmiotu). numer specjalny 31

34 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Podmiot leczniczy musi udostępnić zakładowi ubezpieczeń informacje dotyczące stanu zdrowia pacjenta. Znaczenie takiego ograniczenia mogłoby polegać na odcięciu dostępu ewentualnego sprawcy śmierci do informacji medycznej, które to informacje pomogłyby w uniknięciu odpowiedzialności karnej. Jest to naturalnie bardzo swobodna interpretacja, ale zdaje się, że dość logiczna. Dostęp do danych przez zakład ubezpieczeń W trybie powiązanego z przepisem art. 26 ust. 1 i ust. 2 ustawy o prawach pacjenta 8 rozporządzenia ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania pacjenci nie upoważniają zakładów ubezpieczeń do dostępu do dotyczących ich danych medycznych (informacji, dokumentacji W przypadku zawarcia umowy ubezpieczenia zgody pacjentów bardzo często są zawarte w samej umowie lub w ogólnych warunkach umowy, regulaminie lub podobnym dokumencie stanowiącym jednak integralną część umowy ubezpieczenia. medycznej). Podstawy prawnej dla dostępu do danych wrażliwych należy szukać gdzie indziej. Artykuł 22 ustawy z 22 maja 2003 r. o działalności ubezpieczeniowej stanowi, że zakład ubezpieczeń może uzyskać odpłatnie od podmiotów wykonujących działalność leczniczą, które udzielały świadczeń zdrowotnych ubezpieczonemu lub osobie, na rachunek której ma zostać zawarta umowa ubezpieczenia, informacje o okolicznościach związanych z: zoceną ryzyka ubezpieczeniowego i weryfikacją podanych przez tę osobę danych o jej stanie zdrowia, zustaleniem prawa tej osoby do świadczenia z zawartej umowy ubezpieczenia i wysokością tego świadczenia, zprzyczyną śmierci ubezpieczonego, z wyłączeniem wyników badań genetycznych. Z art. 22 ust. 1 ustawy o działalności ubezpieczeniowej wynika, że ubezpieczyciel może domagać się informacji od podmiotu wykonującego działalność leczniczą. Takie żądanie może poprzedzać zawarcie umowy, a także służyć ocenie ryzyka wynikającego z już zawartej umowy. Ustawa o działalności ubezpieczeniowej stawia jednak wymagania szczególne dla żądania od podmiotu leczniczego informacji. Zgodnie z dalszymi ustępami art. 22 ustawy o działalności ubezpieczeniowej z żądaniem przekazania informacji medycznej występuje lekarz upoważniony przez zakład ubezpieczeń. Wystąpienie zakładu ubezpieczeń o taką informację wymaga pisemnej zgody ubezpieczonego lub osoby, na rzecz której ma zostać zawarta umowa ubezpieczenia albo jej przedstawiciela ustawowego. Na tak sformułowany wniosek podmioty wykonujące działalność leczniczą są zobowiązane przekazać posiadane informacje o stanie zdrowia ubezpieczonego lub osoby, na rachunek której ma zostać zawarta umowa ubezpieczenia zakładowi ubezpieczeń, który o te informacje występuje. Termin nie może być dłuższy niż 14 dni od daty otrzymania wystąpienia zakładu ubezpieczeń o przekazanie informacji. Regulację tę należy powiązać też z art. 26 ust. 7 ustawy o prawach pacjenta, który zezwala na udostępnienie dokumentacji medycznej (art. 232 ustawy o działalności ubezpieczeniowej dotyczy bowiem informacji) za zgodą pacjenta. W takim przypadku, nawet po śmierci pacjenta, dokumentacja oraz informacja mogą być udostępnione na podstawie zgody wyrażonej za życia pacjenta. Rozstrzygnięcie to koreluje zresztą z normą art. 26 ust. 2 ustawy o prawach pacjenta. Bezpłatne konto testowe na portalu serwiszoz.pl X Wypróbuj nasz portal za darmo i zyskaj dostęp do 5 zamkniętych treści. X Wykorzystaj 5-dniowy darmowy dostęp! X Zarejestruj się. To zajmie tylko 15 sekund! Wejdź na i śledź blogi naszych ekspertów na bieżąco. 32 numer specjalny

35 archiwum online: zpm.wip.pl Umowa powierzenia: na co trzeba uważać Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych. W umowie należy określić, kto, komu, jakie dane i w jakim celu powierza. Koniecznie też trzeba zawrzeć klauzulę, że zleceniobiorca zapewni powierzonym danym dalszą ochronę. Administrator danych, czyli każdy szpital, przychodnia oraz lekarz prowadzący prywatną praktykę, jest zobowiązany zastosować odpowiednie środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Powinien przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem Przetwarzaniem danych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. z naruszeniem przepisów prawa oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Zwłaszcza tam, gdzie w grę wchodzą dane wrażliwe, szczególnie chronione, a są to między innymi informacje o stanie zdrowia, ochrona musi być zapewniona na wysokim poziomie i na każdym etapie przetwarzania. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Zlecenie badania laboratoryjnego to jak najbardziej przetwarzanie danych, a jeśli wykonuje je laboratorium zewnętrzne, mamy do czynienia z powierzeniem danych do przetwarzania. Zgodnie z przepisami administrator danych może powierzyć innemu podmiotowi przetwarzanie danych, ale w drodze umowy zawartej na piśmie. Taka umowa powierzenia może mieć różną formę. Mogą to być zapisy w umowie głównej o współpracy, opracowane i wdrożone przez laboratorium procedury i standardy zlecania badań laboratoryjnych udostępnione zleceniodawcom lub załączniki czy aneksy w postaci umów powierzenia. Należy określić, kto, komu, co i w jakim celu powierza oraz że zleceniobiorca zapewni powierzonym danym dalszą ochronę. Osoby upoważnione do przetwarzania danych Jednym z podstawowych wymogów dotyczących ochrony danych jest dopuszczenie do przetwarzania jedynie upoważnionych osób, zobowiązanych do zachowania tajemnicy danych osobowych. Zarówno u administratora danych, jak i u procesora zleceniobiorcy dostęp do określonych danych, możliwość wykonywania na nich określonych czynności mogą mieć osoby upoważnione, a zakres upoważnienia musi numer specjalny 33

36 z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą być zgodny z zakresem obowiązków pracowniczych wynikających z pełnionej funkcji czy zajmowanego stanowiska. Dlatego trzeba bardzo uważać, jakie informacje i w jaki sposób są przekazywane z laboratorium wraz z rachunkiem za badania do zleceniodawcy. O ile na przykład księgowa zleceniodawcy musi wiedzieć, za jakie badania i jaką kwotę trzeba zapłacić, to już do informacji, komu były one wykonywane, a zwłaszcza, jakie były W umowie z firmą zewnętrzną należy wyraźnie zaznaczyć, że dane mogą być przetwarzane wyłącznie we wskazanym celu i że zleceniobiorca ponosi taką odpowiedzialność za bezpieczne i zgodne z przepisami przetwarzanie powierzonych danych, jak administrator. ich wyniki, nie jest osobą uprawnioną. Dlatego określając zasady współpracy z zewnętrznym laboratorium i tworząc na taką okoliczność właściwą umowę powierzenia, trzeba zawrzeć w niej cel powierzenia, czyli np. wykonywanie badań z zakresu laboratoryjnej diagnostyki. Współpraca z jakimkolwiek podmiotem zewnętrznym, która wiąże się z dostępem do danych osobowych i innych informacji chronionych u administratora danych, powinna być uregulowana i zabezpieczona odpowiednimi zapisami w umowach lub umowami powierzenia. Dotyczy to na przykład zewnętrznych firm informatycznych, biur rachunkowych, serwisów, a nawet zewnętrznych firm sprzątających czy ochrony. W umowie należy wskazać zakres danych pacjenta, jakie będą przekazywane, tj. imię i nazwisko, data urodzenia, miejsce zamieszkania/oddział szpitalny, płeć, numer PESEL itd. Do powierzonych danych mogą mieć dostęp u zleceniobiorcy jedynie osoby upoważnione, przeszkolone z zakresu bezpieczeństwa informacji, zobowiązane do zachowania tajemnicy danych osobowych. To właśnie te osoby muszą pamiętać, aby nie wysłać zbyt dużej ilości danych do miejsca lub osoby nieuprawnionej w danym zakresie. Zarówno u procesora, jak i administratora danych musi obowiązywać zasada przywilejów, wiedzy i usług koniecznych, czyli każdy pracownik wykonuje tylko to, tylko tyle i tylko z takimi danymi co jest konieczne. W tym zakresie odpowiedzialność powinna dotyczyć w równym stopniu procesora i administratora danych. Kwestię tę regulują odpowiednie upoważnienia Tam, gdzie są przetwarzane dane medyczne, musi być zapewniona ich ochrona na wysokim poziomie. Administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo są przetwarzane. do przetwarzania danych ze wskazanym zakresem czynności i danych oraz umowy powierzenia lub zapisy w umowach regulujące zakres, cel i środki przetwarzania powierzanych danych. Zabezpieczenie powierzonych danych Przyjmujący dane do przetwarzania, czyli procesor, w tym przypadku laboratorium, zobowiązany jest podjąć odpowiednie, przewidziane w przepisach środki zabezpieczające dane, zarówno organizacyjne, jak i techniczne. Wszystko po to, aby np. rachunek za badania był przesłany w bezpieczny sposób do osoby uprawnionej i nie zawierał szczegółowych danych osobowych, a zwłaszcza danych wrażliwych. Administrator danych w umowie powierzenia powinien zagwarantować sobie prawo do kontroli i sprawdzenia, jak procesor przetwarza powierzone dane, czy stosuje adekwatne środki bezpieczeństwa, czy przekazuje je w bezpieczny sposób i odpowiednio upoważnionym osobom u administratora danych. Zasady te nie dotyczą jedynie laboratoriów. W umowach z takimi podmiotami, w załącznikach do umów, aneksach, porozumieniach czy zamówieniach zleceniobiorca (wykonawca) powinien zapewnić przestrzeganie zasad przetwarzania i ochrony danych osobowych zgodnie z przepisami ustawy o ochronie 34 numer specjalny

37 archiwum online: zpm.wip.pl danych osobowych i innych przepisów szczegółowych. Powinien znaleźć się też zapis, że zleceniobiorca ponosi odpowiedzialność za ewentualne skutki działania niezgodnego z przepisami. Wykonawca powinien oświadczyć, że systemy wykorzystywane w procesie przetwarzania danych osobowych spełniają wymogi zawarte w obowiązujących przepisach z zakresu ochrony danych. Musi też zapewnić, że przetwarzane dane osobowe będą wykorzystane wyłącznie w celu realizacji umowy (porozumienia, zamówienia). Zamawiający może zastrzec sobie możliwość rozwiązania umowy w przypadku stwierdzenia przez wykonawcę omijania warunków bezpieczeństwa i ochrony danych osobowych. wewnętrznych zasad i procedur bezpieczeństwa informacji wdrożonych u administratora danych, a zwłaszcza Polityki bezpieczeństwa informacji i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Należy również określić, co i z którymi danymi zrobi procesor w przypadku rozwiązania lub wygaśnięcia umowy. Te wszystkie zasady powinny być określone w tak zwanej umowie powierzenia. Może ona mieć różną formę, ale zawartą na piśmie. Warto więc przeanalizować zakres i charakter współpracy z zewnętrznymi podmiotami, stworzyć rejestr podmiotów zewnętrznych i sprawdzić, czy tam, gdzie trzeba, znajdują się w umowach z nimi wymagane zapisy odpowiednio chroniące administratora danych. Pamiętajmy, że nie tylko ze względu na przepisy, ale i dla praktycznego bezpieczeństwa, a także ze względów finansowych administrator danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo są przetwarzane. Administrator danych, tj. zleceniodawca (zamawiający), zobowiązuje w umowie wykonawcę do natychmiastowego powiadomienia administratora danych osobowych o stwierdzeniu próby lub faktu naruszenia poufności danych osobowych przetwarzanych w celu realizacji umowy. Zleceniobiorca na pisemne żądanie administratora danych osobowych powinien umożliwić administratorowi danych (zleceniodawcy) przeprowadzenie kontroli procesu przetwarzania i ochrony danych osobowych, zwłaszcza w sytuacji odnotowania incydentu. Firmy zewnętrzne, zleceniobiorcy, współpracownicy powinni być również zobowiązani do przestrzegania numer specjalny 35

38 Wzory dokumentów z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Wzór 1. Upoważnienie do przetwarzania danych osobowych Upoważnienie nr... do przetwarzania danych osobowych Z dniem... r., na podstawie art. 37 w związku z art. 31 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), upoważniam... do przetwarzania, w ramach wykonywanych obowiązków służbowych, następujących zbiorów danych osobowych:... Upoważnienie obowiązuje do dnia odwołania, nie później jednak niż do dnia... Upoważnienie wygasa z chwilą ustania Pana/Pani* zatrudnienia w:... (czytelny podpis osoby upoważnionej do wydawania i odwoływania upoważnień) Wzór 2. Ewidencja osób upoważnionych do przetwarzania danych Ewidencja osób upoważnionych do przetwarzania danych LP. NAZWI- SKO I IMIĘ STANO- WISKO ZBIORY DANYCH, DO KTÓ- RYCH UŻYT- KOWNIK MA DOSTĘP lub grupy informacji czy systemy, w których są przetwarzane dane ZKRES UPO- WAŻNIENIA/ UPRAWNIEŃ Grupy uprawnień, zakres czynności, jakie użytkownik może wykonywać na danych DATA NADANIA UPOWAŻ- NIENIA DATA USTANIA UPOWAŻ- NIENIA LOGIN/ IDENTY- FIKATOR numer specjalny

39 Wzory dokumentów archiwum online: zpm.wip.pl Wzór 3. Zgłoszenie powołania ABI do rejestracji GIODO ZGŁOSZENIE POWOŁANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH Data wpłynięcia zgłoszenia:... (wypełnia Generalny Inspektor Ochrony Danych Osobowych)* Część A. Oznaczenie administratora danych Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i adres miejsca zamieszkania administratora danych oraz nr REGON jeżeli został nadany. 1. Administrator: 2. REGON: 3. Adres: ulica: nr domu: nr lokalu: kod pocztowy: miejscowość: Część B. Dane osobowe administratora bezpieczeństwa informacji i data jego powołania 1. Imię i nazwisko: 2. Numer PESEL lub, gdy ten numer nie został nadany, nazwa i seria/nr dokumentu stwierdzającego tożsamość: PESEL: nazwa dokumentu tożsamości: seria/nr dokumentu tożsamości: 3. Adres do korespondencji, jeżeli jest inny niż wskazany w części A zgłoszenia: ulica: nr domu: nr lokalu: kod pocztowy: miejscowość: 4. Data powołania administratora bezpieczeństwa informacji: Część C. Oświadczenie administratora danych o spełnieniu przez administratora bezpieczeństwa informacji warunków określonych w ustawie Oświadczam, że administrator bezpieczeństwa informacji wskazany w części B zgłoszenia**: ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych, posiada odpowiednią wiedzę w zakresie ochrony danych osobowych, nie był karany za umyślne przestępstwo, podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. (data, podpis i pieczęć administratora danych)* Objaśnienia: * Pola nie należy wypełniać, jeżeli zgłoszenie doręczone jest za pomocą środków komunikacji elektronicznej. ** W przypadku odpowiedzi twierdzącej należy zakreślić kwadrat literą X. Źródło: załącznik nr 1 do rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji numer specjalny 37

40 Wzory dokumentów z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Wzór 4. Zgłoszenie odwołania ABI do rejestracji GIODO ZGŁOSZENIE ODWOŁANIA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI DO REJESTRACJI GENERALNEMU INSPEKTO- ROWI OCHRONY DANYCH OSOBOWYCH Data wpłynięcia zgłoszenia:... (wypełnia Generalny Inspektor Ochrony Danych Osobowych)* Część A. Oznaczenie administratora danych Nazwa administratora danych i adres jego siedziby albo nazwisko, imię i adres miejsca zamieszkania administratora danych oraz nr REGON jeżeli został nadany. 1. Administrator: 2. REGON: 3. Adres: ulica: nr domu: nr lokalu: kod pocztowy: miejscowość: Część B. Dane osobowe administratora bezpieczeństwa informacji 1. Imię i nazwisko: 2. Numer PESEL lub, gdy ten numer nie został nadany, nazwa i seria/nr dokumentu stwierdzającego tożsamość: PESEL: nazwa dokumentu tożsamości: seria/nr dokumentu tożsamości: Część C. Data i przyczyna odwołania administratora bezpieczeństwa informacji 1. Data odwołania administratora bezpieczeństwa informacji: 2. Przyczyna odwołania administratora bezpieczeństwa informacji: (data, podpis i pieczęć administratora danych)* Objaśnienia: * Pola nie należy wypełniać, jeżeli zgłoszenie doręczone jest za pomocą środków komunikacji elektronicznej. Źródło: załącznik nr 2 do rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji 38 numer specjalny

41 Wzory dokumentów archiwum online: zpm.wip.pl Wzór 5. Wniosek pacjenta o udostępnienie dokumentacji medycznej Miejscowość, dnia Nazwa i adres podmiotu wykonującego działalność leczniczą Imię i nazwisko pacjenta... Data urodzenia... PESEL... Na podstawie art. 26 ust. 1 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2012 r. poz. 159) proszę o udostępnienie dokumentacji medycznej dotyczącej przebiegu mojej terapii poprzez wydanie kopii/wyciągu/odpisu/umożliwienie wglądu do oryginału dokumentacji. Dokumenty odbiorę osobiście po powiadomieniu telefonicznym pod numer.../proszę przesłać listem poleconym za zwrotnym potwierdzeniem odbioru na adres... Oświadczam, że rozumiem, że udostępnienie dokumentacji jest odpłatne, a w razie przesłania dokumentacji drogą pocztową poniosę koszt przesyłki w kwocie odpowiadającej cenie przesyłki ustalonej przez operatora pocztowego.... podpis, miejscowość i data Wzór 6. Wniosek osoby upoważnionej o udostępnienie dokumentacji medycznej pacjenta... Nazwa i adres podmiotu wykonującego działalność leczniczą Imię i nazwisko pacjenta... Data urodzenia... PESEL... Imię i nazwisko wnioskodawcy... Adres zamieszkania/siedziby... Miejscowość, dnia... Na podstawie art. 26 ust. 1 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2012 r. poz. 159) proszę o udostępnienie dokumentacji medycznej dotyczącej przebiegu terapii Pana/Pani... poprzez wydanie kopii/ wyciągu/odpisu/umożliwienie wglądu do oryginału dokumentacji. Dokumenty odbiorę osobiście po powiadomieniu telefonicznym na numer.../proszę przesłać listem poleconym za zwrotnym potwierdzeniem odbioru na adres... Oświadczam, że rozumiem, że udostępnienie dokumentacji jest odpłatne, a w razie przesłania dokumentacji drogą pocztową poniosę koszt przesyłki w kwocie odpowiadającej cenie przesyłki ustalonej przez operatora pocztowego. Do wniosku łączę oryginalne/poświadczone za zgodność z oryginałem upoważnienie do dostępu do dokumentacji medycznej. W uzasadnieniu wniosku wskazuję, że Pacjent upoważnił mnie do dostępu do dokumentacji medycznej poprzez złożenie oświadczenia załączonego do dokumentacji medycznej podpis upoważnionego, miejscowość i data 1 Niewłaściwe zdanie należy usunąć bądź przekreślić numer specjalny 39

42 Podstawa prawna z a r z ą d z a n i e p l a c ó w k ą m e d y c z n ą Wykaz aktów prawnych związanych z zagadnieniem ochrony danych osobowych ustawa z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (tekst jedn.: Dz.U. z 2008 r. nr 164, poz ze zm.), ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662), rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934), rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526), rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024), ustawa z 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jedn.: Dz.U. z 2013 r. poz. 672 ze zm.), ustawa z 14 czerwca 1960 r. Kodeks postępowania administracyjnego (tekst jedn.: Dz.U. z 2013 r. poz. 267 ze zm.), ustawa z 26 czerwca 1974 r. Kodeks pracy (tekst jedn.: Dz.U. z 2014 r. poz ze zm.), rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz.U. z 2014 r. poz. 177 ze zm.), ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz.U. z 2012 r. poz. 159 ze zm.), ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (tekst jedn.: Dz.U. z 2011 r. nr 277, poz ze zm.), ustawa z 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz.U. z 2013 r. poz. 217 ze zm.), rozporządzenie ministra zdrowia z 26 czerwca 2012 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz.U. z 2012 r. poz. 739), ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. nr 113, poz. 657 ze zm.), ustawa z 23 kwietnia 1964 r. Kodeks cywilny (tekst jedn.: Dz.U. z 2014 r. poz. 121 ze zm.), ustawa z 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jedn.: Dz.U. z 2013 r. poz. 950 ze zm.), ustawa z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jedn.: Dz.U. z 2014 r. poz. 1114). 40 numer specjalny

43 Polecamy nasze publikacje: Dostępne pod adresem: fabrykawiedzy.com Jako nasz prenumerator otrzymujesz rabat 10% na ofertę publikacji w kategorii Ochrona Zdrowia dostępnych pod adresem: Podaj kod rabatowy: RABAT10

44 Zarządzanie w Ochronie Zdrowia baza wiedzy wzory dokumentów alert prawny blogi tematyczne W portalu SerwisZOZ.pl znajdziesz: Porady doświadczonych konsultantów prawnych i ekspertów Aktualne trendy i nowoczesne metody zarządzania placówkami medycznymi Nowości technologiczne i rozwiązania IT w medycynie Bazę 150 gotowych wzorów dokumentów, formularzy, regulaminów Alert prawny, blogi ekspertów, kalendarium wydarzeń branżowych SMZ 18 Bądź na bieżąco i podejmij właściwe decyzje dotyczące rozwoju placówki! Odwiedź