Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu elektronicznej dokumentacji medycznej

Podobne dokumenty
Przetwarzanie danych osobowych w przedsiębiorstwie

Program ochrony danych osobowych na poziomie LGR. radca prawny Jarosław Ornicz

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

II Lubelski Konwent Informatyków i Administracji r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

PRAWNE UWARUNKOWANIA WYKORZYSTANIA DANYCH INDYWIDUALNYCH W CELU EWALUACJI POLITYKI ZATRUDNIENIA W POLSCE

Ale ile to kosztuje?

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Ochrona wrażliwych danych osobowych

Ochrona danych osobowych w biurze rachunkowym (cz. 3) - Czym jest przetwarzanie danych osobowych?

Zbiór danych osobowych Akcjonariusze spółki - księga akcyjna

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Polityka Prywatności portalu 1. Postanowienia ogólne

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

1 z , 17:00

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Tajemnica bankowa i ochrona danych osobowych w czynnościach outsourcingowych

Zbiór danych osobowych Skargi, wnioski, podania

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

RODO A DANE BIOMETRYCZNE

Przetwarzania danych osobowych

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

wpisanym do rejestru przedsiębiorców / ewidencji działalności gospodarczej pod nr... "Administratorem" reprezentowanym przez:

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Umowa o powierzenie przetwarzania danych osobowych. SP ZOZ Szpitalem Wielospecjalistycznym w Jaworznie Zleceniodawcą Administratorem Zleceniobiorcą

BEZPIECZEŃSTWO PRAWNE ELEKTRONICZNEGO OBIEGU DOKUMENTÓW

Umowa powierzenia przetwarzania danych osobowych

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

e-zdrowie Nowe Technologie w medycynie Spotkanie British Polish Chamber of Commerce dr Ewa Butkiewicz, radca prawny Sylwia Paszek, radca prawny

Zbiór danych osobowych MIGAWKI

Umowa powierzenia przetwarzania danych osobowych

Północno-Wschodni Klaster Edukacji Cyfrowej

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia danych osobowych. zawarta dnia. roku pomiędzy: reprezentowaną przez Burmistrza Gminy Stęszew Włodzimierza Pinczaka.

Podstawowe obowiązki administratora danych osobowych

System bezpłatnego wsparcia dla NGO

Umowa powierzenia przetwarzania danych osobowych nr

Regulamin ochrony danych osobowych w Spółdzielni Budowlano Mieszkaniowej Powiśle w Warszawie

UMOWA O POWIERZENIE OBOWIĄZKÓW ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI ORAZ BIEŻĄCĄ OBSŁUGĘ W ZAKRESIE ZAGADNIEŃ DOTYCZĄCYCH OCHRONY DANYCH OSOBOWYCH

Krajowa Konferencja Ochrony Danych Osobowych

Zwykłe dane osobowe, a dane wrażliwe

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Umowa powierzenia przetwarzania danych osobowych nr PDO/ /2018 zawarta w Poznaniu w dniu.. września 2018 roku

Znak sprawy: ZP 21/2018/PPNT Załącznik nr 4 do Ogłoszenia o zamówieniu. Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych Nr.. zawarta dnia 2019 pomiędzy: Powiatem Kędzierzyńsko-Kozielskim NIP , REGON

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Umowa powierzenia przetwarzania danych osobowych. W związku z zawarciem umowy nr z dnia. r. dotyczącej projektu

MEMORANDUM INFORMACYJNE

Umowa powierzenia przetwarzania danych osobowych

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Zarządzenie nr 101/2011

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

RODO w Hodowli, czy nas dotyczy? Doradca Podatkowy Marek Rudy nr wpisu Wojciech Nowakowski

Umowa powierzenia przetwarzania danych osobowych załącznik do umowy nr DZP- 19/2019/.. z dnia..

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

zwany w dalszej części umowy Podmiotem przetwarzającym lub Procesorem

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

UMOWA DYSTRYBUCYJNA. I. Panem(Panią).. zwanym(-ą) dalej Dystrybutorem zam.. ul.., nr tel.., , PESEL..., NIP,

Umowa powierzenia danych

Związki zawodowe a ochrona danych osobowych. D r M a r c i n W u j c z y k

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. roku pomiędzy: (zwana dalej Umową )

Umowa powierzenia przetwarzania danych osobowych

Załącznik do Załącznika nr 2 do SIWZ Umowa powierzenia przetwarzania danych osobowych (wzór umowy) oznaczenie sprawy FDZP

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MISTRZEJOWICE-PÓŁNOC w Krakowie

Umowa powierzenia przetwarzania danych osobowych zawarta dnia roku pomiędzy: (zwana dalej Umową )

WZÓR UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Nr.../ 2019 r.

Prowadzone w Okręgowym Urzędzie Górniczym we Wrocławiu

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

Szanowni Państwo, Z poważaniem. Dyrektor

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Umowa powierzenia przetwarzania danych osobowych

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

SPZOZ w Wolsztynie, PN/5/2019; 36 miesięczna dzierżawa co najmniej 16 rzędowego tomografu komputerowego dla Pracowni T/K w SPZOZ w Wolsztynie

Ochrona danych osobowych dla rzeczników patentowych. adw. dr Paweł Litwiński

zawarta dnia.. pomiędzy: (*dane podmiotu który umowę zawiera)

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

VADEMECUM OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (Umowa)

Transkrypt:

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu elektronicznej dokumentacji medycznej Krzysztof Nyczaj ekspert Izby Gospodarczej Medycyna Polska, ekspert Data Technology Park dziennikarz tygodnika Służba Zdrowia

Zarówno przepisy krajowe jak i unijne dopuszczają możliwość zlecenia przetwarzania danych osobowych przez administratora danych osobowych podmiot zewnętrznemu, zajmującemu się profesjonalnym przetwarzaniem danych. Zgodnie z art. 17 ust 3 Dyrektywy 95/46.WE powierzenie przetwarzania danych osobowych powinno nastąpić w formie umowy lub aktu prawnego, z którego w sposób nie budzący wątpliwości powinno wynikać, że przetwarzający działa wyłącznie na polecenie administratora danych. Przetwarzający ma również obowiązek wprowadzić odpowiednie środki techniczne i organizacyjne w celu ochrony danych. Rolą administratora jest natomiast decydowanie nie tylko o celach i środkach przetwarzania powierzonych danych ale i określenie czynności które powierza. Cechą charakterystyczną powierzenia jest, to że administrator ujawniając dane innemu podmiotowi, nie Tracji nad nimi kontroli.

Art.17. 3. 3. Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt akt prawny, na na mocy których przetwarzający podlega administratorowi danych i i które w szczególności postanawiają, że: że: przetwarzający działa wyłącznie na na polecenie administratora danych, obowiązki wymienione w ust. 1, 1, określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego. Dyrektywa 95/46/We Parlamentu Europejskiego i i Rady z dnia 24 24 października 1995 r. r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i i swobodnego przepływu tych danych do do spraw wewnętrznych

Zgodnie z art. 27 ust. 2 ustawy o ochronie danych osobowych przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach: w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub w celu zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. W tej sprawie zapis polskiej ustawy o ochronie danych osobowych jest bardzo podobny do zapisów art. 8 ust. 3 Dyrektywy 95/46 WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych z tą różnicą, że przepisy unijne umożliwiają przetwarzanie danych nie tyle osobom trudniącym się zawodowo leczeniem, ale pracownikom służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy.

Art. 27. 1. 1. Zabrania się się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak jak równiej danych o stanie zdrowia, kodzie genetycznym, nałogach lub lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. 2. Przetwarzanie danych, o których mowa w ust. 1, 1, jest jednak dopuszczalne, jeżeli: ( ) 7) 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i i są są stworzone pełne gwarancje ochrony danych osobowych, Art.8. 1 Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do do związków zawodowych, jak jak również przetwarzanie danych dotyczących zdrowia i i życia seksualnego. ( ) 3. 3. Ustęp 1 nie nie ma ma zastosowania w przypadku gdy przetwarzanie danych wymagane jest do do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też też zarządzania opieką zdrowotną, jak jak również w przypadkach, gdy dane są są przetwarzane przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do do zachowania tajemnicy. Ustawa z dnia 29 29 sierpnia 1997 r. r. o ochronie danych osobowych Dyrektywa 95/46/We Parlamentu Europejskiego i i Rady z dnia 24 24 października 1995 r. r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i i swobodnego przepływu tych danych do do spraw wewnętrznych

Problemy ochrony danych osobowych przy świadczeniach zdrowotnych nie kończą się na przetwarzaniu danych przez osoby wykonujące zawody medyczne. Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych. G. Sibiga (Instytut Nauk Prawnych PAN): Komentarz do artykułu D. Frey Kto może przechowywać dane z badań leczniczych Rzeczpospolita 23 maja 2011

W kontekście rozstrzygnięcia dotyczącego możliwości udostępnienia danych medycznych osobom nie biorącym bezpośredniego udziału w procesie leczenia, w tym powierzenia przetwarzania osobowych danych medycznych podmiotowi zewnętrznemu specjalizującemu się w przetwarzaniu danych, kluczowe jest wyjaśnienie, czy administrowanie bazą danych zawierającą osobowe dane medyczne można zaklasyfikować jako zarządzenie usługami medycznymi. M.Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.

Definicja zarządzania: Zestaw działań (planowanie, organizowanie, motywowanie, kontrola) skierowanych na zasoby organizacji (ludzkie, finansowe, rzeczowe, informacyjne) wykorzystywanych z zamiarem osiągnięcia celów organizacji. R.W. Griffin Zarządzanie to działalność kierownicza polegająca na ustalaniu celów i powodowaniu ich realizacji w organizacjach podległych zarządzającemu, na podstawie własności środków produkcji lub dyspozycji nimi. B. Giliński Zarządzanie to działanie polegające na dysponowaniu zasobami T. Pszczołowski

Również w wyjaśnieniach słownikowych zarządzenie jest kojarzone przede wszystkim z kierowaniem i podejmowaniem decyzji. Na uwagę zasługuje również stanowisko Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej, która do funkcji zarządzania usługami opieki zdrowotnej zalicza: wystawianie faktur, prowadzenie rachunków oraz prowadzenie statystyk. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r., 00323/07/PL WP 131, str. 10

Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych W związku z tym, że w ustawie o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy o ochronie danych osobowych. Zgodnie z art. 8 ust. 3 Dyrektywy 46 osobowe dane medyczne powinny być przetwarzane wyłącznie przez osoby zobowiązane do zachowania tajemnicy. Na gruncie przepisów powszechnie obowiązujących w naszym kraju trudno jest znaleźć grupę zawodową (poza przedstawicielami zawodów medycznych), która byłaby zobowiązana do dochowania tej tajemnicy. W przypadku personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można tą kwestię próbować rozwiązać poprzez odpowiednie zapisy w umowie o pracę. W takim przypadku przesłanka stworzenia pełnych gwarancji ochrony wydaje się być spełniona, gdyż placówka opieki zdrowotnej poprzez sam fakt zatrudnienia takiej osoby na umowę o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych.

Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych (Cd) W przypadku powierzenia przetwarzania medycznych danych osobowych firmie zewnętrznej pojawiają się bardzo duże wątpliwości, gdyż bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie jest możliwa w ramach tradycyjnego stosunku służbowego. Trudno jest więc w takiej sytuacji mówić o stworzeniu pełnych gwarancji. Byłaby ona możliwa, gdyby placówki ochrony zdrowia podlegały rygorom rejestracji zbiorów danych osobowych w GIODO, a co za tym idzie wchodziłyby w reżim procedur kontrolnych ze strony tego urzędu. Wtedy firmy przetwarzające medyczne dane osobowe na podstawie umowy powierzenia podlegałyby również procedurom kontrolnym ze strony GIODO. Ustawa o ochronie danych osobowych zwolniła jednak placówki ochrony zdrowia z obowiązku rejestracji zbiorów danych osobowych.

Wnioski W świetle powyższych wyjaśnień należy stwierdzić, że osoby pełniące kierownicze funkcje w zakładzie opieki zdrowotnej mogą przetwarzać dane medyczne ze względu na cel, którym jest zarządzanie usługami medycznymi. Można, posiłkując się definicjami wypracowanymi przez Grupę Roboczą ds. Ochrony Danych Osobowych KE, próbować znaleźć uzasadnienie dla przetwarzania osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia tj.: statystyków, pracowników rejestracji, księgowych. Natomiast bardzo trudno w ten sposób uzasadnić możliwość przetwarzania osobowych danych medycznych przez osoby, które administrują bazą danych w ramach usługi outsourcingu.

Dostęp do dokumentacji medycznej wg Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej: Dostęp do dokumentacji medycznej poza samym pacjentem może przysługiwać tylko pracownikom opieki zdrowotnej (czyli uprawnionemu personelowi placówek opieki zdrowotnej) uczestniczącym w bieżącym leczeniu pacjenta. Musi istnieć relacja między pacjentem a pracownikiem medycznym poszukującym dostępu do dokumentacji, polegająca na rzeczywistym i bieżącym leczeniu. Jeżeli zajdzie konieczność przetwarzania osobowych danych medycznych przez personel niemedyczny, personel ten musi także podlegać wiążącym regulacjom zapewniającym co najmniej równoważny stopień poufności i ochrony. Regulacje te muszą przewidywać obowiązek używania danych wyłącznie do celów wymienionych w art. 8 ust. 3 Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych do spraw wewnętrznych. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r., 00323/07/PL WP 131, str. 10

Przetwarzanie danych medycznych poza placówką opieki zdrowotnej w świetle wymagań Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta nie odnosi się do kwestii dopuszczalności outsourcingu prowadzenia dokumentacji medycznej w działalności podmiotów leczniczych. Nie zawiera ona żadnych zapisów poświęconych outsourcingowi, takich jak np. w ustawie o działalności ubezpieczeniowej czy też prawie bankowym, które regulują tą formę działalności. Jednocześnie ustawa o ochronie danych osobowych wyznacza bardzo wąskie przesłanki do przetwarzania tzw. "danych wrażliwych", ograniczając krąg podmiotów uprawnionych do przetwarzania takich danych do "osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych". Sytuacja ta rodzi pytanie: czy ustawodawca umyślnie zdecydował, że outsourcing jest zakazany i nie poświęcił mu choćby jednego zdania w przepisach czy też brak regulacji w tym względzie jest po prostu przeoczeniem, luką ustawową, wobec czego należy szukać rozwiązań problemu na gruncie zasad ogólnych wyznaczanych przez ustawę o ochronie danych osobowych.

Generalny zakaz przetwarzania danych medycznych w ramach dokumentacji medycznej zawierało nieobowiązujące już Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania. Sformułowanie zawarte w 44 tego rozporządzenia: Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona oznaczało wprost, iż dokumentacja medyczna nie mogła być archiwizowana poza terenem zakładu rozumianym w sensie strukturalnym (tj. jako zbiór jego jednostek i komórek organizacyjnych). W rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania poprzez zamianę zaimków w na przez oraz zakład na podmiot zrezygnowano z utożsamiania miejsca położenia podmiotu oraz lokalizacji składowania dokumentacji medycznej, co otworzyło pewne możliwości zastosowania outsourcingu przetwarzania danych medycznych w ramach dokumentacji medycznej.

44. 1. 1. Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. 2. 2. Dokumentacja zewnętrzna w postaci zleceń lub skierowań, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania 72. 1. 1. Dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją ją sporządził. 2. 2. Dokumentacja zewnętrzna w postaci zleceń lub skierowań jest przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Bezpośrednią zgodę na przechowywanie dokumentacji medycznej poza podmiotami udzielającymi świadczeń zdrowotnych ustawodawca zawarł natomiast w nowym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych. W tym przypadku, dotychczasowy zapis dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona pozostawiono niezmieniony, dodając jednak drugi ustęp odnoszący się wprost do możliwości powierzenia archiwizacji dokumentów medycznych osobom trzecim. Rozwiązanie przyjęte przez Ministra Spraw Wewnętrznych i Administracji oddaje w pełni istotę problemu outsourcingu przetwarzania elektronicznej dokumentacji medycznej. Liberalizacja zasad co do miejsca przetwarzania danych medycznych nie może oznaczać udostępnienia danych medycznych osobom nieuprawnionym

Z uwagi na brak legalnej definicji udostępnienia danych medycznych w literaturze podmiotu podejmuje się próby podjęcia tej kwestii w oparciu o powszechnie przyjęte zasady wykładni prawa. Biorąc pod uwagę potoczne rozumienie słowa udostępnienie, termin udostępnienie dokumentacji należy rozumieć jako umożliwienie jej poznania podmiotowi innemu niż dysponujący nią. W przypadku udostępnienia dokumentacji medycznej dochodzi więc do ujawnienia medycznych danych osobowych M Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego)

58. 1. 1. Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. 2. 2. Dokumentacja indywidualna zewnętrzna, o której mowa w 8 ust. 4 pkt 1 i i 2, 2, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. ( ) 7. 7. Dopuszcza się archiwizację dokumentacji przez inny podmiot, pod warunkiem zabezpieczenia jej przed zniszczeniem, uszkodzeniem lub utratą i i dostępem osób nieupoważnionych Rozporządzenie Ministra Spraw Wewnętrznych i i Administracji z dnia 18 maja 2011 r. r. w sprawie rodzaju i i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych

Problematyka wyboru technologii przetwarzania danych medycznych w outsourcingu a uwarunkowania prawno-organizacyjne dotyczące lokalizacji przechowywania dokumentacji elektronicznej

Zlecając przetwarzanie i archiwizację elektronicznej dokumentacji medycznej wyspecjalizowanej firmie, należy zwrócić uwagę na konieczność jednoznacznej identyfikacji miejsca przetwarzania danych medycznych. Świadczeniodawca powinien posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. W zasadzie powinien to być tzw. serwer dedykowany, czyli odrębny komputer (maszyna fizyczna) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych. Alternatywnym rozwiązaniem mogłaby być ewentualnie dzierżawa albo konkretnego serwera (tzw. serwer dedykowany), albo części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany).

74.Miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot, a w zakładzie opieki zdrowotnej - kierownicy poszczególnych komórek organizacyjnych tego zakładu w porozumieniu z kierownikiem zakładu. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. r. w sprawie rodzajów i i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Art. 4. 4. 1. 1. Użyte w ustawie określenia oznaczają: ( ) 12) przedsiębiorstwo pomocniczych usług bankowych - podmiot, którego podstawowa działalność ma charakter pomocniczy w stosunku do podstawowej działalności jednego lub więcej banków, a w szczególności polega na zarządzaniu własnym lub powierzonym majątkiem lub świadczeniu usług w zakresie przetwarzania danych, Art. 7. 7. 2. 2. Dokumenty związane z czynnościami bankowymi mogą być sporządzane na informatycznych nośnikach danych, jeżeli dokumenty te te będą w sposób należyty utworzone, utrwalone, przekazane, przechowywane i i zabezpieczone. Usługi związane z zabezpieczeniem tych dokumentów mogą być wykonywane przez banki, spółki tworzone przez banki z innymi podmiotami, a także przedsiębiorstwa pomocniczych usług bankowych. Ustawa z dnia 29 sierpnia 1997 r. r. Prawo bankowe

Podsumowanie W świetle tych rozważań należy stwierdzić, że chociaż powierzenie przetwarzania osobowych danych medycznych firmom specjalizującym się w profesjonalnym przetwarzaniu danych nie jest już zakazane, to nadal istnieją poważne bariery w jego stosowaniu. Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Przyjęcie takiego rozwiązania jest jednak od strony praktycznej bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać wymaganą zgodę za każdym razem. Natomiast brak zgody choćby w jednym przypadku przekreśla sens wdrażania takiego rozwiązania. Poprawa tego stanu wymagałaby zmian w ustawie o ochronie danych osobowych, a zwłaszcza w art. 27 ust. 2 ustawy, gdzie należałoby więc doprecyzować przesłankę zarządzania udzielaniem usług medycznych dopuszczającą przetwarzanie osobowych danych medycznych. Zmodyfikowane musiałyby być też zapisy w ustawie o prawach pacjenta oraz Rzeczniku Praw Pacjenta, w której należałoby rozszerzyć zakres podmiotów uprawnionych do dostępu do dokumentacji medycznej o profesjonalnie podmioty zajmujące się przetwarzaniem danych na podobnej zasadzie jak w przepisach ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe w zakresie dotyczącym możliwości outsourcingu czynności bankowych na rzecz podmiotów trzecich.

Dziękuję za uwagę krzysztof.nyczaj@sluzbazdrowia.com.pl Zapraszam do dyskusji www.nyczaj.blog.onet.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres