Ocena rozprawy doktorskiej Pani mgr Miroslawy Mocydlarz-Adamcewicz: Ochrona elektronicznych danych pacjenta w szpitalu onkologicznym po vvejsciu Polski do Unii Europejskiej Przedstawiona do oceny rozprawa doktorska mgr Mirostawy Mocydlarz-Adamcewicz dotyczy bardzo waznego i aktualnego tematu ochrony osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych w szpitalu onkologicznym. Uklad rozprawy jest typowy dla tego rodzaju opracowan. Praca, bardzo obszerna, liczy 257 stron i sklada si^ z pi^ciu rozdzialow oraz streszczenia (w j^zyku polskim i angielskim), spisu rycin - 19 pozycji, spisu tabel - 8 pozycji, oraz bibliografii. Bibliografia sklada si^ z wykazu literatury liczqcego 228 pozycji, wykazu aktow prawnych podzielonych na kilka cz^sci: prawo mi^dzynarodowe - 7 pozycji, prawo Unii Europejskiej - 24 pozycje, prawo krajowe - 62 pozycje, wykaz orzeczeh - 10 pozycji, wykaz norm - 10 pozycji, wykaz stron intemetowych - 14 pozycji. Jest to wi^c bibliografia imponuj^ca. Do pracy dol^czone sq zatqczniki, ktorych spis liczy 22 pozycje. Tekst pracy poprzedzony jest 4-stronicowym wykazem skrotow dotycz^cych aktow prawnych, osob, instytucji oraz organizacji. Bez tego wykazu czytanie pracy byloby bardzo utrudnione. Praca sklada si^ z obszernego wst^pu (rozdzialy 1, 2, 3), uzasadniajqcego eel podj^cia badan i stanowiacego cz^sc teoretyczn^ rozprawy, celow pracy, prezentacji metodologii i materialu, a nast^pnie wynikow, dyskusji i wnioskow. Pod wzgl^dem merytorycznym i edytorskim rozprawa spetnia wymogi stawiane pracy doktorskiej. Cele pracy s^ precyzyjnie zdefiniowane i zostaty w przedstawionej pracy zrealizowane. W rozdziale 1 autorka definiuje i obszernie opisuje szereg podstawowych poj^c, ktorymi posluguje si^ w dalszej cz^sci tekstu, a s^ to prywatnosc, relacje mi^dzy poj^ciami: informacja i dane, osobowe dane medyczne, elektroniczna dokumentacja medyczna, przetwarzanie danych osobowych, system zarzcjdzania bezpieczenstwem danych osobowych, szpital onkologiczny.
Rozdzial 2 przedstawia zasady systemu zarz^dzania bezpieczenstwem danych osobowych w szpitalu onkologicznym. Poruszone tu s^ tematy dotyczqce klasyfikacji informacji przetwarzanych w szpitalu onkologicznym, szpitala onkologicznego jako Administratora Danych Osobowych i jego obowiqzkow. Omowione tu sq przeslanki legalizuj^ce przetwarzanie osobowych danych medycznych w szpitalu onkologicznym, przeslanki prawne, organizacyjne i przeslanki bezpieczenstwa wdrozenia Systemu Zarz^dzania Bezpieczenstwem Danych Osobowych w szpitalu onkologicznym W rozdziale 3 autorka formuluje eel pracy oraz hipotezy, metody, techniki i narz^dzia badawcze. Na 6 stronach tekstu autorka obszernie definiuje powyzsze poj?cia i szczegolowo opisuje uzyte w pracy metody badawcze. Glownym celem bylo zbadanie rozwoju ochrony osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych w szpitalu onkologicznym przed i po wejsciu Polski do Unii Europejskiej. Zbadano i opracowano: - zmiany polskiego prawa medycznego w zakresie zapewniania bezpieczenstwa osobowych danych medycznych przetwarzanych w zakresie systemow informatycznych, - wplyw prawa Unii Europejskiej i prawa mi^dzynarodowego na prawo krajowe w zakresie ochrony osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych, oraz - opracowano wytyczne dla ochrony medycznych danych osobowych oraz poprzez opracowanie kompleksowego Systemu Zarz^dzania Bezpieczenstwem Danych Osobowych w podmiotach leczniczych. Zmiany prawa krajowego, a w szczegolnosci ustawy generalnej - o ochronie danych osobowych UODO - na podstawie aktow UE oraz prawa mi^dzynarodowego poddane zostaly ocenie w dwoch okresach, tj. od 1997 r. do 30 kwietnia 2004 r. oraz od 1 maja 2004 r. do 2015 r.. Rozdzial 4 zawiera wyniki, zaprezentowane na 100 stronach tekstu podzielonego na 3 podrozdzialy.
Pierwszy dotyczy ewolucji polskiego prawa medycznego w zakresie bezpieczenstwa osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych. Przedstawiono w nim jak zmienialo si? polskie prawo medyczne w zakresie przetwarzania osobowych danych medycznych przy uzyciu systemow informatycznych w okresie od 1997 r. do 30 kwietnia 2004 r. (do wejscia Polski do UE) jak i w okresie od 1 maja 2004 r. (od wejscia Polski do UE) do 2015 r. Autorka opracowala: -okreslenie definicji i zakresu danych obj^tych dokumentacja medycznq, -udost^pniania osobowych danych medycznych, -przekazywania osobowych danych medycznych platnikowi za udzielone swiadczenia medyczne, -wypracowania instrumentow prawnych gwarantuj^cych poufnosc przetwarzanych danych pacjenta, -wymagah reguluj^cych przetwarzanie osobowych danych medycznych przy uzyciu systemow informatycznych. Drugi podrozdzial opisuje wplyw prawa Unii Europejskiej i prawa mi^dzynarodowego na prawo krajowe w zakresie ochrony osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych. Autorka przedstawila: -harmonizacj? wybranych dokumentow zrodlowych prawa krajowego z prawem unijnym. - standardy ochrony osobowych danych medycznych. Autorka ocenita wplyw prawa UE oraz prawa mi^dzynarodowego w zakresie ochrony osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych na prawo krajowe w okresie od 1997 r. do 30 kwietnia 2004 r. (okres do wejscia Polski do UE) oraz dla okresu od 1 maja 2004 r. (okres od wejscia Polski do UE) do 2015 r.. Podsumowania dokonala w zakresie oceny: -prawa do autonomii informacyjnej pacjenta, -podstaw dopuszczalnosci przetwarzania osobowych danych medycznych, -zakresu i postaci przetwarzania osobowych danych medycznych, -podstawowych poj^c ochrony osobowych danych medycznych, -praw pacjenta wynikajacych z przetwarzania danych osobowych,
-zasad i obowi^zkow dotyczgcych przetwarzania osobowych danych medycznych, -srodkow zapewnienia ochrony osobowych danych medycznych, w szczegolnosci przetwarzanych przy uzyciu systemow informatycznych. W 3 podrozdziale autorka opisuje System Zarzqdzania Bezpieczehstwem Danych Osobowych. Opis przedstawia: - Charakterystyk? srodowiska informatycznego - Infrastruktur? sprz^tow^ - Zasoby programowe - Mode! systemu bezpieczenstwa - Dokumentacja bezpieczenstwa - System informatyczny Administratora Bezpieczenstwa Informacji W podrozdziale dokonano podsumowania zaprojektowanego i wdrozonego modelu ochrony osobowych danych medycznych w osrodku onkologicznym w zakresie glownych wymagah jak i elementow Systemu Zarzqdzania Bezpieczehstwem Danych Osobowych wynikajacych zarowno z przepisow prawa, standardow, norm technicznych jak i z przeprowadzonej analizy ryzyka srodowiska informatycznego osrodka, a w szczegolnosci jego zasobow programowych, sprz^towych i organizacyjnych. W rozdziale 5 autorka obszernie opisuje wyci^gni^te przez ni^ wnioski. W skrocie mozna je przedstawic tak: Ochrona osobowych danych medycznych przetwarzanych przy uzyciu systemow informatycznych w szpitalu onkologicznym jest warunkowana wprowadzeniem wlasciwych w tym zakresie przepisow prawa krajowego ogolnego oraz prawa medycznego. Wejscie Polski do Unii Europejskiej wymusilo unifikacj? prawa polskiego z unijnym. Wykazano, ze: - W prawie krajowym, pomimo implementacji UODO do aktow branzowych, system bezpieczenstwa winien bye projektowany i wdrazany z uwzgl^dnieniem aktu ogolnego, ktory przewiduje w zakresie zabezpieczenia danych dalej idqc^ ochrony.
- Zmiany prawa krajowego, a w szczegolnosci UODO, na podstawie prawa unijnego i mi^dzynarodowego spowodowaty okreslenie i wprowadzenie do prawa polskiego autonomii informacyjnej pacjenta. - System Zarzqdzania Bezpieczenstwem Danych Osobowych w podmiocie ochrony zdrowia (szpitalu) powinien miec nast^pujqce cechy: uniwersalnosc (mozliwosc wdrozenia w kazdej placowce sluzby zdrowia); zgodnosc z prawem polskim i unijnym, ktore wyznacza minimalne standardy ochrony danych i posiadac akceptacj? i wsparcie kierownictwa szpitala. Doktorantka zauwaza tez, iz nadal nie wprowadzono legalnej definicji dokumentacji medycznej ale okreslonojej elementy skladowe. Mimo wyznaczenia w 2015 r. standardu elektronicznej wymiany danych, opracowano wylqcznie szablony (struktur? i semantyk?) niektorych elektronicznych dokumentow medycznych. Brak standaryzacji calosci dokumentacji medycznej znacz^co utrudnia skutecznq wymian? dokumentacji w srodowisku medycznym (mi^dzy podmiotami leczniczymi i pacjentami) i jej zabezpieczenie. Ogromnym sukcesem doktorantki jest opracowanie przez nlq systemu, ktory nast^pnie zostal wdrozony w WCO jako System Zarz^dzania Bezpieczehstwem Danych Osobowych. Nalezy podkreslic, ze autorski SZBDO zostal wdrozony i zwalidowany w srodowisku klinicznym. Wdrazanie rozpocz^to w WCO w 2004 r. w oparciu o cykl Deminga, skladajqcy si? z czterech etapow: Planuj, Wykonaj, Sprawdzaj i Dzialaj, wzbogaconym przez okreslenie na kazdym etapie, zabezpieczeh na plaszczyznie organizacyjnej, technicznej oraz fizycznej. Wdrozony system moze stanowic wzor do zaprojektowania, wdrozenia i utrzymania SZBDO w innych osrodka onkologicznych. Z metodycznego punktu widzenia praca zostala przygotowana bardzo starannie. Podziwiac nalezy ogrom pracy jak^ wykonala doktorantka studiujqc i porownuj^c wielk^ liczb? dokumentow i aktow prawnych oraz ponad 200 pozycji pismiennictwa.
Wysoko oceniam zarowno rezultat pracy wykonanej Autorkf, jak i starannq redakcjf tekstu I jej poziom j^zykowy oraz uzycie jednolitej nomenkiatury. Praca zostala bardzo dobrze przygotowana metodycznie. Z uwagi na pozytywnq ocen^ rozprawy doktorskiej Pani mgr Miroslawy Mocydlarz- Adamcewicz wnoszf o dopuszczenie Jej do dalszych etapow przewodu doktorskiego. Dr hab. Wojciech Bulski