Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, - ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, - rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, - rozporządzenie Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. 1. Administrator danych Lekarz, lekarz dentysta wykonujący działalność leczniczą w ramach praktyki zawodowej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Administrator danych jest osobą decydującą o celach i środkach przetwarzania danych osobowych. Obowiązki administratora danych: obowiązek informacyjny wypełniany przy zbieraniu danych osobowych, szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza, udzielanie informacji o zakresie przetwarzanych danych osobowych, obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora, obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
kontrola, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane, prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (nie dotyczy zbiorów danych będących dokumentacją medyczną). 2. Gromadzenie i przetwarzanie danych w ramach prowadzenia dokumentacji medycznej Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Podmioty wykonujące działalność leczniczą są obowiązane prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.). Podmioty wykonujące działalność leczniczą zapewniają ochronę danych zawartych w tej dokumentacji. Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w przypadkach wymienionych w art. 26 ustawy prawach pacjenta i Rzeczniku Praw Pacjenta, który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją. Uwaga 1) zbiór danych osobowych gromadzony w ramach dokumentacji medycznej nie podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych; 2) nie ma obowiązku uzyskiwania zgody pacjenta na przetwarzanie danych osobowych zawartych w dokumentacji medycznej w celach świadczenia usług medycznych; 3) przetwarzanie ww. danych w innym celu wymaga zgody pacjenta. 3. Sposób zabezpieczenia danych osobowych przez lekarza, lekarza dentystę wykonującego praktykę zawodową. Lekarz, lekarz dentysta jako administrator danych osobowych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności. Ww. obowiązek obejmuje: poinformowanie pacjentów o nazwie praktyki lekarskiej, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści swoich danych, wdrożenie polityki bezpieczeństwa, wdrożenie instrukcji zarządzania systemem informatycznym ( jeśli taki jest), który służy przetwarzaniu danych pacjentów, wdrożenie środków technicznych i organizacyjnych mających na celu realizację powyższych punktów, w przypadku zatrudniania personelu pomocniczego, przygotowanie imiennych upoważnień dostępu do danych osobowych z określeniem zakresu dostępu, jak również ewidencji osób upoważnionych. Przy konstruowaniu dokumentu, polityki bezpieczeństwa należy uwzględnić w szczególności następujące elementy : wykaz budynków i pomieszczeń gdzie dane osobowe są przetwarzane, wykaz zbiorów danych osobowych, wraz ze wskazaniem narzędzi informatycznych używanych do zarządzania zbiorami, opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne wypełnia pacjent. Jeśli dodatkowo lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie elektronicznej powstaje konieczność przygotowania instrukcji przetwarzania danych: Przy redagowaniu takiej instrukcji należy uwzględnić w szczególności następujące elementy: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; sposób, miejsce i okres przechowywania: o elektronicznych nośników informacji zawierających dane osobowe, o kopii zapasowych, o których mowa w tirecie 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego sposób odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ponadto wskazane jest wdrożenie środków technicznych polegających na : zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób nieupoważnionych, stosowanie systemów podtrzymywania napięcia lub innych metod zapobiegających nagłej utracie danych, stosowanie wieloznakowego hasła dostępu, stosowania szyfrowania danych w przypadku przesyłania ich za pomocą publicznej sieci internetowej. Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przed GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych.
Kwestie związane z zabezpieczeniem dokumentacji medycznej prowadzonej w postaci elektronicznej uregulowane są również rozporządzeniu Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Zgodnie z 86 tego rozporządzenia dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności: systematycznego dokonywania analizy zagrożeń; opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania; stosowania środków bezpieczeństwa adekwatnych do zagrożeń; bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów; przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. Zgodnie z ww. rozporządzeniem ochronę informacji prawnie chronionych zawartych w dokumentacji prowadzonej w postaci elektronicznej realizuje się z odpowiednim stosowaniem zasad określonych w odrębnych przepisach, przez które należy rozumieć m.in. wymienione na wstępie przepisy dotyczące ochrony danych osobowych. Załączniki: 1) Apel Naczelnej Rady Lekarskiej z dnia 18 maja 2012 r.
2) Link do opracowania GIODO - Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa: http://www.giodo.gov.pl/222/ Opracowały: Anna Pogorzelska - administrator bezpieczeństwa informacji Naczelnej Izby Lekarskiej Anna Miszczak - radca prawny Zespołu Radców Prawnych Naczelnej Izby Lekarskiej