Obowiązki lekarza, lekarza dentysty wykonującego działalność

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach
praktyki zawodowej związane z ochroną danych osobowych
Podstawa prawna:
- ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
- ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,
- rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu
dokumentacji medycznej oraz sposobu jej przetwarzania,
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w
sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i
organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych,
- rozporządzenie Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i
zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.
1. Administrator danych
Lekarz, lekarz dentysta wykonujący działalność leczniczą w ramach praktyki zawodowej jest
administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych. Administrator danych jest osobą decydującą o celach i środkach przetwarzania
danych osobowych.
Obowiązki administratora danych:
·
obowiązek informacyjny wypełniany przy zbieraniu danych osobowych,
·
szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony
interesów osób, których dane przetwarza,
·
udzielanie informacji o zakresie przetwarzanych danych osobowych,
·
obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego
wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy
zażąda tego osoba, której dane są przetwarzane przez administratora,
·
obowiązek stosowania środków technicznych i organizacyjnych zapewniających
ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii
danych objętych ochroną,
·
kontrola, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są
przekazywane,
·
prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
·
zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych
Osobowych w przypadkach przewidzianych prawem (nie dotyczy zbiorów danych
będących dokumentacją medyczną).
2. Gromadzenie i przetwarzanie danych w ramach prowadzenia dokumentacji
medycznej
Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej.
Podmioty wykonujące działalność leczniczą są obowiązane prowadzić dokumentację
medyczną osób korzystających ze świadczeń zdrowotnych na zasadach określonych w
ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z
późn. zm.). Podmioty wykonujące działalność leczniczą zapewniają ochronę danych
zawartych w tej dokumentacji.
Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie
zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym
także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w
przypadkach wymienionych w art. 26 ustawy prawach pacjenta i Rzeczniku Praw Pacjenta,
który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą
dokumentacją.
Uwaga
1) zbiór danych osobowych gromadzony w ramach dokumentacji medycznej nie podlega
zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;
2) nie ma obowiązku uzyskiwania zgody pacjenta na przetwarzanie danych osobowych
zawartych w dokumentacji medycznej w celach świadczenia usług medycznych;
3) przetwarzanie ww. danych w innym celu wymaga zgody pacjenta.
3. Sposób zabezpieczenia danych osobowych przez lekarza, lekarza dentystę
wykonującego praktykę zawodową.
Lekarz, lekarz dentysta jako administrator danych osobowych ma obowiązek zastosowania
środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych
osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w
szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem
ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został
zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz
środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa
informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych
czynności.
Ww. obowiązek obejmuje:
·
poinformowanie pacjentów o nazwie praktyki lekarskiej, jej adresie, celu zbierania
danych osobowych, prawie dostępu do treści swoich danych,
·
wdrożenie polityki bezpieczeństwa,
·
wdrożenie instrukcji zarządzania systemem informatycznym ( jeśli taki jest), który
służy przetwarzaniu danych pacjentów,
·
wdrożenie środków technicznych i organizacyjnych – mających na celu realizację
powyższych punktów,
·
w przypadku zatrudniania personelu pomocniczego, przygotowanie imiennych
upoważnień dostępu do danych osobowych z określeniem zakresu dostępu, jak
również ewidencji osób upoważnionych.
Przy konstruowaniu dokumentu, polityki bezpieczeństwa należy uwzględnić w szczególności
następujące elementy :
·
wykaz budynków i pomieszczeń gdzie dane osobowe są przetwarzane,
·
wykaz zbiorów danych osobowych, wraz ze wskazaniem narzędzi informatycznych
używanych do zarządzania zbiorami,
·
opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne
wypełnia pacjent.
Jeśli dodatkowo lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie
elektronicznej powstaje konieczność przygotowania instrukcji przetwarzania danych:
Przy redagowaniu takiej instrukcji należy uwzględnić w szczególności następujące elementy:
·
procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych
uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te
czynności;
·
stosowane metody i środki uwierzytelnienia oraz procedury związane z ich
zarządzaniem i użytkowaniem;
·
procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla
użytkowników systemu;
·
procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi
programowych służących do ich przetwarzania;
·
·
sposób, miejsce i okres przechowywania:
o
elektronicznych nośników informacji zawierających dane osobowe,
o
kopii zapasowych, o których mowa w tirecie 4,
sposób
zabezpieczenia
systemu
informatycznego
przed
działalnością
oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do
systemu informatycznego
·
sposób odnotowania informacji
o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy,
którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia,
chyba że system informatyczny używany jest do przetwarzania danych zawartych w
zbiorach jawnych;
·
procedury wykonywania przeglądów i konserwacji systemów oraz nośników
informacji służących do przetwarzania danych.
Ponadto wskazane jest wdrożenie środków technicznych polegających na :
·
zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób
nieupoważnionych,
·
stosowanie systemów podtrzymywania napięcia lub innych metod zapobiegających
nagłej utracie danych,
·
stosowanie wieloznakowego hasła dostępu,
·
stosowania szyfrowania danych w przypadku przesyłania ich za pomocą publicznej
sieci internetowej.
Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych
na odpowiedzialność administracyjną przed GIODO, jak i karną, stosownie do przepisów
karnych ustawy o ochronie danych osobowych.
Kwestie związane z zabezpieczeniem dokumentacji medycznej prowadzonej w postaci
elektronicznej uregulowane są również rozporządzeniu Ministra Zdrowia z dnia z dnia 21
grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej
przetwarzania. Zgodnie z § 86 tego rozporządzenia dokumentację prowadzoną w postaci
elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie
następujące warunki:
·
jest zapewniona jej dostępność wyłącznie dla osób uprawnionych;
·
jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem;
·
są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie
ich zastosowania jest powszechnie uznawana.
Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w
szczególności:
·
systematycznego dokonywania analizy zagrożeń;
·
opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich
przetwarzania, w tym procedur dostępu oraz przechowywania;
·
stosowania środków bezpieczeństwa adekwatnych do zagrożeń;
·
bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny
skuteczności tych sposobów;
·
przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w
tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów
danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.
Zgodnie z ww. rozporządzeniem ochronę informacji prawnie chronionych zawartych w
dokumentacji
prowadzonej
w
postaci
elektronicznej
realizuje
się
z
odpowiednim
stosowaniem zasad określonych w odrębnych przepisach, przez które należy rozumieć m.in.
wymienione na wstępie przepisy dotyczące ochrony danych osobowych.
Załączniki:
1) Apel Naczelnej Rady Lekarskiej z dnia 18 maja 2012 r.
2) Link do opracowania GIODO - Wytyczne w zakresie opracowania i wdrożenia polityki
bezpieczeństwa: http://www.giodo.gov.pl/222/
Opracowały:
Anna Pogorzelska - administrator bezpieczeństwa informacji Naczelnej Izby Lekarskiej
Anna Miszczak - radca prawny Zespołu Radców Prawnych Naczelnej Izby Lekarskiej