logowanie



Gościmy

Naszą witrynę przegląda teraz 33 gości 
Prawo na co dzień Drukuj
Ocena użytkowników: / 1
SłabyŚwietny 

Ochrona danych osobowych pacjenta w praktyce lekarskiej

Zgodnie z przepisami ustawy o ochronie danych osobowych z 29 sierpnia 1997 r. (takimi jak Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a przetwarzanie danych to operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej. Administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa wyżej, decydujące o celach i środkach przetwarzania danych osobowych. W związku z powyższym lekarze prowadzący prywatne praktyki i podmioty lecznicze jako administratorzy danych są zobowiązani do stosowania przepisów tej ustawy. Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób korzystających z ich usług medycznych. Natomiast dane personalne pacjenta (imię i nazwisko, data urodzenia, płeć, numer PESEL, adres zamieszkania) oraz informacje medyczne dotyczące jego stanu zdrowia i udzielonych świadczeń zdrowotnych zawarte w dokumentacji medycznej podlegają ochronie przewidzianej w wym. ustawie. Prywatne praktyki lekarskie i podmioty lecznicze w celu zabezpieczenia danych osobowych muszą spełniać warunki określone w ustawie w zakresie tworzenia zbiorów danych osobowych oraz ich przetwarzania.

 

Zgodnie z przepisami Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 r. (takimi jak Dz. U. z 2012 r., poz. 159) pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych. Dane zawarte w dokumentacji medycznej podlegają ochronie określonej w ustawie oraz w przepisach odrębnych (ustawa o ochronie danych osobowych). W celu realizacji prawa pacjenta podmiot udzielający świadczeń zdrowotnych jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób określony w ustawie oraz zapewnić ochronę danych zawartych w tej dokumentacji. Dokumentację medyczną prowadzi się w postaci elektronicznej od 1 sierpnia 2014 r. Lekarze, pielęgniarki i położne są uprawnieni do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej.

W przypadku zbierania danych osobowych od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę o:

  • adresie swojej siedziby i pełnej nazwie,
  • celu zbierania danych,
  • prawie dostępu do treści swoich danych oraz ich poprawiania,
  • dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.

Przetwarzanie danych jest dopuszczalne, jeżeli jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz wymienione wyżej środki ochrony danych. Na powyższą dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Jeżeli dokumentacja medyczna prowadzona jest wyłącznie w wersji papierowej należy sporządzić politykę bezpieczeństwa, która zawiera w szczególności:

  • wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe,
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
  • sposób przepływu danych pomiędzy poszczególnymi systemami,
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i „rozliczalności” przetwarzanych danych.

W przypadku prowadzenia dokumentacji medycznej w formie elektronicznej należy sporządzić instrukcję zarządzania systemem informatycznym, która zawiera w szczególności:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych,
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Ponadto obszar, w którym przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych.

System informatyczny służący do przetwarzania danych osobowych zabezpiecza się w szczególności przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. Urządzenia i nośniki zawierające dane osobowe pacjentów, przekazywane poza obszar, w którym przetwarzane są dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa oraz wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji zamieszczone są na stronie internetowej www.giodo.gov.pl

mec. Beata Kozyra-Łukasiak
radca prawny DIL

 

Zaloguj się aby komentować.