Aktualny numer

Serwis stomatologiczny
Centralny Rejestr Lekarzy

Jesteśmy na FB

Rynek zdrowia

Komunikat – Ochrona danych osobowych

pic_doc
Stan prawny na 17.02.2014 roku.
Przypominamy, że lekarzy, wykonujących zawód w ramach praktyki lekarskiej, obowiązują przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych.

W określonym w/w ustawa zakresie lekarz jest administratorem danych osobowych pacjentów tj. osobą odpowiedzialna za prawidłowe ich przetwarzanie (w tym ich gromadzenie, przechowywanie i udostępnianie).

Zbiory danych osobowych pacjentów nie podlegają zgłoszeniu Generalnemu Inspektorowi Ochrony Danych Osobowych (por. art. 43 ust. 1 pkt 5 ustawy)

Zwolnienie z obowiązku rejestracji zbioru danych dotyczącego osób korzystających z usług medycznych administratora danych nie zwalnia go z pozostałych obowiązków, jakie nakładają przepisy ustawy.

Przede wszystkim administrator musi:
•    przestrzegać zasad przetwarzania danych osobowych  zgodnie z prawem, zbierania danych dla zgodnych z prawem celów,
•    merytorycznej poprawności danych,
•    adekwatności do celów ich przetwarzania’
•    przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Administrator jest zobowiązany również do zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem zgodnie z zasadami określonymi w ustawie oraz  Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Administrator danych osobowych przetwarzanych w związku ze świadczeniem przez niego usług medycznych zobowiązany jest:
•    opracować i wdrożyć politykę bezpieczeństwa,
•    w przypadku prowadzenia zbioru danych w systemie informatycznym opracować i wdrożyć instrukcję zarządzenia systemem informatycznym,
•    wyznaczyć administratora bezpieczeństwa informacji,
•    dopuścić do przetwarzania danych wyłącznie osoby posiadające upoważnienia,
•    prowadzić ewidencję osób upoważnionych do przetwarzania danych.

W/w rozporządzenie nakłada także obowiązek wprowadzenia odpowiedniego poziomu bezpieczeństwa przetwarzania danych w systemie informatycznym: podstawowego, podwyższonego lub wysokiego w zależności od kategorii danych oraz zagrożenia.
 
W przypadku przetwarzania danych szczególnie chronionych takich jak dane dotyczące stanu zdrowia, zastosowany musi być poziom co najmniej podwyższony, a w przypadku połączenia przynajmniej jednego urządzenia służącego do przetwarzania danych z siecią publiczną, poziom wysoki.

Administrator naruszający zasady przetwarzania danych osobowych może podlegać odpowiedzialności karnej za np. udostępnienie danych osobom nieupoważnionym czy chociażby za nieumyślne nieumyślnie naruszenie obowiązku zabezpieczenia danych przed ich zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.

Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych określa również kompetencje Generalnego Inspektora Ochrony Danych Osobowych, który jest wyposażony m.in. w uprawnienia egzekucyjne w zakresie egzekucji administracyjnej obowiązków o charakterze niepieniężnym wynikających z wydawanych przez niego decyzji.
 
Egzekucji mają podlegać te decyzje, które nakładają na adresata obowiązek zachowania się w określony sposób, np. nakaz przywrócenia stanu zgodnego z prawem czy nakaz ograniczenia przetwarzania danych wyłącznie do ich przechowywania.
 
Organ ochrony danych osobowych może w razie niewykonania obowiązków o charakterze niepieniężnym wynikających z decyzji administracyjnych będzie mógł stosować środek egzekucyjny w postaci grzywny w celu przymuszenia .
 
Zakres stosowania tej regulacji obejmuje wszystkie obowiązki nakładane przez GIODO, tj. obowiązek znoszenia lub zaniechania albo obowiązek wykonania określonej czynności. GIODO będzie mógł wystawić postanowienie o zastosowaniu grzywny w celu przymuszenia. W razie jej nieziszczenia może być prowadzona egzekucja przez urząd skarbowego. Grzywna taka może być nakładana wielokrotnie.
 
Wysokość takiej grzywny w stosunku do osoby fizycznej wynosi maksymalnie 10 tys. zł, zaś w stosunku do osoby prawnej oraz jednostki organizacyjnej nieposiadającej osobowości prawnej – 50 tys. zł.
 
Podstawowe akty prawne dotyczące ochrony medycznych danych osobowych- zostały zamieszczone w załączniku do niniejszego komunikatu:

  1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych – str. 1.
  2. Ustawa z dnia 5 grudnia 1996 roku o zawodach lekarza i lekarza dentysty – str. 14.
  3. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 roku w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania  – str. 67.
  4. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z dnia 1 maja 2004 roku, Nr 10, poz. 1024) – str. 86.

Na zakończenie kilka uwag praktycznych:

– niezależnie od w/w komentarza pewien zarys problematyki ochrony danych medycznych oraz tajemnicy lekarskiej analizuje się w prezentacji zamieszczonej poniżej,

– szczególnej uwagi ochrona danych medycznych nabiera w wymiarze – jak na chwilę bieżącą – obowiązkowego przejścia na dokumentacje elektroniczna jaka ma nastąpić do dnia 31 lipca 2014 roku – choć jak przynoszą doniesienia medialne termin ten ma zostać wydłużony,

– niewątpliwie w części lekarze – zobowiązani do prowadzenia dokumentacji elektronicznej -będą zainteresowani skorzystaniu z usług wyspecjalizowanych firm outsourcingowych, tym niemniej wyboru należy dokonywać starannie, zwracając uwagę na zapisy umowne,  mając na względzie fakt odpowiedzialności jaką lekarz ponosi za prawidłowość przetwarzania danych medycznych,

– prosimy również zwracać uwagę na firmy, które – epatując wysokościami kar jakie może wymierzyć GIODO – próbują nierzadko naciągnąć lekarzy na swoje usługi w zakresie realizacji obowiązków administratora t.j. np.  tworzenie polityki bezpieczeństwa,

– w/w kontekście – nie negując rzeczywistych represyjnych uprawnień GIODO – wydaje się, iż zachowanie pewnych standardów bezpieczeństwa nie spowoduje natychmiastowego wymierzenia kar finansowych, a poprzestanie jedynie na ewentualnych zaleceniach pokontrolnych w zakresie ochrony danych medycznych.

 

Kalendarium

Styczeń 2019
PWŚCPSN
« gru   lut »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31    

Ogłoszenia

Galerie

  • Zdjęcia - Bal Lekarza - Kraków - 2018
    Zdjęcia - Bal Lekarza - Kraków - 2018
    2019-01-16 15:26:19
  • Galeria remontowa październik 2018 r.
    Galeria remontowa październik 2018 r.
    2018-11-13 11:07:44
  • Galeria remontowa lipiec 2018 r.
    Galeria remontowa lipiec 2018 r.
    2018-09-26 12:47:48
  • Galeria remontowa 21.06.2018
    Galeria remontowa 21.06.2018
    2018-07-25 10:48:47

Polecamy

Wybory