BLOG DLA LEKARZY

Według ustawy o danych osobowych dane medyczne pacjenta stanowią specjalną kategorię informacji – to tzw. dane wrażliwe, określane także jako sensytywne. Czym dokładnie są dane wrażliwe? Kto ma obowiązek ich szczególnej ochrony? W jakim zakresie można przetwarzać medyczne dane wrażliwe? I jak je chronić?

Według art. 27 ustawy o danych osobowych dane wrażliwe to m.in. te dotyczące zdrowia, nałogów, kodu genetycznego i życia seksualnego. Szpitale, przychodnie, gabinety oraz cały ich personel ma dostęp do informacji dotyczących historii choroby, przebiegu leczenia oraz planowanych terapii. Na mocy prawa to właśnie tego rodzaju wrażliwe dane medyczne pacjenta powinny być szczególnie chronione, a przetwarzane mogą być tylko w ograniczonym zakresie i w szczególny sposób.

Kiedy wolno przetwarzać dane wrażliwe?

Według definicji przetwarzanie danych to wszelkie operacje na nich wykonywane (m.in. zbieranie, przechowywanie, utrwalanie, opracowywanie, zmienianie, udostępnianie i ich usuwanie). Ustawa dzieli dane osobowe na zwykłe oraz wrażliwe. Zupełnie inna jest ochrona obu tych kategorii danych. Wrażliwe dane pacjenta wolno przetwarzać, jednak tylko w szczególnych przypadkach. Według ustawy osoba, której dotyczą dane, powinna wyrazić na to zgodę na piśmie (z wyjątkiem, że chodzi o ich usunięcie lub przetwarzanie, ale z zachowaniem pełnej gwarancji ochrony). W praktyce można przetwarzać informacje o stanie zdrowia, ale wyłącznie pod warunkiem, że odbywa się to w celu ochrony stanu zdrowia, leczenia pacjentów oraz świadczenia usług medycznych przez osoby trudniące się zawodowo leczeniem albo świadczeniem innych usług medycznych, gdy dotyczy zarządzania udzielaniem usług medycznych oraz gdy gwarantowana jest ochrona danych.

Ochrona danych wrażliwych

Placówki medyczne mają obowiązek gromadzenia i utrzymywania dokumentacji medycznej swoich pacjentów. Jednak podlega ona określonej ochronie, szczególnie w przypadku elektronicznych danych medycznych. Należy określić administratora danych, który przede wszystkim jest zobowiązany do zastosowania technicznych i organizacyjnych środków, które mają ochraniać przetwarzane dane, dopasowane do zagrożeń oraz kategorii tych danych.

Administrator ma obowiązek zarejestrowania zbioru danych w GIODO i może je dopiero wtedy przetwarzać (wyjątek stanowią sytuacje, kiedy ustawa zwalnia z rejestracji). Administrator danych wrażliwych musi prowadzić pisemną dokumentację, która opisuje sposób przetwarzania tych danych oraz środki je zabezpieczające. Wśród wymienionej dokumentacji powinna się znaleźć m.in. instrukcja zarządzania systemem informatycznym, który przetwarza dane, oraz polityka bezpieczeństwa.

Jak chronić cyfrowe dane medyczne?

Większość podmiotów medycznych korzysta z systemów informatycznych, dzięki którym można przetwarzać (także online) oraz zarządzać danymi wrażliwymi pacjentów. W takiej sytuacji na administratora danych spada obowiązek wprowadzenia właściwych poziomów bezpieczeństwa związanych z przetwarzaniem danych wrażliwych. Wskazane jest tu wprowadzenie poziomu przynajmniej podwyższonego lub wysokiego. Dodatkowo należy wdrożyć właściwe środki bezpieczeństwa dla każdego z tym poziomów.

Administrator danych musi wyznaczyć administratora bezpieczeństwa informacji (ABI), który jest odpowiedzialny za to, by ochrona przebiegała według określonych zasad (może nim zostać sam administrator danych osobowych, jeśli jest osobą fizyczną). Do zadań administratora należy również:

  • nadanie upoważnienia do przetwarzania danych osobowych,
  • zapewnienie kontroli nad przepływem danych osobowych,
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych.

Główną rolą administratora danych jest ochrona (ze szczególną starannością) interesu osób, których dane są zbierane i przetwarzane.

Komentarze

Obecnie nie ma komentarzy. Bądź pierwszy!

Dodaj komentarz

Komentarze:

Nikt jeszcze nie skomentował tego artykułu. Bądź pierwszy.