Dołącz do czytelników
Brak wyników

Z praktyki gabinetu

14 grudnia 2017

NR 60 (Kwiecień 2015)

Ochrona danych osobowych w gabinecie fizjoterapii

0 8

Spełnienie wymogów ochrony danych osobowych dotyczy każdej osoby prowadzącej działalność gospodarczą. Fizjoterapeuta udzielający swoich świadczeń musi spełnić ten warunek, nawet jeśli nie wypełnia ustawowego obowiązku prowadzenia podmiotu leczniczego. Dlatego też już sam fakt posiadania wpisu w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) obliguje do odpowiedniego postępowania z danymi osobowymi, które są w posiadaniu fizjoterapeuty.

Najważniejszym krajowym aktem prawnym dotyczącym danych osobowych w placówce medycznej jest ustawa o ochronie danych osobowych (dalej u.o.d.o.). Omawiana ustawa nakłada na wszystkich takie same wymogi. Nie ma większego znaczenia, czy w placówce pracuje jedna osoba, czy jest to cała przychodnia, w skład której wchodzi poradnia rehabilitacyjna. Istotną rolę w regulacji ochrony danych osobowych odgrywa również ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta (wraz z właściwymi rozporządzeniami resortowymi) – regulująca chociażby kwestie związane z udostępnianiem i przechowywaniem dokumentacji medycznej. Należy pamiętać, że powyższe czynności muszą mieć miejsce z zachowaniem wymogów stawianych w ustawie u.o.d.o. Aby dobrze zrozumieć tę problematykę, konieczne jest wyjaśnienie podstawowych pojęć z tego zakresu.
Przepisy u.o.d.o. wprowadzają pojęcie:
1 „Danych osobowych”, za jakie należy uznać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Doktryna prawnicza przyjmuje, że adres
e-mail umożliwiający identyfikację określonej osoby należy do danych osobowych i jako taki powinien być chroniony w zgodzie z przepisami.

2 „Administratora danych osobowych”, pod którym rozumie osobę fizyczną, osobę prawną bądź jednostkę organizacyjną bez osobowości prawnej, która decyduje o celach i środkach. W przypadku, gdy administrator danych osobowych nie wykonuje funkcji administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, musi powołać taką osobę wewnątrz placówki.

3 „Administratora Bezpieczeństwa Informacji” (zwanego potocznie ABI), wyznaczonego przez administra-
tora danych osobowych, do którego należy sprawowanie nadzoru nad przestrzeganiem przepisów u.o.d.o. Może nim być tylko osoba fizyczna, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Administrator Bezpieczeństwa Informacji może powoływać swoich zastępców (którzy także powinni spełniać warunki wskazane w oświadczeniu). Do podstawowych zadań ABI należy:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych oraz przestrzegania zasad określonych w dokumentacji (przez dokumentację rozumie się tworzenie polityki bezpieczeństwa przetwarzania danych osobowych, tworzenie instrukcji określającej sposób zarządzania i użytkowania systemów informatycznych),
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (czyli prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, zbierania oświadczeń o zapoznaniu się z polityką bezpieczeństwa przetwarzania informacji, wydawania upoważnień do przetwarzania danych osobowych). W związku z nowelizacją pod koniec ubiegłego roku przepisów u.o.d.o. osoby, które aktualnie piastują stanowisko ABI, powinny zostać zgłoszone do rejestru ABI (prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych) najpóźniej do dnia 30 czerwca 2015 r. Do tego czasu firmy powinny wyodrębnić stanowisko ABI wewnątrz struktury organizacyjnej lub dopasować aktualny opis stanowiska osoby piastującej tę funkcję w taki sposób, aby uniezależnić ABI od dotychczasowych przełożonych, z jednoczesnym raportowaniem do kierownika danej jednostki,
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

4 „Przetwarzania danych osobowych”, przez które rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie,

a zwłaszcza te, które wykonuje się w systemach informatycznych.

5 „Zbioru danych osobowych”, którym w myśl ustawy jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Cechą wyróżniającą zbiór danych od innego zestawu danych jest zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów u.o.d.o., wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

Placówka medyczna jako administrator danych powinna dołożyć szczególnej staranności w celu ochrony interesów osób, których dane posiada, a zwłaszcza jest obowiązana zapewnić, aby dane te były:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 u.d.u.).

Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

Dane osobowe w placówce medycznej

Placówka medyczna ma w swojej strukturze kilka rodzajów danych osobowych. Wśród najważniejszych należy wymienić:

  • dane pracownicze (imię, nazwisko, adres domowy, adres do korespondencji czy mailowy, dane o rodzinie, stanie cywilnym, liczbie dzieci i zarobkach) – jeżeli zatrudnia jakiegokolwiek pracownika (nawet na podstawie umowy wolontariatu),
  • dane o współpracownikach (osobach fizycznych prowadzących własne działalności gospodarcze, które w myśl ustawy u.o.d.o. podlegają również ochronie prawnej),
  • dane pacjentów zawarte w dokumentacji medycznej – najważniejsze ze względu na ochronę, jaką trzeba im zapewnić.

Dokumentacja medyczna jest zbiorem danych opisujących stan zdrowia pacjenta oraz zakres udzielanych mu świadczeń. Ze względu na zawarte w niej informacje kwalifikuje się ją jako dane wrażliwe. W jej skład wchodzą wszelkiego rodzaju dokumenty zawierające informacje o:

  • pacjencie,
  • jego schorzeniu,
  • udzielonych świadczeniach zdrowotnych,
  • wykonywanych zabiegach diagnostycznych, leczniczych czy rehabilitacyjnych,
  • zaleceniach,

a także dokumenty w rodzaju:

  • zaświadczeń,
  • orzeczeń,
  • opinii.

Zawiera ona rodzaje danych osobowych:

  • identyfikujące – związane z możliwością ustalenia tożsamości pacjenta,
  • medyczne – dotyczące stanu zdrowia pacjenta, rodzajów przeprowadzonych zabiegów czy operacji oraz udzielonych świadczeń medycznych.

Co do zasady przetwarzania danych wrażliwych (za jakie uznaje się dokumentację medyczną) jest zabronione. Dopuszczalne jest jednak przetwarzanie danych wrażliwych w celu:

  • ochrony stanu zdrowia,
  • świadczenia usług medycznych,
  • leczenia pacjentów.

Uprawnienie do przetwarzania danych wrażliwych zostało przyznane osobom wykonującym zawód medyczny oraz zajmującym się zarządzaniem udzielaniem usług medycznych.

Środki mające na celu zabezpieczenie dan

...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Praktyczna Fizjoterapia i Rehabilitacja"
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy