Dołącz do czytelników
Brak wyników

Z praktyki gabinetu

14 grudnia 2017

NR 60 (Kwiecień 2015)

Ochrona danych osobowych w gabinecie fizjoterapii

0 313

Spełnienie wymogów ochrony danych osobowych dotyczy każdej osoby prowadzącej działalność gospodarczą. Fizjoterapeuta udzielający swoich świadczeń musi spełnić ten warunek, nawet jeśli nie wypełnia ustawowego obowiązku prowadzenia podmiotu leczniczego. Dlatego też już sam fakt posiadania wpisu w Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) obliguje do odpowiedniego postępowania z danymi osobowymi, które są w posiadaniu fizjoterapeuty.

Najważniejszym krajowym aktem prawnym dotyczącym danych osobowych w placówce medycznej jest ustawa o ochronie danych osobowych (dalej u.o.d.o.). Omawiana ustawa nakłada na wszystkich takie same wymogi. Nie ma większego znaczenia, czy w placówce pracuje jedna osoba, czy jest to cała przychodnia, w skład której wchodzi poradnia rehabilitacyjna. Istotną rolę w regulacji ochrony danych osobowych odgrywa również ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta (wraz z właściwymi rozporządzeniami resortowymi) – regulująca chociażby kwestie związane z udostępnianiem i przechowywaniem dokumentacji medycznej. Należy pamiętać, że powyższe czynności muszą mieć miejsce z zachowaniem wymogów stawianych w ustawie u.o.d.o. Aby dobrze zrozumieć tę problematykę, konieczne jest wyjaśnienie podstawowych pojęć z tego zakresu.
Przepisy u.o.d.o. wprowadzają pojęcie:
1 „Danych osobowych”, za jakie należy uznać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (osoba możliwa do zidentyfikowania to osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne). Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Doktryna prawnicza przyjmuje, że adres
e-mail umożliwiający identyfikację określonej osoby należy do danych osobowych i jako taki powinien być chroniony w zgodzie z przepisami.

2 „Administratora danych osobowych”, pod którym rozumie osobę fizyczną, osobę prawną bądź jednostkę organizacyjną bez osobowości prawnej, która decyduje o celach i środkach. W przypadku, gdy administrator danych osobowych nie wykonuje funkcji administratora bezpieczeństwa informacji nadzorującego przestrzeganie zasad ochrony, musi powołać taką osobę wewnątrz placówki.

3 „Administratora Bezpieczeństwa Informacji” (zwanego potocznie ABI), wyznaczonego przez administra-
tora danych osobowych, do którego należy sprawowanie nadzoru nad przestrzeganiem przepisów u.o.d.o. Może nim być tylko osoba fizyczna, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Administrator Bezpieczeństwa Informacji może powoływać swoich zastępców (którzy także powinni spełniać warunki wskazane w oświadczeniu). Do podstawowych zadań ABI należy:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych,
  • nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych oraz przestrzegania zasad określonych w dokumentacji (przez dokumentację rozumie się tworzenie polityki bezpieczeństwa przetwarzania danych osobowych, tworzenie instrukcji określającej sposób zarządzania i użytkowania systemów informatycznych),
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych (czyli prowadzenie ewidencji upoważnień do przetwarzania danych osobowych, zbierania oświadczeń o zapoznaniu się z polityką bezpieczeństwa przetwarzania informacji, wydawania upoważnień do przetwarzania danych osobowych). W związku z nowelizacją pod koniec ubiegłego roku przepisów u.o.d.o. osoby, które aktualnie piastują stanowisko ABI, powinny zostać zgłoszone do rejestru ABI (prowadzonego przez Generalnego Inspektora Ochrony Danych Osobowych) najpóźniej do dnia 30 czerwca 2015 r. Do tego czasu firmy powinny wyodrębnić stanowisko ABI wewnątrz struktury organizacyjnej lub dopasować aktualny opis stanowiska osoby piastującej tę funkcję w taki sposób, aby uniezależnić ABI od dotychczasowych przełożonych, z jednoczesnym raportowaniem do kierownika danej jednostki,
  • prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

4 „Przetwarzania danych osobowych”, przez które rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak:

  • zbieranie,
  • utrwalanie,
  • przechowywanie,
  • opracowywanie,
  • zmienianie,
  • udostępnianie,
  • usuwanie,

a zwłaszcza te, które wykonuje się w systemach informatycznych.

5 „Zbioru danych osobowych”, którym w myśl ustawy jest „każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. Cechą wyróżniającą zbiór danych od innego zestawu danych jest zatem struktura, czyli takie uporządkowanie, które daje możliwość wyszukania konkretnych danych według określonego kryterium. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów u.o.d.o., wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

Placówka medyczna jako administrator danych powinna dołożyć szczególnej staranności w celu ochrony interesów osób, których dane posiada, a zwłaszcza jest obowiązana zapewnić, aby dane te były:

  • przetwarzane zgodnie z prawem,
  • zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
  • merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,
  • przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 u.d.u.).

Tylko będący zbiorem danych osobowych usystematyzowany zestaw danych powinien być zgłoszony do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, o ile nie zachodzi żadna z przesłanek określonych w art. 43 ustawy o ochronie danych osobowych zwalniająca administratorów danych z tego obowiązku.

Dane osobowe w placówce medycznej

Placówka medyczna ma w swojej strukturze kilka rodzajów danych osobowych. Wśród najważniejszych należy wymienić:

  • dane pracownicze (imię, nazwisko, adres domowy, adres do korespondencji czy mailowy, dane o rodzinie, stanie cywilnym, liczbie dzieci i zarobkach) – jeżeli zatrudnia jakiegokolwiek pracownika (nawet na podstawie umowy wolontariatu),
  • dane o współpracownikach (osobach fizycznych prowadzących własne działalności gospodarcze, które w myśl ustawy u.o.d.o. podlegają również ochronie prawnej),
  • dane pacjentów zawarte w dokumentacji medycznej – najważniejsze ze względu na ochronę, jaką trzeba im zapewnić.

Dokumentacja medyczna jest zbiorem danych opisujących stan zdrowia pacjenta oraz zakres udzielanych mu świadczeń. Ze względu na zawarte w niej informacje kwalifikuje się ją jako dane wrażliwe. W jej skład wchodzą wszelkiego rodzaju dokumenty zawierające informacje o:

  • pacjencie,
  • jego schorzeniu,
  • udzielonych świadczeniach zdrowotnych,
  • wykonywanych zabiegach diagnostycznych, leczniczych czy rehabilitacyjnych,
  • zaleceniach,

a także dokumenty w rodzaju:

  • zaświadczeń,
  • orzeczeń,
  • opinii.

Zawiera ona rodzaje danych osobowych:

  • identyfikujące – związane z możliwością ustalenia tożsamości pacjenta,
  • medyczne – dotyczące stanu zdrowia pacjenta, rodzajów przeprowadzonych zabiegów czy operacji oraz udzielonych świadczeń medycznych.

Co do zasady przetwarzania danych wrażliwych (za jakie uznaje się dokumentację medyczną) jest zabronione. Dopuszczalne jest jednak przetwarzanie danych wrażliwych w celu:

  • ochrony stanu zdrowia,
  • świadczenia usług medycznych,
  • leczenia pacjentów.

Uprawnienie do przetwarzania danych wrażliwych zostało przyznane osobom wykonującym zawód medyczny oraz zajmującym się zarządzaniem udzielaniem usług medycznych.

Środki mające na celu zabezpieczenie danych osobowych

Ustawa o ochronie danych osobowych nakłada na administratora danych osobowych obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich:

  • udostępnieniem osobom nieupoważnionym,
  • zabraniem przez osobę nieuprawnioną,
  • przetwarzaniem z naruszeniem ustawy,
  • zmianą,
  • utratą,
  • uszkodzeniem,
  • zniszczeniem.

Placówka medyczna jest zobowiązana do prowadzenia dokumentacji opisującej sposób przetwarzania danych.
W celu dookreślenia wymogów dotyczących zapewnienia odpowiedniego zaplecza technicznego oraz wyznaczenia zasad, jakim podlegać powinno administrowanie danymi osobowymi, wydane zostało rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (dalej r.d.p.d.o.). Określa ono:

  • sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
  • podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.

Wspomniane powyżej rozporządzenie wprowadza trzy poziomy ochrony danych osobowych przetwarzanych w systemie informatycznym:

  • poziom podstawowy – dotyczy systemów informatycznych, w których nie przetwarza się tzw. danych osobowych wrażliwych oraz gdy żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną,
  • poziom podwyższony – dotyczy systemu informatycznego, w którym przetwarzane są tzw. dane wrażliwe, a żadne z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną,
  • poziom wysoki – dotyczy systemu informatycznego, w którym przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną.
  • Pod pojęciem „sieci publicznej” przyjmuje się: sieć telekomunikacyjną, w której przeważająca część usług jest wykorzystywana przez użytkowników, którzy nie pozostają z dostawcą tychże usług w żadnym dodatkowym stosunku prawnym poza stosunkiem związanym ze świadczeniem usług.

Środki bezpieczeństwa na poziomie podstawowym zgodnie z załącznikiem do rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, obejmują:
zabezpieczenie budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe, przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych;

  • zapewnienie, aby przebywanie osób nieuprawnionych w obszarze, w którym przetwarzane są dane osobowe, odbywało się wyłącznie za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych;
  • stosowanie w systemie informatycznym służącym do przetwarzania danych osobowych mechanizmów kontroli dostępu do tych danych; jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas należy zapewnić, aby w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator, a dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia;
  • stosowanie haseł zmienianych nie rzadziej niż co 30 dni i składających się conajmniej z sześciu znaków;
  • zakaz przydzielania innej osobie identyfikatora użytkownika, który utracił uprawnienia do przetwarzania danych;
  • zabezpieczenie systemu informatycznego służącego do przetwarzania danych osobowych w szczególności przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego, a także utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;
  • wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych; kopie zapasowe powinny być przechowywane w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwane niezwłocznie po ustaniu ich użyteczności;
  • zachowywanie szczególnej ostrożności przez osoby użytkujące komputer przenośny zawierający dane osobowe podczas transportu, przechowywania i użytkowania komputera poza obszarem, w którym przetwarzane są dane osobowe; w szczególności nakaz zachowania szczególnej ostrożności obejmuje stosowanie kryptograficznych środków ochrony przetwarzanych danych osobowych;
  • obowiązek pozbawiania urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe i przeznaczonych do likwidacji zapisu danych; jeżeli jest to możliwe, nośniki uszkadza się w sposób uniemożliwiający ich odczytanie;
  • obowiązek pozbawiania urządzeń, dysków lub innych elektronicznych nośników informacji zawierających dane osobowe i przekazywanych podmiotowi nieuprawnionemu do przetwarzania danych zapisu danych w sposób uniemożliwiający ich odzyskanie;
  • obowiązek pozbawiania urządzeń, dysków lub innych elektro...

Pozostałe 70% treści dostępne jest tylko dla Prenumeratorów.

Co zyskasz, kupując prenumeratę?
  • 11 wydań czasopisma "Praktyczna Fizjoterapia i Rehabilitacja"
  • Nielimitowany dostęp do całego archiwum czasopisma
  • ...i wiele więcej!
Sprawdź

Przypisy