Artykuł porusza tematykę związaną z ochroną danych osobowych w placówkach świadczących usługi medyczne. Mylące może być twierdzenie, że placówki medyczne podlegają jedynie zasadom określającym reguły prowadzenia dokumentacji medycznej. Muszą one bowiem jako administratorzy danych osobowych, spełniać wymagania nałożone ustawą o ochronie danych osobowych. RBDO.PL – Rejestracja Baz Danych Osobowych.
Pełny artykuł znajdą Państwo na www.rbdo.pl
Poniżej lista pytań i odpowiedzi związanymi z niniejszymi kwestiami.
1. Czy lekarz dentysta prowadzący działalność w formie indywidualnej praktyki lekarskiej jest zobowiązany do przestrzegania przepisów ustawy o ochronie danych osobowych?
Tak. W takiej sytuacji, niezależnie od skali działalności – lekarz dentysta jest administratorem danych osobowych swoich pacjentów, a więc przepisy ustawy o ochronie danych osobowych znajdują do niego zastosowanie w pełnym zakresie.
Podstawą do takiego stwierdzenia jest brzmienie art. 3 ust. 2 pkt 2 wyżej wymienionej ustawy zgodnie z którym, jej przepisy stosuje się do: „osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową lub zawodową.
Należy także zauważyć, że ustawa o systemie informacji w ochronie zdrowia w art. 2 pkt 1 posługuje się definicją „administratora danych” zaczerpniętą wprost z ustawy o ochronie danych osobowych.
Nie należy również zapominać, że danymi osobowymi są także dane zatrudnianych pracowników- i choć nie trzeba „zbioru danych osobowych pracowników” zgłaszać do GIODO (z uwagi na wyłączenie zawarte w art. 43 ust. 1 pkt 4 ustawy o ochronie danych osobowych ) to taki zbiór danych również należy przetwarzać zgodnie z ustawowym trybem, a więc odpowiednio zabezpieczyć oraz ująć w Polityce Bezpieczeństwa.
2. Na czym polegają obowiązki nałożone przez ustawę o ochronie danych osobowych?
W pierwszym rzędzie należy wskazać na obowiązek posiadania i prowadzenia określonej dokumentacji wewnętrznej opisującej „sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednia do zagrożeń oraz kategorii danych objętych ochroną”.
Do najważniejszych dokumentów, jakie musi posiadać i prowadzić każdy administrator danych osobowych należy zaliczyć:
- Politykę Bezpieczeństwa
- Instrukcję Zarządzania Systemem Informatycznym (służącym do przetwarzania danych osobowych)
- Ewidencję osób upoważnionych do przetwarzania danych
Jeżeli chodzi o Politykę Bezpieczeństwa, powinna ona zawierać, z godnie z § 4 rozporządzenia do art. 39a ustawy (bezpośrednio w tekście dokumentu, lub jako odesłanie do oddzielnego załącznika) takie elementy jak:
1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane
są dane osobowe;
2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4) sposób przepływu danych pomiędzy poszczególnymi systemami;
5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Często wątpliwości budzi „opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi” natomiast warto zauważyć, że w takim przypadku można zastosować odesłanie do dokumentacji przygotowanej przez producenta oprogramowania służącego do przetwarzania danych lub po prostu wymienić katalog przetwarzanych danych (np. imię, nazwisko, PESEL, Informację o wykonanych usługach/zabiegach itd.)
Jeżeli chodzi o „Instrukcję Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych” powinna ona zawierać (w podobnej formie jak przy „Polityce Bezpieczeństwa”), z godnie z § 5 rozporządzenia do art. 39a ustawy
1) procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3) procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5) sposób, miejsce i okres przechowywania:
a) elektronicznych nośników informacji zawierających dane osobowe,
b) kopii zapasowych, o których mowa w pkt 4,
6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
7) sposób realizacji wymogu odnotowania informacji o odbiorcach którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia (ten warunek nie dotyczy udostępnienia osobom, których dane dotyczą, osobom posiadającym upoważnienie do przetwarzania danych, organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem)
8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Należy zwrócić uwagę, że obligatoryjnym obowiązkiem jest zastosowanie hasła zabezpieczającego dostęp do systemu informatycznego składającego się z co najmniej 8 znaków, zawierającego małe i wielkie litery oraz cyfry lub znaki specjalne które powinno być zmieniane nie rzadziej, niż co 30 dni. (zgodnie z częścią B załącznika do rozporządzenia do art. 39a ustawy o ochronie danych osobowych).
3. Czy można prowadzić dokumentację przetwarzania danych osobowych w formie elektronicznej?
Dokumentację przetwarzania danych należy prowadzić w formie pisemnej, zatem takie dokumenty jak np. Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym oraz wszelkie innym załącznikami i ewidencjami zgodnie § 3 ust. 2 rozporządzenia do art. 39a ustawy o ochronie danych osobowych powinny być prowadzone w formie „papierowej”.
Należy przy tym rozróżnić takie określenia takie jak „dokumentacja medyczna” oraz „dokumentacja przetwarzania danych” – o ile sama dokumentacja medyczna może być prowadzona w formie jedynie elektronicznej (zgodnie z § 1 rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania) to już dokumentację przetwarzania danych osobowych, określającą w jakich formach dane osobowe (zawarte w między innymi w dokumentacji medycznej) są przetwarzane i zabezpieczone – należy bezwarunkowo prowadzić w formie pisemnej.
4. Czy jeżeli usługi stomatologiczne świadczone są w ramach spółki, to czy wiąże się to z większym zakresem obowiązków ?
W przypadku, gdy usługi medyczne świadczone są w ramach spółki – administratorem danych osobowych pacjentów jest spółka, a w takiej sytuacji wyznaczenie konkretnej osoby pełniącej funkcję „administratora bezpieczeństwa informacji ” jest obligatoryjne. Ustawa zwalnia z obowiązku wyznaczenia „ABI” jedynie w przypadku, gdy administrator danych osobowych „osobiście” nadzoruje przestrzeganie zasad ochrony danych osobowych – co jest możliwe jedynie w przypadku, gdy administratorem danych osobowych jest konkretna osoba fizyczna (np. lekarz prowadzący działalność w ramach indywidualnej praktyki medycznej).
5. Czy przepisy związane z ochroną danych osobowych wymagają by w umowie z pacjentem lub np. w ogólnodostępnym regulaminie zawarte były specjalne klauzule ?
Na wstępie należy zauważyć, że przetwarzanie danych osobowych pacjenta nie odbywa się na podstawie zgody w rozumieniu ustawy o ochronie danych osobowych, a w oparciu o brzmienie jej art. 23 ust. 1 pkt 3 (konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną). Nie ma zatem potrzeby uzyskiwania odrębnego oświadczenia woli (np. w formie odrębnego podpisu pod zgodą na przetwarzanie danych).
Należy jednak pamiętać o wypełnieniu „obowiązków informacyjnych”, o których mowa w art. 24 ustawy o ochronie danych osobowych. Zalicza się do nich poinformowanie o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna – o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3) prawie dostępu do treści swoich danych oraz ich poprawiania,
4) dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej.
6. Czy podmiot świadczący usługi stomatologiczne musi zgłaszać zbiór danych pacjentów do GIODO?
Zgodnie z art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych, zbiór danych osób korzystających z usług medycznych świadczonych przez konkretnego administratora danych jest wyłączony spod obowiązku zgłaszania do GIODO. Należy jednak pamiętać, że wyłączenie z obowiązku zgłaszania zbioru danych do rejestracji nie oznacza wyłączenia spod obowiązku odpowiedniego zabezpieczenia danych oraz ujęcia takiego zbioru w wewnętrznej dokumentacji przetwarzania danych osobowych.
7. Jakie w praktyce znaczenie ma fakt, że dane przetwarzane w placówkach związanych z ochroną zdrowia stanowią „dane wrażliwe” w rozumieniu ustawy o ochronie danych osobowych?
Generalnie, dopuszczalność przetwarzania danych osobowych wrażliwych w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych lub zarządzaniem udzielaniem usług medycznych stanowi wyjątek od głównej zasady, że przetwarzanie takich danych jest zabronione.
Gdyby nie wyłącznie podmiotów świadczących usługi medyczne spod obowiązku zgłaszania zbiorów danych pacjentów do GIODO, musiały by one czekać na zarejestrowanie zbioru w GIODO, by móc rozpocząć działalność – poza powyższym,
fakt przetwarzania danych wrażliwych ma wpływ na wymiar odpowiedzialności karnej za przestępstwo polegające na przetwarzaniu danych poza trybem przewidzianym w ustawie, art. 49 ust. 2 przewiduje tryb kwalifikowany tego przestępstwa jeżeli dotyczy on między innymi danych o stanie zdrowia, w takiej sytuacji potencjalna sankcja zwiększona jest z 2 lat (w przypadku zwykłych danych) do 3 lat pozbawienia wolności.
8. Co grozi za naruszenie obowiązków przewidzianych w ustawie o ochronie danych osobowych?
Wspomniany powyżej art. 49 ust. 1 ustawy o ochronie danych osobowych przewiduje karę grzywny, ograniczenia wolności lub pozbawienia wolności do lat 2 (3 lata w przypadku danych o stanie zdrowia) za przestępstwo, którego przedmiotem jest przetwarzanie danych osobowych poza trybem określonym w ustawie (w zw. z art. 1 ust. 2 ustawy).
Ponadto, w art. 51 ust. 1 ustawy przewidziano sankcję dla administrującego zbiorem danych osobowych w maksymalnym wymiarze do 2 lat pozbawienia wolności za czyn polegający na udostępnieniu, lub umożliwieniu dostępu do zbioru osobom nieupoważnionym – art. 51 ust. 2 przewiduje karę do roku pozbawienia wolności za popełnienie tego przestępstwa w sposób nieumyślny (np. nie zachowując należytej staranności przy zabezpieczaniu zbioru danych).
Podobnie w art. 52 określono nieumyślne przestępstwo polegające na naruszeniu przez administrującego danymi obowiązku zabezpieczenia przed ich zabraniem przez osobę nieuprawnioną, ich uszkodzeniem lub zniszczeniem – zagrożone maksymalnie karą do roku pozbawienia wolności.
Zgodnie z art. 54 ustawy, przestępstwem zagrożonym karą do roku pozbawienia wolności jest nie dopełnienie obowiązków informacyjnych względem osoby, której dane dotyczą.
Teoretycznie istnieje także ryzyko odpowiedzialności finansowej na podstawie decyzji administracyjnej wydanej przez GIODO – w przypadku gdy administrator danych nie wykona decyzji wzywającej do usunięcia uchybień przy procesie przetwarzania danych osobowych, w takiej sytuacji GIODO jest uprawniony do nałożenia grzywny przymuszającej do wykonania decyzji w trybie przepisów ustawy o postępowaniu egzekucyjnym w administracji. Wysokość grzywien nie może przekroczyć 10 000 zł za każde uchybienie (ale łącznie nie więcej niż 50 000 zł) w przypadku osoby fizycznej, oraz 50 000 zł za każde uchybienie (ale łącznie nie więcej niż 200 000zł ) w przypadku osoby prawnej .
9. Gdzie można znaleźć szczegółowe informacje precyzujące, w jaki sposób należy przygotować Politykę Bezpieczeństwa, oraz inne wymagane dokumenty?
Przede wszystkim w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzeniu do art. 39a tej ustawy Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Pomocne informacje można znaleźć też na stronach GIODO oraz firm specjalizujących się w zakresie ochrony danych osobowych.
Karol Cieniak
prawnik, specjalista ds.ochrony danych osobowych
www.rbdo.pl
