OCHRONA DANYCH OSOBOWYCH

Obowiązki podmiotów sektora ochrony zdrowia w zakresie ochrony danych osobowych.

 

Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W myśl art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2014 r. poz. 1182), przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Administrator danych osobowych (ADO) to organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych. Odnośnie sektora ochrony zdrowia, administratorem danych jest każdy lekarz czy też lekarz dentysta prowadzący indywidualną praktykę. W przypadku innych form prowadzonej działalności leczniczej, administratorem danych jest osoba prawna lub jednostka organizacyjna, np. przychodnia czy szpital (za wyjątkiem sytuacji, kiedy właścicielem przychodni lub szpitala jest osoba fizyczna prowadząca działalność gospodarczą). W związku z tym, iż administratora danych osobowych określa sama ustawa, wyznaczanie ADO w jakikolwiek sposób, np. poprzez wewnętrze akty prawne (np. zarządzenie lekarza prowadzącego indywidualną praktykę , uchwały organów spółek prawa handlowego) jest niezgodne z przepisami prawa. Funkcji ADO nie można na nikogo cedować. Zgodnie z przepisami o ochronie danych osobowych, na administratorze danych osobowych ciąży szereg obowiązków, które ADO musi wypełnić łącznie, aby wykonywać operacje na danych zgodnie z prawem. Należy do nich:

a)      zapewnienie legalności przetwarzania danych osobowych. W praktyce oznacza to spełnienie przynajmniej jednego warunku uprawniającego ADO do przetwarzania danych osobowych. W odniesieniu do danych zwykłych, jak np. imię, nazwisko czy adres zamieszkania, adres e-mail warunki określono w art. 23 ust 1 pkt 1-5 ustawy o ochronie danych osobowych, zaś w odniesieniu do danych szczególnie chronionych, takich jak np. dane o stanie zdrowia czy poglądach politycznych – w art. 27 ust. 2 pkt 1-10 ustawy. Przesłanki te są równoprawne, a jednocześnie autonomiczne, czyli można wskazać tylko jedną z nich lub kilka jednocześnie, a ich waga prawna jest równorzędna.

b)      stosowanie odpowiednich zabezpieczeń, o których stanowią przepisy rozdziału 5 ustawy o ochronie danych osobowych oraz rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

Administrator jest w ramach tego zobowiązany:

-stosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy o ochronie danych osobowych);

- prowadzić dokumentację opisującą sposób przetwarzania danych oraz stosowane w organizacji środki techniczne i organizacyjne;

Dodatkowo, lecz fakultatywnie po ostatnich zmianach w przepisach o ochronie danych osobowych, administrator danych jako organizacyjny środek ochrony danych,  może zastosować powołanie administratora bezpieczeństwa informacji (zwanego dalej ABI), nadzorującego przestrzeganie zasad ochrony danych osobowych. W dalszej części artykułu wyjaśnię kiedy warto powołać ABI, jakie wiążą się z tym korzyści i jakie dodatkowe obowiązki niesie za sobą jego powołanie.

Do rozległego, otwartego katalogu środków technicznych i organizacyjnych zalicza się m.in.:

Środki techniczne

Środki organizacyjne
  • Ogólna ochrona budynku – alarm, monitoring, stały dozór, strefy ochrony specjalnej.
  • Zabezpieczenia okien – kraty, rolety, szyby antywłamaniowe.
  • Zabezpieczenia drzwi – zamki w drzwiach zamykane na klucz, drzwi zwykłe, antywłamaniowe, ognioodporne, kodowane.
  • Zabezpieczenia zbiorów papierowych - gaśnice, systemy p-poż, niszczarki dokumentów.
  • Zabezpieczenia systemów informatycznych - gaśnice, systemy p-poż, niszczarki nośników danych, zasilacze awaryjne, programy antywirusowe
  
  • Powołanie Administratora bezpieczeństwa informacji – nadzorującego przestrzeganie zasad ochrony.
  • Powołanie Administratora systemu informatycznego – nadzorującego pracę w zakresie przetwarzania danych elektronicznych.
  • Wydawanie imiennych upoważnień do przetwarzania danych osobowych.
  • Zbieranie deklaracji znajomości zasad bezpieczeństwa.
  • Prowadzenie ewidencji upoważnionych.
  • Szkolenie w zakresie bezpieczeństwa informacji.
  • Zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.

 

c) dopełnienie obowiązku informacyjnego ustanowionego w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy o ochronie danych osobowych, chyba że administrator danych jest z niego zwolniony. W przypadku zbierania danych bezpośrednio od osoby, której dotyczą (art. 24) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania (a gdy obowiązek ten istnieje – o jego podstawie prawnej). W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25),administrator – zaraz po utrwaleniu danych – musi poinformować osobę, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych.

d)  szczególna staranność w celu ochrony interesów osób, których dane dotyczą. Obowiązek ten wypełniany jest poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania (art. 26 ust. 1 pkt. 1 – 4 ustawy o ochronie danych osobowych).

e) respektowanie praw osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy o ochronie danych osobowych i dotyczą kontroli procesu przetwarzania danych.

f) dopełnienie obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

Podmioty lecznicze zawsze i bez względu na ich formę prawną (indywidualne, grupowe praktyki lekarskie, NZOZ, SPZOZ) zostały zwolnione przez ustawodawcę z obowiązku rejestracji zbiorów danych osobowych swoich usługobiorców (pacjentów). Obowiązku rejestracji nie ma także w przypadku zbiorów danych przetwarzanych wyłącznie w formie papierowej lub gdy administrator danych powołał i zgłosił do rejestracji GIODO administratora bezpieczeństwa informacji - o ile zbiory takie nie zawierają danych, o których mowa w art. 27 ust. 1 ustawy o ochronie danych osobowych (tzw. danych wrażliwych). Zbiorami danych osobowych, które podlegają obowiązkowi zgłoszenia do rejestru GIODO przez podmioty wykonujące działalność leczniczą (gdy nie został powołany ABI) są m.in.: zbiory danych dotyczące ewidencjonowania korespondencji, zbiór osób upoważnionych przez pacjentów do informacji i dokumentacji medycznej, zbiory prowadzone w związku z rozpatrywaniem skarg i wniosków, zbiory monitoringu wizyjnego.

Dokumenty, które musi posiadać każdy Administrator Danych Osobowych zgodnie z przepisami o ochronie danych osobowych.

Każdy ADO musi prowadzić dokumentację opisującą sposób przetwarzania danych oraz stosowane w organizacji środki techniczne i organizacyjne. Dokumentacja ta obejmuje:

a)      Politykę Bezpieczeństwa, która w szczególności ma zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
  • sposób przepływu danych pomiędzy poszczególnymi systemami;
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

b)      Instrukcję Zarządzania Systemem Informatycznym, w której muszą się znaleźć:

  • procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
  • stosowane metody i środki uwierzytelnienia oraz procedury związane
    z ich zarządzaniem i użytkowaniem;
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
  • sposób, miejsce i okres przechowywania:

- elektronicznych nośników informacji zawierających dane osobowe,

- kopii zapasowych;

  • sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania,
  • sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4 Rozporządzenia (odnotowywanie informacji o odbiorcach, którym dane osobowe zostały udostępnione);
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Wzory niniejszych dokumentów znajdują się w załącznikach do artykułu. Zostały one przygotowane zarówno dla praktyk lekarskich jak i stomatologicznych. Należy je dostosować do własnej formy działalności prowadzonej w zakresie ochrony zdrowia. Dokumenty te zawierają dodatkowo wzory:

  • upoważnienia do przetwarzania danych osobowych,
  • deklaracji znajomości zasad bezpieczeństwa,
  • ewidencji osób upoważnionych.

 

Powoływanie Administratora Bezpieczeństwa Informacji (ABI) – kiedy jest to wskazane, jak przebiega proces powołania.

Zgodnie ze znowelizowanymi przepisami dotyczącymi ochrony danych osobowych powołanie ABI jest fakultatywne. Jeżeli ADO nie zdecyduje się na powołanie ABI, jest zobowiązany sam wypełnić wszystkie ustawowe obowiązki nałożone na ABI, za wyjątkiem obowiązku sporządzania sprawozdań zgodnie z art.36a ust.2 pkt 1 lit.a  Ustawy o ochr. danych osobowych. Działania w zakresie zgodności przetwarzania danych osobowych z przepisami prawa ADO może wykonywać przy pomocy ABI i jego zastępców (zastępców ABI nie zgłasza się do GIODO) jeżeli: a) powoła ABI i zgłosi go do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych; b) zapewni mu środki i organizacyjną odrębność niezbędną do niezależnego wykonywania zadań. Ustawodawca pozostawił ADO swobodę wyboru również co do formy zatrudnienia ABI. Może to uczynić m.in.:

a)  na podstawie umowy o pracę, również na niepełny etat;

b)  poprzez powierzenie funkcji ABI jednemu z już zatrudnionych pracowników i realizujących również inne zadania niż tylko związane z ochroną danych osobowych, o ile inne obowiązki nie będą kolidowały z niezależnym wykonywaniem zadań przez ABI;

c)  poprzez powierzenie funkcji ABI na zasadzie outsourcingu innym podmiotom.

ABI jest zawsze osobą fizyczną, imiennie wskazaną w umowie. . Od 1 stycznia 2015 r. został wprowadzony elektroniczny, ogólnokrajowy, jawny rejestr ABI dostępny na stronie GIODO. ADO ma 30 dni od momentu powołania ABI na zgłoszenie go do rejestru GIODO. Zgłoszenie oraz odwołanie ABI dokonywane jest na urzędowych formularzach, których wzory zostały określone w Rozporządzeniu Ministra Administracji i Cyfryzacji z dnia 29 grudnia 2014r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014, poz. 1934). Ustawodawca przewidział termin 14 dni na zgłoszenie odwołania ABI do rejestru.

W przypadku dużych podmiotów leczniczych powołanie ABI jest konieczne. Umożliwia to przeniesienie licznych obowiązków z ADO na osobę kompetentną i jednocześnie sporą oszczędność czasu. W przypadku mikro lub małych przedsiębiorstw (posiadających dwa, trzy zbiory), zatrudniających kilku, kilkunastu pracowników należy się zastanowić, czy nie byłoby lepiej wyznaczyć w tym celu już zatrudnionego pracownika lub czy sam ADO zdecyduje się samodzielnie wykonywać zadania związane z ochroną danych osobowych. Lekarz lub lekarz dentysta prowadzący indywidualną praktykę, będąc administratorem danych może więc spokojnie samodzielnie wykonywać obowiązki wynikające z przepisów o ochronie danych osobowych.

 

Kontrole GIODO.

Podmioty lecznicze, ze względu na przetwarzanie wrażliwych danych medycznych, podlegają kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Nie mogą one jednak zakłócać prawidłowego funkcjonowania placówki medycznej. Kontrole te zapowiadane są 7 dni wcześniej, trwają od 2 do 4 dni i przeprowadzane są przez trzech inspektorów. Szczegóły kontroli zostały unormowane w artykułach 14-22a Ustawy o ochronie danych osobowych.

Najczęściej wskazywane przez GIODO błędy popełniane przez ADO w placówkach medycznych:

1. Niedopełnienie obowiązku informacyjnego wobec usługobiorców (pacjentów) i pracowników (brak informacji kto jest administratorem danych, np. na drukach wypełnianych przed pacjentów czy pracowników na etapie zatrudniania w placówce).

2. Brak lub niekompletna dokumentacja ochrony danych osobowych.

3. Środki techniczne i organizacyjne zapewniające ochronę danych są niewystarczające lub w ogóle ich brak: np.

- przechowywanie dokumentacji zawierającej dane osobowe, w tym danych o stanie zdrowia, na odkrytych regałach oraz w szafach niewyposażonych w zamki, a także w pomieszczeniach, do których dostęp mają osoby trzecie;

- brak czujników przeciwpożarowych;

- niewłaściwie chronione archiwa medyczne;

- klucze do pomieszczeń, w których przechowywana jest dokumentacja medyczna personel pozostawia po pracy w drzwiach, aby swobodnie mogły wejść do nich osoby sprzątające, czyli brak tzw. procedur postępowania z kluczami;

- brak nadanych pracownikom upoważnień do przetwarzania danych osobowych lub nadawania uprawnień do przetwarzania danych osobom, które de facto na swoim stanowisku pracy danych tych nie przetwarzają i nie mają prawa przetwarzać (np. osoby sprzątające, konserwatorzy);

- brak ewidencji osób upoważnionych do przetwarzania danych osobowych.

4. Brak zgłoszenia zbioru danych do GIODO, jeśli zbiór taki podlega zgłoszeniu.

5. Wywoływanie pacjentów zapisanych w kolejce do lekarza po nazwisku lub wywieszanie list pacjentów na drzwiach gabinetów.

6.Stosowanie biometrycznych urządzeń identyfikacji pracowników danej placówki ochrony zdrowia bez wystarczającej podstawy prawnej.

Warto również, aby ADO w placówkach ochrony zdrowia byli świadomi porozumienia zawartego między GIODO a Państwową Inspekcją Pracy 14.12.2012 roku. Od tego momentu to, czy przedsiębiorcy i inne instytucje, w tym każda instytucja ochrony zdrowia, przestrzegają przepisów Kodeksu pracy oraz przepisów z zakresu ochrony danych osobowych może być sprawdzane podczas jednej kontroli prowadzonej albo przez pracowników Biura GIODO, albo Państwowej Inspekcji Pracy.

 

PODSUMOWANIE:

Każdy lekarz/lekarz dentysta, prowadząc indywidualną praktykę lub będąc właścicielem innego podmiotu ochrony zdrowia, jest administratorem danych osobowych. W związku z tym ciążą na nim następujące obowiązki:

1)  Sporządzenie dokumentacji ochrony danych osobowych wraz z wymaganymi załącznikami, rejestrami, oświadczenia i upoważnieniami;

2) Nadanie pracownikom upoważnień do przetwarzania danych osobowych i prowadzenia ewidencji/rejestru osób upoważnionych;

3) Wskazanie podstawy prawnej upoważniającej do prowadzenia zbioru danych;

4) Zrealizowanie obowiązku informacyjnego wobec osób (pacjentów), których dane dotyczą;

5)  Zgłoszenie do GIODO zbiorów danych osobowych, które podlegają rejestracji (np. zbiór osób upoważnionych przez pacjentów do zasięgania informacji o ich stanie zdrowia czy też do dostępu do dokumentacji medycznej);

6)  Stosowanie odpowiednich zabezpieczeń zbiorów danych osobowych, w tym sporządzenia i podpisania odpowiednich umów powierzenia danych (lub zachowania poufności) z firmami zewnętrznymi, z których usług korzysta administrator danych (np. firmy informatyczne, biura rachunkowe, zewnętrzne firmy sprzątające, ochrona, laboratorium zewnętrzne);

7) Przetwarzanie danych zgodnie z zasadami wymienionymi w Ustawie o ochronie danych osobowych: celowości, adekwatności, ograniczenia czasowego, merytorycznej poprawności i dostępności.

 

Agnieszka Witoszek

Specjalista ds. ochrony danych osobowych

Audytor wewnętrzny ISO 27001