Obowiązki lekarza jako przedsiębiorcy związane ochroną danych osobowych
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2016 r. poz. 922), zwana dalej ustawą o ochronie danych osobowych nakłada na przedsiębiorców, będących Administratorami Danych Osobowych (ADO) szereg obowiązków. Przede wszystkim każdy Przedsiębiorca musi zastosować środki techniczne i organizacyjne zapewniające ochronę posiadanych danych osobowych odpowiednią do występujących zagrożeń tj. powinien zabezpieczyć dane przed ich udostępnianiem i zabraniem przez osobę nieupoważnioną, przetwarzaniem niezgodnie z prawem oraz zniszczeniem.
Kolejnym obowiązkiem osób prowadzących działalność gospodarczą jest zapewnienie, aby dane były:
- Przetwarzane zgodnie z prawem wg zasady legalności,
- Przetwarzane zgodnie z celem, do którego zostały zebrane tzw. zasada celowości,
- Kompletne i aktualne zasada merytorycznej poprawności,
- Przetwarzane tylko i wyłącznie w takim zakresie jaki jest niezbędny ze względu na cel ich przetwarzania zasada adekwatności,
- Przetwarzane nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania zasada ograniczenia czasowego.
Dane o stanie zdrowia są danymi szczególnie chronionymi, których przetwarzanie, w myśl art. 27 ust. 1 ustawy o ochronie danych osobowych, jest co do zasady zabronione. Art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych dopuszcza przetwarzanie danych szczególnie chronionych, w tym danych o stanie zdrowia, jeżeli odbywa się to w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych jedynie pod warunkiem stworzenia pełnych gwarancji ich ochrony. Powoływanie się na ten przepis jest uprawnione jedynie w odniesieniu do realizacji wymienionych celów i nie może następować w celu uzasadniania udostępniania tych danych innym osobom. Osobie chorej przysługuje bowiem prawo do ochrony sfery życia prywatnego, co obejmuje zwłaszcza ochronę danych szczególnie chronionych, jakimi są dane o jej stanie zdrowia.
Konieczność poszanowania prawa pacjenta do tajemnicy informacji z nim związanych wynika z art. 13 i 14 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Zgodnie z tymi przepisami, pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, uzyskanych w związku z wykonywaniem zawodu medycznego, a w celu realizacji tego prawa osoby wykonujące zawód medyczny są zobowiązane do zachowania w tajemnicy informacji związanych z pacjentem.
Obowiązek zachowania w tajemnicy informacji związanych z pacjentem, uzyskanych w związku z wykonywaniem zawodu, wynika także z art. 40 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty. Ponadto, zgodnie z art. 23 Kodeksu Etyki Lekarskiej, tajemnicą są objęte zarówno informacje o pacjencie, jak i o jego otoczeniu, uzyskane przez lekarza, lekarza dentystę w związku z wykonywaniem czynności zawodowych.
Odnosząc to do konkretnych obowiązków należy zauważyć, iż podmioty lecznicze nie mają wprawdzie obowiązku zgłaszania zbioru swoich pacjentów do GIODO, niemniej jednak muszą spełniać wszystkie warunki formalne i techniczne wymagane w ustawie w zakresie tworzenia zbiorów danych osobowych i ich przetwarzania. Konieczne jest posiadanie dokumentacji opisującej politykę bezpieczeństwa ochrony danych osobowych w danej jednostce i posiadanie instrukcji zarządzania systemem informatycznym do przetwarzania danych osobowych – oczywiście dla posiadających taki elektroniczny system, w którym prowadzą dokumentację pacjentów. Dla jednostek prowadzących tylko dokumentację papierową wystarczy polityka bezpieczeństwa. Polityka bezpieczeństwa winna zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Swoje niezbędne wymogi posiada również instrukcja zarządzania systemem informatycznym, która musi być spisana jeśli lekarz do prowadzenia dokumentacji medycznej wykorzystuje programy komputerowe.
Instrukcja ta powinna posiadać m.in.:
- procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie oraz wskazanie osoby odpowiedzialnej za te czynności,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy,
- procedury tworzenia kopii zapasowych zbiorów danych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.