Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00150 011910 7452674 na godz. na dobę w sumie
Ochrona danych medycznych i osobowych pacjentów - ebook/pdf
Ochrona danych medycznych i osobowych pacjentów - ebook/pdf
Autor: Liczba stron: 150
Wydawca: Wiedza i Praktyka Język publikacji: polski
ISBN: 978-83-269-4373-7 Data wydania:
Lektor:
Kategoria: ebooki >> poradniki >> zdrowie
Porównaj ceny (książka, ebook, audiobook).

Poradnik zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w  placówkach medycznych uwzględniając zmiany obowiązujące od 1 stycznia 2016 r. Wskazówki ekpertów będą pomocne zarówno dla jednostek przetwarzających dane osobowe w formie papierowej, jak i dla podmiotów gromadzących je w formie elektronicznej. Zawarte w publikacji porady pozwolą uniknąć menedżerom i właścicielom placówek dotkliwych konsekwencji - karnej lub grzywny za nieprawidłowe przetwarzanie danych osobowych nałożonych przez GIODO.

Znajdź podobne książki

Darmowy fragment publikacji:

Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych i osobowych pacjentów Zarządzanie w Ochronie Zdrowia (cid:37)ez(cid:83)łatne (cid:78)onto te(cid:86)to(cid:90)e na (cid:54)er(cid:90)(cid:76)(cid:86)(cid:61)(cid:50)(cid:61)(cid:17)(cid:83)(cid:79) (cid:46)(cid:50)(cid:53)(cid:61)(cid:60)(cid:54)(cid:55)(cid:36)(cid:45) (cid:51)(cid:53)(cid:61)(cid:40)(cid:61) (cid:24) (cid:39)(cid:49)(cid:918) (cid:61)(cid:36) (cid:39)(cid:36)(cid:53)(cid:48)(cid:50)(cid:4) baza wiedzy wzory dokumentów alert prawny blogi tematyczne (cid:58) (cid:83)orta(cid:79)u (cid:54)er(cid:90)(cid:76)(cid:86)(cid:61)(cid:50)(cid:61)(cid:17)(cid:83)(cid:79) zna(cid:77)(cid:71)z(cid:76)e(cid:86)z(cid:29) (cid:581)(cid:527) Porady do(cid:285)wiadczonyc(cid:75) konsu(cid:79)(cid:87)an(cid:87)(cid:181)w prawnyc(cid:75) i eksper(cid:87)(cid:181)w (cid:581)(cid:527) ak(cid:87)ua(cid:79)ne (cid:87)rendy i nowoczesne (cid:80)e(cid:87)ody zarządzania p(cid:79)ac(cid:181)wka(cid:80)i (cid:80)edyczny(cid:80)i (cid:581)(cid:527) baz(cid:219) (cid:20)(cid:24)(cid:19) (cid:74)o(cid:87)owyc(cid:75) wzor(cid:181)w doku(cid:80)en(cid:87)(cid:181)w(cid:15) (cid:73)or(cid:80)u(cid:79)arzy(cid:15) re(cid:74)u(cid:79)a(cid:80)in(cid:181)w (cid:581)(cid:527) a(cid:79)er(cid:87) prawny(cid:15) b(cid:79)o(cid:74)i eksper(cid:87)(cid:181)w(cid:15) ka(cid:79)endariu(cid:80) wydarze(cid:262) bran(cid:318)owyc(cid:75) Prenumerata roczna z PREZENTAMI: Pakiet książek o wartości 335 zł! Oferta prenumeraty rocznej portalu SerwisZOZ.pl z PreZenTeM(cid:29) (cid:24)99z(cid:260) ne(cid:87)(cid:87)o (cid:11)736(cid:15)77 z(cid:260) bru(cid:87)(cid:87)o(cid:12)*. okres prenu(cid:80)era(cid:87)y rozpoczyna si(cid:219) z dnie(cid:80) wys(cid:260)ania (cid:79)o(cid:74)inu i (cid:75)as(cid:260)a do por(cid:87)a(cid:79)u(cid:17) *Prezent: pakiet książek zostanie wysłany po opłaceniu prenumeraty Odwiedź www.SerwisZOZ.pl O c h r o n a d a n y c h m e d y c z n y c h i o s o b o w y c h p a c j e n t ó w MY 210x275 prenumerata prezent.indd 1 9 7 8 8 3 2 6 9 4 3 7 37 UOV 29 okladka.indd 1 isbn 978-83-269-4373-7 uoV29 05.10.2015 09:59:23 Cena 79,00 zł brutto P r o f e sJ o n a l n e P u b l i k a cJ e d l a k a d r Y Z a r Z Ąd Z a J Ą c e J P o dM i oT a M i l e cZ n i c Z Y Mi 27.10.2015 12:45 Ochrona danych medycznych i osobowych pacjentów UOV29.indd 1 27.10.2015 14:16 Publikacja „Ochrona danych medycznych i osobowych pacjentów” została opracowana na pod- stawie przepisów, które obowiązują w 2016 r. Zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. Stopniowe przechodzenie placówek medycznych na elektroniczną doku- mentację medyczną wymusza konieczność przygotowania się na nieznane dotychczas zagrożenia związane z atakami hakerów. Książka zawiera też porady oraz odpowiedzi na pytania dotyczące przetwarzania danych medycznych w formie papierowej. Publikacja zawiera 18 obszernych porad prawnych, 46 odpowiedzi na najczęściej zadawane pytania oraz 12 wzorów dokumentów związanych z ochroną danych medycznych. Kierownik Grupy Wydawniczej Agnieszka Konopacka-Kuramochi Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Magdalena Huta Skład i łamanie Dariusz Ziach Projekt okładki Piotr Fedorczyk Druk Miller Źródła foto: okładka – www.fotolia.pl ISBN 978-83-269-4373-7 Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03 -918 Warszawa tel. 22 518 29 29, faks 22 617 60 10, e -mail: cok@wip.pl NIP: 526 19 92 256, KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego 200.000 zł UOV29.indd 2 27.10.2015 14:16 Spis treści Spis treści I. WSTĘP ...................................................................................................... 9 II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ – WEDŁUG NAJNOWSZYCH PRZEPISÓW .................................................. 11 III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH ............................ 13 1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych ............................................................................................. 13 2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO ...................................................................................................... 21 3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych ............................................................................................... 29 4. Procedura na wypadek naruszenia bezpieczeństwa danych .................... 31 IV. OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM .... 35 1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych .......... 35 2. Ochrona serwerów placówki przed atakiem hakerów ............................ 38 3. Czy można gromadzić dane osobowe bez zgody pacjenta ....................... 44 4. Jak nie naruszać intymności pacjenta ...................................................... 45 5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej ................................................................................................ 48 6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej ................................................................................................ 51 7. Czy placówki mogą zbierać dane „na zapas” ........................................... 54 8. Jakość wpisów w dokumentacji medycznej – „niemy świadek” procesu leczenia ....................................................................................... 56 9. Kary za zgubienie dokumentacji medycznej ............................................. 58 10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta ................. 61 11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane) ................................................................. 65 12. Ochrona dóbr osobistych personelu placówki .......................................... 69 13. Znacznie ABI w placówce medycznej ........................................................ 76 V. PRAKTYKA OCHRONY DANYCH – ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA ............................................................................... 83 1. Upoważnienie do przetwarzania danych ............................................. 83 Czy informatyk może mieć dostęp do dokumentacji medycznej ............ 83 UOV29.indd 3 3 27.10.2015 14:16 Ochrona danych medycznych w 2015 roku Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka ............................................................................................. 84 Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych .......................................................... 84 Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych ............................................................................................... 86 Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych .................................................. 86 Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych .................................................................................. 87 Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych ............. 87 Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe ...... 88 Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument ........................................................ 88 2. Potwierdzenie tożsamości ................................................................... 89 Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań ........... 89 Jak odpowiadać na telefoniczne zapytania kuratorów sądowych, policji, sądu czy też rodziny pacjentów, którzy pytają czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy ................................................................................ 90 Czy dane firm, przedsiębiorców, osób fizycznych prowadzących działalność gospodarczą, to dane osobowe ............................................. 90 3. Ochrona danych lekarzy ...................................................................... 91 Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy .............................................................................. 91 Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna .................................................................................................. 91 Czy przewodniczący związków zawodowych może się zwrócić o udostępnienie listy pracowników i ich danych w zakresie imienia, nazwiska i komórki organizacyjnej celem przeprowadzenia referendum w sprawie akcji strajkowej ................................................... 92 4 UOV29.indd 4 27.10.2015 14:16 Spis treści 4. Przenoszenie i wydawanie dokumentacji ............................................ 93 Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony ............................................... 93 Czy roszczenie pacjenta o przekazanie jego dotychczasowej papierowej dokumentacji medycznej do nowej przychodni (w związku z przeprowadzką pacjenta) jest zasadne .............................. 94 Czy lekarz może zabrać dokumentację medyczną pacjenta do domu ................................................................................................... 95 5. Zgoda pacjenta ................................................................................... 96 Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych ................................. 96 Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL .......................................................................................... 96 Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta ....................... 97 6. Prawo do informowania ..................................................................... 97 Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu .............................................. 97 7. Rejestracja zbiorów danych osobowych .............................................. 99 Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u GIODO ....... 99 Co to znaczy, że administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych przetwarzanych przez administratora danych ...................................................................................................... 99 Czy w jawnym rejestrze zbiorów danych należy opisać zbiory o nazwie „pacjenci” lub „pracownicy” zwłaszcza pod kątem nazw i adresów firm, którym powierzono dane z tych zbiorów do przetwarzania .................................................................................. 100 8. Powierzenie przetwarzania danych ................................................... 100 Jak uregulować formalnie współpracę z lekarzem prowadzącym własną praktykę, który na podstawie umowy zlecenia, używając własnego komputera i oprogramowania, wykonuje badania genetyczne pacjentom szpitala .............................................................. 100 Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły ......................................................................... 102 Czy potrzebna jest umowa powierzenia z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych .................................................................... 102 UOV29.indd 5 5 27.10.2015 14:16 Ochrona danych medycznych i osobowych pacjentów 9. Polityka haseł ....................................................................................103 Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego ................................................................. 103 Czy polityka haseł opisana w „Instrukcji zarządzania systemem informatycznym” administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni ............................................................... 104 Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł personelu w jego obecności .................................................................. 104 Czy przy zmianie nazwiska użytkownika systemu powinno się zmienić jego identyfikator – login odnotowany w ewidencji osób upoważnionych do przetwarzania danych ............................................. 105 10. Naruszenie ochrony danych .............................................................. 105 Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu ................................................................................. 105 11. Udostępnienie informacji ..................................................................106 Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego ................ 106 12. Rola Administratora Bezpieczeństwa Informacji ................................ 107 Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy ........... 107 Czy administratorem bezpieczeństwa informacji (ABI) może być pracownik działu IT ................................................................................ 107 Czy ABI jest zobowiązany do przesyłania rocznych sprawozdań i raportów z audytów bezpieczeństwa informacji do GIODO ................. 108 Czy pełnomocnik ds. ochrony informacji niejawnych to, to samo co administrator bezpieczeństwa informacji (ABI) ................................. 109 13. Ochrona wizerunku (monitoring) .......................................................109 Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci ............ 109 14. Przechowywanie i zabezpieczenie dokumentacji ............................... 110 Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych ............................. 110 6 UOV29.indd 6 27.10.2015 14:16 Spis treści Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach .......................................................................... 111 15. Przetwarzanie danych ....................................................................... 111 Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską ................................................................................................. 111 Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta ......................................... 113 Jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta – to informacje te nie pozwalają na identyfikację tożsamości danej osoby. Czy można założyć, że system ten nie służy do przetwarzania danych osobowych ............................................................................... 114 Jak należy postępować w przypadku uszkodzenia komputera, na którym są przetwarzane dane osobowe .......................................... 115 Czy kierownik medyczny, nie będący lekarzem może mieć dostęp do danych pacjentów na potrzeby tworzenia statystyk ......................... 117 VI. WZORY FORMULARZY ........................................................................... 119 Upoważnienie do przetwarzania danych osobowych ................................. 119 Ewidencja osób upoważnionych do przetwarzania danych ......................... 120 Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia .......................................................................................... 121 Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia ........................................................................................................ 122 Upoważnienie do dostępu do dokumentacji medycznej ............................ 123 Jawny wykaz zbiorów danych osobowych ................................................... 124 Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ............................ 125 Analiza organizacyjnych środków bezpieczeństwa informacji ..................... 126 Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych .................................................................................................. 131 Dziennik Administratora Systemu Informatycznego ................................... 137 Umowa powierzenia przetwarzania danych osobowych ............................ 138 Umowa o zachowaniu poufności przetwarzania danych osobowych ......... 142 VII. PODSTAWA PRAWNA ....................................................................................................147 UOV29.indd 7 7 27.10.2015 14:16 UOV29.indd 8 27.10.2015 14:16 I. Wstęp I. WSTĘP Przeszło pół miliona pracowników medycznych przetwarza wraż- liwe dane osobowe ponad 38 mln Polaków. Wprawdzie placówki medyczne nie muszą rejestrować zbiorów danych pacjentów do GIO- DO, ale ciążą na nich inne obowiązki związane z ochroną danych. Przetwarzanie danych osobowych w przypadku usług medycznych odbywa się na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Placówki medyczne mają obowiązek chronić dane swoich pa- cjentów w sposób szczególny. Wynika to z tego, że dokumentacja medyczna obejmuje poza tak zwanymi danymi zwykłymi również dane wrażliwe dotyczące opisu stanu zdrowia pacjenta lub udzielo- nych mu świadczeń zdrowotnych. W zależności od podmiotu świad- czącego usługi medyczne administratorem danych będzie szpital bądź lekarz wykonujący działalność leczniczą w ramach praktyki zawodowej. Lekarze i podmioty lecznicze są zwolnieni z obowiązku zgłasza- nia zbiorów danych pacjentów do GIODO, niemniej ciążą na nich inne obowiązki. Jednym z nich jest prowadzenie i wdrożenie do- kumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych podjętych w celu wyeliminowania zagrożeń bezpieczeństwa danych. UOV29.indd 9 9 27.10.2015 14:16 Ochrona danych medycznych i osobowych pacjentów Chodzi m.in. o udostępnienie informacji o pacjentach osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, prze- twarzanie z naruszeniem ustawy oraz zmianę, utratę, uszkodzenie lub zniszczenie. Na dokumentację składa się polityka bezpieczeństwa oraz in- strukcja zarządzania systemem informatycznym do przetwarzania danych osobowych. W wielu jednostkach nadal prowadzone są zbio- ry w postaci tradycyjnej (papierowej), tam wystarczająca będzie po- lityka bezpieczeństwa. Zakres treści obu dokumentów został opisany w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie dokumenta- cji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Administrator danych musi też stworzyć takie warunki organiza- cji pracy, aby dane osobowe pacjentów były odpowiednio chronione. Inną kwestią jest sygnalizowany przez GIODO dostęp pracowni- ków medycznych do danych pacjentów zwłaszcza w dużych jednost- kach. Kierownicy placówek powinni zadbać, aby ich personel miał dostęp jedynie do tych danych, do których przetwarzania został upoważniony. Z punktu widzenia ustawy o ochronie danych osobowych nie ma znaczenia, czy dane są przetwarzane na papierze, czy w systemie in- formatycznym. Odpowiedzialność za jej nieprzestrzeganie w obu przypadkach jest taka sama. 10 UOV29.indd 10 27.10.2015 14:16 II. Powierzenie przetwarzania dokumentacji medycznej – według najnowszych przepisów II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ – WEDŁUG NAJNOWSZYCH PRZEPISÓW Nowelizacja ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw przyjęta przez Sejm 9 października 2015 r. doprecyzowała zasady przetwarzania elektro- nicznej dokumentacji medycznej poza placówką opieki zdrowotnej. Zgodnie z nowymi przepisami powierzenie danych zewnętrznemu podmiotowi ma następować na podstawie umowy zawartej na piś- mie i określającej zakres i cel przetwarzania danych. Administrato- rem danych pozostanie podmiot udzielający świadczeń zdrowotnych. Instytucja powierzenia przechowywania dokumentacji medycz- nej jest efektem postępującego procesu informatyzacji podmiotów udzielających świadczeń zdrowotnych. Umożliwia ona podmiotom udzielającym świadczeń zdrowotnych skorzystanie z wiedzy, infra- struktury, technologii, jakimi dysponują specjalistyczne podmioty zewnętrzne (np. informatyczne). Podmiot udzielający świadczeń zdrowotnych może powierzyć innemu podmiotowi – wyspecjalizowanej firmie np. informatycz- nej – przetwarzanie danych medycznych. Firma ta może przetwa- rzać dane wyłącznie w zakresie i celu przewidzianym w umowie. UOV29.indd 11 11 27.10.2015 14:16 Ochrona danych medycznych i osobowych pacjentów Przed rozpoczęciem przetwarzania danych medycznych firma jest zobowiązana do podjęcia środków zabezpieczających zbiór danych. Należą do nich (art. 36–39 ustawy o ochronie danych osobowych): z zastosowanie środków technicznych i organizacyjnych zapewnia- jących ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, z zabezpieczenie danych przed udostępnieniem osobom nieupo- ważnionym, zabraniem przez osobę nieuprawnioną, przetwarza- niem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, z dopuszczenie do przetwarzania danych osób posiadających upo- ważnienie, z utworzenie ewidencji osób upoważnionych do ich przetwarzania. W zakresie przestrzegania tych przepisów podmiot ponosi od- powiedzialność jak administrator danych. Umowa między placówką medyczną a firmą przetwarzającą dane może być zawarta pod warunkiem zapewnienia ochrony danych oso- bowych oraz prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umo- wą przez podmiot przyjmujący te dane. Realizacja umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szcze- gólności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do da- nych zawartych w dokumentacji medycznej. Firma, której powierzono przetwarzanie danych, jest obowiąza- na do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy. Tajemnicą tą jest zwią- zana także po śmierci pacjenta. W przypadku zaprzestania przetwarzania danych osobowych zawar- tych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie np. z powodu likwidacji, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycz- nej podmiotowi, który powierzył przetwarzanie danych osobowych. 12 UOV29.indd 12 27.10.2015 14:16 III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH 1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych Placówki medyczne mogą być – ze względu na ilość i wrażliwy charakter przetwarzanych danych – podmiotami podlegającymi kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Kontrola zwykle zapowiadana jest 7 dni wcześniej, trwa od 2 do 4 dni i przeprowadzana jest przez trzech inspektorów. Przepisy prawa, których przestrzeganie podlega kontroli GIODO, są zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych oso- bowych (u.o.d.o.) oraz w wydanym na podstawie art. 39a tej ustawy rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwiet- nia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpo- wiadać urządzenia i systemy informatyczne służące do przetwarza- nia danych osobowych. UOV29.indd 13 13 27.10.2015 14:16 Ochrona danych medycznych i osobowych pacjentów PAMIĘTAJ! Podczas kontroli bardzo często badana jest zasadność prze- twarzania danych osobowych, następnie dokumentacja (po- siadanie Polityki bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym), aż po fizyczne zabezpieczenie miejsc przetwarzania danych osobowych. Od strony podmiotowej zakres kontroli GIODO jest bardzo szero- ki – weryfikacji poddawane są podmioty należące zarówno do sfery publicznej, jak i prywatnej. Kontrola przetwarzania danych osobo- wych obejmuje zarówno administratorów danych podlegających obowiązkowi zgłoszenia zbioru do rejestracji, jak i administratorów danych, którzy z mocy ustawy są z obowiązku rejestracji zwolnieni – jakimi są placówki medyczne. W samej ustawie o ochronie danych osobowych regulacja do- tycząca zasad i trybu kontroli jest bardzo lakoniczna. Stąd została ona uzupełniona o przepisy ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej (rozdział 5 tego aktu) – regulujące m.in. kwestie zawiadomienia, czasu trwania czy częstotliwości kontroli. Kontrola z inicjatywy GIODO i na wniosek Kontrola GIODO może być prowadzona z własnej inicjatywy organu, ale także w nawiązaniu do zgłoszonego wniosku, uwag czy zastrzeżeń. W praktyce właśnie niepokojące sygnały i zgłoszenia czy to od poszczególnych osób czy też doniesienia medialne, np. o wy- cieku danych czy innym incydencie bezpieczeństwa, mogą wywołać zainteresowanie inspektorów GIODO – w efekcie kontrolę. Podobnie jak w przypadku innych organów (np. Państwowej Inspekcji Pracy), kontrole GIODO są zapowiedziane (poza wy- jątkami, kiedy brak takiego zawiadomienia dopuszczają przepisy 14 UOV29.indd 14 27.10.2015 14:16
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Ochrona danych medycznych i osobowych pacjentów
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: