Okręgowa Izba Lekarska w Szczecinie
Nie ulega wątpliwości, że lekarz prowadzący gabinet lekarski, czy to w formie praktyki zawodowej czy w formie przedsiębiorstwa podmiotu leczniczego (przed wejściem w życie ustawy z dnia 15.04.2011 r. o działalności leczniczej nazywanego zakładem opieki zdrowotnej) przetwarza oprócz danych osobowych osób przez Niego zatrudnianych (personelu), przede wszystkim dane osobowe pacjentów.
Zgodnie z definicją zawartą w art. 6 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. tj. z 2002 r. Nr 101, poz. 926 ze zmianami) za dane osobowe uważa się „wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. Zatem w realiach gabinetu lekarskiego danymi osobowymi będą wszelkie informacje o pacjencie zawarte w dokumentacji medycznej, pozwalające powiązać dane o schorzeniach, udzielonych świadczeniach medycznych, z konkretną osobą pacjenta i to niezależnie od formy prowadzenia dokumentacji tj. dokumentacji papierowej lub też dokumentacji elektronicznej.
Oczywiście w dokumentacji gabinetu lekarskiego spotkamy się z dwoma rodzajami danych osobowych tj.:
1. z danymi osobowymi pacjenta „sensu stricto”, przez co należy rozumieć PESEL pacjenta, płeć, dane adresowe,
2. z danymi dotyczącymi opisu stanu zdrowia pacjenta i udzielonych mu świadczeń medycznych nazywane danymi osobowymi wrażliwymi lub sensytywnymi.
Przetwarzanie danych osobowych w gabinecie lekarskim
Pod pojęciem przetwarzania danych osobowych ustawa z dnia 29.08.1997 r. o ochronie danych osobowych rozumie takie czynności jak:'
1. zbieranie,
2. utrwalanie,
3. przechowywanie,
4. udostępnianie,
5. zmienianie;
6. usuwanie danych.
W świetle powyższej definicji przetwarzania danych osobowych, nie ulega zatem wątpliwości, iż każdy lekarz w gabinecie, przy udzielaniu świadczeń medycznych dokonuje takich czynności, a w związku z tym uważany jest przez ustawę o ochronie danych osobowych za administratora danych.
Zgodnie bowiem z treścią art. 7 pkt 4 ww. ustawy, przez administratora danych rozumie się m.in. osobę (tj. osobę fizyczną - lekarza lub osobę prawną np. spółkę prowadzoną przez lekarza), jeżeli przetwarza ona dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, a która ma siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej.
Jednocześnie przepisy wyżej wskazanej ustawy z dnia 29.08.1997 r. o ochronie danych osobowych oraz akty wykonawcze wydane na podstawie ww. ustawy (rozporządzenia), nakładają na lekarza prowadzącego gabinet lekarski jako administratora danych osobowych obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych tychże danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Innymi słowy lekarz ma obowiązek zabezpieczenia danych osobowych w gabinecie, w taki sposób by uniemożliwić dostęp do nich osobom nieupoważnionym, zapobiec zabraniu danych przez osobę nieuprawnioną, zapobiec przetwarzaniu danych z naruszeniem ustawy oraz zapobiec ich zmianie, utracie, uszkodzeniu lub zniszczeniu.
Aby wypełnić ww. obowiązki jako administrator danych, lekarz został zobligowany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności.
W świetle zatem przepisów ww. ustawy o ochronie danych osobowych oraz przepisów wykonawczych do niej tj. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
Lekarz jako administrator danych winien:
1. sporządzić i wprowadzić do stosowania dokument tzw. „Politykę Bezpieczeństwa Informacji”;
2. sporządzić i wprowadzić do stosowania dokument tzw. „Instrukcję Zarządzania Systemem Informatycznym” – oczywiście o ile lekarz prowadzi dokumentację w formie elektronicznej;ww. wymóg nie dotyczy bowiem dokumentacji prowadzonej wyłącznie w formie papierowej;
3. w przypadku zatrudniania personelu, przygotować imienne upoważnienia uprawniające do dostępu do danych osobowych z określeniem zakresu tego dostępu,
4. prowadzić „Ewidencję Osób upoważnionych do przetwarzania danych” czyli personelu, który przetwarza w imieniu lekarza w gabinecie dane osobowe pacjentów;
5. wyznaczyć tzw. „Administratora Bezpieczeństwa Informacji” nazywanego w skrócie „ABI”, czyli osobę odpowiedzialną za nadzór nad przestrzeganiem w gabinecie zasad ochrony danych. Oczywiście takie obowiązek powstaje tylko wówczas, gdy lekarz sam nie wykonuje tych czynności;
6. informować pacjentów o: nazwie praktyki, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści i zmiany swoich danych.
Odnosząc się do „Polityki bezpieczeństwa Informacji” to jest to dokument, który zgodnie z przepisami ww. rozporządzenia winien zawierać w szczególności:
wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;
wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne wypełnia pacjent;
sposób przepływu danych pomiędzy poszczególnymi systemami;
określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Przygotowując ww. dokument lekarz może posłużyć się wytycznymi Generalnego Inspektora Ochrony Danych Osobowych (GIODO) które będą pomocne w tworzeniu i wdrożeniu polityki bezpieczeństwa informacji, a znajdują się na stronie Generalnego Inspektora Ochrony Danych Osobowych : www.giodo.gov.pl.
Jeśli jednocześnie lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie elektronicznej powstaje także konieczność przygotowania „instrukcji przetwarzania danych”, zaś przy jej redagowaniu należy zwrócić uwagę na takie elementy jak:
zasady nadawania uprawnień do przetwarzania danych osobowych, sposób kontroli dostępu, osób uprawnionych do kontroli ,
procedurę rozpoczęcia, zawieszenia i zakończenia pracy programu komputerowego, który służy do przetwarzania danych osobowych,
procedury wykonywania kopii zapasowych danych,
sposób zabezpieczenia programu przed ingerencją osób trzecich lub złośliwego oprogramowania.
Ponadto w świetle zapisów ustawy o ochronie danych osobowych wskazane jest także wdrożenie w gabinecie środków technicznych polegających na :
zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób nieupoważnionych,
stosowaniu systemów podtrzymywania napięcia lub innych metod zapobiegających nagłej utracie danych,
stosowaniu wieloznakowego hasła dostępu,
stosowaniu szyfrowania danych w przypadku przesyłania ich za pomocą publicznej sieci internetowej.
Z powyższego wyliczenia dokumentów i obowiązków nałożonych na lekarza jako administratora danych wynika zatem, iż inny (szerszy) będzie sposób czy metody ochrony danych osobowych w gabinecie lekarskim, w którym lekarz stosuje nowoczesne metody przechowywania danych pacjentów, a zatem gabinet posiada już elektroniczną bazę pacjentów i dokumentuje udzielane świadczenia zdrowotne w formie zapisów na nośnikach elektronicznych, a ponadto zatrudnia osoby mające dostęp do danych osobowych i dokumentacji medycznej pacjentów, a inny (znacznie węższy) będzie sposób i metody ochrony danych osobowych w gabinecie lekarskim, w którym lekarz prowadzi dokumentację wyłącznie w formie papierowej i nie zatrudnia personelu medycznego.
Natomiast bez wątpienia lekarz jako administrator danych osobowych nie ma obowiązku:
1. uzyskiwania zgody pacjentów na przetwarzanie ich danych osobowych,
2. zgłoszenia Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru danych osobowych pacjentów zawartych w dokumentacji medycznej - zgodnie bowiem z treścią art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych - z obowiązku rejestracji zbioru danych zwolnieni są m.in. administratorzy danych dotyczących osób korzystających z ich usług medycznych.
Sankcje za naruszenie przepisów ustawy o ochronie danych osobowych
Lekarz, który przetwarza dane osobowe pacjentów w sposób niezgodny z przepisami powszechnie obowiązującego prawa, winien liczyć się zarówno z możliwością nałożenia na Niego sankcji karnych, jak i sankcji o charakterze administracyjnym.
I tak ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określiła szczególne rodzaje przestępstw karnych polegających na:
1. przetwarzaniu danych osobowych z pominięciem trybów wskazanych w przepisach o ochronie danych osobowych – podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2 lub do lat 3, gdy dotyczy to przestępstwo danych o stanie zdrowia pacjenta (art. 49 ustawy);
2. udostępnieniu przez administratora danych osobowych, osobom nieupoważnionym – podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2, jeśli sprawca działał nieumyślnie to – podlega karze ograniczenia wolności albo pozbawienia wolności do roku (art. 51 ust. 1 ustawy);
3. naruszeniu choćby nieumyślnie przez administratora obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem – podlega karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 52 ustawy).
Ponadto lekarz, który zlekceważy zalecenia Generalnego Inspektora Ochrony Danych Osobowych (GIODO) czyli nie wykona decyzji administracyjnej Inspektora może być ukarany karą grzywny mającą na celu przymuszenie lekarza do wykonania tej decyzji w wysokości:
1. za każde uchybienie kara nie może przekroczyć 10.000 złotych – w przypadku osoby fizycznej (lekarza), a w przypadku osoby prawnej (np. spółki z o.o.) – 50.000 złotych;
2. łącznie za wszystkie uchybienia kara nie może przekroczyć 50.000 złotych - w przypadku osoby fizycznej (lekarza), w przypadku osoby prawnej (np. spółki z o.o.) – 200.000 złotych.
radca prawny
Eliza Nahajowska
Podstawa prawna:
- ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
- rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.