Ochrona danych osobowych medycznych
Stan prawny: wrzesień 2016 r.
Praktyczny poradnik o ochronie danych osobowych medycznych
Czy wiesz, że większość placówek medycznych popełnia błędy w prowadzonej
dokumentacji medycznej pacjentów?
Zgodnie z raportem Najwyższej Izby Kontroli „Tworzenie i udostępnianie dokumentacji
medycznej” aż 21 placówek medycznych (na 24) prowadzi dokumentacje medyczną z
naruszeniem przepisów, wiele z nich dotyczy ochrony danych osobowych. Najczęstsze
wskazywane przez NIK błędy to brak właściwego przechowywania dokumentacji medycznej
czy brak prowadzonych rejestrów wniosków o udostępnienie dokumentacji medycznej.
Nasz poradnik, jedyna na rynku publikacja dla praktyków, pozwoli Ci uniknąć
najczęstszych błędów w zakresie ochrony danych osobowych.
Jej najważniejsze atuty to:
liczne przykłady związane z prawidłowym przetwarzaniem szczególnej kategorii
medycznych danych osobowych,
wzory dokumentów i rozwiązań do zastosowania w jednostkach przetwarzających dane
osobowe medyczne,
uwzględnienie ogólnego rozporządzenia unijnego o ochronie danych osobowych,
które zacznie obowiązywać w maju 2018 r.
uwzględnia najnowsze zmiany w przepisach, w tym z 4 sierpnia 2016 r. ustawy o
zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw
Pacjenta
Doskonały zespół Autorów, osoby z wieloletnią praktyką w ochronie danych
osobowych a także blisko współpracujący z podmiotami leczniczymi.
Prawidłowe stosowanie przepisów o ochronie danych osobowych jest szczególnie istotne
w jednostkach, które przetwarzają dane wrażliwe, jakimi są dane medyczne. Trzeba
pamiętać że przetwarzanie takich danych zasadniczo jest zakazane. Jedynym wyjątkiem
jest przetwarzanie ich w celu ochrony zdrowia, świadczenia usług medycznych lub leczenia
przez osoby zawodowo zajmujących się leczeniem. W efekcie zbiory i systemy informatyczne
zawierające dane wrażliwe są traktowane inaczej niż wszystkie pozostałe –
administrator takich zbiorów i systemów ma dodatkowe obowiązki związane z ich
prowadzeniem, w szczególności musi je w specjalny sposób zabezpieczyć, zapewnić
pełną gwarancje ich zabezpieczenia i nie może ich swobodnie udostępniać.
Przepisy odnoszące się do ochrony danych osobowych medycznych, opisane są tak w
ustawie o ochronie danych osobowych, jak w przepisach sektorowych takich jak Ustawa o
działalności leczniczej, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta i wielu
innych.
Dzięki tej publikacji Czytelnik dowie się m.in.:
Jak bezpiecznie przechowywać dokumentację medyczną, także po zakończeniu
działalności przez lekarza lub pielęgniarkę?
Kto oprócz osób wykonujących zawód medycznych, jest uprawniony do przetwarzania
danych zawartych w dokumentacji medycznej?
Jak budować bezpieczeństwo elektronicznej dokumentacji medycznej?
Jak zmieni się definicja danych wrażliwych po wejściu w życie ogólnego
rozporządzenia unijnego?
Jakie grożą kary za przetwarzanie medycznych danych osobowych których
przetwarzanie jest niedopuszczalne, albo dokonywane przez nieuprawnione do tego osoby?
Jakie czynności mogą być nieuprawnionym ujawnieniem informacji zawartych w
dokumentacji medycznej?
Jakie sankcje wprowadza ogólne rozporządzenie unijne za nieuprawnione
udostępnienie danych osobowych (nawet jeśli było nieumyślne)?
Co powinna zawierać oświadczenie pacjenta o wyrażeniu zgody na udzieleniu
informacji o jego zdrowiu innym osobom (w tym bliskim)?
Komu można udostępniać dane z dokumentacji medycznej po śmierci pacjenta –
zgodnie z najnowszymi regulacjami z 4.8.2016 r.?
Jakie zapisy musi mieć umowa o powierzeniu przetwarzania danych osobowych
medycznych wynikające z ustawy o ochronie danych osobowych a także przepisów
sektorowych?
Jakie elementy powinien mieć system fizycznego zabezpieczenia danych osobowych w
jednostkach medycznych?
Jak skutecznie oddzielać dane medyczne od osobowych danych medycznych, tam gdzie
jest to możliwe (np. na Karcie Medycznych Czynności Ratunkowych)?
W jaki sposób niezdejmowalne opaski z kodem kreskowym mogą zwiększyć
bezpieczeństwo pacjenta?
Czym różnią się dane biometryczne od danych osobowych?
Jednostka powinna zatem wdrożyć szereg procedur które podniosą bezpieczeństwo
przetwarzanych danych osobowych:
Polityka bezpieczeństwa dostosowana do wymagań podmiotu medycznego.
Tworzenie podziału na strefy bezpieczeństwa w podmiocie medycznym.
System kart pacjentów w systemie informatycznym, który skutecznie uniemożliwi lub
ograniczy wgląd do dokumentacji medycznej, osobom nieuprawnionym (np. pracownikom
rejestracji).
Zastosowanie anonimizacji zebranych danych medycznych, do prowadzenia badań
naukowych.
Wzór zgody pacjenta na publikacje wizerunku.
Wykaz skrótów
Wykaz literatury
Rozdział I. Pojęcie danych medycznych i zasady ich ochrony (Mariusz
Jagielski)
1. Problemy ze zdefiniowaniem pojęcia "dane medyczne"
1.1. Wprowadzenie
1.2. Przykłady użycia pojęcia "dane medyczne" w polskich tekstach prawnych
1.3. Europejski standard
1.4. Ustawa o ochronie danych osobowych
1.5. Nowe ogólne rozporządzenie o ochronie danych osobowych
1.6. Polskie wiodące sektorowe akty prawne w dziedzinie ochrony zdrowia
1.7. Wnioski
2. Dane medyczne jako dane osobowe
2.1. Cel ochrony danych osobowych
2.2. Pojęcie danych osobowych
2.3. Zakres ochrony danych osobowych
2.4. Podmioty zobowiązane do stosowania przepisów o ochronie danych osobowych
2.5. Zasady dotyczące przetwarzania danych osobowych
2.6. Prawa osób, których dane dotyczą
2.7. Obowiązki formalne podmiotów przetwarzających dane osobowe
2.7.1. Wymagania personalne z zakresu ochrony danych osobowych
2.7.2. Obowiązki rejestracyjne
2.7.3. Samokontrola realizacji przepisów o ochronie danych
2.7.3.1. Inwentaryzacja
2.7.3.2. Realizacja obowiązków z zakresu ochrony danych osobowych
2.7.3.3. Zabezpieczenie zbiorów i systemów informatycznych
2.7.3.4. Weryfikacja opracowania i aktualizowania dokumentacji z zakresu ochrony danych
osobowych oraz przestrzegania zasad w niej określonych
2.7.4. Dokumentacja z zakresu ochrony danych osobowych
2.8. Relacje pomiędzy ustawą o ochronie danych osobowych a ustawami sektorowymi z
dziedziny ochrony zdrowia
2.9. Wnioski
3. Dane medyczne jako dane wrażliwe
3.1. Szczególna ochrona danych wrażliwych
3.2. Szczególne przesłanki przetwarzania danych wrażliwych
3.2.1. Przesłanka szczególnego przepisu ustawy
3.2.2. Przesłanka świadczenia usług medycznych
3.2.3. Przesłanka zgody osoby, której dane dotyczą
3.2.4. Przesłanka ochrony żywotnych interesów
3.2.5. Przesłanka badań naukowych
3.2.6. Przesłanka danych pracowniczych
3.2.7. Pozostałe przesłanki
3.3. Specjalne wymogi dotyczące przetwarzania danych wrażliwych
3.4. Rejestracja zbiorów zawierających dane wrażliwe
3.5. Podniesienie poziomu bezpieczeństwa przetwarzania danych
Rozdział II. Przetwarzanie danych osobowych w dokumentacji medycznej
(Monika Krasińska)
1. Uwagi wstępne
2. Zasady dopuszczalnego przetwarzania danych zawartych w dokumentacji medycznej -
aktualne wyzwania
3. Przechowywanie danych zawartych w dokumentacji medycznej
4. Udostępnianie danych osobowych zawartych w dokumentacji medycznej
4.1. Podmioty upoważnione
4.2. Zgoda pacjenta
4.3. Udostępnianie danych z dokumentacji medycznej po śmierci pacjenta
5. Prowadzenie dokumentacji medycznej w świetle nowych unijnych ram prawnych ochrony
danych osobowych
6. Podsumowanie
Rozdział III. Powierzenie danych medycznych do przetwarzania. Umowy dotyczące
danych osobowych medycznych (Paweł Litwiński)
1. Uwagi wstępne
2. Powierzenie przetwarzania danych osobowych
3. Przedmiot i treść umowy powierzenia
4. Powierzenie przetwarzania danych osobowych w sektorze publicznym
5. Tak zwane podpowierzenie przetwarzania danych osobowych
6. Powierzenie do przetwarzania danych osobowych medycznych
7. Generalny Inspektor Ochrony Danych Osobowych i jego uprawnienia w przypadku powierzenia
do przetwarzania danych osobowych medycznych
Rozdział IV. Zabezpieczenie danych osobowych medycznych (Piotr
Kawczyński)
1. Uwagi wstępne
2. Analiza ryzyka
3. Bezpieczeństwo fizyczne w obszarach przetwarzania danych
4. Bezpieczeństwo systemów informatycznych i elektronicznej dokumentacji medycznej
5. Dokumentacja opisująca sposób zabezpieczenia przetwarzanych danych osobowych
Rozdział V. Informatyzacja przetwarzania dokumentów i danych osobowych w
systemie informacji w ochronie zdrowia (Kajetan Wojsyk)
1. Uwagi wstępne
2. Zapewnienie fizycznego bezpieczeństwa pacjenta
3. Zapewnienie realizacji praw pacjenta
4. Zapewnienie dostępu do danych uprawnionym pracownikom medycznym
5. Zapewnienie danych do celów badań naukowych i celów statystycznych
6. Systemowa ochrona danych osobowych przed nieuprawnionym dostępem do nich (odczyt)
7. Ochrona danych przed nieuprawnioną zmianą (odczyt i zmiana)
8. Ochrona danych przed uszkodzeniem
9. Ochrona danych przed utratą
Rozdział VI. Dane i prywatność w transplantologii (Aneta Sieradzka)
1. Uwagi wstępne
2. Prawo do prywatności (right to privacy)
3. Ochrona danych pacjenta zawartych w dokumentacji medycznej przeszczepienia narządu
4. Szczególna ochrona danych wrażliwych pacjenta (dawcy i biorcy)
5. Tajemnica zawodowa w transplantologii
6. Ochrona danych osobowych a transplantacja ex mortuo
7. Ochrona danych osobowych a transplantacja ex vivo
8. Ochrona prywatności dawców i biorców komórek macierzystych
9. Prywatność i godność zmarłego pacjenta
10. Poltransplant - Centrum Organizacyjno-Koordynujące do spraw Transplantacji
administratorem danych osobowych
10.1. Centralny rejestr sprzeciwów
10.2. Krajowa lista oczekujących na przeszczepienie
10.3. Rejestr żywych dawców
10.4. Centralny rejestr niespokrewnionych potencjalnych dawców szpiku i krwi pępowinowej
10.5. Rejestr przeszczepień
11. Zgoda na udostępnienie wizerunku pacjenta
12. Podsumowanie
Rozdział VII. Dane biometryczne i zasady ich ochrony (Edyta
Bielak-Jomaa)
1. Uwagi wstępne
2. Dane biometryczne a dane osobowe
3. Cechy biometryczne
4. Wykorzystywanie danych biometrycznych
5. Podstawy przetwarzania danych biometrycznych
6. Wyjątki od zakazu przetwarzania szczególnych kategorii danych osobowych
7. Zasady przetwarzania danych biometrycznych
7.1. Legalność
7.2. Adekwatność
7.3. Cel
7.4. Ograniczenie czasowe
7.5. Prawidłowość
7.6. Integralność i poufność
8. Czynniki ryzyka w przetwarzaniu danych biometrycznych
9. Ocena skutków dla ochrony danych
10. Środki techniczne i organizacyjne
11. Przetwarzanie danych biometrycznych pracowników
12. Orzecznictwo sądowe i opinie Generalnego Inspektora Ochrony Danych Osobowych w
sprawie przetwarzania danych biometrycznych
13. Normatywny wymiar przetwarzania osobowych danych biometrycznych
Rozdział VIII. Odpowiedzialność karna za naruszenie zasad ochrony danych
osobowych medycznych (Klara Andres)
1. Uwagi wstępne
1.1. Podmiot i przedmiot ochrony
1.2. Przetwarzanie danych osobowych
1.3. Podmiot uprawniony do przetwarzania danych osobowych
2. Odpowiedzialność karna - ustawa o ochronie danych osobowych
2.1. Niedopuszczalne przetwarzanie danych osobowych
2.2. Udostępnianie danych osobowych osobom nieupoważnionym
2.3. Naruszenie obowiązku zabezpieczenia danych osobowych
2.4. Niezgłoszenie zbioru danych do rejestracji
2.5. Niepoinformowanie o prawach osoby, której dane są przetwarzane
2.6. Utrudnianie wykonywania czynności kontrolnych
3. Odpowiedzialność karna - Kodeks karny 3.1. Ujawnienie tajemnicy państwowej w
związku z wykonywaną funkcją
3.2. Bezprawne uzyskanie informacji
4. Odpowiedzialność cywilna - zagadnienia ogólne
5. Dane statystyczne
6. Podsumowanie
7. Aneks
188 stron, Format: 16.5x23.8cm, oprawa miękka