Przetwarzanie danych osobowych wrażliwych w Aptekach i NZOZ

2 lata ago Kamil Kurzawski Możliwość komentowania Przetwarzanie danych osobowych wrażliwych w Aptekach i NZOZ została wyłączona

Rosnąca informatyzacja kolejnych gałęzi gospodarki sprawia, że coraz większa grupa przedsiębiorców ma możliwość przetwarzania tzw. danych osobowych wrażliwych, które zgodnie z ustawą o ochronie danych osobowych podlegają szczególnej ochronie. Do tego grona należy zaliczyć zwłaszcza zakłady opieki zdrowotnej oraz apteki. Jakie wymogi powinny spełnić podmioty przetwarzające dane osobowe wrażliwe, aby mieć pewność, że ich działalność nie zostanie zakwestionowana przez Generalnego Inspektora Ochrony Danych Osobowych, a w skrajnych przypadkach także przez organy ścigania?

Identyfikacja danych osobowych wrażliwych

W pierwszej kolejności trzeba przeanalizować czy dany podmiot np. apteka lub NZOZ posiada w ogóle uprawnienie do przetwarzania określonej kategorii danych wrażliwych. Najczęściej będą to dane o stanie zdrowie, kodzie genetycznym, nałogach lub życiu seksualnym.

Zgodnie z art. 27 ustawy o ochronie danych osobowych przetwarzanie danych osobowych wrażliwych jest możliwe jeżeli:

1)  osoba, której dane dotyczą, wyrazi na to zgodę na piśmie, chyba że chodzi o usunięcie dotyczących jej danych;

2)  przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony;

3)  przetwarzanie takich danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;

4)  jest to niezbędne do wykonania statutowych zadań kościołów i innych związków wyznaniowych, stowarzyszeń, fundacji lub innych niezarobkowych organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, pod warunkiem, że przetwarzanie danych dotyczy wyłącznie członków tych organizacji lub instytucji albo osób utrzymujących z nimi stałe kontakty w związku z ich działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych;

5)  przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;

6)  przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;

7)  przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

8)  przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;

9)  jest to niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie wyników badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone;

10)  przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Warto w tym miejscu zaznaczyć, że w przypadku NZOZów i aptek często nie będzie konieczności uzyskania oddzielnej zgodny pacjenta/klienta na przetwarzanie danych osobowych wrażliwych.

Podmioty te, przy spełnieniu pewnych warunków, będą mogły bowiem skorzystać z przesłanki legalizacyjnej określonej w art. 27 ust. 2 pkt 7) ustawy o ochronie danych osobowych, którą jest przetwarzanie danych w celu ochrony stanu zdrowia, świadczenia usług medycznych i leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych, a przy tym są stworzone pełne gwarancje ochrony danych osobowych.

Warto wskazać, że do powyższej kategorii można zaliczyć różne rodzaje wyspecjalizowanych usług farmaceutycznych np. opiekę farmaceutyczną.

Gwarancje ochrony danych osobowych

Przetwarzanie danych osobowych wrażliwych będzie możliwe wyłącznie wówczas, kiedy stworzone zostaną pełne gwarancje ochrony danych osobowych.

W tym zakresie podstawowe znaczenie ma regulacja art. 36 ustawy o ochronie danych osobowych, zgodnie z którym:

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Szczegółowe wytyczne w zakresie pożądanego poziomu ochrony odnajdziemy w przepisach wykonawczych tj. w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Dokumentacja związana z przetwarzaniem danych osobowych

Na podstawie powyższych przepisów podmiot przetwarzający dane osobowe powinien co do zasady przegotować następujące dokumenty:

  1. Politykę bezpieczeństwa;
  2. Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (w przypadku przetwarzania danych osobowych w systemie informatycznym).

Polityka i instrukcja powinny zostać uzupełniane także o kolejne dokumenty takie jak:

  1. Formularze zgód na przetwarzania danych osobowych;
  2. Politykę prywatności (w przypadku zbierania danych osobowych za pośrednictwem strony internetowej);
  3. Wzór informacji dla osoby, od której pozyskujemy dane osobowe;
  4. Ewidencję osób upoważnionych do o przetwarzania danych osobowych;
  5. Wzór dokumentu upoważnienia do przetwarzania danych osobowych;
  6. Szablon umowy o powierzenie przetwarzania danych osobowych.

Zwyczajowo powyższy zbiór wzbogaca się także o Regulamin przetwarzania danych osobowych, który jest dokumentem wewnętrznym opisującym sposób postępowania ze wszystkimi kategoriami danych osobowych przetwarzanych w ramach jednostki.

Rozwiązania organizacyjno-informatyczne

Posiadanie zgodnej z prawem dokumentacji przetwarzania danych osobowych to dopiero połowa sukcesu. Wszystkie rozwiązanie zapisane zwłaszcza w Polityce bezpieczeństwa i Instrukcji zarządzania systemem informatycznym powinny następie zostać wdrożone do rzeczywistego funkcjonowania w jednostce przetwarzającej dane osobowe.

Wdrożenie odpowiednich rozwiązań jest możliwe tylko przy współpracy osób zarządzających, obsługi informatycznej oraz podmiotów, którym powierzono przetwarzanie danych osobowych w określonym zakresie.

Ustawa daje podmiotom przetwarzającym dane osobowe wrażliwe pewną elastyczność w doborze rozwiązań i środków ochrony. Niemal każdą jednostkę można niewielkim staraniem dostosować do wymogów ustawy – konieczna jest jednak nie tylko znajomość przepisów ustawy i rozporządzeń wykonawczych, ale także praktyki organów kontrolnych, z uwzględnieniem szczególnych organów nadzorujących działalność farmaceutyczną i leczniczą.

Rejestracja zbioru danych osobowych wrażliwych

Po zapewnieniu bezpieczeństwa danych osobowych wrażliwych dla ich przetwarzania zwykle konieczna jest rejestracja zbioru danych. Dopiero decyzja o rejestracji zbioru danych wydana przez GIODO daje uprawnienie do przetwarzania danych osobowych wrażliwych w zbiorze.

Także i w tym przypadku ustawa przewiduje pewne preferencje dla podmiotów zajmujących się działalnością lecznicza i ochroną zdrowia. Więcej na ten temat w kolejnym artykule.