Ochrona danych medycznych – kwestie prawne

Share on facebook
Share on twitter
Share on linkedin
Anna Orłowska

Anna Orłowska

Radca prawny

Dane medyczne są kluczem do rozwoju medycyny, tworzenia innowacji i poprawy jakości w ochronie zdrowia. Te dane uzyskują i gromadzą w zasadzie wszystkie podmioty, które udzielają jakichkolwiek świadczeń medycznych (m.in. indywidualne praktyki lekarskie, szpitale, przychodnie) i mają szczególne obowiązki związane z ich ochroną. Na czym polega ochrona danych medycznych? Dowiesz się z tekstu poniżej.

Ochrona danych osobowych w praktyce lekarskiej – na co zwracać uwagę?

Obowiązek dbałości o gromadzone dane medyczne dotyczy w równym stopniu dużych placówek, jak i praktyk lekarskich. W przypadku kontroli trzeba umieć udowodnić, że dane są odpowiednio chronione, że podjęto wszelkie konieczne działania w tym celu. Może się to przejawiać np. w ograniczaniu dostępu pracowników do danych, zabezpieczeniu dostępu indywidualnie przypisanymi hasłami, czy stosowaniu cyberzabezpieczeń.

Przeczytaj więcej na temat praktyki lekarskiej.

 

RODO w sektorze medycznym

W przepisach nie ma uniwersalnej definicji „danych medycznych” – mamy dokumentację medyczną, w tym dokumentację elektroniczną (ustaw: o prawach pacjenta, o systemie informacji w ochronie zdrowia), a także dane osobowe – dane dotyczące zdrowia (rozporządzenie RODO) i dane nieosobowe dotyczące zdrowia.

Dane dotyczące zdrowia to dane o zdrowiu fizycznym lub psychicznym osoby fizycznej (również o korzystaniu z usług opieki zdrowotnej). Dane osobowe pozwalają zidentyfikować osobę, której dotyczą, w przeciwnym razie, są to dane nieosobowe.

Zgodnie z RODO w sektorze medycznym, administrator (czyli np. podmiot wykonujący działalność leczniczą) i podmiot przetwarzający wdrażają środki techniczne i organizacyjne, aby zapewnić odpowiedni stopień bezpieczeństwa danych względem ryzyka wystąpienia naruszenia praw lub wolności osób fizycznych.

 

Najważniejsze obowiązki placówek medycznych i lekarzy

Ochrona danych medycznych jest obowiązkiem, który wynika nie tylko z RODO – jest wyrazem przestrzegania praw pacjenta (prawa do zachowania w tajemnicy informacji związanych z pacjentem i jego zdrowiem). Obowiązek dotyczy przechowywania danych zarówno w formie papierowej, jaki i elektronicznej – przechowywanie powinno być bezpieczne, a każda osoba, która ma do nich dostęp, musi mieć upoważnienie administratora.

W przypadku dokumentacji elektronicznej konieczne jest niezwłoczne odbieranie uprawnień do swoich systemów informatycznych byłym pracownikom, tak, aby zapobiec potencjalnym naruszeniom. Należy również prowadzić rejestr czynności przetwarzania danych osobowych, rejestru kategorii czynności przetwarzania, ewidencji naruszeń oraz ewidencji osób upoważnionych do przetwarzania danych.

Placówka medyczna musi również poinformować pacjenta o swoich danych kontaktowych, celach oraz podstawie prawnej przetwarzania danych osobowych oraz o prawie do wniesienia skargi do organu nadzorczego. Powinna także umożliwić pacjentom realne zapoznanie się z klauzulą RODO, np. poprzez rozwieszenie takich informacji w widocznych i dostępnych miejscach w swojej siedzibie.

Zapoznaj się również z naszym tekstem na temat prywatny gabinet lekarski wymogi sanepidu.

 

Najczęściej popełniane błędy

Błędem jest każde działanie, które umożliwi zapoznanie się z danymi osobowymi pacjenta osobom nieuprawnionym, np.:

 

  • zbyt mało prywatności przy stanowiskach rejestracji,
  • umieszczanie danych osobowych na szpitalnych łóżkach, w sposób widoczny dla osób postronnych,
  • prowadzenie rozmów o stanie zdrowia pacjenta w obecności osób trzecich bądź w miejscach, w których mogą te rozmowy usłyszeć osoby nieuprawnione,
  • wzywanie pacjentów do gabinetu oraz zwracania się do pacjentów na sali chorych pełnym imieniem i nazwiskiem (zamiast tego, identyfikacja pacjenta może nastąpić przez podanie imienia oraz godziny wizyty lub przez nadany mu numer),
  • brak odpowiednich zabezpieczeń podczas przechowywania dokumentacji medycznej, np. w ogólnodostępnych szafach, niezamykanych na klucz lub w inny sposób, który nie zabezpiecza danych przed zniszczeniem lub pozyskaniem przez osoby nieuprawnione.

 

Niewątpliwie pierwszym krokiem do ochrony danych osobowych w praktyce lekarskiej jest opracowanie i wdrożenie – pod względem technicznym i przede wszystkim z punktu widzenia personelu – procedur ochrony danych medycznych. Pomóc w tym może prawnik dla lekarza.

Zapisz się na newsletter i odbierz Ebook

„Jak zabezpieczyć rodzinę i majątek, czyli 6 powodów żeby przekształcić firmę w spółkę”

Korzystając z naszej strony, wyrażasz zgodę na wykorzystywanie przez nas plików cookies. Kontynuując przeglądanie tej strony akceptujesz naszą Politykę Prywatności.