Aby usługi medyczne były prowadzone prawidłowo, ustawodawca w art. 27 ust. 2 pkt. 7 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowym (tekst jedn. DzU z 2015 r. poz. 2135) wprowadził wyjątek od zakazu przetwarzania danych, umożliwiający korzystanie z danych osobowych „jeżeli jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych". Tym samym każda wizyta pacjenta w podmiocie leczniczym powoduje, iż mamy do czynienia z przetwarzaniem danych osobowych, w tym danych wrażliwych.
- Jak podmioty lecznicze mają chronić dane pacjentów?
Pełne gwarancje ochrony danych osobowych wiążą się z obowiązkami nałożonymi na ich administratorów, będących jednocześnie prowadzącymi podmioty lecznicze. Przepisy prawa nakładają na podmioty lecznicze jako administratorów danych osobowych obowiązek zastosowania odpowiednich (pod względem zagrożeń oraz kategorii danych), środków technicznych i organizacyjnych w celu zapewnienia ochrony ich przetwarzania. Podmiot leczniczy, aby nie narażać się na sankcje, powinien wprowadzić i stosować procedury zapewniające prawidłową ochronę danych, tj. „Politykę bezpieczeństwa informacji", zaś w przypadku dokumentacji prowadzonej również w formie informatycznej – także „Instrukcję zarządzania systemem informatycznym". Kolejnym obowiązkiem jest powołanie administratora bezpieczeństwa informacji, czyli osobę odpowiedzialną za nadzór nad przestrzeganiem zasad ochrony danych osobowych, chyba że właściciel bądź zarządzający podmiotem leczniczym samodzielnie będzie wykonywał czynności administratora. Dodatkowo w podmiocie leczniczym powinna być prowadzona ewidencja osób upoważnionych do przetwarzania danych zaś pracownicy i współpracownicy podmiotu leczniczego winni być przeszkoleni w zakresie obowiązków związanych z ich ochroną, m.in. o konieczności informowania pacjentów o nazwie podmiotu, danych adresowych oraz prawie do informacji o ich przetwarzaniu.
- Jakie są konsekwencje naruszenia obowiązków w zakresie ochrony danych osobowych?
Obowiązki te są na tyle istotne, iż ich nieprzestrzeganie może spowodować ukaranie przedsiębiorcy – podmiotu leczniczego karami grzywny nawet do 50 tys. złotych. Natomiast w przypadku administratora danych, który narusza przepisy o ochronie danych osobowych, ustawodawca przewidział nawet karę pozbawienia wolności.
Pomimo szczególnej ochrony danych wrażliwych praktyka pokazuje, iż podmioty lecznicze nie zapewniają ich prawidłowej ochrony. Brak jest nie tylko stosownych procedur, ale przede wszystkim odpowiedniego nadzoru nad personelem oraz jego przeszkolenia. Tymczasem prawidłowa ochrona danych nie tylko chroni pacjenta, ale przede wszystkim stanowi wymóg prawa i pozwala na uniknięcie ewentualnej odpowiedzialności finansowej oraz karnej przedsiębiorców.