Praca zbiorowa pod redakcją Mariusza Jendry

Ochrona danych medycznych w 2015 r.

Prawo, praktyka, wzory dokumentów według najnowszych przepisów

Och

rona d

anych

med

ycznych

w 2015 r.

P r o f e s J o n a l n e P u b l i k a c J e d l a k a d r Y Z a r Z Ą d Z a J Ą c e J P o d M i o T a M i l e c Z n i c Z Y M iisbn 978-83-269-3759-0uoV23

Cena 69,oo zł

Polecamy nasze pozostałe publikacje:

dostępne pod adresem: fabrykawiedzy.com

UOV 23 okladka.indd 1 15-02-10 16:12

Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów

UOV23.indd 1 15-02-09 14:08

Publikacja „Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów” została opracowana na podstawie nowych przepisów obowiązujących od 1 stycznia 2015 r. Zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od 1 sierpnia 2017 r. elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać placówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycznych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z atakami hakerskimi. Książka zawiera też rady dla jednostek przetwarzających dane osobowe w formie papierowej.

Publikacja zawiera 15 obszernych porad prawnych, 35 odpowiedzi na najczęściej zadawane pytania oraz 8 wzorów dokumentów związanych z ochroną danych medycznych.

WydawcaAlina Sulgostowska

Redaktor prowadzącyMariusz Jendra

KorektaZespół

Koordynator produkcjiMagdalena Huta

Skład i łamanieDariusz Ziach

Projekt okładki Piotr Fedorczyk

DrukMiller

Źródła foto:okładka – www.fotolia.pl

ISBN 978-83-269-3759-0

Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.Warszawa 2015

Wydawnictwo Wiedza i Praktyka sp. z o.o.ul. Łotewska 9a, 03 -918 Warszawatel. 22 518 29 29, faks 22 617 60 10, e -mail: cok@wip.pl

NIP: 526 19 92 256, KRS: 0000098264 – Sąd Rejonowy dla m.st. Warszawy w Warszawie,XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,Wysokość kapitału zakładowego 200.000 zł

UOV23.indd 2 15-02-09 14:08

3

Spistreści

Spis treści

I.. ZMIANY.PRAWNE.W.OCHRONIE.DANYCH.OSOBOWYCH.OBOWIĄZUJĄCE. OD 1 STYCZNIA 2015 R. .............................................................................. 7

II..KONTROLA.BEZPIECZEŃSTWA.DANYCH.MEDYCZNYCH. ............................ 15

1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych ............................................................................................... 15

2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO ....................................................................................................... 23

3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych ................................................................................................ 31

4. Procedura na wypadek naruszenia bezpieczeństwa danych ..................... 33

III..PORADY.PRAWNE.ZWIĄZANE.Z.OCHRONĄ.DANYCH.OSOBOWYCH.W.PLACÓWCE.MEDYCZNEJ ....................................................................... 37

1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych ........... 37

2. Ochrona serwerów placówki przed atakiem hakerów .............................. 40

3. Czy można gromadzić dane osobowe bez zgody pacjenta ....................... 46

4. Jak nie naruszać intymności pacjenta ....................................................... 47

5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej .... 50

6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej .... 53

7. Czy placówki mogą zbierać dane „na zapas” ............................................ 56

8. Jakość wpisów w dokumentacji medycznej – „niemy świadek” procesu leczenia ....................................................................................... 58

9. Kary za zgubienie dokumentacji medycznej ............................................. 60

10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta ................. 63

11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane) ................................................................... 67

IV...PRAKTYKA.OCHRONY.DANYCH.–.ODPOWIEDZI.NA.NAJCZĘŚCIEJ. ZADAWANE PYTANIA ........................................................................... 73

1. Upoważnienie do przetwarzania danych .................................................. 73

Czy informatyk może mieć dostęp do dokumentacji medycznej

Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka .............................................................................................. 74

Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych .......................................................... 74

UOV23.indd 3 15-02-09 14:08

Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych ..... 76

Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów UsG, ma mieć upoważnienie do przetwarzania danych ......................................................................... 76

Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych ..... 77

Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych ............. 77

Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe ........................................................................................... 78

Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument ........................................................ 78

2. Potwierdzenie tożsamości ........................................................................ 79

Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań ........... 79

Pracuję w Zakładzie Lecznictwa Odwykowego. Bardzo często dzwonią do nas kuratorzy sądowi, policja, sąd czy też rodziny pacjentów z pytaniem, czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy ................................. 80

3. Ochrona danych lekarzy ........................................................................... 80

Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy .............................................................................. 80

Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna .................................................................................................. 81

4. Przenoszenie i wydawanie dokumentacji ................................................. 81

Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony ............................................... 81

Pacjent, w związku ze zmianą miejsca zamieszkania, chce przenieść się do innej przychodni. Zażądał, aby nasza placówka przekazała jego dotychczasową dokumentację medyczną do nowej przychodni. Dodam, że nasz podmiot jeszcze nie wdrożył elektronicznej dokumentacji medycznej, więc wszystkie dane przechowywane są w formie papierowej. Czy jego roszczenie jest zasadne ....................... 82

5. Zgoda pacjenta ......................................................................................... 84

Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych ................................. 84

Ochronadanychmedycznychw2015roku

4

UOV23.indd 4 15-02-09 14:08

5

Spistreści

Czy osoba rejestrująca się w przychodni może odmówić podania numeru PEsEL .......................................................................................... 85

Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta ....................... 85

6. Prawo do informowania ........................................................................... 86

Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu .............................................. 86

7. Rejestracja zbiorów danych osobowych ...................................................87

Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u Generalnego Inspektora Ochrony Danych Osobowych ......................... 87

8. Powierzenie przetwarzania danych .......................................................... 88

Lekarz prowadzący własną praktykę na podstawie umowy zlecenia wykonuje badania genetyczne pacjentom szpitala. Używa w tym celu własnego komputera i programu. Wyniki badań są zapisywane na jego twardym dysku. Jak to uregulować formalnie i zgodnie z przepisami związanymi z ochroną danych osobowych i prawami pacjenta ............... 88

Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły ............................................................................ 89

Czy z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych potrzebna jest umowa powierzenia .......................................................................... 90

9. Polityka haseł ........................................................................................... 91

Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego .................................................................... 91

Czy polityka haseł opisana w „Instrukcji zarządzania systemem informatycznym” administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni .................................................................. 91

Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł naszych pracowników w ich obecności ................................................................. 92

10. Naruszenie ochrony danych ..................................................................... 93

Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu .................................................................................... 93

UOV23.indd 5 15-02-09 14:08

Ochrona danych medycznych w 2015 roku

6

11. Udostępnienie informacji .......................................................................... 93

Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego .......................................93

12. Rola ABI .................................................................................................... 94

Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy ............... 94

13. Ochrona wizerunku (monitoring) ............................................................. 95

Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci .............. 95

14. Przechowywanie i zabezpieczenie dokumentacji ..................................... 96

Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych ........................................................................ 96

Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach ............................................................................. 96

Jakie przepisy prawa mówią o tym, że papierowa dokumentacja medyczna musi być przechowywana w zamkniętych metalowych szafach ..................................................................................................... 97

15. Przetwarzanie danych .............................................................................. 97

Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską .................................................................................................... 97

Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta ............................................ 99

V..WZORY.FORMULARZY. ........................................................................... 101

Upoważnienie do przetwarzania danych osobowych ................................. 101

Ewidencja osób upoważnionych do przetwarzania danych ........................ 102

Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia .......................................................................................... 103

Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia ....................................................................................................... 104

Upoważnienie do dostępu do dokumentacji medycznej ............................ 105

Jawny wykaz zbiorów danych osobowych .................................................. 106

Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych ........................... 107

VI. PODSTAWA PRAWNA ........................................................................... 113

UOV23.indd 6 15-02-09 14:08

7

I. ZMIANY PRAWNE W OCHRONIE DANYCH OSOBOWYCH OBOWIĄZUJĄCE OD 1 STYCZNIA 2015 R.

Od 1 stycznia 2015 r. obowiązuje ustawa z 7 listopada 2014 r. o uła-twieniu wykonywania działalności gospodarczej, przyjęta w ramach tzw. IV pakietu deregulacyjnego, która wprowadziła zmiany w usta-wie z 29 sierpnia 1997 r. o ochronie danych osobowych.

Nowe zasady ochrony danych osobowych dotyczą przede wszyst-kim: zmiany statusu administratorów bezpieczeństwa informacji (ABI), którzy staną się wewnętrznymi inspektorami ochrony danych i będą nadzorować proces przetwarzania danych w firmie, zwolnie-nia z obowiązku zgłaszania zbiorów danych do GIODO w określo-nych przypadkach i ułatwienia transferu danych do państw trzecich.

Najważniejsze zmiany praktyczne dotyczą jednak roli ABI oraz jego nowych zadań w organizacji.

Powołanie.i.zgłoszenie.administratora.bezpieczeństwa.informacji

Artykuł 36a ustawy o ochronie danych osobowych mówi, że admi-nistrator danych, np. kierownik placówki medycznej, może powołać administratora bezpieczeństwa informacji. Oznacza to, że nie ma

UOV23.indd 7 15-02-09 14:08

Ochrona danych medycznych w 2015 roku

8

już bezpośredniego obowiązku jego powoływania. Jednak zgodnie z brzmieniem art. 36b w przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI wykonuje administrator danych. W obu przypadkach musi więc w organizacji być ktoś, kto zapewni przestrzeganie przepisów o ochronie danych osobowych. Natomiast powołując administratora bezpieczeństwa informacji i zgłaszając taką osobę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), administrator danych będzie zwolniony z nie-których obowiązków.

PAMIęTAJ!ABIpowołanyprzed1stycznia2015r.powinienzostaćzgło-

szonydorejestruGIODOdo30czerwca.Jeżeliniezostanie

zgłoszony–tojegozadaniaprzejmujeadministratordanych

osobowych–czyliszef(właściciel,dyrektor)placówki.

Administrator danych jest zobowiązany zgłosić do rejestracji Gene-ralnemu Inspektorowi powołanie i odwołanie administratora bez-pieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Wykreślenie ABI z rejestru następuje po powiadomieniu GIODO przez admini-stratora danych o odwołaniu. Generalny Inspektor może również z urzędu wydać administratorowi danych decyzję o wykreśleniu admi-nistratora bezpieczeństwa informacji z rejestru, jeżeli dany ABI nie spełnia określonych warunków lub nie wykonuje swoich zadań.

Sprawdzanie.zgodności.przetwarzania.danych.osobowych

Do zadań administratora bezpieczeństwa informacji należą m.in.: sprawdzanie zgodności przetwarzania danych osobowych z przepisa-mi o ochronie danych osobowych oraz opracowanie w tym zakresie

UOV23.indd 8 15-02-09 14:08

I.Zmianyprawnewochroniedanychosobowychobowiązująceod1stycznia2015r.

9

sprawozdania dla administratora danych. ABI wprawdzie zawsze miał to robić, ale teraz obowiązek audytu wewnętrznego, sprawdzeń i sporządzania rocznych sprawozdań został szczegółowo określony.

Powstał projekt rozporządzenia ministra administracji i cyfry-zacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. Projekt ten określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opraco-wania sprawozdania w tym zakresie. Wprawdzie trwają jeszcze kon-sultacje tego dokumentu, ale najpewniej treść przedstawiona na stronach MAiC już bez większych zmian wejdzie w życie.

PAMIęTAJ!GeneralnyInspektormożezwrócićsiędoadministratora

bezpieczeństwainformacji(aletylkowpisanegodorejestru

GIODO)odokonaniesprawdzeniawdanejplacówce„zgodno-

ściprzetwarzaniadanychosobowychzprzepisami”–wska-

zujączakresiterminsprawdzenia.

W projekcie opisano czynności, jakie należy podjąć w ramach sprawdzenia i w celu zweryfikowania zgodności przetwarzania da-nych osobowych z przepisami o ochronie danych osobowych. Spraw-dzenie ma być dokonywane dla administratora danych, a czasami dla Generalnego Inspektora. Sprawdzenie dla administratora da-nych ma mieć charakter sprawdzenia planowego – według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji lub sprawdzenia pozaplanowego – w przypadku wystą-pienia naruszenia ochrony danych osobowych.

Dzięki temu GIODO nie musi już osobiście (czyli w praktyce przez swoich inspektorów) odwiedzać z kontrolą administratora danych – wystarczy, że otrzyma wyczerpujące odpowiedzi w danej sprawie od ABI. Dotyczy to jednak administratora danych, który powołał

UOV23.indd 9 15-02-09 14:08

Ochrona danych medycznych w 2015 roku

10

administratora bezpieczeństwa informacji i zgłosił go do GIODO. Zgłoszeń można dokonywać już od 1 stycznia 2015 r. na podstawie roz-porządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa infor-macji obecnie pełniący tę funkcję również będą musieli być zgłoszeni przez administratora danych do Generalnego Inspektora. Do 28 stycz-nia 2015 r. – kiedy to obchodzony jest dzień ochrony danych osobo-wych – zgłoszonych do rejestru GIODO było 100 administratorów.

Nadzorowanie.opracowania.i.aktualizowania.dokumentacji

Kolejnym zadaniem ABI jest nadzorowanie opracowania i aktua-lizowania dokumentacji, tj. Polityki bezpieczeństwa i Instrukcji za-rządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych. Chodzi o to, aby dokumentacja była kompletna, zgodna z obowią-zującymi przepisami oraz opisywała stan faktyczny w zakresie prze-twarzania danych osobowych.

PAMIęTAJ!NaPolitykębezpieczeństwainformacjimożeskładaćsięwiele

różnychinstrukcji,procedur,regulaminówitd.

Z zasadami określonymi w Polityce bezpieczeństwa informacji oraz z przepisami ochrony danych ABI ma obowiązek zapoznać wszystkie osoby upoważnione do przetwarzania danych osobowych.

W jaki sposób to zrobi, to już kwestia wtórna. Może zorganizo-wać szkolenie, instruktaż, odesłać do dokumentacji, przeprowadzić szkolenie online itp. Po jego odbyciu powinien pobrać od współpra-cowników oświadczenia o zapoznaniu się z obowiązującymi przepi-sami odnośnie do ochrony danych.

UOV23.indd 10 15-02-09 14:08

I.Zmianyprawnewochroniedanychosobowychobowiązująceod1stycznia2015r.

11

Natomiast podmioty wykonujące zadania publiczne są zobo-wiązane do zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak zagrożenia bezpieczeństwa informacji, skutki naru-szenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo infor-macji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. Obowiązek ten wynika z § 20 ust. 2 pkt 6 rozpo-rządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów pub-licznych i wymiany informacji w postaci elektronicznej oraz mini-malnych wymagań dla systemów teleinformatycznych.

Zwolnienie.z.obowiązku.rejestrowania.zbiorów.danych.u.GIODO

Administrator danych, który powoła administratora bezpieczeń-stwa informacji, będzie zwolniony z obowiązku rejestrowania zbiorów danych u GIODO, z wyjątkiem zbiorów zawierających dane wrażli-we, a podlegających zgłoszeniu. Obowiązek prowadzenia jawnego rejestru zbiorów jest zadaniem ABI. Jawnego, czyli na przykład opub-likowanego na stronie internetowej administratora danych lub do-stępnego na żądanie osoby, której dane dotyczą. W przygotowaniu i konsultacjach jest także rozporządzenie ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.

Niezależność.i.skuteczność.ABI

W zmienionych przepisach dużą wagę kładzie się na niezależność i skuteczność administratora bezpieczeństwa informacji. Artykuł 36a ust. 4 mówi, że administrator danych może powierzyć administrato-rowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań określonych

UOV23.indd 11 15-02-09 14:08