Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu elektronicznej dokumentacji medycznej Krzysztof Nyczaj ekspert Izby Gospodarczej Medycyna Polska, konsultant w Gabinecie Prezesa Głównego Urzędu Statystycznego dziennikarz tygodnika Służba Zdrowia

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Zarówno przepisy krajowe jak i unijne dopuszczają możliwość zlecenia przetwarzania danych osobowych przez administratora danych osobowych podmiot zewnętrznemu, zajmującemu się profesjonalnym przetwarzaniem danych. Zgodnie z art. 17 ust 3 Dyrektywy 95/46.WE powierzenie przetwarzania danych osobowych powinno nastąpić w formie umowy lub aktu prawnego, z którego w sposób nie budzący wątpliwości powinno wynikać, że przetwarzający działa wyłącznie na polecenie administratora danych. Przetwarzający ma również obowiązek wprowadzić odpowiednie środki techniczne i organizacyjne w celu ochrony danych. Rolą administratora jest natomiast decydowanie nie tylko o celach i środkach przetwarzania powierzonych danych ale i określenie czynności które powierza. Cechą charakterystyczną powierzenia jest, to że administrator ujawniając dane innemu podmiotowi, nie Tracji nad nimi kontroli.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Art.17. 3. Przetwarzanie danych przez przetwarzającego musi być regulowane przez umowę lub akt prawny, na mocy których przetwarzający podlega administratorowi danych i które w szczególności postanawiają, że: przetwarzający działa wyłącznie na polecenie administratora danych, obowiązki wymienione w ust. 1, określone przez ustawodawstwo Państwa Członkowskiego, w którym przetwarzający prowadzi działalność gospodarczą, dotyczą również przetwarzającego. Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych do spraw wewnętrznych

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Zgodnie z art. 27 ust. 2 ustawy o ochronie danych osobowych przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach: „w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem” lub „w celu zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych”. W tej sprawie zapis polskiej ustawy o ochronie danych osobowych jest bardzo podobny do zapisów art. 8 ust. 3 Dyrektywy 95/46 WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych z tą różnicą, że przepisy unijne umożliwiają przetwarzanie danych nie tyle „osobom trudniącym się zawodowo leczeniem”, ale „pracownikom służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy”.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Art. 27. 1. Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak równiej danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 2. Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli: (…) 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych, Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Art.8. 1 Państwa Członkowskie zabraniają przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, opinie polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, jak również przetwarzanie danych dotyczących zdrowia i życia seksualnego. (…) 3. Ustęp 1 nie ma zastosowania w przypadku gdy przetwarzanie danych wymagane jest do celów medycyny prewencyjnej, diagnostyki medycznej, świadczenia opieki lub leczenia, lub też zarządzania opieką zdrowotną, jak również w przypadkach, gdy dane są przetwarzane przez pracownika służby zdrowia zgodnie z przepisami prawa krajowego lub zasadami określonymi przez właściwe krajowe instytucje, podlegającemu obowiązkowi zachowania tajemnicy zawodowej lub przez inną osobę również zobowiązaną do zachowania tajemnicy. Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych do spraw wewnętrznych

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Problemy ochrony danych osobowych przy świadczeniach zdrowotnych nie kończą się na przetwarzaniu danych przez osoby wykonujące zawody medyczne. Ustawa o prawach pacjenta i rzeczniku praw pacjenta w żaden sposób nie reguluje powierzenia innym podmiotom usług  związanych z dostępem do danych medycznych, np. serwisującym sprzęt z utrwalonymi danymi czy zarządzającym systemami informatycznymi z danymi osobowymi. A ponieważ chodzi o dane objęte tajemnicą zawodową, nie można powoływać się na ogólne zasady powierzenia przetwarzania danych określone w ustawie o ochronie danych osobowych. G. Sibiga (Instytut Nauk Prawnych PAN): Komentarz do artykułu D. Frey „Kto może przechowywać dane z badań leczniczych” Rzeczpospolita 23 maja 2011

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej W kontekście rozstrzygnięcia dotyczącego możliwości udostępnienia danych medycznych osobom nie biorącym bezpośredniego udziału w procesie leczenia, w tym powierzenia przetwarzania osobowych danych medycznych podmiotowi zewnętrznemu specjalizującemu się w przetwarzaniu danych, kluczowe jest wyjaśnienie, czy administrowanie bazą danych zawierającą osobowe dane medyczne można zaklasyfikować jako „zarządzenie usługami medycznymi”. M.Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Definicja zarządzania: Zestaw działań (planowanie, organizowanie, motywowanie, kontrola) skierowanych na zasoby organizacji (ludzkie, finansowe, rzeczowe, informacyjne) wykorzystywanych z zamiarem osiągnięcia celów organizacji. R.W. Griffin Zarządzanie to działalność kierownicza polegająca na ustalaniu celów i powodowaniu ich realizacji w organizacjach podległych zarządzającemu, na podstawie własności środków produkcji lub dyspozycji nimi. B. Giliński Zarządzanie to działanie polegające na dysponowaniu zasobami T. Pszczołowski

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Również w wyjaśnieniach słownikowych zarządzenie jest kojarzone przede wszystkim z kierowaniem i podejmowaniem decyzji. Na uwagę zasługuje również stanowisko Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej, która do funkcji zarządzania usługami opieki zdrowotnej zalicza: wystawianie faktur, prowadzenie rachunków oraz prowadzenie statystyk. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r. , 00323/07/PL WP 131, str. 10

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych W związku z tym, że w ustawie o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy o ochronie danych osobowych. Zgodnie z art. 8 ust. 3 Dyrektywy 46 osobowe dane medyczne powinny być przetwarzane „wyłącznie przez osoby zobowiązane do zachowania tajemnicy”. Na gruncie przepisów powszechnie obowiązujących w naszym kraju trudno jest znaleźć grupę zawodową (poza przedstawicielami zawodów medycznych), która byłaby zobowiązana do dochowania tej tajemnicy. W przypadku personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można tą kwestię próbować rozwiązać poprzez odpowiednie zapisy w umowie o pracę. W takim przypadku przesłanka „stworzenia pełnych gwarancji ochrony” wydaje się być spełniona, gdyż placówka opieki zdrowotnej poprzez sam fakt zatrudnienia takiej osoby na umowę o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych (Cd) W przypadku powierzenia przetwarzania medycznych danych osobowych firmie zewnętrznej pojawiają się bardzo duże wątpliwości, gdyż bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie jest możliwa w ramach tradycyjnego stosunku służbowego. Trudno jest więc w takiej sytuacji mówić o „stworzeniu pełnych gwarancji”. Byłaby ona możliwa, gdyby placówki ochrony zdrowia podlegały rygorom rejestracji zbiorów danych osobowych w GIODO, a co za tym idzie – wchodziłyby w reżim procedur kontrolnych ze strony tego urzędu. Wtedy firmy przetwarzające medyczne dane osobowe na podstawie umowy powierzenia podlegałyby również procedurom kontrolnym ze strony GIODO. Ustawa o ochronie danych osobowych zwolniła jednak placówki ochrony zdrowia z obowiązku rejestracji zbiorów danych osobowych.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Wnioski W świetle powyższych wyjaśnień należy stwierdzić, że osoby pełniące kierownicze funkcje w zakładzie opieki zdrowotnej mogą przetwarzać dane medyczne ze względu na cel, którym jest zarządzanie usługami medycznymi. Można, posiłkując się definicjami wypracowanymi przez Grupę Roboczą ds. Ochrony Danych Osobowych KE, próbować znaleźć uzasadnienie dla przetwarzania osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia tj.: statystyków, pracowników rejestracji, księgowych. Natomiast bardzo trudno w ten sposób uzasadnić możliwość przetwarzania osobowych danych medycznych przez osoby, które administrują bazą danych w ramach usługi outsourcingu.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Dostęp do dokumentacji medycznej wg Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej: Dostęp do dokumentacji medycznej poza samym pacjentem może przysługiwać tylko pracownikom opieki zdrowotnej (czyli uprawnionemu personelowi placówek opieki zdrowotnej) uczestniczącym w bieżącym leczeniu pacjenta. Musi istnieć relacja między pacjentem a pracownikiem medycznym poszukującym dostępu do dokumentacji, polegająca na rzeczywistym i bieżącym leczeniu. Jeżeli zajdzie konieczność przetwarzania osobowych danych medycznych przez personel niemedyczny, personel ten musi także podlegać wiążącym regulacjom zapewniającym co najmniej równoważny stopień poufności i ochrony. Regulacje te muszą przewidywać obowiązek używania danych wyłącznie do celów wymienionych w art. 8 ust. 3 Dyrektywa 95/46/We Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych do spraw wewnętrznych. Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r. , 00323/07/PL WP 131, str. 10

Przetwarzanie danych medycznych poza placówką opieki zdrowotnej w świetle wymagań Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta nie odnosi się do kwestii dopuszczalności outsourcingu prowadzenia dokumentacji medycznej w działalności podmiotów leczniczych. Nie zawiera ona żadnych zapisów poświęconych outsourcingowi, takich jak np. w ustawie o działalności ubezpieczeniowej czy też prawie bankowym, które regulują tą formę działalności. Jednocześnie ustawa o ochronie danych osobowych wyznacza bardzo wąskie przesłanki do przetwarzania tzw. "danych wrażliwych", ograniczając krąg podmiotów uprawnionych do przetwarzania takich danych do "osób trudniących się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych". Sytuacja ta rodzi pytanie: czy ustawodawca umyślnie zdecydował, że outsourcing jest zakazany i nie poświęcił mu choćby jednego zdania w przepisach czy też brak regulacji w tym względzie jest po prostu przeoczeniem, luką ustawową, wobec czego należy szukać rozwiązań problemu na gruncie zasad ogólnych wyznaczanych przez ustawę o ochronie danych osobowych.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Generalny zakaz przetwarzania danych medycznych w ramach dokumentacji medycznej zawierało nieobowiązujące już Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania. Sformułowanie zawarte w § 44 tego rozporządzenia: „Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona” oznaczało wprost, iż dokumentacja medyczna nie mogła być archiwizowana poza terenem zakładu rozumianym w sensie strukturalnym (tj. jako zbiór jego jednostek i komórek organizacyjnych). W rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania poprzez zamianę zaimków „w” na „przez” oraz „zakład” na „podmiot” zrezygnowano z utożsamiania miejsca położenia podmiotu oraz lokalizacji składowania dokumentacji medycznej, co otworzyło pewne możliwości zastosowania outsourcingu przetwarzania danych medycznych w ramach dokumentacji medycznej.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej § 44. 1. Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. 2. Dokumentacja zewnętrzna w postaci zleceń lub skierowań, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania § 72. 1. Dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził. 2. Dokumentacja zewnętrzna w postaci zleceń lub skierowań jest przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Bezpośrednią zgodę na przechowywanie dokumentacji medycznej poza podmiotami udzielającymi świadczeń zdrowotnych ustawodawca zawarł natomiast w nowym rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych. W tym przypadku, dotychczasowy zapis „dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona” pozostawiono niezmieniony, dodając jednak drugi ustęp odnoszący się wprost do możliwości powierzenia archiwizacji dokumentów medycznych osobom trzecim. Rozwiązanie przyjęte przez Ministra Spraw Wewnętrznych i Administracji oddaje w pełni istotę problemu outsourcingu przetwarzania elektronicznej dokumentacji medycznej. Liberalizacja zasad co do miejsca przetwarzania danych medycznych nie może oznaczać udostępnienia danych medycznych osobom nieuprawnionym

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Z uwagi na brak legalnej definicji udostępnienia danych medycznych w literaturze podmiotu podejmuje się próby podjęcia tej kwestii w oparciu o powszechnie przyjęte zasady wykładni prawa. Biorąc pod uwagę potoczne rozumienie słowa udostępnienie, termin udostępnienie dokumentacji należy rozumieć jako „umożliwienie jej poznania” podmiotowi innemu niż dysponujący nią. W przypadku „udostępnienia dokumentacji medycznej” dochodzi więc do ujawnienia medycznych danych osobowych M Kamiński, Powierzenie przetwarzania osobowych danych medycznych a perspektywy prowadzenia dokumentacji medycznej w postaci elektronicznej. Biuletyn Centrum Badań Problemów Prawnych i Ekonomicznych Komunikacji Elektronicznej (nr 3/2007). Wydział Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego)

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej § 58. 1. Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona. 2. Dokumentacja indywidualna zewnętrzna, o której mowa w § 8 ust. 4 pkt 1 i 2, pozostaje w zakładzie, który zrealizował zlecone świadczenie zdrowotne. (…) 7. Dopuszcza się archiwizację dokumentacji przez inny podmiot, pod warunkiem zabezpieczenia jej przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych

Problematyka wyboru technologii przetwarzania danych medycznych w outsourcingu a uwarunkowania prawno-organizacyjne dotyczące lokalizacji przechowywania dokumentacji elektronicznej

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Zlecając przetwarzanie i archiwizację elektronicznej dokumentacji medycznej wyspecjalizowanej firmie, należy zwrócić uwagę na konieczność jednoznacznej identyfikacji miejsca przetwarzania danych medycznych. Świadczeniodawca powinien posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. W zasadzie powinien to być tzw. serwer dedykowany, czyli odrębny komputer (maszyna fizyczna) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych. Alternatywnym rozwiązaniem mogłaby być ewentualnie dzierżawa albo konkretnego serwera (tzw. serwer dedykowany), albo części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany).

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej § 74.Miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot, a w zakładzie opieki zdrowotnej - kierownicy poszczególnych komórek organizacyjnych tego zakładu w porozumieniu z kierownikiem zakładu. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Podsumowanie W świetle tych rozważań należy stwierdzić, że chociaż powierzenie przetwarzania osobowych danych medycznych firmom specjalizującym się w profesjonalnym przetwarzaniu danych nie jest już zakazane, to nadal istnieją poważne bariery w jego stosowaniu. Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Przyjęcie takiego rozwiązania jest jednak od strony praktycznej bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać wymaganą zgodę za każdym razem. Natomiast brak zgody choćby w jednym przypadku przekreśla sens wdrażania takiego rozwiązania. Poprawa tego stanu wymagałaby zmian w ustawie o ochronie danych osobowych, a zwłaszcza w art. 27 ust. 2 ustawy, gdzie należałoby więc doprecyzować przesłankę zarządzania udzielaniem usług medycznych dopuszczającą przetwarzanie osobowych danych medycznych. Zmodyfikowane musiałyby być też zapisy w ustawie o prawach pacjenta oraz Rzeczniku Praw Pacjenta, w której należałoby rozszerzyć zakres podmiotów uprawnionych do dostępu do dokumentacji medycznej o profesjonalnie podmioty zajmujące się przetwarzaniem danych na podobnej zasadzie jak w przepisach ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe w zakresie dotyczącym możliwości outsourcingu czynności bankowych na rzecz podmiotów trzecich.

Kto ma prawo dostępu do dokumentacji medycznej Wokół problemu outsourcingu dokumentacji elektronicznej Art. 4. 1. Użyte w ustawie określenia oznaczają: (…) 12) przedsiębiorstwo pomocniczych usług bankowych - podmiot, którego podstawowa działalność ma charakter pomocniczy w stosunku do podstawowej działalności jednego lub więcej banków, a w szczególności polega na zarządzaniu własnym lub powierzonym majątkiem lub świadczeniu usług w zakresie przetwarzania danych, Art. 7. 2. Dokumenty związane z czynnościami bankowymi mogą być sporządzane na informatycznych nośnikach danych, jeżeli dokumenty te będą w sposób należyty utworzone, utrwalone, przekazane, przechowywane i zabezpieczone. Usługi związane z zabezpieczeniem tych dokumentów mogą być wykonywane przez banki, spółki tworzone przez banki z innymi podmiotami, a także przedsiębiorstwa pomocniczych usług bankowych. Ustawa z dnia 29 sierpnia 1997 r. Prawo bankowe

Nowe zasady dotyczące przetwarzania danych z zakresu zdrowia rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Nowe zasady dotyczące przetwarzania danych z zakresu zdrowia 25 stycznia Komisarz ds. Wymiaru Sprawiedliwości i Obywatelstwa Viviane Reding zaprezentowała zmiany, jakie mają nastąpić w unijnych przepisach dotyczących ochrony danych osobowych. Dyrektywę 95/46/WE z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych zastąpić ma rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (1) Prawo do zapomnienia i usunięcia danych. Rozporządzenie nakazuje administratorowi danych, w sytuacji gdy odpowiada on za ich upublicznienie, nie tylko ich usunięcie, ale również poinformowanie innych podmiotów o takim żądaniu ze strony osoby, której te dane dotyczą, jeżeli te podmioty przejęły od niego dane. Zniesienie obowiązku rejestracji zbioru danych nałożony na przetwarzającego dane przez Dyrektywę 95/46. Administrator danych oraz przetwarzający dane mają obowiązek przechowywać dokumentację dotyczące zbioru, które muszą być ujawnione organowi ochrony danych na jego żądanie. Obowiązek administratora danych wdrożenia odpowiednich polityk i środków celem wypełnienia zasad ochrony danych „w fazie projektowania”. Przetwarzanie danych na potrzeby ochrony zdrowia odróżniane jest wyraźnie od przetwarzania danych „o zdrowiu”. Ten pierwszy termin ma więc zdaniem projektodawców znacznie szersze znaczenie. Można uznać, że w tym przypadku chodzi o przetwarzanie jakichkolwiek danych osobowych w systemach używanych w ochronie zdrowia, które w jakikolwiek sposób (automatycznie lub manualnie) mogłyby być potencjalnie łączone z danymi osobowymi pacjentów, lekarzy, personelu medycznego i pomocniczego. W każdym z takich przypadków należy przygotować ocenę skutków projektu dla ochrony prywatności (PIA) i aktualizować takie PIA na każdym etapie tworzenia systemu. Wprowadzenie obowiązku powoływania oficera ds. ochrony danych. Prawo polskie przewiduje już dziś możliwość powoływania administratora bezpieczeństwa informacji (ABI), ale nie jest to obowiązek, lecz jedynie uprawnienie. Projekt rozporządzenia przewiduje znaczące zmiany w zakresie przekazywania danych do krajów trzecich. Obok dotychczas istniejących zasad pojawiają się tu nowe rozwiązania w zakresie tzw. wiążących reguł korporacyjnych (binding corporate rules – BCR), czyli kodeksów postępowania opartych na europejskich normach ochrony danych sporządzanych i realizowanych dobrowolnie przez organizacje wielonarodowe w celu zapewnienia odpowiednich gwarancji w zakresie przekazywania lub kategorii przekazywania danych osobowych między podmiotami należącymi do tej samej grupy korporacyjnej i związanymi tymi regułami korporacyjnymi.

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (2)

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (3)

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (4)

Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (5)

Dziękuję za uwagę krzysztof.nyczaj@sluzbazdrowia.com.pl Zapraszam do dyskusji www.nyczaj.blog.onet.pl