„Ochrona danych osobowych w gabinecie lekarskim”
W związku ze zmianami w przepisach prawa związanymi z nowelizacją ustawy o ochronie danych osobowych i zwiększeniem uprawnień Generalnego Inspektora Ochrony Danych Osobowych o instrumenty egzekucyjne, przypominamy prowadzącym gabinety lekarskie i podmioty lecznicze o konieczności stosowania przepisów przywołanej wyżej ustawy.
Gabinety lekarskie i podmioty lecznicze nie mają wprawdzie obowiązku zgłaszania zbioru swoich pacjentów do GIODO, niemniej jednak muszą spełniać wszystkie warunki formalne i techniczne wymagane w ustawie w zakresie tworzenia zbiorów danych osobowych i ich przetwarzania. Jak wszyscy pamiętają konieczne jest posiadanie dokumentacji opisującej politykę bezpieczeństwa ochrony danych osobowych w danej jednostce i posiadanie instrukcji zarządzania systemem informatycznym do przetwarzania danych osobowych - oczywiście dla posiadających taki elektroniczny system, w którym prowadzą dokumentację pacjentów. Dla jednostek prowadzących tylko dokumentację papierową wystarczy polityka bezpieczeństwa. Dla przypomnienia polityka bezpieczeństwa winna zawierać:
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Swoje niezbędne wymogi posiada również instrukcja zarządzania systemem informatycznym, która musi być spisana jeśli lekarz do prowadzenia dokumentacji medycznej wykorzystuje programy komputerowe. Instrukcja ta powinna posiadać m.in.:
- procedury nadawania uprawnień do przetwarzania danych osobowych i rejestrowania tych uprawnień w systemie oraz wskazanie osoby odpowiedzialnej za te czynności,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy,
- procedury tworzenia kopii zapasowych zbiorów danych,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego.
Wielkopolska Izba Lekarska uruchomiła swoje siły i środki i sporządziła uniwersalną dokumentację w tym zakresie, która została opracowana przez Administratora Bezpieczeństwa Informacji WIL, mgr. Marka Saja, Przewodniczącego Komisji ds. Rejestru Lekarzy - dr. Wojciecha Buxakowskiego i Przewodniczącego Komisji ds. Praktyk Lekarskich - dr. Stanisława Schneidera. Gotowe wzory dokumentów znajdują się na stronie internetowej WIL.
Zachęcamy wszystkich do odwiedzenia strony internetowej izby: www.wil.org.pl, na której można sprawdzić swoją obecną dokumentację i zweryfikować ją z wymogami Ustawy, lub pobrać stosowne wzory dokumentów aby jak najszybciej wdrożyć je w swoim podmiocie. W przypadku wątpliwości istnieje możliwość konsultacji spraw związanych z ochroną danych osobowych w WIL. Radzimy skorzystać z naszej oferty, ponieważ pozwoli to uniknąć niepotrzebnych kłopotów.
Temat jest istotny, gdyż organ Generalnego Inspektora Ochrony Danych Osobowych ma uprawnienie do nakładania grzywny za niewykonanie decyzji administracyjnej w wysokości do 10 tys. zł na osobę fizyczną i 50 tys. zł na jednostkę organizacyjną.
Marek Saj Wojciech Buxakowski
Administrator Bezpieczeństwa Informacji Przewodniczący
Wielkopolskiej Izby Lekarskiej Komisji ds. Rejestru Lekarzy WIL
0 783 993 939 0 783 993 913
Jednocześnie zachęcamy do kontaktu z wyżej wymienionymi osobami w sprawie polityki bezpieczeństwa w Państwa jednostkach, dlatego że mimo, iż reprezentujecie Państwo jedną branżę jaką jest medycyna, niemniej jednak każda jednostka ma swój unikalny sposób organizacji i funkcjonowania. Dodatkowo istnieje zasadnicza sprawa różnic w jednostkach, które posiadają system informatyczny, a które przetwarzają dane osobowe za pomocą kartotek papierowych.
Dokumenty do pobrania:
- ustawa o ochronie danych osobowych,
- ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta,
- rozporządzenie w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
- polityka bezpieczeństwa (PDF),
- Załącznik 1 (PDF),
- Załącznik 2 (PDF),
- Załącznik 3 (PDF),
- Załącznik 4 (PDF),
- Załącznik 5 (PDF),
- Załącznik 6 (PDF),
- Załącznik 7 (PDF),
- Załącznik A (PDF),
- Załącznik B (PDF),
- Załącznik C (PDF)