Ochrona danych osobowych
Każdy lekarz i lekarz dentysta prowadzący praktykę lekarską, mimo, że nie jest zobowiązany do zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych osobowych pacjentów oraz ewentualnie zatrudnionych pracowników pracowników, winien stosować w swojej działalności przepisy ustawy z dnia z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz.U. z 2002, Nr 101, poz. 926 ze zmianami).
Mając na uwadze, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w ramach praktyki danymi osobowymi są dane zawarte w dokumentacji medycznej sporządzonej zarówno w wersji papierowej jak i elektronicznej oraz dane osób zatrudnionych w praktyce.
Lekarz – właściciel gabinetu, jako posiadacz danych osobowych jest tzw. administratorem danych osobowych.
Jako administrator danych osobowych jest zobowiązany do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności jest zobowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany także, do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony.
Ponadto, lekarz prowadzący praktykę jako administrator danych osobowych zobowiązany jest także do:
- opracowania i wdrożenia dokumentu polityka bezpieczeństwa,
- opracowania i wdrożenia dokumentu instrukcja zarządzenia systemem informatycznym, (w przypadku prowadzenia zbioru danych w systemie informatycznym),
- wyznaczenia administratora bezpieczeństwa informacji,
- dopuszczenia do przetwarzania danych wyłącznie osoby posiadające upoważnienia,
- prowadzenia ewidencji osób upoważnionych do przetwarzania danych.
Dokument, polityka bezpieczeństwa winien zawierać w szczególności :
- wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe,
- wykaz zbiorów danych osobowych wraz ze wskazaniem sposobów zastosowanych do przetwarzania tych danych,
- opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi,
- sposób przepływu danych pomiędzy poszczególnymi systemami,
- określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Instrukcja przetwarzania danych powinna zawierać:
- procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności,
- stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe,
- kopii zapasowych, o których mowa w pkt 4,
- sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania,
- sposób realizacji wskazanych wymogów,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Za naruszenie przepisów ustawy o ochronie danych osobowych grożą zarówno sankcje karne oraz administracyjne.
Sankcje karne grożą między innymi za:
- udostępnienie przez administratora danych osobowych, osobom nieupoważnionym – kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2.
- naruszenie, choćby nieumyślnie, przez administratora obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem – kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do roku.
Ponadto, lekarz, który zlekceważy zalecenia GIODO będzie ukarany karą grzywny w wysokości do 50 tysięcy złotych.