Powierzając dane osobowe lekarzowi należy sporządzić odpowiednią umowę powierzenia danych między placówką a lekarzem określając zakres i cel ich przetwarzania. Nie ma potrzeby uzyskania zgody od pacjentów na przetwarzanie danych w celu ich powierzenia lekarzowi, ale należy się odpowiednio wywiązywać z obowiązku informacyjnego.
Administratorem danych pacjentów jest placówka reprezentowana przez dyrektora. Podstawowym obowiązkiem każdego administratora danych jest zabezpieczenie ich przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Taką umowę powinien zawrzeć dyrektor jednostki, jako administrator danych, z lekarzem. Umowa może mieć różne formy: załącznika, aneksu, porozumienia czy precyzyjnie opisanego zakresu i celu powierzenia w umowie głównej.
Przed rozpoczęciem przetwarzania administrator jest zobowiązany podjąć odpowiednie środki zabezpieczające przekazany zbiór danych osobowych. Ponosi on pełną odpowiedzialność w zakresie ich ochrony.
W umowie powierzenia należy określić, co lekarz może zrobić z danymi osobowymi po zrealizowaniu lub rozwiązaniu umowy. Przy tej okazji warto ustalić kwestie tworzenia i przechowywania kopii zapasowych, zwłaszcza związanych z wynikami badań.
- Najważniejsze elementy umowy powierzenia przetwarzania danych:
-
dokładne określenie administratora danych i lekarza,
-
cel, w jakim dane są powierzane i zakres tych danych,
-
zobowiązanie lekarza do stosowania środków bezpieczeństwa,
-
danie możliwości lub zakaz dalszego powierzenia przetwarzania danych
Administrator danych jest zobowiązany do informowania osoby, której dane dotyczą, o odbiorcach lub kategoriach odbiorców, którym są one udostępniane. Jeżeli jednak placówka realizuje uprawnienia lub obowiązki wynikające z przepisów prawa, zgoda na przetwarzanie danych osobowych nie jest potrzebna. Dokumentację medyczną można udostępniać m.in. podmiotom leczniczym, ich jednostkom organizacyjnym i osobom wykonującym zawód medyczny poza placówkami medycznymi, tylko jeżeli jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych.
Administrator danych jest zobowiązany zapewnić kontrolę przetwarzania danych. Takie funkcje i możliwości powinny zapewniać stosowane w placówce programy i systemy informatyczne składające się na System Informacji Medycznej, w którym przetwarzana jest dokumentacja medyczna w postaci elektronicznej. Warto pod tym kątem sprawdzać dostawców i autorów oprogramowania.
Podstawa prawna:
- ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.)
Piotr Glen, audytor systemu zarządzania bezpieczeństwem informacji
Zobacz także: