Proces informatyzacji placówek medycznych jest silnie powiązany z tematyką ochrony danych osobowych. Koniecznym jest zatem zwrócenie uwagi na bezpieczeństwo przetwarzanych danych w takiej placówce. Co warto na ten temat wiedzieć i gdzie można pogłębić wiedzę?
Przetwarzanie danych osobowych jest nieodłącznym elementem procesu informatyzacji placówek medycznych. Z uwagi na specyfikę udzielanych usług, wiąże się to z przetwarzaniem szczególnej kategorii danych, a dokładniej – danych dotyczących zdrowia. To z kolei wpływa na specyficzny – bardziej rygorystyczny – reżim przetwarzania danych osobowych przez placówki medyczne.
W związku z tym, administrator danych jest zobowiązany do przestrzegania dwóch ważnych zasad:
- privacy by design – czyli zasady uwzględniania ochrony danych osobowych w fazie projektowania oraz
- privacy by default – czyli zasady domyślnej ochrony danych.
Co istotne, przechowywanie dokumentacji medycznej za pośrednictwem systemów informatycznych wiąże się z przestrzeganiem nie tylko ogólnych unijnych przepisów RODO, ale również krajowych przepisów szczególnych, tj. ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
Przechowywanie dokumentacji medycznej
W sytuacji, w której placówka medyczna jako administrator przekazuje dane osobowe (np. pacjentów) zewnętrznemu podmiotowi (podmiotowi przetwarzającemu, np. dostarczającemu system informatyczny do obsługi pacjentów), aby je przetwarzał w imieniu i na rzecz placówki medycznej – dochodzi do powierzenia przetwarzania danych osobowych i konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. Należy przy tym także pamiętać, aby zweryfikować, jakie środki techniczne i organizacyjne wdrożył podmiot przetwarzający świadczący usługi informatyczne dla placówki medycznej.
Udostępnienie dokumentacji medycznej
Pacjentowi przysługują dwa prawa dotyczące dokumentacji medycznej:
- prawo dostępu przysługujące osobie, której dane dotyczą – wynikające z RODO oraz
- prawo dostępu do dokumentacji medycznej – wnikające ze wspomnianej wcześniej ustawy.
Wskazane prawa pozostają ze sobą w związku. Należy jednak pamiętać, że realizacja praw podmiotów danych, o której mowa w RODO, nie w każdym aspekcie będzie tożsama z prawami pacjenta. To z kolei wpływa na konkretny reżim prawny, jaki należy stosować przy obsłudze żądania danego pacjenta.
Webinarium „Informatyzacja placówek ochrony zdrowia” PIRB
W związku z szeregiem wątpliwości i pytań związanych ze stosowaniem przepisów praw związanych z ochroną danych osobowych w dobie informatyzacji placówek medycznych, w trakcie trwania tegorocznego webinarium organizowanego przez Polski Instytut Rozwoju Biznesu, Łukasz Jarecki z Grant Thornton Poland przedstawi najważniejsze wskazówki pozwalające usprawnić ten proces.
Szczegóły i rejestracja na stronie 👉 https://pirbinstytut.pl/index.php/webinarium-medyczne-12
