Bezpieczeństwo danych osobowych w przychodniach
Przetwarzanie danych osobowych w programach medycznych
Kto przetwarza i gromadzi dane osobowe? 
Niezależnie od tego czy dane osobowe gromadzone są w formie papierowej czy elektronicznej, podlegają obowiązkowej ochronie zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Znaczna cześć przedsiębiorców i pracowników administracji biur nie ma świadomości, że ich działalność jest związana z przetwarzaniem danych osobowych i są oni zobligowani do spełniania pewnych wymogów. Jednak prowadzenie większości działalności nierozerwalnie związane jest z przetwarzaniem Danych Osobowych, zaś w przypadku, gdy są to dane wrażliwe – zgodnie z ustawą podlegają one szczególnej ochronie. W świetle art. 2 ustawy 2 regulacje te dotyczą zarówno dokumentacji papierowej, jaki i elektronicznej, natomiast rozporządzenie MSWiA poddaje systemy informatyczne dodatkowym rygorom.
Aby zbieranie i przetwarzanie danych osobowych było zgodne z prawem, konieczne jest spełnienie szeregu wymogów.
Niektóre podmioty, w tym urzędy, przychodnie czy apteki zobowiązane są przez prawo do gromadzenia i przetwarzania części danych. Jeżeli prowadzimy działalność handlową lub usługową dane osobowe gromadzimy w celu wystawiania faktur, tworzenia list zamówień itd. Dane osobowe pracowników są gromadzone w każdej firmie, która zatrudnia przynajmniej jednego pracownika.
Zbiory danych osobowych Administrator przeważnie ma obowiązek rejestrować w GIODO, zaś niedopełnienie obowiązku grozi nałożeniem sankcji. Inne zbiory, bardzo dokładnie określone w ustawie, nie wymagają rejestracji, z kolei jeszcze inne wyłącza z tego obowiązku ogólne sformułowanie „przetwarzanie danych w drobnych bieżących sprawach życia codziennego”.
Administratorem Danych Osobowych w każdej firmie jest jej szef, na nim właśnie spoczywają więc ustawowe obowiązki. Niedopełnienie ich podlega odpowiedzialności zgodnie z Kodeksem Cywilnym oraz Kodeksem Karnym, w tym grzywnie, a nawet – w przypadkach rażących – karze pozbawienia wolności od roku do trzech lat.
Administrator danych Osobowych zobowiązany jest do udokumentowania sposobu zabezpieczenia i przetwarzania danych osobowych poprzez opracowanie Polityki Bezpieczeństwa i oraz Instytucji Zarządzania Systemami Informatycznymi. Główne aspekty związane z tematyką ochrony danych osobowych to: zapewnienie pełnej ochrony zbioru danych przed nieautoryzowanym dostępem, utratą danych itd., stworzenie i utrzymanie dokumentacji opisującej wdrożony system bezpieczeństwa, wdrożenia środków organizacyjnych i technicznych w celu realizacji zadań wynikających z ustawy, szkolenia personelu.
Dokumentację Polityki Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym i wszystkie załączniki należy prowadzić w formie papierowej i aktualizować. Dokumentację taką należy nie tylko stworzyć, ale także wprowadzić i stosować.
Polityka Bezpieczeństwa powinna obejmować między innymi:
- zakres stosowania, sposób przechowywania, modyfikacji i udostępniania danych i obszar przetwarzania Danych Osobowych,
- dokładny wykaz zbiorów wraz z programami wykorzystywanymi do ich przetwarzania oraz opis struktury zbioru Danych,
- sposób przepływu danych między poszczególnymi systemami.
Instrukcja Zarządzania powinna zawierać:
- wykaz osób odpowiedzialnych, procedury nadawania i odbierania uprawnień do przetwarzania danych,
- procedury tworzenia kopii zapasowych, zabezpieczenia dostępu do danych oraz kopii, sposób przechowywania,
- prowadzenie rejestrów wykonywania kopii, rejestrów zdarzeń i incydentów.
Organem kontrolnym jest GIODO – Główny Inspektor Ochrony Danych Osobowych.
Informacje i zapytania
