W poprzednim artykule – Obowiązek informatyzacji odroczony – poruszyliśmy temat projektów założeń projektów ustaw zmieniających bardzo istotne dla służby zdrowia akty prawne – Ustawę o prawach pacjenta i Rzeczniku Praw PacjentaUstawę o systemie informacji w ochronie zdrowia:

Zgodnie z projektami założeń outsourcing wrażliwych danych medycznych będzie dozwolony na zasadach identycznych z zasadami powierzenia przetwarzania danych osobowych, jako ich szczególny podzbiór. Tym samym potwierdzony wprost zostanie obowiązujący stan prawny, który dopuszcza powierzenie przetwarzania dokumentacji medycznej innemu podmiotowi, pod warunkiem zachowania szczególnej ochrony powierzonych danych.

Powierzenie dokumentacji medycznej według Założeń

W projekcie Założeń do projektu ustawy o zmianie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz niektórych innych ustaw, rozdział III, punkt 1.3 – Powierzenie przechowywania dokumentacji medycznej – czytamy:

W związku z postępującym procesem informatyzacji podmiotów udzielających świadczeń zdrowotnych coraz większego znaczenia nabiera kwestia przechowywania dokumentacji medycznej prowadzonej w postaci elektronicznej. Ze względu na konieczność zapewnienia należytej ochrony danych osobowych i informacji o stanie zdrowia, proponuje się wprowadzenie w ustawie instytucji powierzenia przechowywania dokumentacji medycznej, wzorowanej na rozwiązaniach przewidzianych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), co umożliwi podmiotom udzielającym świadczeń zdrowotnych skorzystanie z wiedzy, infrastruktury i technologii, jakimi dysponują specjalistyczne podmioty zewnętrzne (np. informatyczne). Powierzenie następowałoby na podstawie umowy zawartej na piśmie i określającej zakres i cel przetwarzania danych. Administratorem danych pozostałby podmiot udzielający świadczeń zdrowotnych. Natomiast podmiot, któremu powierzono przechowywanie dokumentacji medycznej byłby zobowiązany zabezpieczyć zbiór danych, tzn. zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ponadto, byłby on zobligowany do: prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych powziętych dla ich ochrony, na którą składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, wyznaczenia administratora bezpieczeństwa informacji, dopuszczenia do przetwarzania danych wyłącznie osoby posiadające upoważnienie nadane przez administratora danych, prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Osoby, które zostały upoważnione do przetwarzania danych, byłyby obowiązane do zachowania w tajemnicy tych danych oraz sposobu ich zabezpieczenia. Podmiot, któremu powierzono przetwarzanie danych ponosiłby odpowiedzialność za działania niezgodne z umową zawartą z administratorem danych. Rozwiązanie takie wzmacniałoby gwarancje bezpieczeństwa danych przekazywanych przez administratora danych.

Powierzenie danych osobowych według Ustawy

Aktualnie obowiązujące zapisy Ustawy o ochronie danych osobowych, na które powołują sięZałożenia, są następujące:

Art. 31.

  1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.
  2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.
  3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.
  4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.
  5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Art. 36.

  1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  2. Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
  3. Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.

Art. 37.

Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.

Art. 38.

Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

Art. 39.

  1. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
  2. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

Art. 14-19, na które powołuje się cytowany fragment ustawy, omawiają kompleksowo kwestię kontroli GIODO, natomiast art. 39a wprowadza delegację ustawową, na podstawie której wydane zostało Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – dokument, który wskazuje m.in. poziomy bezpieczeństwa systemów informatycznych oraz odwołuje się do polityka bezpieczeństwa i instrukcji zarządzania systemem informatycznym.

ZałożeniaUstawa traktują dane osobowe i medyczne tak samo

Cytowany powyżej fragment Założeń w pełni odwołuje się zatem do istniejących przepisów. Jedyną nowością jest jedynie odwołanie się wprost do powierzenia przetwarzania danych medycznych, co powinno ostatecznie rozstrzygnąć jakiekolwiek wątpliwości co do korzystania w medycynie z rozwiązań chmur obliczeniowych.

Oczywiście umowa na świadczenie usługi dostępu do oprogramowania Mediporta, zawierana z naszymi klientami, spełnia wszystkie ze wskazanych powyżej wymogów.