W jaki sposób przetwarzać dane wrażliwe w medycynie?
Ustawa jasno określa sytuacje, w których dopuszcza się przetwarzanie danych klasyfikowanych jako wrażliwe – mówi ekspert ds. ochrony danych osobowych firmy Audytel. – Cele profilaktyki i opieki zdrowotnej jak najbardziej do takich sytuacji należą, podobnie jak np. konieczność ochrony interesu publicznego w zakresie rozprzestrzeniania się groźnych chorób zakaźnych – dodaje..
Obowiązek informacyjny
Placówka przetwarzająca szczególne kategorie danych ma obowiązek poinformowania o tym pacjenta, którego dane dotyczą. Musi wskazać prawne podstawy przetwarzania uzasadniające cel przetwarzania, a także podać pełne dane kontaktowe swoje, swego przedstawiciela lub odbiorcy przetwarzanych danych, gdy ma to zastosowanie. Należy także wskazać sposób kontaktu z osobą odpowiedzialną za nadzór nad danymi osobowymi (inspektora ochrony danych), tym bardziej że większość placówek służby zdrowia z racji zarządzania informacjami na temat zdrowia pacjentów, jest zobowiązana taką osobę wyznaczyć.Dokumentacja
Administrator danych osobowych zobowiązany jest ponadto do prowadzenia dokumentacji dotyczącej stosowanych środków ochrony wrażliwych danych oraz sposobów ich przetwarzania. RODO mówi jedynie o „odpowiednich politykach i procedurach”, jednak najczęściej w skład takiej dokumentacji wchodzą:- polityka bezpieczeństwa danych osobowych;
- ewidencja upoważnień dostępu do danych osobowych;
- procedury dotyczące przetwarzania danych w tym ich: przechowywania, i zabezpieczania;
- ewentualne umowy powierzenia przetwarzania danych osobowych.
Należyte zabezpieczenia
Jeśli dane wrażliwe w placówce służby zdrowia przechowywane są w postaci fizycznej (np. w formie kart pacjentów), muszą one zostać w odpowiedni sposób zabezpieczone nie tylko przed dostaniem się ich w niepowołane ręce – np. poprzez zamykanie ich na klucz – ale też przed zniszczeniem, chociażby wskutek pożaru czy zalania. Ponieważ większość danych zapisywanych jest obecnie cyfrowo, konieczne staje się tworzenie kopii zapasowych (i niszczenie ich, gdy tylko przestaną być potrzebne), jak również stosowanie mechanizmów kontroli dostępu (np. haseł) do m.in. dysków twardych i nośników pamięci, a także szyfrowanie przesyłu danych przez Internet (najlepiej protokołem SSL w wersji EV – tzw. certyfikat o rozszerzonej walidacji).Dodatkowe informacje
Jeśli dane wrażliwe w placówce służby zdrowia przechowywane są w postaci fizycznej (np. w formie kart pacjentów), muszą one zostać w odpowiedni sposób zabezpieczone nie tylko przed dostaniem się ich w niepowołane ręce – np. poprzez zamykanie ich na klucz – ale też przed zniszczeniem, chociażby wskutek pożaru czy zalania. Ponieważ większość danych zapisywanych jest obecnie cyfrowo, konieczne staje się tworzenie kopii zapasowych (i niszczenie ich, gdy tylko przestaną być potrzebne), jak również stosowanie mechanizmów kontroli dostępu (np. haseł) do dysków twardych i nośników pamięci, a także szyfrowanie przesyłu danych przez Internet (najlepiej protokołem SSL w wersji EV – tzw. certyfikat o rozszerzonej walidacji).Dodatkowe informacje
Na koniec warto zaznaczyć, że przetwarzanie danych wrażliwych musi być usprawiedliwione wskazaniem przez administratora odpowiednich przesłanek. Zwłaszcza w przypadku zaistnienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych konieczne jest przeprowadzenie dodatkowej analizy oceniającej możliwe skutki planowanej operacji przetwarzania danych osobowych (DPIA).Dziękujemy za ocenę artykułu
Błąd - akcja została wstrzymana