RODO, czyli jak zabezpieczyć dane pacjentów

BIKA_69_19.jpg

Już 25 maja 2018 r. zacznie obowiązywać unijne rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, tzw. RODO. Nowe przepisy dotyczą także aptek, w których przetwarzane są dane osobowe o stanie zdrowia pacjentów, a zatem objęte szczególnymi wymaganiami prawnymi. Jak zatem zapewnić bezpieczeństwo tych danych zgodnie z wymaganiami RODO?

RODO w znacznym stopniu modyfikuje i zmienia zasady przetwarzania danych osobowych w całej Unii Europejskiej w sektorze publicznym i prywatnym. Zmiany nie omijają także sektora ochrony zdrowia, w którym RODO może stanowić prawdziwą rewolucję, m.in. z uwagi na specyfikę danych osobowych przetwarzanych przez apteki, szpitale, lekarzy, firmy farmaceutyczne i inne tego typu podmioty.

Jakie dane osobowe pacjentów przetwarza apteka?

Regulacje dotyczące danych osobowych wprowadzają rozróżnienie pomiędzy „zwykłymi” danymi osobowymi oraz tzw. wrażliwymi danymi osobowymi, tj. danymi, które z uwagi na ich szczególny charakter objęte są bardziej restrykcyjnymi wymaganiami. Rozróżnienie to ma istotne znaczenie praktyczne, ponieważ od statusu danych osobowych zależy wymagany prawem poziom ich zabezpieczenia w toku przetwarzania.

Przetwarzaniem danych osobowych jest każda operacja (lub ich zestaw) wykonywana na tych danych, w tym ich zbieranie, utrwalanie, przechowywanie, modyfikowanie, wykorzystywanie, przesyłanie, udostępnianie, łączenie, a także usuwanie lub niszczenie. W praktyce oznacza to, że dane osobowe są przetwarzane przez cały „cykl życia” – od ich zebrania przez wykorzystywanie i przechowywanie aż po ich usunięcie.

„Zwykłe” dane osobowe to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (podmiot danych). Zgodnie z RODO podmiot danych to każda osoba, którą można bezpośrednio lub pośrednio zidentyfikować – w szczególności na podstawie danych, takich jak imię i nazwisko, numer identyfikacyjny (np. PESEL, numer paszportu czy prawa wykonywania zawodu) lub identyfikator internetowy. Oznacza to, że w zasadzie każda informacja, która umożliwia identyfikację danej osoby, stanowi dane osobowe. W praktyce istotny jest kontekstowy charakter danych osobowych – niektóre kategorie informacji mogą bowiem stanowić dane osobowe w pewnym kontekście (np. nietypowe imię i nazwisko lub jedyny w danej miejscowości samochód z różową karoserią), podczas gdy w innym nie pozwolą na identyfikację danej osoby i w efekcie nie będą stanowiły danych osobowych (np. pacjent Jan Kowalski).

„Wrażliwe” dane osobowe są to szczególne kategorie danych osobowych wyróżnione z uwagi na ich znaczenie dla prywatności danej osoby i wpływ potencjalnego naruszenia ich bezpieczeństwa dla danej osoby. Do danych takich zalicza się m.in. dane o pochodzeniu rasowym lub etnicznym, poglądach politycznych, lub religijnych, a także dotyczące zdrowia lub seksualności. Danymi takimi są też informacje o wyrokach, skazaniach lub innych naruszeniach prawa (np. mandat za przekroczenie prędkości).

W codziennej działalności apteki przetwarzane są przede wszystkim dane dotyczące zdrowia, czyli wszelkie dane o zdrowiu fizycznym lub psychicznym osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające informacje o stanie jej zdrowia. Dane takie są danymi wrażliwymi, konieczne jest zatem ich zabezpieczenie na każdym etapie przetwarzania.

W praktyce bardzo ważne jest rozróżnienie, jaką „funkcję” pełni apteka w stosunku do przetwarzanych przez siebie danych osobowych. Zgodnie z RODO apteka może pełnić rolę:

  • administratora danych osobowych – podmiotu, który decyduje o celu i sposobie przetwarzania danych osobowych i ponosi za nie odpowiedzialność; spoczywa na nim wiele obowiązków określonych w RODO (m.in. ocena ryzyka, zabezpieczenia danych, realizacja praw podmiotów, których dane dotyczą, itd.),
  • podmiotu przetwarzającego dane osobowe – podmiotu, który przetwarza dane osobowe na podstawie i w zakresie zlecenia administratora (np. agencja marketingowa realizująca konkurs na zlecenie firmy farmaceutycznej),
  • odbiorcy danych – podmiotu, któremu dane osobowe są udostępniane na podstawie przepisów prawa lub umowy; jest to pojęcie szersze niż podmiot przetwarzający (tzn. każdy podmiot przetwarzający jest odbiorcą, lecz nie każdy odbiorca jest podmiotem przetwarzającym).

W zdecydowanej większości przypadków apteka będzie pełnić rolę administratora danych osobowych albo odbiorcy.

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Polecamy

Archiwum