Xevin Consulting - Blog Blog

Chciałam serdecznie zaprosić wszystkich Czytelników naszego bloga do zapoznania się z artykułem Michała zamieszczonym w portalu Nowoczesna Firma pt. “Jakie dokumenty musi posiadać przedsiębiorca przetwarzający dane osobowe”.

Z artykułu można dowiedzieć się m.in. jak powinna wyglądać polityka bezpieczeństwa, co powinno zawierać upoważnienie do przetwarzania danych, a także dlaczego pracownicy muszą zobowiązać się do zachowania informacji dotyczących danych osobowych w tajemnicy.

Miłej lektury.

W dzisiejszym wpisie kontynuuję tematykę ochrony danych osobowych w działalności firm i instytucji medycznych/farmaceutycznych, którą zapoczątkowałem rozważaniami na temat wymogów stawianych sponsorom badań medycznych.

Tym razem chciałbym przyjrzeć się przepisowi zawartemu w § 60 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania, który określa wymogi jakie muszą być spełnione przy przechowywaniu dokumentacji medycznej.

Na początku należy zaznaczyć, że wymieniony wyżej przepis odnosi się tylko do dokumentacji prowadzonej w postaci elektronicznej. Zgodnie z nim dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki:

• zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
• jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
• są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie dokumentacji prowadzonej w postaci  elektronicznej wymaga w  szczególności:

• systematycznego dokonywania analizy zagrożeń,
• opracowania i stosowania procedur zabezpieczania  dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
• stosowania środków bezpieczeństwa adekwatnych do zagrożeń,
• bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów

Z powyższej krótkiej analizy wynika, że administrator danych (np. ZOZ) przetwarzający dane zawarte w dokumentacji medycznej musi, oprócz dopełnienia obowiązków przewidzianych w ustawie o ochronie danych osobowych i jej aktach wykonawczych, spełnić jeszcze wymogi zawarte w przepisie szczególnym, jakim jest wskazane na początku tej notki rozporządzenie.

Jakiś czas temu pisałem o dokumentach, które musi posiadać każdy administrator danych, by spełniał wszelkie wymogi wskazane w ustawie o ochronie danych osobowych oraz w jej aktach wykonawczych. Tym razem chciałbym opowiedzieć o pewnym przepisie szczególnym, który ma zastosowanie do firm prowadzących badania kliniczne, czyli do tzw. sponsorów badań klinicznych. Regulacja, o której myślę została zawarta w §13 rozporządzenia Ministra Zdrowia z dnia 11 marca 2005 r. w sprawie szczegółowych wymagań Dobrej Praktyki Klinicznej.

Tak jak napisałem na wstępie, przepis ten będzie miał zastosowanie do sponsora badań klinicznych. To jednak nie jedyne ograniczenie. Otóż dodatkowo obowiązki przewidziane w ww. paragrafie odnoszą się tylko gdy do przetwarzania danych uzyskanych w trakcie badań klinicznych wykorzystywany jest system informatyczny. W praktyce zatem będzie miało to miejsce prawie zawsze, bo do tej pory nie spotkałem się jeszcze z sytuacją, w której dane uzyskiwane w trakcie badań nie byłyby przetwarzane w takim systemie.

Czas zatem zobaczyć o jakich obowiązkach tu mowa. Otóż zgodnie z ww. regulacją sponsor badań klinicznych musi zapewniać:

• Pisemną instrukcję stosowania informatycznego systemu przechowywania danych
• Udokumentowanie, że informatyczny system przechowywania danych został wprowadzony po dokonaniu oceny jego bezpieczeństwa i funkcjonalności
• Dostęp do informatycznego systemu przechowywania danych i zmiany danych w taki sposób, aby możliwa była wsteczna weryfikacja zmian danych
• Listę osób upoważnionych do wprowadzania zmian w bazie danych oraz uniemożliwienie dostępu do danych osobom nieupoważnionym
• System tworzenia zapasowych kopii zgromadzonych danych
• Kodowanie danych w czasie ich wprowadzania i przetwarzania w badaniach klinicznych prowadzonych metodą ślepej próby
• W przypadku gdy zgromadzone dane ulegną przetworzeniu - możliwość porównania danych przetworzonych z danymi oryginalnymi

Jak widać, przytoczony przeze mnie wyżej przepis rozszerza listę niezbędnych dokumentów (oraz innych obowiązków, zwłaszcza odnoszących się do systemu informatycznego), którymi musi legitymować się administrator danych, jeżeli jest nim właśnie sponsor badań klinicznych.

• dokumentację obejmującą: politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych,

• upoważnienia do przetwarzania danych osobowych,

• ewidencję osób upoważnionych,

• oświadczenia o zachowaniu danych osobowych w tajemnicy oraz informacji o sposobach ich zabezpieczeń.

W zasadzie to nie wszystko. Szybkie spojrzenie na art. 31 interesującej nas ustawy i okazuje się, że jeżeli administrator danych osobowych chce powierzyć innemu podmiotowi dane osobowe może to zrobić, ale tylko w drodze tzw. umowy powierzenia przetwarzania danych osobowych.

Jak widać, dokumentów jest całkiem sporo, a nie można zapominać o tym, ze w niektórych branżach np. firmach medycznych, katalog wymaganych dokumentów może być jeszcze większy, gdyż wynika to wprost z przepisów szczególnych.