Xevin Consulting - Blog Blog

Poniżej przedstawiamy prezentację, która towarzyszyła prelekcji na temat współpracy w zakresie ochrony danych osobowych z agencjami e-mail marketingowymi. Wydarzenie to miało miejsce podczas pierwszej “Konferencji o e-mail marketingu” organizowanej przez naszego partnera - firmę SARE oraz agencję Bluerank.

W dzisiejszym wpisie kontynuuję tematykę ochrony danych osobowych w działalności firm i instytucji medycznych/farmaceutycznych, którą zapoczątkowałem rozważaniami na temat wymogów stawianych sponsorom badań medycznych.

Tym razem chciałbym przyjrzeć się przepisowi zawartemu w § 60 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania, który określa wymogi jakie muszą być spełnione przy przechowywaniu dokumentacji medycznej.

Na początku należy zaznaczyć, że wymieniony wyżej przepis odnosi się tylko do dokumentacji prowadzonej w postaci elektronicznej. Zgodnie z nim dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki:

• zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
• jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
• są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie dokumentacji prowadzonej w postaci  elektronicznej wymaga w  szczególności:

• systematycznego dokonywania analizy zagrożeń,
• opracowania i stosowania procedur zabezpieczania  dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
• stosowania środków bezpieczeństwa adekwatnych do zagrożeń,
• bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów

Z powyższej krótkiej analizy wynika, że administrator danych (np. ZOZ) przetwarzający dane zawarte w dokumentacji medycznej musi, oprócz dopełnienia obowiązków przewidzianych w ustawie o ochronie danych osobowych i jej aktach wykonawczych, spełnić jeszcze wymogi zawarte w przepisie szczególnym, jakim jest wskazane na początku tej notki rozporządzenie.

Jakiś czas temu pisałem o dokumentach, które musi posiadać każdy administrator danych, by spełniał wszelkie wymogi wskazane w ustawie o ochronie danych osobowych oraz w jej aktach wykonawczych. Tym razem chciałbym opowiedzieć o pewnym przepisie szczególnym, który ma zastosowanie do firm prowadzących badania kliniczne, czyli do tzw. sponsorów badań klinicznych. Regulacja, o której myślę została zawarta w §13 rozporządzenia Ministra Zdrowia z dnia 11 marca 2005 r. w sprawie szczegółowych wymagań Dobrej Praktyki Klinicznej.

Tak jak napisałem na wstępie, przepis ten będzie miał zastosowanie do sponsora badań klinicznych. To jednak nie jedyne ograniczenie. Otóż dodatkowo obowiązki przewidziane w ww. paragrafie odnoszą się tylko gdy do przetwarzania danych uzyskanych w trakcie badań klinicznych wykorzystywany jest system informatyczny. W praktyce zatem będzie miało to miejsce prawie zawsze, bo do tej pory nie spotkałem się jeszcze z sytuacją, w której dane uzyskiwane w trakcie badań nie byłyby przetwarzane w takim systemie.

Czas zatem zobaczyć o jakich obowiązkach tu mowa. Otóż zgodnie z ww. regulacją sponsor badań klinicznych musi zapewniać:

• Pisemną instrukcję stosowania informatycznego systemu przechowywania danych
• Udokumentowanie, że informatyczny system przechowywania danych został wprowadzony po dokonaniu oceny jego bezpieczeństwa i funkcjonalności
• Dostęp do informatycznego systemu przechowywania danych i zmiany danych w taki sposób, aby możliwa była wsteczna weryfikacja zmian danych
• Listę osób upoważnionych do wprowadzania zmian w bazie danych oraz uniemożliwienie dostępu do danych osobom nieupoważnionym
• System tworzenia zapasowych kopii zgromadzonych danych
• Kodowanie danych w czasie ich wprowadzania i przetwarzania w badaniach klinicznych prowadzonych metodą ślepej próby
• W przypadku gdy zgromadzone dane ulegną przetworzeniu - możliwość porównania danych przetworzonych z danymi oryginalnymi

Jak widać, przytoczony przeze mnie wyżej przepis rozszerza listę niezbędnych dokumentów (oraz innych obowiązków, zwłaszcza odnoszących się do systemu informatycznego), którymi musi legitymować się administrator danych, jeżeli jest nim właśnie sponsor badań klinicznych.

W poprzednim wpisie prezentowaliśmy slajdy z naszego wystąpienia podczas dziesiątej edycji katowickiego Spodka 2.0, tym razem natomiast zapraszamy do zapoznania się z materiałem wideo z tego wydarzenia. Miłego oglądania :-)

Obowiązki przedsiębiorcy internetowego w zakresie ochrony danych osobowych from spodek20 on Vimeo.