Czy konieczne są upoważnienia dla „białego personelu”
Nie. Co do zasady nie ma potrzeby wydawania upoważnień do przetwarzania danych osobowych dla pracowników wykonujących zawody medyczne.
Upoważnienie z mocy samego prawa
Do przetwarzania danych zawartych w dokumentacji medycznej, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione:
- osoby wykonujące zawód medyczny;
- inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych (art. 24 ust 2 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).
To, że ktoś wykonuje zawód medyczny, daje mu automatycznie uprawnienie do przetwarzania danych zawartych w dokumentacji medycznej. Wynika to z faktu, że osoby te wykonują specjalistyczny zawód, a także z mocy przepisów zobowiązani są do zachowania tajemnicy.
Dodatkowo dane osobowe, o których mowa w ust. 1 (m. in. dotyczące danych o stanie zdrowia), mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe (art. 9 ust. 3 RODO).
Potwierdza to tezę o braku potrzeby nadawania szczególnych upoważnień.
Dostęp do danych należy ograniczyć
Należy jednak zastanowić się, czy w danej sytuacji nie jest uzasadnione ograniczenie dostępu do danych.
Sporne jest czy pielęgniarka zatrudniona na oddziale ginekologiczno - położniczym powinna mieć dostęp do danych pacjentów z oddziału chirurgii. Takie zastrzeżenia były do uprawnień nadawanych w szpitalach w ramach kontroli przeprowadzanej przez NIK (raport dostępny na stronie internetowej NIK).
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 9,
- Ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz.U. 2019 poz. 1127) – art. 24, art. 25.
- Wyciek PESEL w wynikach badań – czy takie naruszenie ochrony danych rodzi wysokie ryzyko
- Czy IOD ma dostęp do komputerów służbowych pracowników
- Obowiązkowy podpis elektroniczny w urzędzie gminy
- Postępowania prowadzone przez pracowników socjalnych – kto ma status ADO
- Przepływ danych pomiędzy wydziałami urzędu
- Zewnętrzny inspektor ochrony danych – umowa powierzenia czy upoważnienie do przetwarzania danych
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
