W ostatni weekend mieliśmy przyjemność wygłosić na szkoleniu dla kadry kierowniczej podmiotów leczniczych prelekcję m.in. na temat naruszeń ochrony danych osobowych. Wnioski ze spotkania z uczestnikami szkolenia są takie, że szpitale są na dobrej drodze do zapewnienia właściwego systemu ochrony danych osobowych jednak bez wątpienia potrzebują w tym zakresie pomocy racjonalnych doradców i konkretnych, praktycznych wytycznych idących „z góry”.

Wszyscy oczekują wobec tego na zatwierdzenie przez Prezesa UODO kodeksu branżowego (www.rodowzdrowiu.pl), jednak kiedy to nastąpi – trudno powiedzieć. Wydaje się, że organizacyjnie Prezes UODO nie jest jeszcze gotowy na wykonanie tego zadania. Szpitale muszą wobec tego uzbroić się w cierpliwość i szukać innych źródeł informacji, jednak co należy wyraźnie zaakcentować, nie powinny one czekać z dostosowaniem systemu ochrony danych osobowych na pojawienie się kodeksu branżowego. Kodeks będzie na pewno przydatnym narzędziem, jednak RODO od 25 maja 2018 roku obowiązuje i powinno być stosowane. Oczekiwanie na kodeks nie będzie usprawiedliwieniem dla jego niestosowania.

W niniejszym krótkim tekście chcielibyśmy Państwu wskazać na przykładach na to jakie zdarzenie może stanowić naruszenie ochrony danych osobowych w szpitalach.

Po pierwsze trzeba jednak zdementować, że naruszenie nie jest związane wyłącznie z wyciekiem danych. Taki pogląd funkcjonuje w świadomościach, jednak jest on całkowicie błędny. Definicja naruszenia ochrony danych osobowych znajduje się w art. 4 RODO, jednak praktycznie (w niewielkim uproszczeniu) sprowadza się ona do tego, że za naruszenie należy traktować każde zdarzenie wynikające z nieprawidłowym przetwarzaniem danych osobowych, które wywołuje niezamierzone skutki dotyczące przetwarzanych danych osobowych. Skutkiem takim może być oczywiście nieuprawnione ujawnienie danych osobowych (wyciek), ale także ich zniszczenie, utrata lub modyfikacja. Pojęcie to jest wobec tego szerokie.

Po drugie o tym, czy mamy do czynienia z incydentem ochrony danych osobowych, nie decyduje jego skala. Jeśli zatem incydent dotyczy jednego pacjenta lub wszystkich pacjentów – nie ma to praktycznie znaczenia. Tak samo nie ma znaczenia czy incydent dotyczy jednego dokumentu zawierającego dane lub całego archiwum. Skala podmiotowa i przedmiotowa jest dla oceny zdarzenia jako naruszenia ochrony danych osobowych całkowicie nieistotna.

Warto także wiedzieć, ze służba zdrowia jest szczególnie wrażliwa na wystąpienie incydentów. Mówią o tym statystyki zgodnie z którymi około 25% stwierdzonych incydentów dotyczy właśnie ochrony zdrowia. Po drugie zakres danych osobowych przetwarzanych przez szpitale jest szczególnie duży i wrażliwy.

1/ Incydenty wskazane w raporcie NIK dot. „Ochrony intymności i godności pacjentów w Szpitalach”

2/ Incydenty nagłośnione przez media

3/ Inne możliwe incydenty:

To tylko przykładowe wyliczenie incydentów, a przykłady te bez trudu można mnożyć. Każdy taki incydent powinien powodować odpowiednią reakcję administratora danych osobowych i odpowiednie obowiązki dokumentacyjne i informacyjne (względem Prezesa UODO oraz pacjentów). Obowiązki te będą przedmiotem kolejnego wpisu.