Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:

Barbara S.:

Marek P.:

Barbara S.:
Nie każdemu, bo jak Państwo prześledzicie przepisy znajdziecie , że obowiązek prowadzenia dokumentacji medycznej ma np. podmiot leczniczy i to jest wtedy konkretny podmiot, który w różnych formach prawnych zatrudnia u siebie lekarzy, pielęgniarki

To, że podmiot ma obowiązek prowadzenia dokumentacji medycznej to nie znaczy, że każdy lekarz (już nie mówiąc o pielęgniarce), który się w nim pojawi jest z automatu upoważniony do przetwarzania wszelkich danych medycznych administrowanych przez ten podmiot.
Lekarz ten jest _uprawniony_ ale nie jest jeszcze _upoważniony_,
ponieważ o upoważnieniu decyduje ADO danego podmiotu, jest to jego autonomiczna decyzja.

nie wyobrażam sobie sytuacji że któryś z lekarzy będzie przed konsultacją czy przed udzieleniem pomocy sprawdzał czy ma upoważnienie do przetwarzania danych z danego oddziału:)

To nie lekarz ma to sprawdzać czy jest upoważniony, tylko podmiot musi mieć kontrolę nad tym kogo dopuszcza do danych itp. ("Art. 38. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.") i dokumentem potwierdzającym sprawowanie tej kontroli jest właśnie upoważnienie.
Bez wydania upoważnienia podmiot nie ma prawa dopuścić lekarza wykonywania pracy na jego terenie. Upoważnienie jest w tym przypadku niezbędnym dokumentem tak samo jak np. umowa o pracę.

Przez analogię - to, że ktoś ma dyplom lekarski, czyli ma _prawo_ wykonywania zawodu
nie oznacza, że może wejść do dowolnego szpitala, czy przychodni i od razu zacząć tam leczyć ludzi. Dlaczego? Ponieważ nie ma _upoważnienia_ w postaci umowy o pracę z danym zakładem.

Ja nie mówię o jakimkolwiek lekarzu ale o lekarzu który podpisze umowe o pracę lub jakąkolwiek inną formę np. kontrakt

i będzie przetwarzał dane osobowe w zakresie ustalonym przez art 25 - wykonując swoje obowiązki czyli będzie leczył ludzi i sporządzał dokumentację medyczną w określonym miejscu cu i określonym czasie, po przeszkoleniu po nadaniu uprawnień w systemie itd.

Pracuję jako ABI w Szpitalu i nie wyobrażam sobie takiej sytuacji, że np. pojawia się u nas nowy lekarz i bez formalnego upoważnienia i określenia uprawnień uzyskuje dostęp do dokumentacji medycznej i systemu informatycznego, w którym gromadzimy dane.
Jakie mam metody kontroli nad tym?
Podstawowa to świadomość pracowników - w czasie szkoleń, spotkań itp. tłumaczę wszystkim , a szczególnie ordynatorom, pielęgniarkom oddziałowym i kierownikom innych komórek, że nikt nie ma prawa dostępu do danych bez wydania upoważnienia i określenia zakresu uprawnień.
Pracownicy wiedzą też, że nikt nie mają prawa udostępniać komukolwiek swojego loginu i hasła,
ani udostępniać zalogowanego komputera innej osobie. Sami użytkownicy często doceniają tą zasadę bo np. nikt z lekarzy nie chciałby, żeby ktoś inny wpisał błędne rozpoznanie pacjentowi i podpisał się ich nazwiskiem.
Drugą metodą kontroli jest właśnie kwestia dostępu do systemu informatycznego. Skoro nie można się zalogować pod nie swoim loginem to ten przykładowy nowy lekarz musi się zgłosić do działu informatyki po login i hasło. Jeżeli zgłasza się bez wydanego upoważnienia, to niestety, ale dowiaduje się, że najpierw musi załatwić formalności.
Większość przyjmuje to ze zrozumieniem, ale zdarzyło mi się też spotkać z pretensjami lekarzy, że utrudniamy im rozpoczęcie wykonywania pracy. Na oddziela czekają na nich pacjenci itd. Rozumiem takiego lekarza, ale nie ja wymyśliłem te przepisy. Z całym szacunkiem - jak idzie podpisywać umowę o pracę to też w tym czasie mógłby leczyć ludzi, ale jakoś z tym nie ma problemu...

PS. Żeby nie było, że u mnie to jest tak super - z o.d.o. w szpitalu jest mnóstwo różnych problemów i u nas też nieraz zdarzają się różne nieprawidłowości i naruszenia. Po ponad 3 latach bycia ABI to mógłbym pewnie o tym napisać książkę :)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:
2. Lekarze, pielęgniarki i położne są uprawnieni do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej, o których mowa w art. 25.

Eh, jeszcze raz
Lekarze, pielęgniarki i położne są _uprawnieni_ czyli mają _prawo_ dostępu do określonych danych, tak jak np. kadrowa ma prawo dostępu do określonych danych wyszczególnionych w prawie pracy.
To nie zmienia faktu, że pracodawca przyjmując kogoś do pracy musi mu wydać upoważnienie określające dane z jakich zbiorów i w jakim zakresie ma prawo ta osoba przetwarzać, to jest niezbędny dokument potwierdzający, że ADO ma kontrolę nad tym kogo dopuszcza do przetwarzania danych.

Czy np. pielęgniarka na oddziale zakaźnym ma prawo wglądu w historię chorób pacjenta z innych oddziałów? Idąc Pani interpretacją ma prawo, bo ustawa o prawach pacjenta itd. nic nie wspomina o tym, żeby ograniczać dostęp. Ale moim zdaniem tutaj właśnie wkracza o.d.o.

Proszę przeczytać komentarz do np. tej odpowiedzi udzielonej przez GIODO:
http://www.giodo.gov.pl/329/id_art/3442/j/pl/
Jest tam m.in taki fragment:
"... Administrator danych jest obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego. ..."

Barbara S.:
Może zastanówmy się w takim razie w jakim celu ustawodawca ustanowił takie przepisy.

Ustawodawca ustanowił przepisy, żeby określić jakie dane przedstawicie tych zawodów mają prawo zbierać. Nie napisał, że tym samym lekarze itd. są zwolnieni od obowiązku posiadania upoważnienia od ADO.

Pani Basiu
Póki co upieram się przy swojej interpretacji, ale jeżeli jest mnie Pani w stanie przekonać, że jest inaczej - bardzo proszę to zrobić, nie chciałbym tkwić w błędzie, a i biurokracji miałbym w pracy mniej...

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:

i będzie przetwarzał wykonując swoje obowiązki czyli będzie leczył ludzi i sporządzał dokumentację medyczną w określonym miejscu cu i określonym czasie, po przeszkoleniu po nadaniu uprawnień w systemie itd.

Uprawnienia do przetwarzania danych osobowych w systemie informatycznym wydaje się zgodnie z upoważnieniem, określając nie większą liczbę zbiorów i zakres przetwarzania niż jest to wymienione w upoważnieniu...

PS. Ale Pani wzięła się za cytowanie całych wypowiedzi ;) Taka sugestia - na forum jest opcja edytuj post.

Edit: Zgadzam się z Panem Markiem. Niestety obowiązków nie ubędzie ;)Ten post został edytowany przez Autora dnia 08.09.15 o godzinie 11:27

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

No tak jest edytuj:) przepraszam ale tempo pracy , a równocześnie chętnie podyskutuje w tym temacie bo jest on ważny. Uprawnienie jest zgodne z zakresem czyli art 25. Nic ponad to.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Kadrowa nie ma w żadnej ustawie wpisanego takiego uprawnienia. Ja nie działam na domyśleniu tylko jest wskazane wprost.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Ja przekonuje jak mogę :) was i samą siebie.
Celowo poszłam w tym kierunku by zobaczyć co będzie powiedziane ... chyba sprawę zlecę radcom prawnym. Przeszukiwałam różne materiały artykuły ale nigdzie nie ma sensownej argumentacji za czy przeciw.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Sytuacja prywatna znajomego pacjenta: przyjęty na oddział nefrologiczny, niektóre zabiegi wykonywane na urologicznym, konsultowany w onkologicznym (bo nowotwór i konieczność podawania innych leków ) i jeszcze kiepska krew czyli wewnętrzny - hematologia. Lekarze konsultowali osobiście, telefonicznie z onkologią (inny szpital) od ręki , bez upoważnień bez niczego bo liczył się pacjent i krótki czas.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Co innego, gdy jest zagrożenie życia/zdrowia pacjenta i potrzebna jest pilna konsultacja, a co innego, gdy po przyjęciu do pracy wydajemy upoważnienie.

Upoważniasz lekarza do przetwarzania danych pacjentów w twoim szpitalu, a nie we wszystkich ośrodkach zdrowia.

Odnośnie kadrowej - kadrowa może być osobą wyznaczoną przez pracodawcę do dokonywania czynności w sprawach z zakresu prawa pracy (KP art 3^1, § 1.), a co za tym idzie osobą uprawnioną do przetwarzania zbioru pracowników, do którego wydajemy upoważnienie. Tak wspominam, żeby zamieszać ;)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Nie bezpośrednie zagrożenie życia, po prostu leczenie i diagnozowanie
Krótki czas mialam na mysli czas lekarza jaki ma dla tego pacjenta i nie bedzie czekał tylko dzwoni i dowiaduje się tego czego chce i co mu jest potrzebne by pacjenta prowadzić podczas hospitalizacji. Ten post został edytowany przez Autora dnia 08.09.15 o godzinie 13:23

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

już nie mieszajmy:)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Zasada jest taka - przez telefon nie można podawać danych osobowych pacjenta, petenta czy klienta. Od tego są systemy informatyczne, żeby przesyłać -bezpiecznie- informacje, podpisy elektroniczne, kurierzy itp...
W przypadku kontaktu telefonicznego nie można zweryfikować, czy osoba kontaktująca się jest uprawniona do przetwarzania tych danych (np. czy jest lekarzem) i czy otrzymała odpowiednie upoważnienie.
Chyba znowu się czepiam ;)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:
Sytuacja prywatna znajomego pacjenta: przyjęty na oddział nefrologiczny, niektóre zabiegi wykonywane na urologicznym, konsultowany w onkologicznym (bo nowotwór i konieczność podawania innych leków ) i jeszcze kiepska krew czyli wewnętrzny - hematologia. Lekarze konsultowali osobiście, telefonicznie z onkologią (inny szpital) od ręki , bez upoważnień bez niczego bo liczył się pacjent i krótki czas.

Jak już pisałem, nt. nieprawidłowości dot. ochrony danych w jednostkach ochrony zdrowia można napisać książkę i to grubą. To że ludzie robią tak jak robią, to nie znaczy, że wszystko jest zgodnie z przepisami.

Oczywiście z punktu widzenie pacjenta to bardzo dobrze, że wszystko sprawnie i szybko poszło, ale my tu nie dyskutujemy jak zapewnić sprawną obsługę pacjenta (chociaż oczywiście jest to b.ważne), ale jak prawidłowo chronić jego dane osobowe.

Z rzeczy, które Pani opisała, oprócz spraw dot. o.d.o., ciekawi mnie w jaki sposób udokumentowano konsultację telefoniczną. Czy lekarz konsultujący w ogóle w jakiś sposób autoryzował tą konsultację?
Bo jeżeli nie, to gdyby poszło coś nie tak, w razie roszczeń pacjenta, lekarz wyprze się i powie, że to nie była formalna konsultacja, a jedynie koleżeńska rozmowa pomiędzy lekarzami i nie bierze za nic odpowiedzialności... Nie mówię, że wszyscy lekarze są nieuczciwi, ale z drugiej strony jak ktoś może przyznać się do winy jeżeli nie podpisał się pod konsultacją, a po pewnym czasie już nie pamięta o czym była rozmowa. Ale to temat na osobny wątek...

Co do upoważnień do konsultacji - sprawę da się rozwiązać bez wielkiego utrudniania życia lekarzom. W upoważnieniu można wpisywać, że lekarz jest upoważniony do przetwarzania danych z innych oddziałów niż macierzysty w zakresie niezbędnym do przeprowadzenia konsultacji (czyli odczyt większości danych, a zapis jedynie w zakresie opisywania konsultacji).

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Paweł L.:
Zasada jest taka - przez telefon nie można podawać danych osobowych pacjenta, petenta czy klienta. Od tego są systemy informatyczne, żeby przesyłać -bezpiecznie- informacje, podpisy elektroniczne, kurierzy itp...
W przypadku kontaktu telefonicznego nie można zweryfikować, czy osoba kontaktująca się jest uprawniona do przetwarzania tych danych (np. czy jest lekarzem) i czy otrzymała odpowiednie upoważnienie.
Chyba znowu się czepiam ;)

To jest wszystko prawda tyle, że nie raz teoria:)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Podsumujmy tą dyskusję, po co ustawodawca dał taki przepis?
Czy bez tego przepisu nie mogliby przetwarzać tych danych na mocy przepisów ogólnych czyli po wystawieniu upoważnienia do przetwarzania danych na mocy art 37 ?
Żadna kadrowa nie ma w ustawie upoważnienia do przetwarzania danych zawartych w art 22 /1 KP .
Te i inne pytania nasuwają się i pewnie nasuwać się będą :) taka praca:)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:

To jest wszystko prawda tyle, że nie raz teoria:)

Najsłabszym ogniwem ochrony danych jest użytkownik, w tym wypadku pracownik służby zdrowia. I dlatego w szkoleniu nie powinno się pomijać końcowych artykułów UODO ;)
A tak bez straszenia i bardziej na serio. Warto zastanowić się nad takim opracowaniem procedur wymiany danych, żeby nie utrudniać zbytnio życia pracownikom i zachować przepisy ustawy. Nie jest to łatwa rzecz, często wymaga porozumienia np. między instytucjami. Mogą w tym pomóc konsultacje z pracownikami, którzy czasami mają dobre pomysły...

Duży Edit:

Barbara S.:

Podsumujmy tą dyskusję, po co ustawodawca dał taki przepis?

Z której ustawy? Jeżeli chodzi o uprawnienia, to są one przesłanką do wystawienia upoważnienia.

Czy bez tego przepisu nie mogliby przetwarzać tych danych na mocy przepisów ogólnych czyli > po wystawieniu upoważnienia do przetwarzania danych na mocy art 37 ?

Art. 37 określa tylko, że należy wystawić, chyba chodziło o 27. Mogliby przetwarzać dane w zbiorze wg. upoważnienia na zasadach ogólnych. Gdyby przepisu szczególnego nie było. Przepis szczególny, który precyzuje również w jakim celu, zakresie będą przetwarzać.

Żadna kadrowa nie ma w ustawie upoważnienia do przetwarzania danych zawartych w art 22 > /1 KP .

W art 22 kodeksu pracy? O jakich danych mówimy, bo zgłupiałem :P

Te i inne pytania nasuwają się i pewnie nasuwać się będą :) taka praca:)

No a jak ;)Ten post został edytowany przez Autora dnia 08.09.15 o godzinie 15:05

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Szanowni Państwo - świetna dyskusja.

Dorzucę swoje trzy grosze, bo myślę, że warto spojrzeć z dwóch różnych stron. Strona 1 - to źródło prawa i cel owego prawa. Strona 2 - zabezpieczenia i cele ich stosowania. Po drodze myślę, że warto również zahaczyć o pewne zasady prawne.

Zacznijmy od źródeł. Po co jest ustawa o ochronie danych osobowych, czy inne "bezpiecznikowskie" ustawy? Otóż określają one zasady naruszenia naszych gwarantowanych swobód i wolności. Jedną z nich jest prawo do tajemnicy informacji o osobie. Konstrukcja prawna w Konstytucji w tym zakresie z reguły zbudowana jest tak, że mówi iż dobra osobiste i prawa osoby są niezbywalne i nie można ich naruszać. Co do zasady. Bo ich naruszenie jest dopuszczalne - TYLKO w sytuacji, gdy ustawa tak stanowi. Oznacza to, że tylko w formach i na zasadach określonych w ustawie wolno naruszać owe dobra i swobody.

Czyli nieco inaczej jak zwyczajowo się przyjęło - wszystko co nie zabronione - jest dozwolone. Tu jest - WSZYSTKO JEST ZABRONIONE, a dozwolone TYLKO w zakresie określonym ustawą. Zgodnie z zasadą wynikającą z Konstytucji. Innymi słowy - nie wolno nam przetwarzać danych osobowych, chyba, że będziemy to robić w granicach i na zasadach określonych w ustawie. To ważne - ZASADACH określonych w UODO. Bo UODO jest ustawą "główną" w zakresie ochrony danych osobowych.

I tu wchodzi pewna kolejna zasada. Przepis szczególny wyłącza stosowanie przepisu ogólnego. Ale uwaga na pułapkę zwaną 1:1 (jeden do jeden). PRZEPIS, a nie zbór przepisów. Czyli nie ustawa do ustawy, a przepis do przepisu. Oznacza to, że konkretny przepis w innym akcie prawnym musi być regulowany bardziej szczegółowo od innego przepisu w "akcie ogólnym".

Przykład - padł przykład o Kodeksie Pracy. Te o katalogu danych dozwolonych do zbierania od kandydata. Przepisem szczególnym dla 22 jest przepis z ustawy o ochronie osób i mienia, który mówi o tym, że agencja ochrony ma obowiązek weryfikować karalność pracowników. Ale to jest ta konstrukcja - przepis do przepisu, artykuł do artykułu.

Teraz, żeby odnieść się do kwestii tematu wątku. Trzeba się zastanowić nad zestawem zabezpieczeń, jaki został określony w UODO. Jednym z zabezpieczeń jest rejestracja osób upoważnionych do przetwarzania danych osobowych. Żeby jednak uzyskać zgodność z ustawą, to nie szukałbym identycznie brzmiącego przepisu, a raczej takiego zapisu, który zabezpieczenie określone w UODO przenosi do innego. Pamiętając nadal, że zestaw zawarty w przepisie ogólnym jest PODSTAWOWYM i nie może zostać wyłączony ani ograniczony, co najwyżej może zostać wzmocniony (np. Prawo Bankowe i tajemnica bankowa, czy informacje niejawne).

A co jest celem stosowania zabezpieczeń w postaci upoważnień? Metoda 5 WHY (5 razy dlaczego) może pomóc, przy czym zasadniczo do 5 dlaczego nie dotrzemy ;-)

Po co stosujemy upoważnienia i rejestry?
Żeby wiedzieć, kto i do czego miał dostęp
W jakim celu?
Tu znowu jak zwykle - rozgałęzienie, bo raz w celu spełnienia obowiązku informacyjnego na żądanie. A drugi cel - aby do danych osobowych miały dostęp TYLKO osoby którym przetwarzanie danych osobowych jest niezbędne.

Dalej już nawet nie ma po co iść. Upoważnienie nadawane konkretnej osobie spełnia zasady wynikające z Konstytucji i przeniesione do UODO, z których jedna z nich to zasada adekwatności - większość kursów specjalistycznych w organach i instytucjach szeroko ją omawia. Chodzi o to, co równie często się przewija w wystąpieniach GIODO ale i w orzeczeniach sądowych. Dane osobowe mogą być przetwarzane tylko w zakresie niezbędnym do osiągnięcia celu, dla jakiego są przetwarzane.

Innymi słowy - w przepisach szczególnych, medycznych musimy odnaleźć zasadę adekwatności i zabezpieczenie, jakie pilnuje aby była przestrzegana. Czyli zapisu co najmniej analogicznego, który udowodni, że dane osobowe są przetwarzane tylko w celu i zakresie do którego zostały zebrane.

I teraz, jako, że nie jestem biegły w prawie medycznym, czy jest jakiś mechanizm w ustawie, czy przepisach wykonawczych (mniej prawidłowo), który przeniesie zabezpieczenie z UODO? Innymi słowy, czy jest gdzieś zabezpieczenie, które ochroni informacje o mnie przed lekarzem, który nie powinien do nich mieć dostępu? Np. do mojego EKG dostęp lekarza ginekologa?

Jeśli nie ma takiego zapisu - a jak widzę po dyskusji, nie ma, stosowane musi być zabezpieczenie z UODO (przepisu ogólnego, bo nie ma szczególnego do niego w prawie branżowym).

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Dodam jeszcze jeden przykład, który doskonale zobrazuje sytuację.
W przypadku Zespołu Interdyscyplinarnego oraz grup roboczych (ustawa o przeciwdziałaniu przemocy w rodzinie) w art 9c 1. jest informacja, że członkowie ZI i GR mogą przetwarzać dane osób dotkniętych przemocą w rodzinie i osób stosujących przemoc w rodzinie, dotyczące: stanu zdrowia, nałogów, skazań, orzeczeń o ukaraniu, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, bez zgody i wiedzy osób, których dane te dotyczą.
Tak samo 9c 3. określa:
Przed przystąpieniem do wykonywania czynności, o których mowa w art. 9b ust. 2 i 3, członkowie zespołu interdyscyplinarnego oraz grup roboczych składają organowi, o którym mowa w art. 9a ust. 2, oświadczenie o następującej treści: „Oświadczam, że zachowam poufność informacji i danych, które uzyskałem przy realizacji zadań związanych z przeciwdziałaniem przemocy w rodzinie oraz, że znane mi są przepisy o odpowiedzialności karnej za udostępnienie danych osobowych lub umożliwienie do nich dostępu osobom nieuprawnionym.”.

I teraz moje pytanie:
Czy wystarczy, że członek ZI lub GR złoży oświadczenie, żeby móc przetwarzać dane?
Oczywiście Ustawa szczegółowa określa przesłankę, że członkowie mogą przetwarzać dane i jest to niezbędne w celu wykonania ustawowo określonych czynności. Wymaga też podpisania przez nich Oświadczenia.
Nie zwalnia to jednak z obowiązku wydania upoważnienia do zbioru danych osobowych, w tym wypadku 'przeciwdziałania przemocy w rodzinie'. Obowiązek ten jest określony w ustawie ogólnej - UODO. Jako ciekawostkę powiem, że sprawa jest ciekawa, ponieważ upoważnić trzeba osoby z różnych instytucji, często liczby idą w dziesiątki osób...

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Nie zwalnia.

Oświadczenie poufności mówi o utrzymaniu atrybutu poufności (patrz cel zabezpieczenia).
Upoważnienia - to poufność oraz rozliczalność.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

To było pytanie i odpowiedź poniżej, tak dla porównania ;)

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Tak wiem ;-)

Tylko potwierdziłem, rozwijając swoją pierwszą długaśną wypowiedź.