Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Co do tematu zasadniczego - czyli czy lekarze i pielęgniarki powinni mieć upoważnienie od ADO:

Okazuje się, że ustawodawcy prawdopodobnie uregulują tą kwestię w nowej wersji ustawy o prawach pacjenta itd.

W projekcie ustawy o zmianie ustawy o prawach pacjenta itd., wersji z 1.06.2015, dostępnej tutaj:
https://legislacja.rcl.gov.pl/docs//2/12274457/12298943...
na stronach 1-2 znajduje się taki fragment:

"2) art 24 otrzymuje brzmienie:
...
Osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności pomocnicze w stosunku do procesu udzielania świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym jest przetwarzana dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, upoważnione przez administratora danych, są uprawnione do przetwarzania danych zawartych w dokumentacji medycznej, o której mowa w art. 25, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu.
..."

Tylko niech mi ktoś powie czy w tym długaśnym zdaniu fragment "upoważnione przez administratora danych" odnosi się do "inne osoby wykonujące czynności pomocnicze..." czy do "Osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności pomocnicze"

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Grzegorz K.:
I teraz, jako, że nie jestem biegły w prawie medycznym, czy jest jakiś mechanizm w ustawie, czy przepisach wykonawczych (mniej prawidłowo), który przeniesie zabezpieczenie z UODO? Innymi słowy, czy jest gdzieś zabezpieczenie, które ochroni informacje o mnie przed lekarzem, który nie powinien do nich mieć dostępu? Np. do mojego EKG dostęp lekarza ginekologa?

Jeśli nie ma takiego zapisu - a jak widzę po dyskusji, nie ma, stosowane musi być zabezpieczenie z UODO (przepisu ogólnego, bo nie ma szczególnego do niego w prawie branżowym).

O ile mi wiadomo, nie ma takiego uregulowania w przepisach medycznych.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Czyli jeśli nie ma zabezpieczenia o tym charakterze (przepisu zawierającego wymaganie), to moim zdaniem należy stosować przepis ogólny, który zabezpieczenie zawiera.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

"2) art 24 otrzymuje brzmienie:
...
Osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności pomocnicze w stosunku do procesu udzielania świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym jest przetwarzana dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, upoważnione przez administratora danych, są uprawnione do przetwarzania danych zawartych w dokumentacji medycznej, o której mowa w art. 25, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu.
..."

Tylko niech mi ktoś powie czy w tym długaśnym zdaniu fragment "upoważnione przez administratora danych" odnosi się do "inne osoby wykonujące czynności pomocnicze..." czy do "Osoby wykonujące zawód medyczny oraz inne osoby wykonujące czynności pomocnicze"

W nowych przepisach mają zostać uregulowane kwestie outsourcingu. Wspomina o tym nawet minister Lewiński ostatnim wywiadzie dla TVN http://www.giodo.gov.pl/1520001/id_art/8841/j/pl/.
Jeżeli chodzi o tą kwestię, to ustawodawca odnosi się do osób wykonujących zawód medyczny, tych których wykonują czynności pomocnicze, ale również do osób, które zajmują się zabezpieczaniem i konserwacją IT.

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Nie chciałem już ciągnąć tego tematu, ale dzisiaj szukając innej informacji natknąłem się na ten artykuł:
http://www.giodo.gov.pl/394/id_art/1941/j/pl/

W artykule tym znalazły się takie dwa fragmenty:

"do przetwarzania danych (...) mogą być dopuszczone wyłącznie osoby mające upoważnienie nadane przez administratora danych"

"Od zasady, że trzeba mieć upoważnienie do przetwarzania danych w firmie zatrudniającej pracowników, nie ma żadnych wyjątków. Dlatego upoważnienie muszą mieć wszystkie grupy pracowników, o ile tylko w ramach swoich zadań służbowych wykorzystują dane osobowe."

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

"Od zasady, że trzeba mieć upoważnienie do przetwarzania danych w firmie zatrudniającej pracowników, nie ma żadnych wyjątków. Dlatego upoważnienie muszą mieć wszystkie grupy pracowników, o ile tylko w ramach swoich zadań służbowych wykorzystują dane osobowe."

W firmie nie ma wyjątków.

Ale poza firmami są przypadki, np. w ramach prowadzonego postępowania karnego prokurator w ramach upoważnienia ustawowego i limitowany normami proceduralnymi nie musi mieć odrębnego upoważnienia dostępu do danych. NSA z dnia 21 grudnia 2006 I OSK 1279/05

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Barbara S.:
Ale poza firmami są przypadki, np. w ramach prowadzonego postępowania karnego prokurator w ramach upoważnienia ustawowego i limitowany normami proceduralnymi nie musi mieć odrębnego upoważnienia dostępu do danych. NSA z dnia 21 grudnia 2006 I OSK 1279/05

No cóż, to budujące, że prawnicy potrafią się obronić :-)

W tym przypadku znaleźli następującą podstawę - jak można przeczytać w wyroku:
" ... w postępowaniu karnym, w zakresie regulowanym przez Kodeks postępowania karnego, obowiązują także inne akty prawne tworzące łącznie szczególny system ochrony wszelkich danych..."
więc w tym przypadku uznano, że miał zastosowanie art 5 u.o.d.o.
"Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw."

Pytanie czy w przepisach dot. służby zdrowia też można znaleźć zapisy tworzące "szczególny system ochrony"...

Temat: Upoważnienie do przetwarzania danych osobowych w służbie...

Z przytoczonego wyroku NSA:
"(...)W uzasadnieniu skargi Prokurator Rejonowy podniósł, że w wydanym zarządzeniu z dnia 13 października 2003 r. w sprawie zatwierdzenia podmiotu czynności i zakresu obowiązków urzędników i innych pracowników Prokuratury, wskazano szersze zakres informacji i obowiązków niż to przewiduje ewidencja osób upoważnionych do przetwarzania danych osobowych, o których mowa w art. 39 ust. 1 ustawy.(...)"

Zgodnie z UODO jeżeli jest przepisy określają dalej idącą ochronę, to stosuje się przepisy tych ustaw. W tym wypadku można założyć, że art 5 jest spełniony.

"(...)Skarżący podniósł także, że przepisy Kodeksu postępowania karnego i innych ustaw oraz aktów prawnych, np. ustawa z dnia 25 czerwca 1997 r. o świadku koronnym (Dz. U. Nr 114, poz. 738 z późn. zm.), ustawa z dnia 22 stycznia 1999 r., o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późn. zm.), określają szczególny obowiązek ochrony danych osobowych gromadzonych w postępowaniu karnym. W postępowaniu karnym w zakresie regulowanym przez kpk, obowiązują także inne akty prawne, tworzące szczególny system ochrony wszelkich danych. Celem prowadzenia postępowań karnych nie jest wyłącznie gromadzenie i przetwarzanie danych osobowych, ale wykrywanie i ściganie przestępstw. System prowadzenia postępowań karnych ustawowo podlega też różnym formom kontroli i nadzoru przez organy wymiaru sprawiedliwości - szczegółowo określonym i wymienionym w tym zakresie. Tym samym należy przyjąć, że przetwarzanie i ochrona danych osobowych w działalności podmiotu podlega przepisom przewidującym dalej idącą ich ochronę, niż przewidziano w przepisach ustawy.(...)"

Jak widać Prokurator Rejonowy przytoczył przepisy, które określają, że wymagany jest szczególny (wyższy) poziom ochrony, czyli w skrócie zarzucili słuszność kontrolowania upoważnień i akt sprawy ;)
Inną sprawą jest, czy ochrona ta jest zachowana, ale tutaj już zakłada, że kontrola stanu faktycznego nie jest w kwestii uprawnień GIODO.

Masz rację Marku, prawnik potrafi się wybronić ;)