Dostęp Otwarty

Prawo

Wrażliwe przetwarzanie danych osobowych

Przemysław Puch

W Polsce obowiązują stosunkowo restrykcyjne przepisy związane z przetwarzaniem danych osobowych (ustawa z dnia 29 sierpnia 1997 roku z późniejszymi zmianami). Nawet adres e-mail może być uznany za informację, która podlega ochronie. Nad przestrzeganiem prawa w tym zakresie czuwa Generalny Inspektor Ochrony Danych Osobowych (GIODO). Jeżeli jego urzędnicy wykryją, że doszło do złamania ustawy, a w przypadku prowadzącego np. aktywny mailing gabinetu prawdopodobieństwo kontroli jest wysokie, powinni zawiadomić organy ścigania o możliwości popełnienia przestępstwa. Te z kolei mogą skierować sprawę do sądu.

Choć Temida póki co jest wstrzemięźliwa, to jednak za naruszenie zapisów ustawy grozi kara do dwóch lat pozbawienia wolności. Lekarzowi, który złamie prawo w tym zakresie, grożą ponadto sankcje administracyjne (mandaty) i cywilne (osoby pokrzywdzone mogą zażądać odszkodowania).

Legalność zbioru

Danymi osobowymi są wszystkie informacje, na podstawie których można zidentyfikować konkretnego pacjenta. Może to być więc imię i nazwisko, urzędowe numery, a także określenie cech indywidualnych (kolor oczu, charakterystyczne znamiona itp.). Bardziej ogólne informacje, takie jak numer domu, mieszkania czy wysokość wynagrodzenia, stają się danymi dopiero w połączeniu z takimi, które identyfikują konkretną osobę. Przykładem informacji chronionej jest numer PESEL. Ale już nią nie będzie samo imię, bo nie pozwala na dokładną identyfikację.

Czy adres e-mail może być podlegającymi ochronie danymi? – I tak, i nie – odpowiada Artur Pajkert z firmy Ogicom. – Konstrukcje abstrakcyjne, takie jak na przykład jamnik295@onet.pl, danymi nie będą, na ich podstawie bowiem nie można dokonać pełnej identyfikacji użytkownika. Natomiast adres zawierający imię i nazwisko, a czasem i firmę, która nie jest prowadzącym konta portalem internetowym (np. jan.kowalski@pkp.pl), już za taką informację uznany być może.

Przykładowa klauzula

Wyrażam zgodę na przetwarzanie moich danych osobowych przez (nazwa firmy i adres siedziby) w celu otrzymywania drogą elektroniczną wiadomości na tematy medyczne. Oświadczam, że znam prawo do wglądu, zmiany i żądania zaprzestania przetwarzania swoich danych. Dane podaję dobrowolnie.

Oczywiście osoba prowadząca listy pacjentów nie zawsze będzie w stanie skontrolować, w jakim formacie – podadzą oni np. adresy mailowe. W takiej sytuacji najlepiej założyć, że wszystkie znajdujące się w zbiorze adresy to dane chronione i zastosować odpowiednie procedury rejestracyjne.

Wymaga to nieco pracy. Najpierw trzeba uzyskać od właścicieli zgodę na przetwarzanie danych (to ona decyduje o legalności zbioru). Szczegółowych zasad formułowania klauzuli w tym zakresie nie ma. – Wyrażający zgodę powinien być świadom tego, na co się zgadza – twierdzi Artur Pajkert. – Zatem z tekstu oświadczenia powinno wynikać, w jakim celu, zakresie i przez kogo informacje mogą być przetwarzane.

Prowadzenie dokumentacji

Ale to dopiero początek. Zgodnie z zapisami ustawy lekarz lub osoba upoważniona musi prowadzić zawierającą zgody dokumentację (zaniedbanie tego jest najczęściej spotykanym w prywatnych gabinetach wykroczeniem). Nad przetwarzaniem danych powinien czuwać tzw. administrator bezpieczeństwa informacji. Jego zadaniem jest monitorowanie bezpieczeństwa, ochrona przed udostępnieniem danych, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem, zniszczeniem itp. Administrator powinien prowadzić dokumentację opisującą sposób przetwarzania oraz podjęte w związku z tym środki bezpieczeństwa. Jednym z wymogów, które nakłada na niego ustawa, jest konieczność tzw. rejestracji zbioru, co odbywa się poprzez skierowanie wnioskunim inna niż sam lekarz osoba, powinien mieć pisemne upoważnienie do opieki nad zbiorem, zawierające imię, nazwisko (osoby, na którą delegowane są uprawnienia), okres, podczas którego ma ono swoją moc, a także identyfikator (jeśli dane przetwarzane są w systemie informatycznym). Konieczne jest, by dokument taki określał zakres udostępnionych danych, ewentualnie nazwę konkretnego zbioru. Osoby upoważnione, co istotne, powinny z kolei zobowiązać się do zachowania zawartości bazy w ścisłej tajemnicy.

Te wszystkie czynności można powierzyć firmie zewnętrznej, np. użyczającemu miejsca na serwerze dostawcy usług hostingowych. Jednak wielu hosterów nie spełnia wymogów ustawy. Przed zawarciem umowy, jak radzą specjaliści, należy zatem sprawdzić, czy firma zgłosiła do GIODO swoje zbiory. Warto także poprosić o udostępnienie wyników poprzednich kontroli.

Powierzając administrowanie firmie zewnętrznej, należy pamiętać także o zawarciu tzw. umowy powierzenia. Ustawa wymaga, aby i ona zawierana była na piśmie oraz wyraźnie określała zakres i cel przetwarzania informacji. Mimo że jest to dość skomplikowane, tylko prawidłowe zarządzanie danymi i prowadzenie odpowiedniej dokumentacji gwarantuje korzystne wnioski z kontroli urzędników GIODO.