Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Dokumentacja medyczna na śmietniku

Co jakiś czas prasa donosi, że wrażliwe dane zawarte w dokumentacji medycznej są znajdowane na śmietnikach. Dotyczy to zresztą nie tylko dokumentacji medycznej, bo znajdowane są też faktury, pity, dane pracownicze. Mimo rosnącej świadomości w zakresie ochrony danych osobowych takie doniesienia z regularną wprost częstotliwością obiegają opinię publiczną.

Czy kogoś to wzrusza. Z pewnością pacjentki kliniki leczenia niepłodności poczuły się urażone dowiedziawszy się, że koperty z historią ich leczenia znalazł ktoś postronny na śmietniku.

Wszystko zależy oczywiście od wagi informacji, która ujrzała światło dzienne. Czasami da się to przełknąć a czasami może to być ogromny cios, jeśli na przykład ukrywamy, że leczymy się u określonych specjalistów lub określone według nas wstydliwe przypadłości.

Jeśli chodzi o dane medyczne w świetle prawa są one chronione podwójnie, bo w ramach tajemnicy medycznej a także prawem ochrony danych osobowych. I faktycznie duże podmioty lecznicze profesjonalnie udzielające świadczeń zdrowotnych dbają o przestrzeganie i tajemnicy medycznej i prawa ochrony danych osobowych. Mniejsze podmioty nie przykładają do ochrony danych osobowych szczególnej wagi. Nie twierdzę, że je lekceważą, jednak poziom ochrony nie zawsze jest zgodny z obowiązującymi obecnie wymaganiami.

Każdy wie, że zła informacja, plotka, pomówienie może zrobić człowiekowi wiele krzywdy, bo opinia publiczna jest bezlitosna i łatwo żywi się pikantnymi informacjami choćby i nieprawdziwymi. Są informacje o nas, które będąc przetwarzane przez osoby trzecie powinny być należycie chronione.

Załatwiamy szereg spraw w urzędach administracji publicznej, leczymy w placówkach służby zdrowia, korzystamy z usług adwokata, księgowego, kosmetyczki. Wszystkie te podmioty mają wiele informacji na nasz temat i powinny je należycie chronić, nie rozpowszechniać, nie udostępniać osobom nieuprawnionym.

Przykładem niech będą choćby informacje dotyczące prowadzonych postępowań sądowych, administracyjnych i wydanych w tym zakresie orzeczeń. Informacje te uznane za wrażliwe mogą być udostępniane wyłącznie po spełnieniu ustawowych przesłanek. I tak z uwagi na ochronę prywatności, w ramach udostępniania informacji publicznej decyzje organów administracji czy wyroki sądów poddawane są anonimizacji.

W dobie obecnej, rozwoju nowych technologii, powszechnej informatyzacji w administracji publicznej, w służbie zdrowia, tworzeniu wielu rejestrów, baz danych, w których przetwarzane są ogromne ilości informacji na nasz temat ochrona danych osobowych to na prawdę ważne zagadnienie.

Umowy z NFZ a ochrona danych osobowych

Podmioty lecznicze zawierają z NFZ umowy o udzielanie świadczeń opieki zdrowotnej finansowanych ze środków publicznych w trybie i na zasadach określonych przepisami prawa.

Umowa o udzielanie świadczeń zawarta przez Fundusz ze świadczeniodawcą (podmiot leczniczy) określa rodzaj świadczenia lub grupę świadczeń oraz kwotę finansowania.

Fundusz jest zobowiązany do finansowania świadczeń udzielonych w okresie rozliczeniowym do kwoty zobowiązania Funduszu wobec świadczeniodawcy określonej w umowie.

W związku z udzielaniem przez podmioty lecznicze świadczeń finansowanych ze środków publicznych mają one obowiązek rejestrowania informacji o pacjentach oraz udzielanych im świadczeniach w celu ich rozliczenia.

Odpowiednie przepisy określają zakres niezbędnych informacji gromadzonych przez podmioty lecznicze oraz sposób ich przekazywania do NFZ.

Podmioty lecznicze tworzą i prowadzą w formie elektronicznej rejestr świadczeń opieki . W rejestrze świadczeń gromadzone są dane charakteryzujące każde udzielone świadczenie opieki zdrowotnej, finansowane ze środków publicznych w tym dane osobowe.

W celu rejestrowania danych o pacjentach oraz udzielonych im świadczeniach podmioty lecznicze korzystają z dedykowanych aplikacji informatycznych umożliwiających sprawną rejestrację wymaganych informacji. Zadaniem aplikacji jest umożliwienie wprowadzenia danych, gromadzenie ich oraz generowanie raportów statycznych w postaci wyjściowych plików, przesyłanych do NFZ.

Wykonywanie zawartych z NFZ umów i obowiązkiem rejestracji danych o pacjentach i udzielanych im świadczeniach w formie elektronicznej implikuje oczywiście obowiązki w zakresie ochrony danych osobowych.

Każdy podmiot leczniczy, który posiada podpisaną z NFZ umowę o udzielanie świadczeń zdrowotnych oraz rejestrujący w związku z tym dane o pacjentach i udzielanych im świadczeniach w postaci elektronicznej zobowiązany jest do posiadania pełnej dokumentacji przetwarzania danych osobowych.

Ze stosowaniem przepisów o ochronie danych osobowych w placówkach medycznych bywa różnie. Pisałam o tym wielokrotnie. Niewielkie podmioty lecznicze pomimo ciążących na nich obowiązków w tym zakresie niechętnie je realizują. Poniekąd jest to usprawiedliwione charakterem pracy i wagą wykonywanych obowiązków. Nieliczni tylko lubują się w wykonywaniu obowiązków administracyjnych. Większość przedsiębiorców traktuje je jednak jako kolejny uciążliwy obowiązek.

Niemniej jednak należy pamiętać, że z uwagi na charakter przetwarzanych danych o pacjentach tych szczególnie wrażliwych, bo dotyczących stanu zdrowia oraz postępującą informatyzacją w ochronie zdrowia właściwie nie ma już ucieczki przed wykonaniem obowiązków w zakresie ochrony danych osobowych.

W przeddzień wejścia w życia restrykcyjnego rozporządzenia unijnego o ochronie danych osobowych osób fizycznych warto to sobie uświadomić i powoli zacząć porządkować tą nieco zapomnianą sferę obowiązków.

Prawa pacjenta

W pewnej rodzinie zmarł człowiek. Następnego dnia pod adresem, gdzie za życia zamieszkiwał zjawił się przedstawiciel firmy odszkodowawczej. Rodzinie przedstawił wizytówkę firmy odszkodowawczej. Jego wizyta miała związek ze śmiercią członka tejże rodziny i chęcią złożenia oferty dotyczącej dochodzenia odszkodowania w związku ze śmiercią pacjenta.

Jak się okazało dane osobowe osoby nieżyjącej zostały przekazane przez pielęgniarkę ze szpitala, w którym pacjent zmarł.

Oto krótka historia. Obrazuje ona, że wszystko jest na sprzedaż i na wszystkim można zarobić. Pielęgniarka ze szpitala przekazująca dane osobowe dotyczące pacjenta. Firma ubezpieczeniowa pozyskująca dane osobowe o pacjentach od osób, które zobowiązane są do zachowania w tajemnicy tych danych.

Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

Osoby wykonujące zawód medyczny, z wyjątkiem przypadków są związane tajemnicą również po śmierci pacjenta.

Prawo przewiduje sankcje związane z niedochowaniem tajemnicy zawodowej osób wykonujących zawód medyczny. Osoby, które wbrew ciążącym na nich obowiązkach ujawniły dane osobowe pacjentów mogą być pociągnięte do odpowiedzialności zawodowej, cywilnej a także karnej.

Bez wątpienia w związku z  ujawnieniem informacji o pacjencie zostały naruszone dobra osobiste rodziny, jej prawo do uszanowania żałoby związanej ze śmiercią najbliżej osoby. Wizyta przedstawiciela firmy odszkodowawczej w tym czasie, gdy nawet  nie odbył się jeszcze pochówek zmarłego, w najwyższej mierze  dowodzi braku szacunku dla tej wyjątkowej sytuacji.

Rodzina zawiadomiła organy ścigania o popełnieniu przestępstwa. Bez wątpienia może dochodzić swoich praw związanych z naruszeniem dóbr osobistych przed sądem powszechnym w drodze powództwa cywilnego.

Tajemnica medyczna a outsourcing IT w branży medycznej

Z biura GIODO napływają informacje, iż finalizowane są prace nad zmianą przepisów prawnych umożliwiających podmiotom leczniczym przekazywanie danych medycznych firmom zewnętrznym, w związku ze świadczonymi przez te podmioty specjalistycznymi usługami np. w zakresie IT. W chwili obecnej nie ma odpowiedniej ku temu podstawy prawnej z uwagi na treść przepisów o tajemnicy zawodowej.

 Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

I tutaj zaczyna się problem związany z korzystaniem przez placówki medyczne z usług zewnętrznych usługodawców, z którymi to usługami związane jest powierzenie przetwarzania danych osobowych. Aktualnie w świetle obowiązujących przepisów i stanowiska GIODO takiej podstawy prawnej nie ma. Jest to oczywiście duża uciążliwość w szczególności dla małych i średnich podmiotów leczniczych, które już dzisiaj z zewnętrznych usług korzystają.

Sprawa jest o tyle pilna, że jesteśmy w przeddzień wejścia w życie (2017 r.) przepisów wprowadzających obowiązek prowadzenia elektronicznej dokumentacji medycznej przez wszystkie podmioty udzielające świadczeń zdrowotnych. Będzie się to wiązało z wdrożeniem przez tysiące małych podmiotów systemów informatycznych umożliwiających elektroniczne prowadzenie dokumentacji.

Wiele z tych podmiotów w celu zaoszczędzenia kosztów zdecyduje się na wykupienie aplikacji dostępnej przez internet czyli na tzw. aplikację w chmurze. Będzie to oczywiście związane z powierzeniem danych osobowych do przetwarzania, co w chwili obecnej w świetle prawa nie znajduje podstawy prawnej.

 Aktualnie w Ministerstwie Zdrowia oraz Parlamencie procedowane są zmiany przepisów prawa w zakresie przekazywania przez podmioty lecznicze danych osobowych firmom zewnętrznym w związku ze świadczonymi przez nie usługami specjalistycznymi np.dotyczącymi przechowywania dokumentacji medycznej.

Obowiązek wdrożenia elektronicznej dokumentacji medycznej jest związany z szeroko zakrojoną akcją informatyzacji w ochronie zdrowia oraz wdrażaniem powszechnego systemu informacji medycznej, gromadzącego informacje o pacjentach pochodzące od z systemów informatycznych poszczególnych świadczeniodawców.

Podmioty lecznicze wdrażające  elektroniczną dokumentację medyczną muszą też pamiętać o spełnieniu wymagań prawnych w zakresie ochrony danych osobowych, między innymi o prowadzeniu wymaganej prawem dokumentacji  tj. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.