GoldenLine
Zaloguj się
Marek Popiel

Marek Popiel ochroniarz danych

Temat: obowiązek informacyjny wobec osób upoważnionych

Zastanawiam się nad takim zagadnieniem:
Pacjenci korzystający z różnych placówek zajmujących się ochroną zdrowia mają możliwość upoważnienia wybranych przez siebie osób do udostępnienia przez tą instytucję dokumentacji medycznej pacjenta (na podstawie ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta).
Czasami odbywa się to na takiej zasadzie, że pacjent jest pytany o ew. osoby upoważnione w momencie rejestracji i dane tych osób są zapisywane w kartotece (papierowej bądź elektronicznej) pacjenta - robią tak np. często szpitale na wypadek np. utraty przytomności lub zgonu pacjenta.
Tu pojawie się mój dylemat: wg mojego rozumienia sytuacji, placówka taka zbiera dane osobowe osób trzecich i w takim przypadku powinien mieć chyba zastosowanie art.25 UODO, a więc taka placówka powinna powiadomić upoważnionego, że zebrała jego dane.
Jakoś nie spotkałem się z przypadkiem, żeby ktoś tak robił, więc się zastanawiam, czy źle rozumuję, czy też po prostu służba zdrowia nie zna UODO :)
Co Państwo o tym myślicie?
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: obowiązek informacyjny wobec osób upoważnionych

Dobre pytanie. Sądzę, że w tym wypadku dane osób upoważnionych do wglądu w dokumentację medyczną stanowią część zbioru pacjentów (są przyporządkowane do pacjenta i nie tworzą odrębego zbioru osób upowaznionych).
Link do wypowiedziLink

konto usunięte

Temat: obowiązek informacyjny wobec osób upoważnionych

Jeżeli placówka zbiera takie deklaracje od pacjentów np. przy przyjęciu na oddział, wówczas oczywiście może dochodzić do wtórnego gromadzenia danych osobowych i powstaje obowiązek informacyjny z art. 25 ust. 1 uodo. Co do tego nie ma wątpliwości - pod warunkiem, że dochodzi w ten sposób do gromadzenia danych osobowych osób upoważnionych. Myślę, że można bronić tezy, że tak nie jest - jeżeli np. zbieramy dane osobowe pacjenta i wyłącznie imię i nazwisko osoby upoważnionej, to moim zdaniem będą to nadal dane osobowe pacjenta, a nie dane osobowe osoby upoważnionej. Bo czy informacja o tym, że XY jest upoważniony do dostępu do dokumentacji medycznej Kowalskiego, pozwala na ustalenie tożsamości tego XY? Ale jeżeli placówka zbiera sobie np. dodatkowo - prócz imienia i nazwiska osoby upoważnionej - jej adres, stopień pokrewieństwa z pacjentem, czy nr telefonu, to nie ma wątpliwości - to będą dane osobowe osoby upoważnionej.
Link do wypowiedziLink
Rafał Osajda

Rafał Osajda Specjalista,
administrator
bezpieczeństwa
informacji, inf...

Temat: obowiązek informacyjny wobec osób upoważnionych

a może zastosować wyjątek z art 25 ust. 2 pkt 5?:

Art. 25. 1. W przypadku zbierania danych osobowych nie od osoby, której one dotyczą, administrator danych jest obowiązany poinformować tę osobę, bezpośrednio po utrwaleniu zebranych danych, o:
1) adresie swojej siedziby i pełnej nazwie, a w przypadku gdy administratorem danych jest osoba fizyczna - o miejscu swojego zamieszkania oraz imieniu i nazwisku,
2) celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych,
3) źródle danych,
4) prawie dostępu do treści swoich danych oraz ich poprawiania,
5) o uprawnieniach wynikających z art. 32 ust. 1 pkt 7 i 8.
2. Przepisu ust. 1 nie stosuje się, jeżeli:
1) przepis innej ustawy przewiduje lub dopuszcza zbieranie danych osobowych bez wiedzy osoby, której dane dotyczą,
2) (uchylony),
3) dane te są niezbędne do badań naukowych, dydaktycznych, historycznych, statystycznych lub badania opinii publicznej, ich przetwarzanie nie narusza praw lub wolności osoby, której dane dotyczą, a spełnienie wymagań określonych w ust. 1 wymagałoby nadmiernych nakładów lub zagrażałoby realizacji celu badania,
4) (uchylony),
5) dane są przetwarzane przez administratora, o którym mowa w art. 3 ust. 1 i ust. 2 pkt 1, na podstawie przepisów prawa,
6) osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.

Wydaje mi się że są przetwarzane na mocy prawa wiec, można go zastosować.


§ 8. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu osoby bliskiej do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą, albo oświadczenie o braku takiego upoważnienia;
Rafał Osajda edytował(a) ten post dnia 18.12.12 o godzinie 09:07
Link do wypowiedziLink

konto usunięte

Temat: obowiązek informacyjny wobec osób upoważnionych

Wyjątek stosuje się tylko do pewnej grupy administratorów danych, proszę spojrzeć do przepisu. Poza tym w mojej ocenie nie zachodzi sytuacja, gdy dane są przetwarzane na podstawie przepisów prawa - w tym przepisie nie o to chodzi.
Link do wypowiedziLink
Rafał Osajda

Rafał Osajda Specjalista,
administrator
bezpieczeństwa
informacji, inf...

Temat: obowiązek informacyjny wobec osób upoważnionych

Na pewno? par. 8 wskazuje wprost że takie dane mają być w dokumentacji przetwarzane. Rozporządzenie określa kto ma je prowadzić (nakłada obowiązek prowadzenie takiej dokumentacji) itd.

Wiec mamy spełnioną przesłankę: że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.



"Komentowany przepis dopuszcza przetwarzanie danych, przewidując dwa istotne wymogi:

1)  istnienie odpowiedniego przepisu prawa, który przyznaje podmiotowi uprawnienie lub nakłada na niego obowiązek, oraz

2)  niezbędność przetwarzania danych do zrealizowania tego uprawnienia lub spełnienia obowiązku wynikającego z tego przepisu.

Wymogi te powinny być spełnione łącznie".



Źródło: Ochrona danych osobowych - komentarz - art 23 aut. Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz - LEX 2011


co do art 3 odo:


art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,

Struktura placówek służby zdrowia jest taka, że zawsze podpadną pod którąś z tych definicji. Bo albo np samorządy są jej założycielami albo funkcjonują jako prywatne zakłady opieki zdrowotnej i realizują zadania publiczne. Ciekawa jest literatura art. 4 Ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej - co należy uznać za podmiot leczniczy.

wiec po prostu zastosowałbym ten wyjątek do obowiązku art. 25.Rafał Osajda edytował(a) ten post dnia 18.12.12 o godzinie 10:30
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: obowiązek informacyjny wobec osób upoważnionych

Panie Pawele, wydaje mi się, że w grupie administratorów określonej w art. 3 UODO mieszczą się ZOZy i publiczne i niepubliczne.

Pan Rafał na końcu swojego wpisu wskazał podstawę prawną zbierania tych danych - fragment z rozporządzenia MZ z dnia 21.12.2010 w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania:

§ 8. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu osoby bliskiej do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą, albo oświadczenie o braku takiego upoważnienia;

Czyli wygląda mi na to, że jednak takie zbieranie danych osób upoważnionych bez informowania jest dopuszczalne.

PS. Pan Rafał wyprzedził mnie z odpowiedzią :)Marek P edytował(a) ten post dnia 18.12.12 o godzinie 10:07
Link do wypowiedziLink
Filip Turyk

Filip Turyk właściciel, Idcon
ochrona danych
osobowych

Temat: obowiązek informacyjny wobec osób upoważnionych

A ja jednak skłaniałbym się do twierdzenia, iż dane osób upowaznionych (niewątpliwe będących danymi osobowymi - a to ze względu na to, iż są pobierane włąsnie w celu identyfikacji osób mających wgląd w dokumentację medyczną) stanowią częśc dokumentacji medycznej pacjenta. No chyba, że placówka medyczna tworzy jakiś odrębny rejestr osób upowaznionych ale to byłby zabieg zgoła bezcelowy.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj