Dane o stanie zdrowia to szczególny rodzaj danych osobowych. Ich przetwarzanie powinno odbywać się w granicach określonych w przepisach.
Zgodnie z artykułem 9 Rozporządzenia RODO Przetwarzanie szczególnych kategorii danych osobowych
„1. Zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
2. Ust. 1 nie ma zastosowania, jeżeli spełniony jest jeden z poniższych warunków:
a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w ust. 1;
b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą;
c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą;
e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą;
f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osoób, których dane dotyczą, w szczególności tajemnicę zawodową;
j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.
3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez – lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
4. Państwa członkowskie mogą zachować lub wprowadzić dalsze warunki, w tym ograniczenia w odniesieniu do przetwarzania danych genetycznych, danych biometrycznych lub danych dotyczących zdrowia.”
Nie każdy podmiot ma podstawę prawną do tego aby takie dane przetwarzać dlatego bardzo ważna jest dokumentacja i odpowiednio przygotowany proces w tym zakresie, który jest poprzedzony analizami oraz szacowaniem ryzyka czy chociażby wagę odpowiednich narzędzi bezpieczeństwa.
Przykłady danych o stanie zdrowia:
- Wyniki badań: badania krwi, tomografia komputerowa, rezonans magnetyczny itp.
- Diagnozy: choroby, urazy, alergie
- Leczenie: przyjmowane leki, przebyte operacje
- Historia medyczna: informacje o wcześniejszych chorobach i zabiegach
- Dane genetyczne: informacje o kodzie genetycznym człowieka
Dlaczego dane o stanie zdrowia są ważne?
- Ochrona prywatności: Informacje o zdrowiu są niezwykle wrażliwe i powinny być chronione przed niepowołanym dostępem.
- Zaufanie: osoby przekazujące dane o stanie zdrowia muszą mieć pewność, że ich dane medyczne są bezpieczne, aby mogli swobodnie korzystać z usług
- Prawa człowieka: Prawo do ochrony zdrowia i prywatności jest fundamentalnym prawem człowieka.
Jak zabezpieczać dane o stanie zdrowia?
- Pseudonimizacja i szyfrowanie: Dane powinny być przetwarzane w sposób, który uniemożliwia bezpośrednie powiązanie ich z konkretną osobą.
- Ograniczenie dostępu: Dostęp do danych o stanie zdrowia powinien być ograniczony tylko do osób upoważnionych.
- Środki techniczne: Należy stosować odpowiednie środki techniczne, takie jak firewalle, systemy wykrywania włamań, dodatkowe środki ochrony wskazane systemów informatycznych mających za zadanie ochronę tego rodzaju danych oraz oprogramowanie antywirusowe. Regularne weryfikoanie, testowanie oprogramowania, w tym procedur systemów informatycznych, kontrola dostepu do danych soobowych, po rozwiązaniu umowy z pracownikiem/zlecenobiorcą itd dostęp do systemów informatycznych oraz dokumentacji powinien być odebrany. Wprowadzenie odpowiednich rozwiązań mających na celu ochronę przed nieuprawnionym dostępem osób trzecich.
- Procedury bezpieczeństwa: Powinny zostać opracowane szczegółowe procedury dotyczące przetwarzania i ochrony danych osobowych.
- Świadomość pracowników: Pracownicy powinni być regularnie szkoleni w zakresie ochrony danych osobowych.
- Umowy powierzenia przetwarzania danych: W przypadku powierzania przetwarzania danych zewnętrznym podmiotom, takim jak np. księgowa, firmy hostingowe, firmy świadczące usługi marketingowe należy zawrzeć odpowiednie umowy.
Jeżeli takie dane osobowe są zbierane przez stronę internetową, sklep internetowy wówczas taka strona czy sklep powinny być w sposób szczególny zabezpieczone przed włamaniem i regularnie stosowane pownny być narzędzia detekcji.
Podsumowanie
Dane o stanie zdrowia są szczególnie wrażliwe i wymagają najwyższej ochrony. Samo posiadanie antywirusa nie jest wystarczające. RODO wprowadza szereg obowiązków dla administratorów danych, które mają na celu zapewnienie bezpieczeństwa tych danych. Przestrzeganie tych przepisów jest niezwykle ważne zarówno dla ochrony praw pacjentów, jak i dla zapewnienia zaufania do systemu opieki zdrowotnej.
______________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podsatwie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych. W tym celu skontaktuj się ze specjalistą w danej dziedzinie.