Czym są dane biometryczne?
Dane biometryczne to kategoria danych osobowych, które coraz częściej pojawiają się w zakresie świadczenia usług medycznych.
Za biometrię uważa się „zbiór technik, służących pomiarom cech fizycznych i behawioralnych człowieka w celu automatycznego rozpoznania danej osoby, czyli potwierdzenia lub odrzucenia jej tożsamości dla celów bezpieczeństwa” (Grażyna Szpor, „Internet. Ochrona wolności, własności i bezpieczeństwa.”, C.H. Beck 2011, s. 246-251).
Biometrię można zdefiniować więc jako metodę automatycznej identyfikacji osobistej, opartej na pewnych cechach fizycznych czy też behawioralnych człowieka. Cechy te, to właśnie dane biometryczne, do których obecnie zalicza się również takie dane, jak EEG, ECG, identyfikację DNA, linie papilarne, cechy tęczówki oka i tym podobne. Wiele z tych cech jest dziś wykorzystywanych przy świadczeniu usług medycznych – będą stanowiły więc swoiste „medyczne dane osobowe”. Oczywiście, żebyśmy mogli mówić o cechach biometrycznych jako o danych osobowych, należy wskazać, iż cechy te muszą w sposób bezpośredni lub pośredni wskazywać tożsamość danej osoby. W większości przypadków w przychodniach, szpitalach czy zakładach opieki zdrowotnej będą to więc dane osobowe. Przychodnia będzie dysponowała nie tylko takimi danymi jak cecha tęczówki oka, lecz również informacją, jakiego pacjenta owa cecha dotyczy. Tym samym tożsamość danego pacjenta będzie możliwa do ustalenia.
Zobacz też: Nic o mnie beze mnie - co powinno się zmienić w służbie zdrowia?
Dane biometryczne jako dane wrażliwe
Ustawa o ochronie danych osobowych wskazuje wśród grupy danych wrażliwych między innymi dane o kodzie genetycznym, co wskazuje, że dane biometryczne w większości przypadków będą traktowane jako dane wrażliwe. Co to oznacza w praktyce?
Przede wszystkim, przy przetwarzaniu tego typu danych będzie stosowany albo podwyższony poziom zabezpieczania danych biometrycznych (jeśli żaden z komputerów przetwarzających dane biometryczne nie będzie podłączony do sieci publicznej), albo poziom wysoki (jeśli co najmniej jeden komputer będzie podłączony do sieci publicznej).
Administrator danych osobowych będzie miał szereg obowiązków związanych z zabezpieczeniem tych danych. Należą do nich: wydawanie upoważnień dla osób przetwarzających dane, wyznaczenie administratora bezpieczeństwa informacji oraz wdrożenie odpowiednich procedur, polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, jeśli dane osobowe będą w nim przetwarzane.
Kiedy szpital może przetwarzać dane osobowe?
Jak każdy administrator danych, administrator danych biometrycznych, jakim będzie przychodnia czy szpital, będzie musiał wskazać przesłankę, na podstawie której przetwarza dane osobowe. Jeśli uznamy, że dane biometryczne będą danymi wrażliwymi – a z definicji danych wrażliwych wynika, że za takie dane można uznać na przykład informacje o kodzie genetycznym – wówczas przesłanką może być art. 27 ust. 2 pkt 7 ustawy o ochronie danych osobowych. Artykuł ten stwierdza, że dane mogą być przetwarzane w celu: ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby, które trudnią się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych.
Polecamy: Co grozi za ujawnienie danych wrażliwych - odpowiedzialność cywilna
Ochrona danych osobowych
W przypadku przetwarzania danych wrażliwych administrator danych winien przestrzegać i chronić interesy osób, których dane te dotyczą. Dane osobowe (w tym dane biometryczne), na mocy art. 26 ustawy o ochronie danych osobowych muszą być:
- przetwarzane zgodnie z prawem;
- zbierane dla oznaczonych, zgodnych z prawem celów i nie są poddawane dalszemu przetwarzaniu, które niezgodne jest z tymi celami. Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane, jest dopuszczalne tylko wtedy, gdy nie narusza praw i wolności osoby, której dane te dotyczą, oraz następuje na przykład w celach badań naukowych;
- merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane;
- przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.
Pamiętać należy, że każdemu przysługuje prawo do ochrony danych, a ich przetwarzanie może odbywać się tylko w zgodzie z ustawą o ochronie danych osobowych.
Na zakończenie warto jeszcze dodać, że zgodnie z najnowszą ustawą o systemie informacji w ochronie zdrowia, wszelka dokumentacja medyczna od dnia 1 sierpnia 2014 roku będzie musiała być prowadzona w formie elektronicznej (do tej daty możliwa jest jeszcze dokumentacja w formie papierowej).
Uwaga! Powyższa porada jest jedynie sugestią i nie może zastąpić wizyty u specjalisty. Pamiętaj, że w przypadku problemów ze zdrowiem należy bezwzględnie skonsultować się z lekarzem!