Dane wrażliwe – czym są?
Potrzeba ochrony pewnych informacji ze sfery prywatności skłoniła ustawodawcę do stworzenia katalogu danych wrażliwych. Dane te – wyszczególnione w art. 27 ust. 1 ustawy o ochronie danych osobowych – tworzą katalog zamknięty i obejmują między innymi kwestie dotyczące stanu zdrowia, kodu genetycznego czy nałogów. Ustawa nie zabrania przetwarzania danych medycznych, ale wskazuje, iż administrator takich danych ma obowiązki związane z ich zabezpieczeniem.
Ochrona danych osobowych
Na podstawie art. 36 ustawy o ochronie danych osobowych administrator danych (czyli podmiot, który decyduje o celach i metodach przetwarzania danych osobowych) jest obowiązany zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną.
Obecnie większość danych osobowych przetwarzana jest w formie cyfrowej. Dlatego też, szczegółowe określenie obowiązków, jakie musi spełniać dokumentacja przetwarzania danych osobowych oraz jakie powinny być stosowane środki i warunki techniczne związane z przetwarzaniem e-danych, reguluje Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z dnia 1 maja 2004 roku).
Zobacz też: Jakiej odpowiedzialności podlega lekarz?
Zadania administratora danych
Administrator wrażliwych danych osobowych powinien przede wszystkim wskazać przesłankę, która usprawiedliwia przetwarzanie danych wrażliwych (bez względu czy będzie to zgoda osoby zainteresowanej, przepis prawa, czy też przetwarzanie w celach świadczenia usług medycznych – przesłanki te określone są w art. 27 ust. 2 ustawy o ochronie danych osobowych). Ponadto, administrator danych powinien zarejestrować zbiór danych do GIODO i przetwarzać je dopiero po zarejestrowaniu takiego zbioru (chyba, że ustawa zwalnia go z takiej rejestracji). Jak każdy administrator danych, tak i administrator danych wrażliwych, musi prowadzić pisemną dokumentację, która opisywać będzie sposób przetwarzania danych oraz środki zabezpieczające dane osobowe. Dokumentacja ta obejmuje politykę bezpieczeństwa oraz instrukcję zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych.
Bezpieczne przetwarzanie danych
Z uwagi na przetwarzanie on-line lub użycie systemów informatycznych, administrator danych powinien wprowadzić odpowiednie poziomy bezpieczeństwa przetwarzania wrażliwych danych osobowych (poziomu co najmniej podwyższonego albo wysokiego) oraz wdrożyć odpowiednie środki bezpieczeństwa na każdym z tych poziomów. Konieczne jest, aby administrator danych wyznaczył ABI – administratora bezpieczeństwa informacji, w celu nadzorowania zasad ochrony. Administratorem bezpieczeństwa informacji może być sam administrator danych – musi być to jednak osoba fizyczna. Oprócz tego, administrator danych nadaje upoważnienia przetwarzania danych osobowych – do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające takie upoważnienie.
Zobacz też: Jakie odszkodowanie możemy uzyskać od szpitala?
Do jego zadań należy również zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu są przekazywane. Obowiązkiem administratora danych jest także prowadzenie ewidencji osób upoważnionych do przetwarzania danych, w której powinny znajdować się imię i nazwisko osoby upoważnionej, data nadania i ustania upoważnienia oraz jego zakres, a także w przypadku przetwarzania danych osobowych – identyfikator.
Dodatkowo z ustawy wynika, że administrator danych powinien dopełnić obowiązki informacyjne określone w art. 24 lub 25 ustawy, czyli w szczególności powinien poinformować o nazwie, adresie, celu zbierania danych, ich odbiorcach, prawie dostępu do danych i prawie do ich poprawiania, a także o dobrowolności albo obowiązku ich podania.
Administrator danych powinien ze szczególną starannością chronić interesy osób, których dane dotyczą.
Należy podkreślić, że przetwarzanie danych wrażliwych wymaga spełnienia szeregu obowiązków od administratora danych. Dane wrażliwe mogą być bowiem przedmiotem zainteresowania wielu firm z bardzo różnych sektorów – dlatego właśnie administrator danych powinien dopełnić szczególnej staranności przy przetwarzaniu takich danych.
Uwaga! Powyższa porada jest jedynie sugestią i nie może zastąpić wizyty u specjalisty. Pamiętaj, że w przypadku problemów ze zdrowiem należy bezwzględnie skonsultować się z lekarzem!
