Odliczamy do RODO

Czy szpital, oddając wzięty w dzierżawę sprzęt medyczny, ponosi odpowiedzialność za nie usunięcie z jego pamięci elektronicznej danych osobowych pacjentów?

Metadane
Podmiot udostępniający: Zespół Rzecznika Prasowego Biura GIODO
Wytworzył informację: Małgorzata Kałużyńska-Jasak
Wprowadził‚ informację: Rafał Kreusch 2010-02-02 08:48:01
Ostatnio modyfikował: 2013-11-28 12:56:59

Odpowiedź

Tak, gdyż szpital, jako administrator danych osobowych swoich pacjentów, ma obowiązek zabezpieczyć dane m.in. przed ich udostępnieniem osobom nieupoważnionym.

Uzasadnienie

Zgodnie z art. 36 ust. 1 ustawy o ochronie danych osobowych, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z  naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. A zatem ustawa o ochronie danych osobowych zobowiązuje do dbałości o dane osobowe. Z jej przepisów wynika, iż należy tak wykorzystywać dane osobowe, aby były one bezpieczne. Wybór odpowiednich środków gwarantujących przetwarzanym danym optymalny stopień ich zabezpieczenia pozostawia jednak do uznania konkretnemu administratorowi, który wykorzystuje dane osobowe.

Badania wykonywane przez szpital za pomocą różnych urządzeń medycznych wiążą się z przetwarzaniem danych osobowych pacjentów. Często są to badania zlecane różnym podmiotom zewnętrznym, np. badania densytometryczne w kierunku wykrycia osteoporozy. Dane osobowe pacjentów wprowadzane są do różnych systemów komputerowych oraz pobierane za pomocą różnych urządzeń, np. urządzenia densytometrycznego. Szpital często użytkuje aparaturę medyczną na podstawie umowy dzierżawy zawieranej  z firmami zewnętrznymi. Po upływie terminu, na jaki została zawarta umowa dzierżawy, wykorzystywany sprzęt musi być oddany, a  wówczas dane osobowe zapisane w pamięci elektronicznej urządzeń medycznych muszą być usunięte. Odpowiedzialność za to ponosi szpital, jako administrator danych pacjentów. Z czynności usunięcia (zniszczenia) danych osobowych powinien być sporządzony protokół usunięcia danych i przechowywany w archiwum dokumentacji szpitalnej.

Ustawa o ochronie danych osobowych wprowadziła odpowiedzialność karną administratora danych za umożliwienie dostępu do danych osobom nieupoważnionym, za uszkodzenie danych lub ich zniszczenie. Jest to kara grzywny, ograniczenia wolności lub pozbawienia wolności do 2 lat.

Serwisy GIODO:

Ostatnie aktualności