Dane wrażliwe w placówkach medycznych
Dane wrażliwe – do których należą między innymi dane o stanie zdrowia, nałogach oraz kodzie genetycznym – będą często przetwarzane przez podmioty świadczące usługi medyczne. Warto pamiętać, że przy przetwarzania tego typu danych administrator danych ma różnego rodzaju obowiązki w szczególności związane z zabezpieczaniem tego typu danych.
Odpowiedzialność karna
Ustawa o ochronie danych osobowych wprowadza przepisy wskazujące na zakres odpowiedzialności karnej. Przede wszystkim ustawa stanowi, iż kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2 (art. 49 ust. 1 ustawy o ochronie danych osobowych).
Za nieuprawnione przetwarzanie danych wrażliwych (w tym o stanie zdrowia, kodzie genetycznym nałogach czy życiu seksualnym) grozi wyższa kara, a mianowicie kara pozbawienia wolności do lat 3.
Przetwarzanie danych osobowych
Przesłanką do przetwarzania danych osobowych o stanie zdrowia będzie najczęściej art. 27 ust. 2 pkt 7 ustawy zgodnie z którym, przetwarzanie takich danych jest dopuszczalne, jeżeli są stworzone pełne gwarancje ochrony danych osobowych i przetwarzanie jest prowadzone w celu:
- ochrony stanu zdrowia;
- świadczenia usług medycznych;
- leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych;
- zarządzania udzielaniem usług medycznych.
Naruszenie ochrony danych osobowych
W kontekście przetwarzania danych wrażliwych niezwykle istotny jest również art. 51 i 52. Zgodnie z art. 51 ustawy, na karę pozbawienia wolności do lat 2 może być skazany ten, kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym. Ustawodawca posługuje się terminem „administrujący zbiorem danych”, co uważa się za termin szerszy niż administrator danych. Będzie to podmiot, który zarządza oraz zawiaduje zbiorem danych, w tym również taki, któremu powierzono przetwarzanie danych (zgodnie z art. 31 tej ustawy).
Kolejnym przestępstwem, które z punktu widzenia wrażliwych danych osobowych ma duże znaczenie, to przestępstwo określone w art. 52 ustawy o ochronie danych osobowych, w którym ustawodawca precyzuje, iż karze grzywny, ograniczenia wolności lub pozbawienia wolności do roku podlega ten, kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.
Polecamy: Jakie odszkodowanie możemy uzyskać od szpitala?
W tym przepisie pojawia się więc kolejny (obok administratora danych i administrującego zbiorem danych) termin administrującego danymi. Te trzy pojęcia nie są tożsame, a ustawa zawiera definicję legalną jedynie administratora danych (jako podmiotu decydującego o celach i środkach przetwarzania danych osobowych). Administrujący danymi osobowymi to podmiot, który zarządza danymi. Co ważne, dane te nie muszą być – tak jak w przypadku art. 51 ustawy o ochronie danych osobowych – zawarte w zbiorach danych.
Kto jest odpowiedzialny za ochronę danych?
Występek z art. 52 ustawy o ochronie danych osobowych popełnić może każda osoba, która administruje danymi i jednocześnie, mając dostęp do tych danych, nie zabezpiecza ich w odpowiedni sposób. Pamiętać przy tym należy, że zgodnie z art. 36 ustawy o ochronie danych osobowych administrator danych ma obowiązek zastosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem.
Zobacz też: Jakiej odpowiedzialności podlega lekarz?
Dane wrażliwe a kodeks karny
Przestępstwa dotyczące danych osobowych spenalizowane są również w kodeksie karnym. Zgodnie z art. 267 §1-3 kodeksu karnego karze grzywny, karze ograniczenia wolności albo pozbawienia wolności do lat 2 polega:
- kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie;
- kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego;
- kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
Zgodnie zaś z § 4 art. 267 k.k. karze grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2 podlega także ten, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
Natomiast art. 268a § 1 k.k. stwierdza, że karze pozbawienia wolności do lat 3 podlega ten, kto nie będąc do tego uprawnionym niszczy, uszkadza, usuwa, zmienia lub utrudnia dostęp do danych informatycznych albo w istotnym stopniu zakłóca lub uniemożliwia automatyczne przetwarzanie, gromadzenie lub przekazywanie takich danych.
Uwaga! Powyższa porada jest jedynie sugestią i nie może zastąpić wizyty u specjalisty. Pamiętaj, że w przypadku problemów ze zdrowiem należy bezwzględnie skonsultować się z lekarzem!
