Zdrowie
Czy dane osobowe pacjentów (dane wrażliwe) muszą być zgłoszone do rejestru GIODO?

Czy dane osobowe pacjentów (dane wrażliwe) muszą być zgłoszone do rejestru GIODO?

Prawo.pl

Aktualności

Data dodania: 23.04.2015

Pytanie pochodzi z publikacji Serwis Prawo i ZdrowieCzy dane osobowe pacjentów przetwarzane na podstawie art. 27 ustawy o ochronie danych osobowych muszą być zgłoszone do rejestru GIODO?Z art. 43 ust. 1 pkt 5 ustawy o ochronie danych osobowych wynika, że z rejestracji zwolnione są bazy danych tworzone w związku z udzielaniem świadczeń medycznych, zaś w art. 43 ust. 1 pkt 12 ustawy zapisano, że z obowiązku rejestracji zwolnieni są administratorzy danych przetwarzanych w zbiorach, które nie są elektroniczne, ale z wyjątkiem tych, o których mowa w art. 27 ust. 1 (czyli dane wrażliwe). Dodatkowo z art. 43 ust. 1a ustawy o ochronie danych osobowych można przeczytać, że obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1 ustawy, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2 ustawy. Z tego wynika, że zbiór danych medycznych (niezależnie od tego czy papierowy, czy elektroniczny) powinien być jednak zarejestrowany.Czy to poprawna interpretacja?

Odpowiedź:
Podmioty lecznicze prowadzące zbiory danych pacjentów, obejmujących wrażliwe dane medyczne, na podstawie art. 43 ust. 1 pkt 5 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm.) - dalej u.o.d.o., nie podlegają obowiązkowi rejestracji. Takie stanowisko jest przyjmowane powszechnie, również przez GIODO.
Uzasadnienie:
W odniesieniu do podmiotów leczniczych, świadczących usługi medyczne i prowadzących zbiory danych osobowych, w tym medycznych, pacjentów, którzy z tychże usług korzystają, zastosowanie znajduje wyłącznie wskazany wcześniej art. 43 ust. 1 pkt 5 u.o.d.o., zgodnie z którym z obowiązku rejestracji zbioru danych zwolnieni są między innymi, administratorzy danych dotyczących osób korzystających z ich usług medycznych. Taką interpretację przyjmuje również GIODO. Interpretacja przedstawiona przez pytającego jest zbyt szeroka i obejmuje co do zasady przepisy, które swoim zakresem podmiotowym nie obejmują podmiotów wykonujących działalność leczniczą i tym samym nie mają w stosunku do nich zastosowania.

Maciej Łokaj, autor współpracuje z Serwisem Prawo i Zdrowie
Odpowiedzi udzielono 20.04.2015 r.

Aktualności

Data dodania: 2015-04-23

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome