Zakład opieki zdrowotnej jest wyodrębnionym organizacyjnie zespołem osób i środków majątkowych, utworzonym i utrzymywanym w celu udzielania świadczeń zdrowotnych i promocji zdrowia. Katalog jednostek będących ZOZ-ami przedstawiony jest w ustawie z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej (DzU nr 91, poz. 408 ze zm.; patrz ramka: "Co jest ZOZ-em"). Katalog jednostek jest dość długi i jak widać, nie ogranicza się tylko do znanych nam z życia codziennego szpitali i przychodni. Co istotne, każda z tych placówek, w myśl art. 7 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, staje się również Administratorem Danych - czyli podmiotem "decydującym o celach i środkach przetwarzania danych osobowych".

Prawo do przetwarzania

Jeśli któryś z wymienionych podmiotów świadczył bądź nadal świadczy na rzecz statystycznego Kowalskiego usługi zdrowotne, staje się podmiotem, w którym przetwarzane są dane osobowe na podstawie odrębnej ustawy. W tym szczególnym wypadku ZOZ nie musi (choć może) dysponować upoważnieniami do zbierania i przetwarzania danych osobowych, ponieważ gromadzenie "jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego" (art. 23 pkt 4 uodo - DzU z 1997 roku nr 133, poz. 883 ze zm.).

Dokumentacja medyczna, która zawiera co najmniej oznaczenie pacjenta, pozwalające na ustalenie jego tożsamości, oznaczenie zakładu opieki zdrowotnej ze wskazaniem komórki organizacyjnej zakładu, w której udzielono świadczeń zdrowotnych, opis stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych oraz datę sporządzenia, jest niezbywalnym elementem działalności każdego ZOZ-u, bowiem zgodnie z ustawą o ZOZ "zakład opieki zdrowotnej jest obowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu".

Jak każdy inny podmiot, również ZOZ zobligowany jest do zapewnienia ochrony danych zawartych w dokumentacji, szczególnie ze względu na fakt, że zawiera ona tzw. dane sensytywne, czyli "opis stanu zdrowia pacjenta (…) lub udzielonych mu świadczeń zdrowotnych". W Polsce, zgodnie z ustawą o ochronie danych osobowych, obowiązuje zakaz przetwarzania danych wrażliwych. Ustawodawca przewidział jednak od tej zasady kilka wyjątków: i tak np. podstawą prawną dla ZOZ-ów są zapisy mówiące o tym, że przetwarzanie danych wrażliwych jest jednak dopuszczalne, o ile: "jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych", gdy "przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony" lub po prostu w przypadku gdy "osoba, której dane dotyczą, wyrazi na to zgodę na piśmie" (art. 27 uodo). Z zapisów tych wynika więc jasno, że ZOZ-y z samej istoty swojej działalności mają prawo do przetwarzania danych wrażliwych.

Udostępnianie

Do jednostek służby zdrowia co tydzień wpływa wiele wniosków o udostępnienie danych ze zbioru danych osobowych.

[...]

Autor jest Administratorem Bezpieczeństwa Informacji w dużej jednostce służby zdrowia. Prowadzi także stronę internetową poświęconą tematyce ochrony danych osobowych.