W związku z wejściem w życie Ogólnego rozporządzenia o ochronie danych (Dz. U. UE L 2016Nr 119 poz. 1, dalej: RODO) w większości podmiotów leczniczych wprowadzono środki mające na celu zapewnić zgodność przetwarzania danych osobowych z obowiązującymi w tym zakresie przepisami.  Praktyka, w tym doświadczenie naszej Kancelarii wskazują, iż w pierwszej kolejności zainteresowane podmioty skupiają się na zapewnieniu poufności danych. W tym celu podejmują środki utrudniające nieuprawniony dostęp do danych osobowych, w szczególności poprzez odpowiednią organizację pracy i stosowną konfigurację systemów informatycznych. Nie mniej istotne z punktu widzenia RODO pozostaję jednak zapewnienie integralności i dostępności danych osobowych.

Zgodnie z art. 6 ust. 1 lit. f RODO dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”). O ile ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem należy traktować jako środki służące zachowaniu poufności danych, o tyle przez integralność danych należy uznać ich właściwość polegającą  na niedopuszczeniu do przypadkowej utraty, zniszczenia lub uszkodzenia danych osobowych. Innymi słowy naruszeniem integralności będzie każdy przypadek, gdy dane osobowe zostaną przypadkowo zniszczone, lub też zniekształcone. Do przypadków tych należy więc zaliczyć szeroką gamę zdarzeń od np. omyłkowego wrzucenia dokumentu do niszczarki po awarię serwera, na którym zapisywane były dane osobowe.

Ochrona integralności danych ma szczególne znaczenie w podmiotach leczniczych. Utrata danych zawartych w dokumentacji medycznej może bowiem utrudnić prawidłową kontynuację świadczeń zdrowotnych udzielanych pacjentowi. Z tego też względu należy podjąć wszelkie środki mające zabezpieczyć dane przed ich utratą lub uszkodzeniem.

Istotnym problemem jest przede wszystkim ochrona danych przetwarzanych cyfrowo. Do utraty lub uszkodzenia danych mogą bowiem doprowadzić różnego rodzaju awarie: mechaniczne uszkodzenia sprzętu, wirusy komputerowe, awarie prądu, itp. Z tego też względu każdy podmiot leczniczy przetwarzający dane osobowe w formie cyfrowej powinien zabezpieczyć się na wypadek takich zdarzeń. Oprócz środków zmierzających do minimalizacji poszczególnych zagrożeń (np. zasilacze UPS na wypadek awarii sieci elektrycznej, oprogramowanie antywirusowe, itp.) powinien sporządzać kopie zapasowe danych zawartych w dokumentacji medycznej. Pozwoli to bowiem odtworzyć dane nawet w wypadku gdy zawiodą inne zabezpieczenia.

Radca prawny, Zabrze dnia 8 czerwca 2019 r.