Kategoria: podmiot leczniczy Strona 1 z 2

Nowe obowiązki podmiotów leczniczych dotyczące ochrony małoletnich

Dzisiejszy wpis pewnie zainteresuje głównie osoby wchodzące w skład organu zarządzającego placówką medyczną, do której uczęszczają albo w której przebywają lub mogą przebywać małoletni, i organizatorów działalności medycznej. Na te bowiem podmioty zostały nałożone nowe obowiązki prawne, które będą obowiązywały już za 2 dni bo 15 lutego. Tego bowiem dnia wchodzą w życie nowe przepisy dotyczące ochrony małoletnich.

Na organy zarządzające placówkami medycznymi nałożono obowiązek wprowadzenia standardów ochrony małoletnich. Standardy te mają uwzględniać w szczególności zasady zapewniające bezpieczne relacje między małoletnim a personelem placówki lub organizatora, a w szczególności zachowania niedozwolone wobec dzieci, sposoby dokumentowania incydentów lub zdarzeń zagrażających małoletnim. Ponadto, podmiot medyczny winie ustanowić procedury interwencyjne podejmowane w sytuacji podejrzenia krzywdzenia lub posiadania informacji o krzywdzeniu małoletniego. Dotyczy to zdarzeń nie tylko w placówce, ale też np. w miejscu zamieszkania dziecka. Podmiot powinien upoważnić konkretne osoby do składania zawiadomień o popełnieniu przestępstwa przeciwko małoletniemu, zawiadamiania sądów opiekuńczych oraz wszczynania procedury ,,Niebieskiej Karty”. Personel placówki powinien zostać przez osobę upoważnioną przeszkolony w sposób odpowiedni jak wdrożyć, stosować i dokumentować zdarzenia, zgodnie z ustalonymi standardami oraz jak realizować zasady ustalania planu wsparcia małoletniego, po ujawnieniu krzywdzenia.

W sposób szczególny należy uregulować również opiekę i leczenie osób z niepełnosprawnościami. Ustawodawca nakłada na organy zarządzające obowiązek co najmniej raz na dwa lata dokonywać oceny standardów w celu zapewnienia ich dostosowania do aktualnych potrzeb oraz zgodności z obowiązującymi przepisami. 

Kolejny rodzaj obowiązków nałożonych przez ustawodawcę, m.in. na placówki medyczne, dotyczy ich roli pracodawcy. Jako pracodawca, organ zarządzający będzie zobowiązany do sprawdzenia przed nawiązaniem stosunku pracy lub przed dopuszczeniem osoby do działalności związanej z leczeniem i opieką, do uzyskania informacji czy dane tej osoby są zamieszczone w rejestrze sprawców przestępstw na tle seksualnym. Chodzi tu dokładnie o rejestr z dostępem ograniczonym lub rejestr osób, w stosunku do których Państwowa Komisja do spraw przeciwdziałania wykorzystaniu seksualnemu małoletnich poniżej lat 15, wydała postanowienie o wpisie w Rejestrze. Pracodawca uzyskuje te dane w sposób ograniczony, nieodpłatnie i jest bezwzględnie zobowiązany do wykorzystywania tych danych tylko w celu prowadzonego procesu rekrutacji.

Ponadto, osoba ubiegająca się np. o stanowisko pediatry, będzie zobowiązana do przedstawienia informacji z krajowego rejestru karnego, w zakresie czy nie była karana za przestępstwa seksualne lub odpowiadające im czyny zabronione określone w kodeksie karnym. Co więcej, jeśli lekarz będzie narodowości innej niż polska, wówczas jest obowiązany dostarczyć pracodawcy informację z rejestru karnego państwa obywatelstwa, uzyskiwaną do celów działalności zawodowej lub wolontariackiej, związanej z kontaktami z dziećmi. Kandydat do pracy został również zobowiązany do złożenia pracodawcy oświadczenia o państwie lub państwach, w których zamieszkiwał w ciągu ostatnich 20 lat, innych niż Rzeczpospolita Polska i państwo obywatelstwa oraz jednocześnie przedłożyć pracodawcy lub innemu organizatorowi informację z rejestrów karnych tych państw. Ustawa przewiduje również sposób działania, gdy dane państwo nie ma takiego rejestru. W takim przypadku należy opierać się na oświadczeniu kandydata o niekaralności, złożonym pod rygorem odpowiedzialności karnej za fałszywe oświadczenie.

Musicie wiedzieć, że ustawa wprowadza szereg przepisów karnych za niezastosowanie się do wyżej wymienionych regulacji. Dla przykładu, za niewprowadzenie standardów ochrony grozi kara grzywny, a za niedopełnienie obowiązków weryfikacji przed zatrudnieniem: kary aresztu, ograniczenia wolności albo grzywny nie niższej niż 1000 zł, nałożonych na osoby zobowiązane.

Zostało zatem niewiele czasu na dostosowanie do nowych przepisów.

 

Podstawa prawna:

Ustawa z dnia 13 maja 2016 r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (t.j. Dz. U. z 2023 r. poz. 1304 z późn. zm.)

Ustawa z dnia 28 lipca 2023 r. o zmianie ustawy – Kodeks rodzinny i opiekuńczy oraz niektórych innych ustaw (Dz. U. poz. 1606).

 

tekst powstał przy udziale Łukasza Kornickiego

FacebookLinkedInEmailPrint

Co każdy Pacjent może zrobić, jeśli obawia się, że jego dane medyczne stały się przedmiotem ataku hakerskiego?

W ostatnim wpisie wyjaśniłyśmy Wam, jak powinna zachować się placówka medyczna, gdy doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów. To teraz czas zastanowić się jakie uprawnienia mają w takiej sytuacji pacjenci i jakich konsekwencji prawnych może obawiać się podmiot leczniczy w związku z atakiem hakerskim, na dane osobowe pacjentów. Pytania te nie są wcale abstrakcyjne. Wiedza w tym zakresie z pewnością przyda się pacjentom jednego z laboratoriów, w których doszło do groźnego wycieku danych osobowych. W wyniku ataku hakerskiego RA World wykradziono według doniesień medialnych 55.089 wyników badań, zawierających ponad 12.000 danych osobowych takich jak imiona i nazwiska, numery PESEL, adresy zamieszkania. Powyższe informacje hakerzy publikują systematycznie domagając się wypłaty okupu od spółki. Sprawa ta stanowi poważne ryzyko dla pacjentów, ze względu na zagrożenia wynikające z przestępczego posługiwania się danymi do uzyskiwania wyłudzeń finansowych, logowania do serwisów i kont, nielegalnego upublicznienia danych wrażliwych, np. o stanie zdrowia.

W jaki sposób możemy więc sprawdzić czy nasze dane wyciekły do sieci internetowej?

W przypadku omawianej sytuacji, pod adresem: https://bezpiecznedane.gov.pl/ każdy pacjent, który korzystał w latach 2017-2023 z usług sieci laboratoriów powinien sprawdzić, czy padł ofiarą ataku. Może to wykonać poprzez logowanie na portalu bezpiecznedane.gov.pl, za pomocą profilu zaufanego lub aplikacji mObywatel. Pamiętajmy, że w serwisie znajdziemy tylko numery PESEL do tej pory upublicznione przez przestępców, należy więc sytuację monitorować na bieżąco i co jakiś czas ponownie sprawdzać.

Jakie uprawnienia przysługują pacjentowi w związku z wyciekiem danych medycznych?

Każdy pacjent może zgłosić do CERT Polska (Computer Emergency Response Team), czyli zespołu powołanego do reagowania na zdarzenia naruszające bezpieczeństwo w internecie przypadki wyłudzeń internetowych, złośliwego oprogramowania, prób włamań na konto pacjenta za pomocą formularza na stronie: incydent.cert.pl lub wiadomością e-mail- cert@cert.pl lub pod numerem +48 799 448 084.

Co z zastrzeżeniem numeru PESEL?

Za pomocą serwisu mobywatel.gov.pl pacjenci mają możliwość zastrzec numer PESEL w sekcji ,,Rejestr Zastrzeżeń PESEL” co utrudni przestępcze posługiwanie się danymi. Należy jednak pamiętać, że zgodnie z obowiązującymi przepisami, obowiązek sprawdzenia czy dany PESEL został zastrzeżony, banki i inne instytucje będą miały dopiero od 1 czerwca 2024 roku. Do tej pory należy liczyć się z ryzykiem wyłudzenia kredytu na fałszywe dane.

Serwis BIK

Każdy pacjent, który obawia się, że jego dane mogły dostać się w niepowołane ręce może zwrócić się do Serwis Biura Informacji Kredytowej, który umożliwia wykupienie usługi pozwalającej na ochronę przed wyłudzeniem poprzez raport BIK. Dzięki otrzymanemu Raportowi można sprawdzić, kto pytał o nasze dane osobowe oraz upewnić się, że nie ma się zobowiązań, o których nie wiadomo, czyli jednym słowem zweryfikować, czy nie jesteśmy dłużnikiem.

Odpowiedzialność karna

Warto wiedzieć, że bezprawne uzyskanie informacji (267 k.k.), niszczenie danych informatycznych (268a k.k.) oraz oszustwa komputerowe (287 k.k.)  stanowią przestępstwa, które w momencie wykrycia powinny być zgłoszone Policji lub Prokuraturze. Należy pamiętać, że są to przestępstwa ścigane na wniosek, co oznacza, że bez zgłoszenia organy ścigania nie rozpoczną właściwych procedur.

Odpowiedzialność cywilna

W poruszonym wyżej przypadku, sieć laboratoriów, o których jest teraz tak głośno, zgodnie z Rozporządzeniem o ochronie danych, ustaliła okoliczności zdarzenia, oceniła ryzyko jako wysokie, przekazała informację do UODO i CERT oraz poinformowała pacjentów o wycieku danych. Zadziałały mechanizmy przewidziane w Rozporządzeniu. Jednak należy podkreślić, że nadal sieć laboratoriów, jako administrator danych osobowych ponosi odpowiedzialność za przetwarzanie tych danych, które powinny być gromadzone zgodnie z zasadami bezpieczeństwa. W wyniku poniesionej szkody majątkowej lub upublicznienia informacji wrażliwych, poszkodowanym przysługuje dochodzenie roszczeń sądowych na drodze cywilnej oraz zgłoszenie do Prezesa UODO wniosku o wszczęcie postępowania na drodze administracyjnej. W wyniku stwierdzenia naruszenia przez Prezesa UODO, poszkodowany może również dochodzić roszczenia
o naprawienie szkody, którą poniósł w związku z wyciekiem danych stwierdzonych
w postępowaniu administracyjnym. Warto przypomnieć, że na drodze postępowania cywilnego w sprawach dotyczących naruszeń danych osobowych, ustawodawca przewidział w celu ochrony poszkodowanych odwrócony ciężar dowodu. To na administratorze spoczywa obowiązek udowodnienia przed sądem, że przetwarzał dane w sposób należyty, zgodnie z zasadami bezpieczeństwa. 

 

 

 

FacebookLinkedInEmailPrint

Jakie kroki prawne może podjąć placówka medyczna, jeśli doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów?

Zapewne słyszeliście, iż ponad tydzień temu w jednym z laboratoriów medycznych doszło do bezprawnego dostępu osób nieuprawnionych do danych osobowych pacjentów, w tym danych wrażliwych w postaci wyników badań laboratoryjnych.

W dużym skrócie doszło „po prostu” do ataku hakerskiego na bardzo dużą skalę. Taka sytuacja może spotkać każdą placówkę medyczną, każdy większy czy mniejszy podmiot leczniczy. Dlatego też warto wiedzieć, jakie należy podjąć kroki prawne, jeśli już do takiego naruszenia doszło.

Kwestię tę rozstrzyga wprost Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) w art. 33.

Jeśli uznamy, że taki atak skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych, np. właśnie pacjentów, czy też naszych pracowników bez zbędnej zwłoki – nie później niż w terminie 72 godzin od stwierdzenia naruszenia – należy zgłosić ten fakt do UODO.

W przytoczonym stanie faktycznym, nie mamy wątpliwości, iż istnieje duże ryzyko naruszenia praw lub wolności pacjentów, zatem zgłoszenie do UODO było konieczne.

Takie zgłoszenia musi co najmniej:

  1. opisywać charakter naruszenia ochrony danych osobowych.

Tutaj możemy wskazać, że np. doszło to nieuprawnionego pozyskania danych takich jak: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania, wynik badania laboratoryjnego.

  1. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  2. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

Przykładowo laboratorium, w naszym stanie faktycznym wskazało:

  • uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości,
  • uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie, potwierdzając swoją tożsamość za pomocą numeru PESEL,
  • korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom, których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa,
  • wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa,
  • zarejestrowanie przedpłaconej karty telefonicznej (prepaid), która może posłużyć do celów przestępczych.

4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

Ponadto podmiot leczniczy dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze, w taki sposób, aby dokumentacja ta pozwoliła organowi nadzorczemu zweryfikowanie przestrzegania podjętych działań wymaganych przez prawo.

Kolejnym bardzo ważnym krokiem jest poinformowanie samych pacjentów o takim naruszeniu bez zbędnej zwłoki.

Co istotne zawiadomienie to musi być przekazane jasnym i prostym językiem.

Poza opisaniem charakteru naruszenia, powinno zawierać przynajmniej:

  • dane inspektora danych osobowych lub innego punktu do kontaktu
  • informację o możliwych konsekwencjach naruszenia
  • opis podjętych środków zaradczych i tych proponowanych pacjentom w celu zminimalizowania ewentualnych negatywnych skutków naruszenia.

UWAGA

Jeśli takie zawiadomienie pacjentów wymagałoby niewspółmiernie dużego wysiłku, wówczas należy wydać publiczny komunikat lub zastosować podobny środek, za pomocą którego osoby, których dane dotyczą, zostaną poinformowane w równie skuteczny sposób.

A co powinniście zrobić w takiej sytuacji wy, lekarze jako pacjenci (bo chyba i wam zdarza się być pacjentem)? Czy przysługują wam jakieś roszczenia? Jakich konsekwencji prawnych może obawiać się podmiot leczniczy w związku z atakiem hakerskim na dane osobowe pacjentów?

O tym w kolejnym wpisie.

FacebookLinkedInEmailPrint

Co może lekarz w POZ i NŚPL po zmianie przepisów?

1 listopada 2023 r. weszło w życie Rozporządzenie Ministra Zdrowia z dnia 9 października 2023 r. zmieniające Rozporządzenie w sprawie świadczeń gwarantowanych z zakresu podstawowej opieki zdrowotnej. Przepisy obowiązują już ponad 3 tygodnie i wprowadziły zwiększenie zakresu badań, jakie będą mogli zlecać lekarze podstawowej opieki zdrowotnej oraz nocnej świątecznej pomocy lekarskiej.

Co nowego w POZ?

  1. Lekarze POZ uzyskali możliwość skierowania pacjenta na badania zmierzające do wykrycia alergii. Pacjent będzie mógł uzyskać skierowanie na badania dotyczące alergenów wziewnych (leszczyna, olcha, brzoza, trawy, żyto, bylica, roztocza kurzu domowego, pies, kot, alternaria) oraz pokarmowych (mleko, jajko, pszenica, soja, orzechy ziemne, orzechy laskowe, ryby, owoce morza – skorupiaki, marchew, jabłko). Zmiana ta ma przyśpieszyć diagnozowanie alergii, bez konieczności uzyskania skierowania na badania, po wcześniejszym kontakcie z lekarzem specjalistą.
  2. Katalog badań diagnostycznych, na które skierowanie wystawi lekarz POZ, został poszerzony o także o badania immunoglobuliny E całkowite (IgE) oraz immunoglobuliny E swoiste (IgE) z panelem 10-punktowych oznaczeń dotyczącym alergii wziewnych i pokarmowych.
  3. Obecnie lekarz POZ mogą również wystawić skierowanie na badanie tomografii komputerowej tętnic wieńcowych, przy wskazaniu do diagnostyki w kierunku choroby niedokrwiennej serca.
  4. W zakresie opieki koordynowanej rozszerzono zakres świadczeń dla pacjentów ze stanem przedcukrzycowym oraz pacjentów z nadczynnością tarczycy. Przychodnie POZ, które realizują opiekę koordynowaną, uzyskały z mocy rozporządzenia możliwość działania również względem pacjentów chorujących na powyższe schorzenia.
  5. Pacjenci cierpiący na przewlekłą chorobę nerek otrzymali uprawnienie do konsultacji specjalistycznych, dietetycznych i edukacji pacjentów. W tym zakresie lekarze POZ mogą kompleksowo udzielać świadczeń, tj. mają prawo do wczesnego diagnozowania choroby, ustalania terapii lub w przypadku pacjentów, u których zdiagnozowano zaawansowane stadia choroby, kierowania ich na leczenie specjalistyczne.
  6. Pacjenci poniżej 18 roku życia mogą skorzystać z konsultacji specjalistycznej w dziedzinie diabetologii, kardiologii dziecięcej, pulmonologii, nefrologii i endokrynologii.

Jakie nowe badania zleci lekarz nocnej świątecznej pomocy lekarskiej?

Niewielkie, ale znaczące zmiany dotyczą także działania nocnej i świątecznej opieki zdrowotnej. Jeżeli w lokalizacji udzielania tych świadczeń jest zapewniony dostęp do badań laboratoryjnych, lekarz ma możliwość zlecić skierowania na badania laboratoryjne, gdy wymaga tego stan zdrowia pacjenta. Rozporządzenie wskazuje na możliwość zlecenia m.in.: morfologii krwi 8-parametrowej, glukozy z krwi żylnej, kreatyniny, potasu (K), sodu (Na), CRP, badania ogólnego moczu, AST, ALT), mocznika, bilirubiny całkowitej.

W naszej ocenie zmiany idą w dobrym kierunku. A jakie jest Wasze zdanie?

FacebookLinkedInEmailPrint

Strona 1 z 2

KONTAKT

Kancelaria Adwokacko-Radcowska
"Podsiadły-Gęsikowska, Powierża" Sp. p.

ul. Filtrowa 61/3
02-056 Warszawa

+48 22 628 64 94
+48 600 322 901

kancelaria@prawniklekarza.pl

REGON: 369204260 NIP: 7010795766

AEKSANDRA POWIERŻA

+48 604 077 322
aleksandra.powierza@prawniklekarza.pl

KAROLINA PODSIADŁY-GĘSIKOWSKA

+48 735 922 156
karolina.podsiadly@prawniklekarza.pl