Journal of Clinical Healthcare (JCHC)

20-25 23 Journal of Clinical Healthcare 3/2018 kowane zbiory danych osobowych, jednostkowych danych medycznych lub danych niebędących danymi osobowymi, służący do realizacji zadań publicznych, prowadzony przez podmiot funkcjo- nujący w systemie ochrony zdrowia” [17]. Uporządkowane zbiory pełnią zatem funkcję rozległych baz danych z informacjami dotyczącymi zachorowań, chorób, stanu zdrowia, metodach leczenia, diagnozowania, monitorowania postępów w leczeniu oraz zagrożeniach związanych z występowaniem niektórych chorób. Ustawodawca przewidując zapotrzebowanie na ten celuregulował także zasady zarządzania zbiorami. Główną osoba odpowiedzialną i sprawującą nadzór nad rejestrami jest właściwy minister do spraw zdrowia. Mogą być wykorzystywane do [9-17]: 1. monitorowania zapotrzebowania na świadczenia opieki zdrowotnej, 2. monitorowania stanu zdrowia usługobiorców, 3. prowadzenia profilaktyki zdrowotnej lub realizacji programów zdrowotnych. Obok rejestrów medycznych powołano do życia rejestry o kluczowym znaczeniu dla funkcjono- wania systemu [9-17]: 1. Centralny Wykaz Usługobiorców, zawierający dane dotyczące pacjentów; 2. Centralnym Wykazem Usługodawców, w którym są przetwarzane dane świadczeniodawców i aptek; 3. Centralnym Wykazem Pracowników Medycznych. Dane do rejestrów są przekazywane przez:  świadczeniodawców oraz apteki;  podmioty prowadzące rejestry publiczne i rejestry medyczne. Obecne funkcjonujące prawo prowadzenia reje- strów w Polsce, zostało jednak podważone przez Trybunał Konstytucyjny. Zakwestionowane metodologie na podstawie której rejestry medyczne były tworzone przez ministra zdrowia. Działanie i gromadzenie takich rejestrów jak np. dawców szpiku jest w pełni legalne, lecz niezgodne jest dopuszczanie do danych ministra zdrowia bądź Krajowej Radzie Transplantologicznej. Dodatkowo Rzecznik Praw Obywatelskich zgłosił kolejny wniosek do Trybunału o rozpatrzenie zasadności tworzenia rejestrów przez ministra zdrowia. Według RPO obecne uprawnienia interpretuje się zbyt szeroko, a wytyczne zawarte zarówno w treści upoważnienia, jak i w całej ustawie są zbyt ogólne, aby przesądzić o wykonawczym charakterze rozporządzenia. W związku z powyższymi problemami, prowadzenie rejestrów w ramach chmury obliczeniowej, będzie wymagało wdrożenia na poziomie ustawy. [9] Ostatnim zagadnieniem w ramach bezpieczeństwa danych w części prawnej jest przekazywanie danych osobowych do chmury w Stanach Zjednoczonych. Kraje wymieniające informacje w ramach Unii Europejskiej są związane dyrektywą 95/46/WE oraz implementacjami krajowymi, jednak te akty prawne nie odnoszą się do wymiany międzynarodowej z krajami z poza UE, a szczególnie dotyczy to USA. [18,19] Do niedawna dane osobowe zabezpieczało porozumienie Safe Harbor jednak po uznaniu go niezgodnym z unijnymi przepisami przez Trybunał Europejski, porozumienie upadło i zostało zastąpione prze Standardowe Klauzury Umowne i Wiążące Reguły Korporacyjne, czyli pierwotne umowy międzynaro- dowe krajów członkowskich. W odpowiedzi na powstały chaos prawny UE oraz USA wypracowały nowe porozumienie określane mianem Privacy Shield, która według legislatorów lepiej chroni prawa obywateli dotyczące danych osobowych przy transferach do Stanów Zjednoczonych z UE i vice versa [20]. PROCEDURY W planowanym systemie informatycznym ochrony zdrowia w Polsce, opartym na chmurze oblicze- niowej, planowało się wprowadzenie pozyskiwania informacji z kliku źródeł. Były to świadczone usługi medyczne, działające bazy danych, elektroniczna dokumentacja medyczna, a także rejestry me- dyczne. Rozważano dwa systemy analizujące dane o stanie zdrowia. Pierwszym z nich miał być system informacji o ochronie zdrowia obowiązkowy dla wszystkich podmiotów uczestniczących w opiece zdrowotnej za wyjątkiem usługodawców, którzy wykonują świad- czenia na rzecz osób pozbawionych wolności. W ramach tego systemu funkcjonuje System Informacji Medycznej (SIM).[21] Dane są przeka- zywane przynajmniej raz dziennie. Po drugiej stronie miał funkcjonować system informacyjny RUM-NFZ, schemat umożliwia obowiązkowe