Jaki stopień tajności według polskiego prawa musi zostać spełniony podczas niszczenia dokumentacji medycznej?

Jakie są właściwe podstawy prawne?

Polskie prawo powszechnie nie posługuje się pojęciem "stopnia tajności" dokumentów i nie przypisuje żadnej klasy tajności dokumentacji medycznej.

Reżimy ochrony danych zawartych w dokumentacji medycznej są reżimami wynikającymi z w szczególności z przepisów:

1) ustawy z dnia 6 listopada 2008 o prawach pacjenta i Rzeczniku Praw Pacjenta;
2) rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania;
3) ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Najprawdopodobniej autor pytania zetknął się z klasami tajności wymienionymi w normie europejskiej o numerze DIN – 66399, która zastąpiła normę DIN-32757. Norma DIN 32757 definiuje 5 poziomów bezpieczeństwa:

1) poziom 1, dokumenty ogólnego użytku, paski o szerokości mniejszej niż 12 mm lub całkowita powierzchnia ścinka mniejsza niż 2000 mm˛;
2) poziom 2, dokumenty wewnętrzne, paski o szerokości mniejszej niż 6 mm lub całkowita powierzchnia ścinka mniejsza niż 800 mm˛;
3) poziom 3, dokumenty poufne, paski o szerokości mniejszej niż 2mm lub ścinki o powierzchni mniejszej niż 320 mm˛, szerokości mniejszej niż 4 mm, długości mniejszej niż 80 mm;
4) poziom 4, dokumenty tajne, ścinki o powierzchni mniejszej niż 30 mm˛, szerokości mniejszej niż 2mm, długości mniejszej niż 15 mm;
5) poziom 5, dokumenty ściśle tajne, ścinki o powierzchni mniejszej niż 10 mm˛, szerokości mniejszej niż 0,8 mm, długości mniejszej niż 13 mm.

Według normy DIN- 66399 dokumenty są obecnie podzielone na trzy klasy (w miejsce dotychczasowych 5 a nawet 6) oraz na trzy procesy niszczenia danych:

Klasa ochrony 1 – standardowa ochrona danych. Dokumenty dostępne dla większych grup osób.

Klasa ochrony 2 – zwiększona potrzeba ochrony danych poufnych. Dokumenty dostępne dla wąskich grup osób.

Klasa ochrony 3 – bardzo wysoka potrzeba ochrony poufnych i tajnych danych, których ujawnienie mogłoby się wiązać z poważnymi konsekwencjami dla firmy.

Norma DIN 66399 wyodrębnia trzy procesy niszczenia nośników danych:

I - Nośnik danych jest niszczony przez odpowiedzialny dział.

II - Nośnik danych jest niszczony na miejscu, przez dostawcę usług.

III - Nośnik danych jest niszczony na zewnątrz, przez dostawcę usług.

Ze wskazanych wyżej klas 3 wydaje się być odpowiednia dla niszczenia dokumentacji medycznej z uwagi na fakt, że obejmuje dane wrażliwe oraz, że ujawnienie tych danych skutkuje nawet odpowiedzialnością karną.