BazaWiedzy
Tradycyjne e-kartoteki można zeskanować, umieścić w systemie informatycznym, a potem zniszczyć. Podczas tego procesu trzeba jednak zadbać, aby dane pacjentów – jeśli nie zechcą odebrać oryginałów - były niemożliwe do odczytania.
Nowe unijne rozporządzenie w sprawie danych osobowych (RODO), które wchodzi w życie już za kilka miesięcy, 25 maja 2018 r., wprowadza wiele nowych obowiązków dotyczących pobierania zgód od pacjenta. Posłuchaj, czy będziesz musiał prosić pacjenta o podpisanie odrębnej zgody na przetwarzanie danych dotyczących jego stanu zdrowia. Radzi nasz ekspert, Agnieszka Sztuwe, radca prawny z Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu.
Nowe unijne rozporządzenie w sprawie danych osobowych (RODO), które wchodzi w życie już za kilka miesięcy, 25 maja 2018 r., wprowadza nowy obowiązek dotyczący zgłaszania naruszeń bezpieczeństwa danych osobowych. Posłuchaj, czy będziesz musiał zgłaszać każde naruszenie i jak to robić. Radzi nasz ekspert, Agnieszka Sztuwe, radca prawny z Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu.
Nowe unijne rozporządzenie w sprawie danych osobowych (RODO) wchodzi w życie już za kilka miesięcy, 25 maja 2018 r. Nakłada ono nowe obowiązki na placówki medyczne. Przygotowanie się do zmian będzie wymagać odpowiednich przygotowań po stronie zarządzających. Posłuchaj, co radzi nasz ekspert, Agnieszka Sztuwe, radca prawny z Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu.
Nowe unijne rozporządzenie w sprawie danych osobowych (RODO), które wchodzi w życie już za kilka miesięcy, 25 maja 2018 r. przewiduje surowe sankcje i kary za nieprzestrzeganie przepisów. Posłuchaj, co zrobić, aby ich uniknąć. Radzi nasz ekspert, Agnieszka Sztuwe, radca prawny z Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu.
GIODO zapowiedział w tym roku kontrole przetwarzania danych w szpitalach i przychodniach. Dodatkowo placówki medyczne, które na dużą przetwarzają skalę dane osobowe, od maja 2018 r. będą musiały wyznaczyć inspektora ochrony danych. Sprawdź, dlaczego warto na te zmiany przygotować się już teraz.
Pacjenci często składają skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na nienależyte poszanowanie ich prawa do intymności i godności. Dlatego zarówno w planie kontroli, jak i w planie sprawdzeń przeprowadzanych przez inspektorów GIODO w 2017 roku, ujęto sektor ochrony zdrowia. Dzięki temu możliwa będzie ocena przetwarzania danych osobowych w większej liczbie placówek medycznych, niezależnie od tego, czy są prowadzone przez podmioty publiczne czy prywatne.
Wielu lekarzy słusznie kojarzy ochronę danych osobowych pacjentów z tajemnicą zawodową i dyskrecją. Z tego powodu dość powszechne są działania chroniące w sposób podstawowy dane osobowe pacjentów – tytułem przykładu można wymienić zapraszanie do gabinetu pacjentów bez wymieniania ich imienia i nazwiska, nieprowadzenie rozmów o stanie zdrowia pacjenta w obecności osób trzecich czy udzielanie informacji o pacjencie wyłącznie osobom upoważnionym. Niestety ciągle wielu lekarzy, szczególnie prowadzących działalność gospodarczą, nie jest świadoma, że każda praktyka lekarska ma obowiązek chronienia danych osobowych pacjentów na wiele sposobów. Jak to robić?
Placówka medyczna/lekarz są zobligowani do posiadania dokumentacji, która opisuje politykę bezpieczeństwa ochrony danych osobowych i instrukcji zarządzania systemem informatycznym do przetwarzania danych osobowych. Co zawrzeć w tych dokumentach, aby właściwie wywiązać się z obowiązków nałożonych przez RODO?
Prowadzenie dokumentacji medycznej jest związane z dostępem do danych osobowych pacjentów. Przepisy nakładają na przychodnie zdrowia, gabinety stomatologiczne, szpitale i inne podmioty lecznicze szczególne obowiązki związane z ochroną danych osobowych, w tym zwłaszcza danych o stanie zdrowia pacjentów. Jest to niezwykle istotne w kontekście wejścia w życie RODO i nowej ustawy o ochronie danych osobowych.
Pracodawca może ujawnić imię i nazwisko pracownika pogotowia ratunkowego, jeśli wiąże się to z prowadzeniem podmiotu, jest niezbędne i nie narusza praw oraz wolności tej osoby. Jak zatem postąpić, gdy pacjent prosi o wgląd do karty czynności ratunkowych?
Dane personalne członków zespołu wyjazdowego pogotowia to dane służbowe. Są to informacje ściśle związane z wykonywaną pracą, które są jawne. Oznacza to, że pracodawca może je podać na przykład na swojej stronie internetowej. Chodzi głównie o imię, nazwisko, stanowisko służbowe, służbowy adres e-mailowy lub numer służbowego telefonu. Pracownik nie musi wyrażać na to zgody.
Stanowiska Ministerstwa Zdrowia, Rządowego Centrum Legislacji, a także Generalnego Inspektora Ochrony Danych Osobowych wskazują, że zarządzający podmiotem leczniczym może mieć dostęp do dokumentacji medycznej, ale tylko tej, w której zostały ukryte dane osobowe.
Obecna konstrukcja systemu ochrony zdrowia spowodowała, że informacje o stanie zdrowia pacjenta wydostały się „poza kartotekę sporządzaną przez lekarza w gabinecie”, który prowadził leczenie pacjenta, i stały się kluczowym elementem dla rozliczeń finansowych z NFZ oraz tworzenia zbiorów informacji zgodnie z rozporządzeniem ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.
Właściwa ochrona danych osobowych w ochronie zdrowia są istotne ze względu na codzienną praktykę ich przetwarzania w systemach informatycznych. Wyciek czy kradzież danych, nieuprawniona manipulacja czy zniszczenie, dostęp osób nieuprawnionych grożą odpowiedzialnością administratorowi danych i zagrażają osobom, których dane dotyczą.
Ewidencja osób upoważnionych do przetwarzania danych osobowych musi być prowadzona w każdej placówce medycznej. Dowiedz się, co musi zawierać, aby uniknąć najczęstszych uchybień w tym zakresie i konsekwencji ze strony GIODO.
Podczas kontroli GIODO inspektorzy sprawdzają, czy administrator danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych i czy spełnia ona wymagania określone w art. 39 ustawy o ochronie danych osobowych. Zgodnie z nimi ewidencja osób upoważnionych do przetwarzania danych osobowych powinna zawierać: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
W ocenie niektórych pracowników medycznych pracodawca, nakładając na nich obowiązek noszenia identyfikatorów, narusza przepisy ustawy o ochronie danych osobowych. Czy mają rację? Czy noszenie identyfikatora to tylko przyjęty zwyczaj, który nie chroni danych osobowych pracowników?
Zakres danych osobowych, które pracodawca ma prawo uzyskać od pracownika, wskazano w art. 221 Kodeksu pracy. Są to: imię i nazwisko, imiona rodziców, data urodzenia, miejsce zamieszkania, wykształcenie oraz przebieg dotychczasowego zatrudnienia. Szef może też żądać, aby zatrudniony podał inne dane osobowe, w tym imiona i nazwiska oraz daty urodzenia dzieci, numer PESEL lub RCI PESEL – jeżeli są one niezbędne ze względu na korzystanie przez zatrudnionego ze szczególnych uprawnień przewidzianych w prawie pracy, takich jak np. świadczenia i prawa związane z rodzicielstwem. Pracodawca nie może żądać podania innych danych osobowych niż wymienione, chyba że obowiązek ich podania wynika z odrębnych przepisów. Dotyczy to zwłaszcza stosunków pracy charakteryzujących się większym stopniem podporządkowania (w policji, w sądach, w korpusie służby cywilnej, szpitalu itd.).
Żeby dane osobowe i medyczne były skutecznie chronione, trzeba stale podnosić stan świadomości pracowników placówek medycznych z tego zakresu i opracować odpowiednie procedury. Co jeszcze może wzmocnić bezpieczeństwo danych w placówce, aby nie doszło do ich wycieku?
W pierwszej kolejności warto przeprowadzić szkolenie z zakresu ochrony danych osobowych, żeby podnieść świadomość i poszerzyć wiedzę pracowników placówki medycznej z zakresu ochrony danych osobowych. To standardowe działanie w przypadku powstania incydentu godzącego w bezpieczeństwo danych osobowych. Szkolenie nie tylko pozwala zweryfikować aktualny stan wiedzy pracowników w zakresie ochrony danych osobowych, ale także promuje odpowiednie wzorce zachowań, które podnoszą poziom bezpieczeństwa przetwarzanych danych osobowych.
Placówki medyczne prowadzą różne bazy mailingowe, uczestników konkursów, użytkowników - czy trzeba je zgłosić do GIODO? Jak postąpić w sytuacji, gdy osoba zatrudniona w placówce utworzyła kopię ukrytą i przesyłała dokumenty firmowe, bazy klientów/ kontrahentów, strategię i plany – na swoją prywatną skrzynkę mailową? Czy właściciel placówki może być ADO i ABI?
Obowiązek i zasady rejestracji zbiorów danych osobowych u GIODO określa rozdział 6 obowiązującej jeszcze ustawy o ochronie danych osobowych, dalej uodo (art. od 40 do 46). Artykuł 43 wskazuje, jakie zbiory danych, w jakich przypadkach są zwolnione z rejestracji. Zagadnienia, które nie mieszczą się w tych wyłączeniach, formalnie mogą tworzyć zbiory podlegające zgłoszeniu do GIODO. W ochronie zdrowia będą to na przykład takie zbiory, jak „osoby upoważnione przez pacjenta do udostępnienia dokumentacji medycznej”, „monitoring wizyjny”, „rejestr skarg i wniosków”, „rejestr korespondencji”, „newsletter”.
© Wiedza i Praktyka
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.
/WiedzaiPraktyka
/wip
/WiedzaiPraktyka
/wip
