Przepisy RODO opisują dość lakonicznie kwestie zabezpieczeń danych i nie dają wielu wskazówek administratorom danych, którzy powinni wdrożyć odpowiednie środki techniczne i organizacyjne w placówkach medycznych. Co zatem wybrać w praktyce i jakie zabezpieczenia stosować, aby wyeliminować niebezpieczeństwo utraty danych pacjentów?
Wybór konkretnych środków obciąża administratora danych lub podmiot przetwarzający te dane i ostatecznie to oni ponoszą odpowiedzialność za to, jakie zabezpieczenia zastosowali. W przypadku wycieku danych (lub innego naruszenia bezpieczeństwa) mogą zostać uznani za odpowiedzialnych ze względu na to, że nie wdrożyli odpowiednich zabezpieczeń danych – mimo że jakieś zabezpieczenia zastosowano, mogły okazać się niewystarczające.
Lista kontrolna, która pomoże Ci ocenić techniczny i organizacyjny poziom zabezpieczenia danych osobowych w Twojej placówce w odniesieniu do przepisów RODO.
Jeżeli na podstawie informacji zgromadzonych w postępowaniu kontrolnym prezes UODO uzna, że mogło dojść do naruszenia prawa, niezwłocznie rozpoczyna postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Z nagrania dowiesz się m.in.:
Sprawdź, co radzi nasz ekspert – Aneta Naworska, adwokat z Kancelarii Naworska, Marszałek sp.k. w Toruniu.
Zmianie uległ art. 221 Kodeksu pracy (dalej kp) - zgodnie z nowym brzmieniem tego przepisu pracodawca będzie żądał podania od osoby ubiegającej się o przyjęcie do pracy podania imienia i nazwiska, jednak zniknie obowiązek podawania imion rodziców. Ponadto kandydat do pracy będzie musiał podać dane kontaktowe do siebie, niemniej jednak nie ma obowiązku, aby podawać adres.
W związku z tym, że 4 maja 2019 r. weszły w życie przepisy ustawy sektorowej, zmieniły się zasady prowadzenia monitoringu wizyjny w placówce medycznej. Temat ten do tej pory budził wiele wątpliwości co do ochrony praw pacjenta przez montowanie monitoringu np. w gabinetach lekarskich. Nowe przepisy uporządkowały i uregulowały te kwestie. Określają m.in. które stanowiska pracy mogą być objęte monitoringiem, kto może przetwarzać dane z monitoringu i w jakim terminie należy poinformować personel o wprowadzeniu monitoringu.
Z publikacji dowiesz się:
Czy odmowa podpisania dokumentacji RODO stanowi ciężkie naruszenie podstawowych obowiązków pracowniczych, uzasadniające zwolnienie dyscyplinarne pracownika? Wszystko zależy od okoliczności konkretnej sprawy – takie wnioski płyną z wyroku Sądu Rejonowego w Toruniu z 28 grudnia 2018 r. (IV P 364/18).
Pracownik odmówił podpisania dokumentów przekazanych przez pracodawcę w związku z RODO, wobec czego pracodawca rozwiązał z nim stosunek pracy bez wypowiedzenia (tzw. zwolnienie dyscyplinarne).
Wzór dokumentu, który pomoże Ci samodzielnie przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych w placówce medycznej i ocenić ryzyko, na jakie jest narażone przetwarzanie danych osobowych w konkretnym przypadku.
Monitoring na stałe wrósł w panoramę gabinetów lekarskich czy klinik. W rezultacie wejścia w życie RODO konieczne stało się rozważenie zgodności z prawem rozwiązań m.in. w zakresie systemu rejestracji obrazu i dźwięku, zwłaszcza wobec braku w Polsce ustawy, która całościowo regulowałaby te zagadnienia. Sprawdź, jak zgodnie z najnowszymi przepisami przetwarzać wizerunek osób.
Wprawdzie obowiązujące przepisy dopuszczają możliwość rejestracji obrazu i dźwięku przez służby realizujące zadania z zakresu bezpieczeństwa i porządku publicznego, takie jak m.in. policja czy Straż Graniczna, jednak, co oczywiste, te szczególne regulacje nie wyczerpują wszystkich obszarów, w których przetwarzanie danych osobowych w tym zakresie było i jest realizowane.
Pracodawca może przetwarzać dane osobowe pracownika ze względu na treść przepisów Kodeksu pracy. Nowelizacja tych regulacji prawnych, która obowiązuje od 4 maja , dostosowała obowiązujące przepisy do RODO i wprowadziła istotne zmiany. Sprawdź, jak należy przetwarzać dane personelu placówki zgodnie z nowymi przepisami.
Placówka ochrony zdrowia musi pamiętać o przestrzeganiu zasad wskazanych w RODO w stosunku zarówno do pracowników, jak i kandydatów do pracy.
Ze względu na obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej, każda placówka medyczna będzie musiała ponownie zweryfikować swoje procedury i dokumentację dotyczącą przetwarzania danych osobowych, uwzględniając na nowy sposób przetwarzania danych właśnie w tej formie. Sprawdź, co musisz dostosować.
Obecnie istnieją trzy dokumenty wykorzystywane w placówkach medycznych, które należy stosować w formie elektronicznej od 1 stycznia 2019 r.
Wraz z nadchodzącymi kontrolami UODO pamiętaj, aby wprowadzone standardy ochrony danych osobowych utrzymać na najwyższym poziomie. Tylko systematyczne działania i podejmowanie w porę określonych czynności uchroni przed zarzutem naruszenia tej ochrony. Sprawdź, dlaczego warto przeprowadzić audyt w zakresie bezpieczeństwa danych.
Przeprowadzanie systematycznych audytów jest bardzo dobrym rozwiązaniem, aby zweryfikować prawidłowość stosowania wdrożonych metod ochrony danych. W zakresie bezpieczeństwa ochrony danych w placówce bardzo ważną rolę odgrywa ADO oraz inspektor ochrony danych (IOD). Inspektor ochrony danych to osoba, której zadaniem jest wspieranie administratora danych w związku z realizacją obowiązków z zakresu ochrony danych osobowych, które nałożyło na niego prawo.
W procesie rejestracji najważniejszy jest pacjent. Dlatego placówka medyczna w pierwszej kolejności powinna zadbać o ochronę jego danych osobowych. We właściwym zorganizowaniu tego obszaru działalności placówki medycznej będą pomocne wytyczne UODO. Zapoznaj się z nimi, bo ich przestrzeganie zminimalizuje negatywne skutki kontroli.
„Wśród instytucji, które w sposób szczególny powinny przeanalizować i wdrożyć wytyczne z rozporządzenia (tzn. RODO – przyp. aut.) są placówki służby zdrowia” – czytamy w Stanowisku Prezesa Urzędu Ochrony Danych Osobowych z 8 lutego 2019 r. Ze względu na fakt, że placówki te mogą naruszać przepisy o ochronie danych osobowych na wiele różnych sposobów, zwróć uwagę, jak przestrzegać w praktyce prawa podczas pierwszego kontaktu z pacjentem, którym najczęściej jest moment rejestracji.
Podmioty lecznicze przetwarzają dane osobowe i mają obowiązek przestrzegania przepisów RODO. W związku z tym mogą się spodziewać kontroli Urzędu Ochrony Danych Osobowych. Instytucja już je zapowiedziała. Sprawdź, jak możesz się przygotować do wizyty kontrolera.
Kontrola powinna rozpocząć się od ukazania przez osoby kontrolujące swoich legitymacji lub upoważnienia wraz z dokumentem tożsamości. Dobrze byłoby skontaktować się telefonicznie z UODO w celu potwierdzenia, czy osoby kontrolujące są rzeczywiście pracownikami Urzędu i oddelegowano je do przeprowadzenia kontroli.
Skontakuj się z Centrum Obsługi Klienta: 22 518 29 29 (Poniedziałek-Piątek: 8:00 - 16:00).
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
/WiedzaiPraktyka
/wip
