Poradnik zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w placówkach medycznych uwzględniając zmiany obowiązujące od 1 stycznia 2016 r. Wskazówki ekpertów będą pomocne zarówno dla jednostek przetwarzających dane osobowe w formie papierowej, jak i dla podmiotów gromadzących je w formie elektronicznej. Zawarte w publikacji porady pozwolą uniknąć menedżerom i właścicielom placówek dotkliwych konsekwencji - karnej lub grzywny za nieprawidłowe przetwarzanie danych osobowych nałożonych przez GIODO.
II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ - WEDŁUG NAJNOWSZYCH PRZEPISÓW
III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH
1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych
2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO
3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych
4. Procedura na wypadek naruszenia bezpieczeństwa danych
IV. OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM ..
1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych
2. Ochrona serwerów placówki przed atakiem hakerów
3. Czy można gromadzić dane osobowe bez zgody pacjenta
4. Jak nie naruszać intymności pacjenta
5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej
6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej
7. Czy placówki mogą zbierać dane "na zapas"
8. Jakość wpisów w dokumentacji medycznej - "niemy świadek" procesu leczenia
9. Kary za zgubienie dokumentacji medycznej
10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta
11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane)
12. Ochrona dóbr osobistych personelu placówki
13. Znacznie ABI w placówce medycznej
V. PRAKTYKA OCHRONY DANYCH - ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA
1. Upoważnienie do przetwarzania danych
Czy informatyk może mieć dostęp do dokumentacji medycznej
Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka
Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych
Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych
Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych
Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych
Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych
Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe
Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument
2. Potwierdzenie tożsamości
Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań
Jak odpowiadać na telefoniczne zapytania kuratorów sądowych, policji, sądu czy też rodziny pacjentów, którzy pytają czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy
Czy dane firm, przedsiębiorców, osób fizycznych prowadzących działalność gospodarczą, to dane osobowe
3. Ochrona danych lekarzy
Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy
Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna
Czy przewodniczący związków zawodowych może się zwrócić o udostępnienie listy pracowników i ich danych w zakresie imienia, nazwiska i komórki organizacyjnej celem przeprowadzenia referendum w sprawie akcji strajkowej
4. Przenoszenie i wydawanie dokumentacji
Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony
Czy roszczenie pacjenta o przekazanie jego dotychczasowej papierowej dokumentacji medycznej do nowej przychodni (w związku z przeprowadzką pacjenta) jest zasadne
Czy lekarz może zabrać dokumentację medyczną pacjenta do domu
5. Zgoda pacjenta
Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych
Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL
Czy na wysłanie maiła lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta
6. Prawo do informowania
Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu
7. Rejestracja zbiorów danych osobowych
Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u GIODO
Co to znaczy, że administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych przetwarzanych przez administratora danych
Czy w jawnym rejestrze zbiorów danych należy opisać zbiory o nazwie "pacjenci" lub "pracownicy" zwłaszcza pod kątem nazw i adresów firm, którym powierzono dane z tych zbiorów do przetwarzania
8. Powierzenie przetwarzania danych
Jak uregulować formalnie współpracę z lekarzem prowadzącym własną praktykę, który na podstawie umowy zlecenia, używając własnego komputera i oprogramowania, wykonuje badania genetyczne pacjentom szpitala
Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły
Czy potrzebna jest umowa powierzenia z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych
9. Polityka haseł
Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego
Czy polityka haseł opisana w "Instrukcji zarządzania systemem informatycznym" administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni
Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł personelu w jego obecności
Czy przy zmianie nazwiska użytkownika systemu powinno się zmienić jego identyfikator - login odnotowany w ewidencji osób upoważnionych do przetwarzania danych
10. Naruszenie ochrony danych
Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu
11. Udostępnienie informacji
Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego
12. Rola Administratora Bezpieczeństwa Informacji
Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy
Czy administratorem bezpieczeństwa informacji (ABI) może być pracownik działu IT
Czy ABI jest zobowiązany do przesyłania rocznych sprawozdań i raportów z audytów bezpieczeństwa informacji do GIODO
Czy pełnomocnik ds. ochrony informacji niejawnych to, to samo co administrator bezpieczeństwa informacji (ABI)
13. Ochrona wizerunku (monitoring)
Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci
14. Przechowywanie i zabezpieczenie dokumentacji
Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych
Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach
15. Przetwarzanie danych
Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską
Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta
Jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta - to informacje te nie pozwalają na identyfikację tożsamości danej osoby. Czy można założyć, że system ten nie służy do przetwarzania danych osobowych
Jak należy postępować w przypadku uszkodzenia komputera, na którym są przetwarzane dane osobowe
Czy kierownik medyczny, nie będący lekarzem może mieć dostęp do danych pacjentów na potrzeby tworzenia statystyk
VI. WZORY FORMULARZY
Upoważnienie do przetwarzania danych osobowych
Ewidencja osób upoważnionych do przetwarzania danych
Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia
Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia
Upoważnienie do dostępu do dokumentacji medycznej
Jawny wykaz zbiorów danych osobowych
Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych
Analiza organizacyjnych środków bezpieczeństwa informacji
Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
Dziennik Administratora Systemu Informatycznego
Umowa powierzenia przetwarzania danych osobowych
Umowa o zachowaniu poufności przetwarzania danych osobowych
VII. PODSTAWA PRAWNA
UWAGI:
U dołu okł.: Profesjonalne publikacje dla kadry zarządzającej podmiotami leczniczymi.
Ochrona danych osobowych : przewodnik po ustawie i RODO z wzorami
POZ/ODP:
redakcja Maciej Gawroński ; Aleksander P. Czarnowski, Paweł Dmowski, Marcin Dominiak, Aleksandra Gawron, [>>] Maciej Gawroński, Adrianna Gnatowska, Michał Kibil, Katarzyna Kloc, Katarzyna Kunda, Patrycja Naklicka, Zuzanna Piotrowska, Paweł Punda, Tomasz Soczyński, Michał Sztąberek, Magdalena Wojtas.
Publikacja to praktyczny kompleksowy przewodnik po nowej polskiej ustawie o ochronie danych osobowych oraz unijnym ogólnym rozporządzeniu o ochronie danych osobowych. Autorzy szczegółowo omawiają: - obowiązki administratorów, - postępowanie przed Prezesem Urzędu Ochrony Danych, - warunki i tryb certyfikacji, - postępowanie w sprawach naruszenia przepisów o ochronie danych. Publikacja zawiera również ponad 30 praktycznych wzorów dokumentów w tym: - analizę wystąpienia ryzyka naruszenia praw lub wolności w związku z incydentem ochrony danych osobowych, - procedury odtwarzania systemu po awarii - zgłoszenie naruszenia ochrony danych osobowych.
Rozdział VIII. Środki ochrony prawnej, odpowiedzialność i sankcje
Rozdział IX. Nowa ustawa o ochronie danych osobowych - rola i miejsce w porządku prawnym po 25.05.2018 r.
Rozdział X. Wyjątek dziennikarski (art.2), cz.1
Rozdział XI. Wyjątek dziennikarski (art.3), cz.2
Rozdział XII. Prezes Urzędu Ochrony danych - polski organ nadzorczy
Rozdział XIII. Postępowanie przed Prezesem Urzędu Ochrony Danych - podstawowe informacje i rodzaje postępowań (akredytacja, certyfikacja, postępowania kontrolne i postępowania w sprawie naruszeń przepisów o ochronie danych)
Rozdział XIV. Warunki i tryby certyfikacji
Rozdział XV. Postępowanie w sprawach naruszenia przepisów o ochronie danych
Rozdział XVI. Kontrola organu nadzorczego
Rozdział XVII. Wyznaczanie IOD, cz.1
Rozdział XVIII. Wyznaczanie IOD, cz.2
Rozdział XIX. Postępowania przed sądem w przypadku naruszenia przepisów o ochronie danych
Rozdział XX. Kary pieniężne za naruszenie przepisów o ochronie danych
Rozdział XXI. Europejska współpraca
Rozdział XXII. Kodeksy postępowań
Rozdział XXIII. Odpowiedzialność cywilna za naruszenie przepisów
Podręcznik ochrona danych osobowych i informacji niejawnych omawia najważniejsze aspekty ochrony danych osobowych i informacji niejawnych przed nieuprawnionym przetwarzaniem i ujawnianiem. Przedstawono w nim m.in.: pojęcie i rodzaje danych osobowych i informacji niejawnych; wymagania w zakresie ochrony danych osobowych i informacji niejawnych; zasady dostępu do danyh osobowych i informacji niejawnych; wymianę danych osobowych i informacji niejawnych w obrocie międzynarodowym; odpowiedzialność karną.
Ogólne rozporządzenie o ochronie danych : podręczny zbiór przepisów o ochronie danych osobowych, zestawień, schematów oraz wzorów rejestru czynności przetwarzania
Książka o narzędziowym charakterze, zawierająca 2 podstawowe akty unijne, które na nowo regulują system ochrony danych osobowych w Polsce i w UE: 1. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - RODO); 2. dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WsiSW. Ponadto książka zawiera zbiór zestawień i schematów prazentujących wybrane informacje w układzie tabelarycznym. Wygodny, podręczny zestaw danych, który pozwoli szybko zorientować się w nowych regulacjach z zakresu ochrony danych osobowych. Opracowanie zawiera tekst unijnego ogólnego rozporządzenia o ochronie danych (RODO) oraz tekst dyrektywy 2016/680.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
Część II. Tabele
1. Zestawienie porównujące przepisy RODO, dyrektywy 95/46/WE oraz OchrDanychU
2. Zestawienie dotyczące powiązań między artykułami RODO a motywami RODO
3. Obowiązek zgłaszania naruszeń ochrony danych osobowych, zawiadamiania o nich oraz ich dokumentowania
4. Kary administracyjne
Część III. Schematy
1. Schemat dotyczący obowiązku wyznaczenia inspektora ochrony danych (IOD) zgodnie z art. 37 RODO
2. Schemat dotyczący obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO
3. Schemat dotyczący obowiązków związanych z powierzaniem przetwarzania danych (outsourcingiem przetwarzania danych)
4. Schemat dotyczący obowiązków związanych z przekazywaniem danych osobowych do państw trzecich
Część IV. Wzory rejestrów czynności przetwarzania
1. Uwagi wprowadzające do wzorów rejestrów czynności przetwarzania
2. Wzór rejestru czynności przetwarzania w wersji dla administratora
3. Wzór rejestru czynności przetwarzania w wersji dla podmiotu przetwarzającego
Niniejsze opracowanie stanowi pierwszy na rynku wydawniczym podręcznik akademicki poświęcony prawu ochrony danych osobowych. Składa się z ośmiu rozdziałów, w których przedstawiono kolejno pojęcie i przedmiot prawa ochrony danych osobowych, jego źródła, podstawowe terminy składające się na jego siatkę pojęciową, pozycję ustrojową i zadania Generalnego Inspektora Ochrony Danych Osobowych w świetle regulacji ustawowej i praktyki, podstawowe zasady stanowiące fundament systemu ochrony danych osobowych, procedurę rejestracyjną zbiorów danych osobowych i administratorów bezpieczeństwa informacji, zabezpieczanie danych osobowych oraz problematykę odpowiedzialności z tytułu naruszenia reguł przetwarzania i ochrony danych osobowych. Na końcu każdego z rozdziałów znajdują się pytania kontrolne.
Podręcznik stanowi kompletny wykład z zakresu prawa ochrony danych osobowych i jest przeznaczony dla studentów wszystkich kierunków, na których prowadzone są zajęcia z ochrony danych osobowych, a także jest adresowany do aplikantów, słuchaczy studiów podyplomowych.
Publikacja to przeznaczone dla na małych i średnich przedsiębiorców praktyczne omówienie nowych przepisów dotyczących ochrony danych osobowych wprowadzanych przez rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. (RODO). Autorzy szczegółowo opisują, jak przedsiębiorcy powinni przygotować się do stosowania RODO. Praktyczne wskazówki ułatwią proces wdrożenia nowych regulacji. W stosunku do dotychczasowych przepisów istotnie zmieniają się obowiązki administratorów danych i sposób ich wykonywania. Z książki czytelnik dowie się m.in.: - jakie są nowe prawa podmiotów danych, w tym prawa informacyjne, prawo do zapomnienia, do przenoszenia danych czy też prawo do ograniczenia przetwarzania, co oznaczają i jak je realizować, - jakie są nowe obowiązki nałożone na administratorów i jak się przygotować do ich wykonywania, - jakie sankcje, nie tylko finansowe, będą groziły za naruszenie nowych przepisów. Autorzy omówili ponadto projekt nowej polskiej ustawy o ochronie danych osobowych w zakresie wyłączenia niektórych obowiązków dla małych i średnich przedsiębiorstw, które ma ułatwić stosowanie przez nich nowej regulacji.
Wdrożenie ogólnego rozporządzenia o ochronie danych osobowych : aspekty proceduralne
POZ/ODP:
redakcja naukowa Edyta Bielak-Jomaa, Urszula Góral ; [autorzy] Edyta Bielak-Jomaa, Anna Chmielarz-Grochal, [>>] Andrzej Gomułowicz, Agnieszka Grzelak, Anna Kalisz, Maciej Kawecki, Wojciech Piątek, Wojciech Sawczyn, Przemysław Szustakiewicz, Marcin Wiącek.
W publikacji zostały przedstawione najważniejsze zagadnienia dotyczące szeroko rozumianych aspektów proceduralnych związanych z wdrożeniem rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. Autorzy analizują zmiany w polskim ustawodawstwie wynikające z wejścia w życie tego rozporządzenia, dotyczące m.in.: - zastosowania mediacji do rozstrzygania spraw z zakresu ochrony danych osobowych, - zasad postępowania przed GIODO w kontekście efektywności i gwarancji proceduralnych, - roli sądów w postępowaniach z zakresu ochrony danych osobowych, - rozwiązań mających na celu zapewnienie sądowej kontroli stosowania administracyjnych kar pieniężnych przez organ nadzorczy, - poszanowania autonomii proceduralnej państw członkowskich w procesie wdrażania przepisów rozporządzenia.
Część I. OGÓLNE ROZPORZĄDZENIE O OCHRONIE DANYCH A AUTONOMIA PROCEDURALNA PAŃSTW CZŁONKOWSKICH
Anna Chmielarz-Grochal - Standardy europejskie w postępowaniu sądowoadministracyjnym (uwagi na podstawie orzecznictwa w sprawach z zakresu ochrony danych osobowych)
Maciej Kawecki - Autonomiczność procedury dotyczącej ochrony danych osobowych
Przemysław Szustakiewicz - Status i kompetencje organu ochrony danych osobowych w orzecznictwie Naczelnego Sądu Administracyjnego
Agnieszka Grzelak - Współpraca między organami ochrony danych osobowych w obszarze współpracy policyjnej i wymiaru sprawiedliwości w sprawach karnych - nadchodzące wyzwania prawne
Część II. POSTĘPOWANIE PRZED GENERALNYM INSPEKTOREM OCHRONY DANYCH OSOBOWYCH
Wojciech Piątek - Reforma Kodeksu postępowania administracyjnego a możliwy zakres postępowań uproszczonych przed GIODO
Anna Kalisz - Alternatywne sposoby rozwiązywania sporów w sprawach z zakresu ochrony danych osobowych (ze szczególnym uwzględnieniem mediacji)
Część III. ROLA SĄDÓW W POSTĘPOWANIACH Z ZAKRESU OCHRONY DANYCH OSOBOWYCH
Andrzej Gomułowicz, Wojciech Sawczyn - Jawność rozprawy a bezpieczeństwo prawne jednostki
Marcin Wiącek - Nakładanie kar administracyjnych w świetle Konstytucji RP
PRZEZNACZ.:
Dla adwokatów, radców prawnych, doradców podatkowych, sędziów sądów administracyjnych i pracowników administracji publicznej.
