• Nie Znaleziono Wyników

GIODO skontroluje poziom ochrony danych osobowych w podmiotach leczniczych

N/A
N/A
Info
Pobierz
Protected

Academic year: 2022

Share "GIODO skontroluje poziom ochrony danych osobowych w podmiotach leczniczych"

Copied!
2
0
0

Ładowanie.... (Zobacz pełny tekst teraz)

Pobierz teraz ( 2 Stron )

Pełen tekst

(1)

22 www.journals.viamedica.pl/ginekologia_perinatologia_prakt

Ginekologia i Perinatologia Praktyczna 2017 tom 2, nr 1, strony 22–23 Copyright © 2017 Via Medica ISSN 2451–0122

KOMENTARZ PRAWNY

Adres do korespondencji: adw. Oskar Luty, Kancelaria DFL LEGAL, tel. 22 616 41 41, 505 422 382, e-mail: oskar.luty@dfl-legal.pl

GIODO skontroluje poziom ochrony danych osobowych w podmiotach leczniczych

The inspection of the quality

of personal data protection in healthcare entities

Zakres kontroli

Generalny Inspektor Ochrony Danych Osobowych (GIODO) przedstawił ostatnio plan kontroli sektorowych na 2017 rok. Celem ich przeprowadzenia jest spraw- dzenie, czy dana kategoria podmiotów przestrzega, w ramach swojej działalności, właściwych standardów ochrony danych osobowych oraz czy stosuje przewi- dziane prawem procedury ich przetwarzania. Zgodnie z przedstawionym planem w tym roku kontrolą zostaną objęte podmioty działające w sektorze ochrony zdrowia.

Mając na uwadze specyfikę działalności tych placówek, chcielibyśmy w niniejszym artykule pokrótce wskazać na najistotniejsze kwestie praktyczne, na które właściciele podmiotów leczniczych powinni zwrócić uwagę przed ewentualną wizytą inspektora.

Planem kontroli zostały objęte zarówno publiczne, jak i prywatne przychodnie i poradnie lekarskie, które zostaną sprawdzone pod kątem wywiązywania się z ustawowych obowiązków przestrzegania przepisów o ochronie danych osobowych. Zgodnie z zapowiedzia- mi GIODO przedmiotem kontroli zostanie objęty przede wszystkim sposób rejestracji pacjentów w przychodni lub poradni lekarskiej. Jest to uzasadniane koniecznością sprawdzenia, czy ww. podmioty zapewniają warunki właś- ciwe dla poszanowania prywatności oraz czy zapewniają odpowiedni stopień poufności na etapie podawania danych osobowych.

Warto zwrócić uwagę, że to właśnie liczne skargi pacjentów stały się przyczyną tak sprecyzowanej kon- troli. Pacjenci dostrzegają istotny problem, jakim jest konieczność podawania przy rejestracji danych często w obecności postronnych osób trzecich. Podmioty działające w sektorze ochrony zdrowia każdego dnia zbierają i utrwalają nie tylko standardowe dane osobowe pacjentów, takie jak imię, nazwisko czy data urodzenia, ale również informacje o stanie zdrowia, historii chorób, przyjmowanych lekach czy przebytych zabiegach. Jest to o tyle istotne, że dane związane ze stanem zdrowia

należą do kategorii danych sensytywnych, a co za tym idzie podlegają ostrzejszemu reżimowi prawnemu i do- datkowym obostrzeniom, czego celem jest zapewnienie odpowiednio wysokiej ochrony dla tej kategorii informacji o pacjencie.

Podmiot leczniczy, który zostanie poddany kontroli GIODO, może się spodziewać, że inspektorzy sprawdzą między innymi następujące kwestie:

— przebieg rejestracji pacjentów, w tym zastosowa- ne środki techniczne oraz organizacyjne mające umożliwić podawanie danych osobowych w sposób zapewniający zachowanie poufności:

• na przykład może zostać zweryfikowane, czy podczas podawania danych osobowych pacjent jest narażony na to, że usłyszą je osoby trzecie oraz czy przy ich wprowadzaniu do systemu przez obsługę nie będą one widoczne na monitorach dla osób trzecich, lub czy na stanowisku, przy którym rejestrują się pacjenci, nie znajdują się dokumenty zawierające dane osobowe innych pacjentów;

— wdrożenie oraz stosowanie środków technicznych niezbędnych do zapewnienia bezpieczeństwa prze- twarzania danych osobowych pacjentów, a w szcze- gólności zabezpieczenia danych przed ich udostęp- nieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z narusze- niem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

— fakt posiadania przez pracowników oddelegowanych do zadań związanych z przetwarzaniem danych osobowych (np. pracownicy rejestracji) stosownych upoważnień nadanych im przez administratora da- nych oraz prowadzenie ewidencji tych osób, a w tym:

• czy zostały zawarte odpowiednie umowy z pra- cownikami IT oraz pracownikami rejestracji,

• czy upoważnienia dla pracowników do prze- twarzania danych osobowych zostały udzielone w odpowiedniej formie,

Adres do korespondencji:

(2)

www.journals.viamedica.pl/ginekologia_perinatologia_prakt 23

Oskar Luty, Natalia Łukawska, GIODO skontroluje poziom ochrony danych osobowych w podmiotach leczniczych

• czy w przypadku lekarzy będących na kontrakcie zastosowano prawidłowe rozdzielenie funkcji dotyczącej przetwarzania danych osobowych;

— znajomość przepisów o ochronie danych osobowych przez osoby upoważnione do ich przetwarzania.

Uprawnienia GIODO w ramach kontroli

Generalny Inspektor Ochrony Danych Osobowych posia- da szerokie uprawnienia kontrolne. Ma prawo wstępu na teren objęty kontrolą oraz może ponadto żądać złożenia wyjaśnień, a także wzywać i przesłuchiwać pracowników. Jest również uprawiony do wglądu do wszelkich dokumentów i danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii, jak również przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych, czy też do zlecania sporządzania ekspertyz i opinii.

Zasadą jest, że kontrole są zapowiadane z kilku- dniowym wyprzedzeniem, w pierwszej kolejności te- lefonicznie, a następnie na piśmie. Inspektor określa również ogólny przedmiot kontroli, dokładny jej termin oraz zwraca się z prośbą o przygotowanie stosownej dokumentacji. Podmiot kontrolowany ma zatem zaledwie kilka dni na „przygotowanie się” do wizyty inspektorów, co z pewnością nie jest wystarczającym czasem na wdro- żenie stosownych zmian. Dlatego już na tym etapie warto zastanowić się nad poprawnością przetwarzania danych osobowych w podmiocie leczniczym i dostosowaniem systemu funkcjonowania przychodni do obowiązujących regulacji prawnych. Jest to szczególnie istotne również dlatego, że brak zawiadomienia nie może stanowić pod- stawy odmowy dopuszczenia inspektora do przeprowa- dzenia kontroli. Jedynie brak stosownego upoważnienia i legitymacji inspektora uzasadnia nieudzielenie zgody na ich wstęp.

Skutki stwierdzenia naruszeń przepisów o ochronie danych osobowych

Jeżeli kontrola uwidoczni nieprawidłowości w zakresie przetwarzania danych osobowych przez podmiot leczni- czy, inspektor w pierwszej kolejności nakaże wdrożenie rozwiązań, które usuną zaobserwowane naruszenia.

Podmiot kontrolowany będzie wówczas zobowiązany do naprawienia zaistniałych uchybień. Inspektor może również nakazać zastosowanie dodatkowych środków zabezpieczających albo polecić zabezpieczenie danych, a w szczególnych wypadkach nawet ich usunięcie.

W przypadku wykrycia naprawdę poważnych niepra- widłowości GIODO może skierować sprawę do prokura- tury. W takich przypadkach rośnie prawdopodobieństwo nałożenia przez sąd na podmiot leczniczy sankcji karnych w postaci grzywny, kary ograniczenia wolności lub nawet kary pozbawienia wolności.

Należy podkreślić, że dostosowanie wewnętrznych procedur i zasad przetwarzania danych osobowych do obowiązujących przepisów już teraz leży w interesie podmiotów działających w sektorze ochrony zdrowia, ponieważ w maju 2018 roku zacznie obowiązywać unij- ne rozporządzenie ujednolicające przepisy o ochronie danych osobowych. Nowe regulacje wprowadzą o wiele bardziej dotkliwe sankcje dla podmiotów przetwarza- jących dane osobowe niezgodnie z wymogami, zaś cały rygor przetwarzania danych osobowych ulegnie zaostrzeniu. Przyjrzenie się wewnętrznym procedurom funkcjonowania placówki ochrony zdrowia jest więc nieuniknione — dlatego warto to zrobić już teraz i nie narażać się na nieprzyjemności związane z negatywnym wynikiem ewentualnej kontroli.

adw. Oskar Luty, Natalia Łukawska

Specjalistyczna kancelaria prawnicza DFL LEGAL prowadząca obsługę prawną Polskiego Towarzystwa Ginekologicznego

Cytaty

Pobierz teraz ( PDF - 2 Stron - 89.88 KB )

Powiązane dokumenty

POLITYKA OCHRONY DANYCH OSOBOWYCH POLITYKA OCHRONY DANYCH OSOBOWYCH

Dane osobowe przechowywane w wersji papierowej lub elektronicznej (np. dyski zewnętrzne, pendrive, płyta CD albo DVD) po zakończeniu pracy są przechowywane w

Ochrona danych osobowych osoby małoletniej

Ilekroć w ustawie jest mowa o zgodzie osoby, której dane dotyczą - rozumie się przez to oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego,

Polityka ochrony danych osobowych

Dietetyczny Absurd realizuje prawa osób, których dane dotyczą, to jest udziela dostępu do danych osobowych tych osób, umożliwia im sprostowanie lub usunięcie danych, a

REGULAMIN OCHRONY DANYCH OSOBOWYCH

W celu zagwarantowania bezpieczeństwa Państwa danych, przeprowadziliśmy Ocenę Skutków Przetwarzania danych osobowych uwzględniając ryzyka związane z ich przetwarzaniem

Załącznik do Regulaminu Ochrony Danych Osobowych

Zbiór danych osobowych przechowywany jest w pomieszczeniu, w którym okna zabezpieczone są za pomocą krat, rolet lub folii antywłamaniowej. Dostęp do pomieszczeń, w

INFORMACJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH WRZUĆ NA LUZ

"Regulaminem". Regulamin stanowi prawnie wiążący dokument regulujący zasady i warunki, na jakich Konkurs zostanie przeprowadzony. Wszelkie inne materiały

POLITYKA OCHRONY DANYCH OSOBOWYCH

Użytkownik nie może bez zgody Administratora korzystać z prywatnego sprzętu elektronicznego (np. laptopów, telefonów, aparatów fotograficznych, nośników typu

Polityka ochrony danych osobowych

13) prowadzenie profilaktyki antywirusowej.. Podstawowym obszarem przetwarzania danych osobowych jest siedziba Administratora znajdująca się pod następującym adresem: Al.