Proste to RODO ochrona danych w medycynie

Wdrożenie RODO w jednostkach medycznych.
RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

Dokumentacja w poradniach psychologiczno-pedagogicznych.

Dokumentacja w poradniach psychologiczno-pedagogicznych

 Dokumentacja w poradniach psychologiczno-pedagogicznych – zasady prowadzenia i przetwarzania danych. Ostatecznie sprawą zajął się Prezes Urzędu Ochrony Danych Osobowych, jak czytamy w Komunikacie opublikowanym na stronach UODO.

Według informacji UODO ...

cyt.:”(…)Urząd Ochrony Danych Osobowych dostrzegając od wielu lat lukę prawną w dostosowaniu regulacji dotyczących działalności poradni psychologiczno-pedagogicznych do przepisów ogólnego rozporządzenia o ochronie danych (RODO) wystąpił do Ministra Edukacji i Nauki o systemowe zmiany w przepisach prawa. Obecnie Prawo oświatowe oraz akty wykonawcze do tej ustawy zapewniają jedynie fragmentaryczną ochronę danych osobowych zawartych w dokumentacji prowadzonej przez poradnie.(…)”.

cyt.:”(…)W celu udzielenia pomocy psychologiczno-pedagogicznej poradnie przetwarzają dane osobowe zarówno uczniów i ich rodziców, jak i nauczycieli czy psychologów udzielających pomocy. W prowadzonej dokumentacji są zebrane dane  zwykłe w postaci imienia i nazwiska, adresu zamieszkania,  a także szczególne kategorie danych osobowych. Te drugie to informacje m.in. o stanie zdrowia, ujawniające przekonania religijne czy światopoglądowe, a więc informacje wymagające szczególnej ochrony. Zdaniem UODO dokumentacja prowadzona przez poradnie, niezależnie od tego, czy jest w formie papierowej, czy elektronicznej, powinna być chroniona przy zapewnieniu wysokich standardów bezpieczeństwa.(…)”.

Problemów jest kilka ...

cyt.:”(…)Obecne przepisy nie zapewniają kompleksowego uregulowania zasad działania tego typu poradni. Ponadto nie regulują procesów związanych z przetwarzaniem danych zawartych w dokumentacji, a są to m.in.: kwestie związane ze źródłami pozyskania danych osobowych, prowadzenia dokumentacji, zakresem informacji, jaki jest w niej gromadzony,. Dodatkowo nie są uregulowane kwestie związane z dostępem podmiotów do danych zawartych w tych dokumentach. Kluczowym problemem jest brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom.(…)”.

Ocena skutków dla ochrony danych ...

cyt.:”(…)UODO w wystąpieniu skierowanym do Ministra Edukacji i Nauki podkreślił, że przetwarzanie danych osobowych zawartych w dokumentacji wytwarzanej przez poradnie psychologiczno-pedagogiczne powinno zostać głęboko przeanalizowane z punktu widzenia zgodności z zasadami określonymi w RODO. Analiza taka przynosi realne korzyści, ponieważ pozwala projektodawcom dostrzec procesy, które powinny ulec zmianie. Zawsze należy pamiętać, aby odpowiednio wyważyć procesy związane z przetwarzaniem danych osobowych z prywatnością osób, których dane dotyczą. Zaprojektowanie ochrony danych osobowych a często także dokonanie oceny skutków dla ochrony danych osobowych pozwoli podczas tworzenia prawa ocenić, czy występują luki lub niespójności z obecnie obowiązującymi przepisami.(…)”.

Zgodność z zasadami RODO ...

cyt.:”(…)Każde przetwarzanie danych osobowych musi być zgodne z zasadami przyjętymi w RODO. Dane osobowe muszą być przede wszystkim przetwarzane zgodnie z prawem  (zasada legalizmu). Obecnie, jeśli chodzi o przetwarzanie danych w dokumentacji prowadzonej przez poradnie psychologiczno-pedagogiczne, zauważano brak podstawy prawnej do udostępniania zawartych w niej danych innym podmiotom. Zdaniem UODO, należy rozważyć objęcie takiej dokumentacji prawnie chronioną tajemnicą, podobnie jak w przypadku dokumentacji medycznej, m.in. ze względu na  przetwarzane w niej zróżnicowanych danych, jakimi są także dane szczególnej kategorii.(…)”.

Diagnoza "zgodoza" ...

cyt.:”(…)Organ nadzorczy zwrócił także uwagę, że obecne regulacje w postaci rozporządzenia Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych stanowią, iż wniosek o wydanie opinii lub orzeczenia przez poradnie zawiera oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych. Biorąc pod uwagę status podmiotów (podmioty publiczne i niepubliczne realizujące zadania publiczne), jak również charakter realizowanych przez nich zadań jako administratorów danych, to podstawy przetwarzania przez nich szczególnej kategorii danych osobowych powinny wynikać z przepisów ustawy zapewniających odpowiednie gwarancje ochrony danych osobowych,  a nie być  kształtowane wyłącznie w oparciu o zgodę, o której mowa w  art. 9 ust. 2 lit. a)  rozporządzenia 2016/679, która w każdym momencie może być wycofana, a jej wycofanie niesie określone konsekwencje prawne.(…)”.

Dokumentacja w poradniach psychologiczno-pedagogicznych

Zgodnie z § 6 ust. 2 pkt. 1 Rozporządzenie Ministra Edukacji Narodowej z dnia 7 września 2017 r. w sprawie orzeczeń i opinii wydawanych przez zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych (Dz.U. 2017 poz. 1743).

cyt.: „(…)Wniosek o wydanie orzeczenia lub opinii zawiera także: (…) oświadczenie wnioskodawcy o wyrażeniu zgody na przetwarzanie danych osobowych, o której mowa w art. 23 ust. 1
pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), w celu wydania orzeczenia lub opinii;(…)”.

Zgoda z Ustawy z 1997r. ...

A może to tylko błąd ...

Czy w takim razie nie ma tutaj zastosowania przepis następujący po ustawie 1997r.? Adekwatnie do art. 23 ust. 1 pkt. 1 starej ustawy o ochronie danych osobowych w RODO jest art. 6 ust. 1 lit. a), który brzmi:

Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

Przepis ten nie można jednać czytać w oderwaniu od definicji zgody, która opisana jest w art. 4 pkt. 11) RODO: „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U.2021.0.1082) [Art. 127. ust. 10.]

Opinie o potrzebie wczesnego wspomagania rozwoju dziecka oraz orzeczenia o potrzebie kształcenia specjalnego albo indywidualnego obowiązkowego rocznego przygotowania przedszkolnego i indywidualnego nauczania, a także o potrzebie zajęć rewalidacyjno-wychowawczych organizowanych zgodnie z przepisami o ochronie zdrowia psychicznego wydają zespoły orzekające działające w publicznych poradniach psychologiczno-pedagogicznych, w tym w poradniach specjalistycznych. Orzeczenie o potrzebie kształcenia specjalnego określa zalecane formy kształcenia specjalnego, z uwzględnieniem rodzaju niepełnosprawności, w tym stopnia niepełnosprawności intelektualnej. Minister rozporządzeniem może ukształtować zakres danych jakie poradnia powinna żądać od wnioskodawcy w celu wydania opinii, a nie wskazać warunek przetwarzania danych osobowych określony w art. 6 ust. 1 RODO. Stanowi to swoistą sprzeczność z tym co prawodawca unijny wskazał w art. 6 ust. 2 i 3 RODO.

Warto również zwrócić uwagę, iż ustawodawca wskazał w art. 127 ust. 18 UPO zakres kompetencji ministra oraz cel wydania takiego rozporządzenia:

„Minister właściwy do spraw oświaty i wychowania określi, w drodze rozporządzenia, skład zespołów orzekających, tryb ich powołania, szczegółowe zasady działania tych zespołów, tryb postępowania odwoławczego oraz wzory orzeczeń i opinii o potrzebie wczesnego wspomagania rozwoju dziecka. Rozporządzenie powinno uwzględniać jak najpełniejszą realizację potrzeb dziecka lub ucznia, a także zapewnić możliwość dostosowania form wychowania przedszkolnego, form kształcenia oraz działań w ramach wczesnego wspomagania rozwoju dziecka, do aktualnych możliwości psychofizycznych dziecka lub ucznia.”.

Komunikat UODO z dnia 29.09.2021 [Dostępny dnia 29.02.2021r., godz.: 15:00]

Cyberbezpieczeństwo w szkole ... warsztaty szkolniowe

  • Podczas szkolenia, jakie przygotowuję dla Państwa wspólnie z portalem PTR, mowa będzie o bieżących zagrożeniach w cyberbezpieczeństwie, które znacząco nasiliły się z uwagi na pandemię i masowy rozwój zdalnej pracy.
  • Na szkoleniu w szczególności skupię się na tzw. czynniku ludzkim i metodzie najpopularniejszego rodzaju ataku hackerskiego na świecie jakim jest phishing. Atak ten nie tylko jest najpopularniejszy, ale również najbardziej skuteczny (pewnie dlatego jest najpopularniejszy). Haker nie musi być wybitnym specjalistą z zakresu informatyki, a jedynie dobrym socjotechnikiem i korzystać z gotowych rozwiązań.
  • Przeprowadzę również symulację kilku ataków hakerskich wzorując się na rzeczywistych sytuacjach jakie miały miejsce w Polsce, dwie główne symulacje będą dotyczyć:
    • ataku hakerskiego bez użycia złośliwego oprogramowania
    • ataku hakerskiego z użyciem złośliwego oprogramowania
  • Oczywiście symulacje będą dotyczyć scenek sytuacyjnych, a nie przeprowadzenia rzeczywistego ataku na żadną instytucję (ponieważ to nielegalne).
  • Na koniec szkolenia wskażę w jaki sposób bronić się przed takimi atakami i podam kilka zasad cyberhigieny.