RODO na co dzień ...
RODO na co dzień – czyli studium przypadków, z którymi podmioty danych muszą mierzyć się każdego dnia, nie będąc przygotowanymi do tego, aby bronić się przed praktykami administratorów danych osobowych. Przedstawię kilka przykładów, dla których scenariusz napisało samo życie.
RODO w medycynie ...
E-zwolnienie i zamieszanie gwarantowane. Jedna z naszych czytelniczek zgłosiła nam problem polegający na tym, iż jej pracodawca otrzymał informacje o wystawieniu e-zwolnienia w związku z jej pobytem w szpitalu. Tymczasem pracownica, w pełni sprawna i gotowa do pracy – nie wiedząc nic o tym oczywiście – stawiła się do pracy. Dział Kadr poradził sobie z problemem, e-zwolnienie zostało unieważnione. Nasza czytelniczka wystąpiła do podmiotu medycznego, który przekazał e-zwolnienie do systemu teleinformatycznego z wnioskiem o wyjaśnienie. Pierwsza odpowiedź jednostki medycznej dość lakonicznie wskazywała, iż cyt. „jednostka nie przetwarza danych osobowych wnioskodawcy„. Zdziwiło nas to, dlatego uznaliśmy, iż telefoniczny kontakt z IOD będzie efektywniejszą formą kontaktu. Mieliśmy rację. IOD bardzo sprawnie i merytorycznie potraktował zagadnienie. Zweryfikowano tożsamość wnioskodawcy, podjęto działania wyjaśniające. W efekcie poinformowano nas, iż lekarz wystawiający e-ZLA podał błędny numer PESEL swojego pacjenta, któremu faktycznie udzielane były świadczenia medyczne. Niestety nie wzbudziło w nim zaciekawienia to, iż system wskazał nieprawidłowy adres zamieszkania tego pacjenta. Po prostu skorygował go wpisując właściwy. Dodajmy właściwy dla pacjenta nie dla Pani Anety. Dalej wypadki potoczyły się jak już Państwo czytaliście. Jednostka przeprosiła pisemnie Panią Anetę. Poinformowano ją także o tym, iż personel został ponownie przeszkolony z zakresu posługiwania się oprogramowaniem do wystawiania zaświadczeń lekarskich e-ZLA. Warto jednak uświadomić sobie, iż zanim temat został wyjaśniony, upłynął pewien czas i inny Pacjent, który faktycznie powinien otrzymać zaświadczenie, takiego dokumentu nie otrzymał, jak zachował się jego pracodawca, w sytuacji, kiedy faktycznie niezdolny do pracy z powodu choroby pracownik nie stawił się w miejscu pracy – tego nie wiemy. Szerzej opisałem ten przypadek w moim opracowaniu „e-ZLA błedny PESEL”.
Udostępnianie dokumentacji medycznej – wielokrotnie trafiały do nas zapytania dotyczace organizacji procedury udostępniania dokumentacji medycznej, albowiem podmioty medyczne kierujące np. na badania uzależniały udostępnienie dokumentacji z wynikami badani, od tego, aby Pacjent stawił się na wizytę tzw. kontrolną. Jak informowali nas czytelnicy, próby pozyskiwania wyjaśnień nt. powodów takiej sytuacji kończyły się, krótkimi stwierdzeniami, cyt.: „Przepisy na to nie pozwalają”. Z tego względu przygotowaliśmy krótki tekst, który stanowił argument w rękach naszych czytelników do tego, aby jednak nadawać sprawom inny bieg. „Jak udostępniać wyniki badań Pacjentom”.
RODO w oświacie ...
Zdarzyło się nam także, że nasi czytelnicy, pozostając w błędnym przekonaniu o słuszności swoich racji, wysuwali pod adresem administratorów danych osobowych, nieprawidłowe żądania. Rodzic jednego z uczniów, który zakończył naukę w szkole zażądał od dyrekcji wydania dokumentacji medycznej prowadzonej w związku ze sprawowaniem opieki zdrowotnej nad uczniami. Zdezorientowany ADO zwrócił się do nas z prośbą o wyjaśnienie, o wskazanie, jak ma się zachować. Otrzymał naturalnie wyjaśnienia w temacie, wskazujące na to, iż szkoła nie jest administratorem danych osobowych względem takiej dokumentacji, a żądanie rodzica nie zasługuje na uwzględnienie, przepisy prawa bowiem precyzyjnie określają, jak należy w takiej sytuacji postąpić. tj. zgodnie z art. 27 ust. 3 Ustawy o sprawowaniu opieki zdrowotnej nad uczniami, po zakończeniu kształcenia przez ucznia pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna przekazuje, za pokwitowaniem, indywidualną dokumentację medyczną absolwenta zespołowi podstawowej opieki zdrowotnej, sprawującemu nad nim opiekę zdrowotną. Sprawa zakończyła sie w miłej atmosferze, a my przygotowaliśmy kierowani tym przypadkiem opracowanie nt. „Udostępnianie dokumentacji medycznej Uczniów”.
RODO w firmie ...
Jak poinformował nas jeden z czytelników, otrzymał od administratora danych osobowych, informację o tym, iż doszło do naruszenia ochrony danych osobowych polegającego na udostępnieniu jego danych w zakresie: imię / nazwisko / PESEL / adres zamieszkania / numer telefonu / adres email blisko dwustu podmiotom kooperującym z administratorem. Przykra sprawa, jednak nasz czytelnik, chciał realnie bronić się przed konsekwencjami naruszenia, w tym jednak celu potrzebował ustalić, jak długo naruszenie trwało, ponadto, jaki numer konkretnie telefonu został ujawniony oraz jaki konkretnie jego adres email został ujawniony, jak również w trosce o swoje słusznie rozumiane interesy chciał poznać dane podmiotów, którym ujawniono ww. informacje. W tym celu nasz czytelnik informował nas, iż wystąpił do ww. ADO z wnioskiem w trybie art. 15 RODO … jak się zapewne Państwo domyślacie, wniosek pozostawiono bez odpowiedzi.
E-marketing dla wytrwałych. Tutaj własne doświadczenia pokazują, iż wypisanie się z listy mailingowej, nie jest tak proste, jak zapisanie się na nią. Za każdym razem, kiedy występowałem z wnioskiem do administratora będącego dostawcą nieodpłatnej aplikacji gabinetowej dla podmiotów medycznych, zapewniał mnie o tym, iż email został usunięty z bazy. Tymczasem wciąż otrzymywałem korespondencje o charakterze reklamowym a po ponownej interwencji wyjaśnienie administratora, że to błąd ludzki i tak w kółko – znudziło mnie to po 3 razie, zablokowałem nadawcę – tak wiem, należało nadal temat procedować, ale nie byłem na tyle wytrwały. Jednak przekonało mnie to do tego, aby inne listy zweryfikować i wypisać się z nich.
Nie kijem go to … Niestety administratorzy nie są wciąż w pełni świadomi tego, że ich uchybienia, błędy na gruncie realizacji obowiązków związkowych z ochroną danych osobowych podmiotów danych, mogą i będą stawać się obszarem, który będzie wykorzystywany z coraz większym zaangażowaniem i coraz większa skutecznością w walce przeciwko nim.