Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Czy z laboratorium należy zawrzeć umowę powierzenia?

Czy z laboratorium należy zawrzeć umowę powierzenia?

Czy z laboratorium należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Poniżej przytaczamy obszerną część Stanowiska UODO, który wypowiedział się w przedmiocie sprawy zawierania umów powierzenia z zewnętrznymi laboratoriami przez podmioty medyczne zlecające przeprowadzanie badań diagnistycznych. [https://archiwum.uodo.gov.pl/pl/225/1552 /] Za punkt wyjścia do dalszych rozważań uczynić należy przypomnienie sobie definicji, jakie określone zostały na gruncie Rozporządzenia RODO, definicji którymi sprawne posługiwanie się da możliwość udzielenia jednoznacznej odpowiedzi na postawione pytanie.

  • Zgodnie z art. 4 pkt 7 RODOadministrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
  • Zgodnie z art. 4 pkt 8 RODOpodmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Stanowisko UODO ...

Uzasadnienie ...

cyt.:”Zatem w myśl przepisów RODO, konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator zleca wykonywanie swoich zadań innemu podmiotowi (podmiotowi przetwarzającemu). Istotne jest podkreślenie, że podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem tych danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Inną kwestią jest udostępnienie danych osobowych innemu administratorowi. Do takiego udostępnienia danych dochodzi, jeśli dane te przekazywane są innemu podmiotowi w celu realizacji przez ten podmiot jego własnych zadań, wynikających np. z przepisów prawa. Staje się on wtedy odrębnym administratorem.

Regulacje dotyczące diagnostyki laboratoryjnej znaleźć można w szczególności w ustawie o działalności leczniczej, ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawie o diagnostyce laboratoryjnej oraz w rozporządzeniu Ministra Zdrowia z dnia 23 marca 2006 r. w sprawie standardów jakości dla medycznych laboratoriów diagnostycznych i mikrobiologicznych.

Zgodnie z art. 11 ustawy o działalności leczniczej badania diagnostyczne zostały zaliczone do szczególnego rodzaju działalności leczniczej, jakim jest ambulatoryjne świadczenie zdrowotne. Bliższa charakterystyka tej działalności zawarta jest w ustawie o diagnostyce laboratoryjnej. Zgodnie z art. 1a tejże ustawy, medyczne laboratorium diagnostyczne wykonuje badania in vitro materiału biologicznego. Laboratorium diagnostyczne zazwyczaj jest zakładem leczniczym podmiotu leczniczego w rozumieniu przepisów ustawy o działalności leczniczej, ale może być także jednostką organizacyjną zakładu leczniczego podmiotu leczniczego, instytutu badawczego albo uczelni medycznej (art. 17 ustawy o diagnostyce laboratoryjnej).

W celu wykonywania badań diagnostycznych podmioty świadczące takie usługi przetwarzają dane osobowe osób, od których pochodzi materiał do tych badań. Dane te pozyskiwane są bezpośrednio od osób, których dotyczą lub też z innych źródeł, np. od szpitali, które zlecają tym podmiotom wykonywanie badań próbek pobranych od swoich pacjentów.

Przetwarzając powyższe dane osobowe, laboratorium diagnostyczne realizuje swoje własne zadania, związane chociażby z:

  • obowiązkiem prowadzenia, przechowywania i udostępniania dokumentacji medycznej pacjenta (art. 24 w zw. z art. 23 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta),
  • uprawnieniem diagnosty laboratoryjnego do zgłaszania Prezesowi Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych lub podmiotowi odpowiedzialnemu za wprowadzenie produktu leczniczego do obrotu działania niepożądanego produktu leczniczego (art. 27a ustawy o diagnostyce laboratoryjnej),
  • obowiązkiem diagnosty laboratoryjnego zgłaszania wyniku określonych badań właściwemu państwowemu inspektorowi sanitarnemu  (art. 29 ust. 1 ustawy o zapobieganiu i zwalczania zakażeń i chorób zakaźnych u ludzi).

Ponadto zgodnie z art. 26 ust. 3 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych. Z takim udostępnieniem, a więc w celu zapewnienia ciągłości leczenia, mamy do czynienia w sytuacji, w której dane osobowe pacjentów są przekazywane przez placówkę medyczną do zewnętrznego laboratorium diagnostycznego.

Powyższe pozwala zasadnie przyjąć, że w przypadku gdy np. szpital zleca przeprowadzenie badań podmiotowi świadczącemu usługi z zakresu diagnostyki laboratoryjnej, podmiot ten przetwarza pozyskane w tym celu dane osobowe dla realizacji własnych zadań. W takiej sytuacji mamy zatem do czynienia z udostępnieniem danych osobowych na rzecz odrębnego administratora.

Powyższe oznacza, że nie istnieje tutaj relacja administrator – podmiot przetwarzający. Tym samym nie ma podstaw do zawarcia umowy powierzenia przetwarzania danych osobowych.”

Ochrona danych medycznych | J.Rzymowski | D.SPałek

Badania z zakresu diagnostyki obrazowej. Badania laboratoryjne. Nie należy zawierać umowy powierzenia przetwarzania ze wskazanych poniżej względów.

    •  Podmiot świadczący usługę diagnostyki obrazowej, laboratorium przetwarzają dane osobowe we własnym imieniu. Dowodem na to jest fakt, że tworzą one własną dokumentację medyczną, ponoszą odpowiedzialność za źle wykonane badanie.
    • Podmiot świadczący usługę diagnostyki obrazowej, laboratorium wykonują działalność uregulowaną prawem w taki sposób, że działają w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy. Rentgenodiagnosta (lub inny diagnosta), diagnosta laboratoryjny wykonuje swój zawód i w ramach skierowania wykonuje czynności, wykonuje badanie, jednak techniczne parametry ustala sam i ponosi za to odpowiedzialność. Przetwarza dane osobowe we własnym imieniu. Dowodem na to jest fakt, że tworzy on własną dokumentację medyczną, ponosi odpowiedzialność za źle wykonane badanie.
    • Szpital nie może skutecznie żądać zwrócenia danych od podmiotu świadczącego usługę diagnostyki obrazowej ani od laboratorium, gdyż te tworzą własną dokumentację medyczną i mają obowiązek ją przechowywać.
    • Szpital nie zleca wykonania czynności na danych. Szpital zleca wykonanie badania, którego efektem są co prawda dane osobowe jednak istotą zlecenia jest badanie.

Fragment: Ochrona danych medycznych  | Jakub Rzymowski (red) Dominik Spałek | Wydawca: Uniwersytet Medyczny w Łodzi | Wydawnictwo Uniwersytetu Medycznego w Łodzi | Wydanie I, Łódź 2022.

Stanowisko UODO

Czy z laboratorium należy zawrzeć umowę powierzenia? – Stanowisko UODO [Dostęp dnia: 27.11.2023r., godz.: 8:15]

Ochrona danych medycznych  | Jakub Rzymowski (red) Dominik Spałek | Wydawca: Uniwersytet Medyczny w Łodzi | Wydawnictwo Uniwersytetu Medycznego w Łodzi | Wydanie I, Łódź 2022.

Okazało się, że podmiot zlecający zawarł umowę powierzenia z laboratorium ...

Stanowisko IOD dla podmiotów zlecających badania na zewnątrz ...

Przykłady naruszeń ochrony danych w służbie zdrowia ...

Przykłady konsekwencji naruszenia i środków zaradczych pomocne przy sporządzaniu zgłoszenia lub zawiadomienia podmiotu danych

Wybrane opracowania dla kadry zarządzającej w podmiotach medycznych ...

Stanowisko IOD - obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Stanowisko IOD – przypominające o obowiązku prowadzenia wykazu udostępnionej dokumentacji medycznej przez podmiot wykonujący działalność leczniczą. Opracowanie zawiera szczegółowe informacje na temat tego, jakie dane należy bezwzględnie zamieszczać w wykazie, jakie mogą zostać w nim zapisane dodatkowo, oraz przedstawia błędne praktyki, z jakimi można spotkać się w praktyce funkcjonowania podmiotów leczniczych.

Stanowisko IOD

Czytaj więcej >>>
Polityka ochrony dzieci przed krzywdzeniem
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych – z dniem 15 lutego 2024 r. wchodzą w życie znowelizowane przepisy, które m.in. na podmioty medyczne nakładają nowe obowiązki opracowania i wdrożenia standardów ochrony małoletnich, jakie należy przestrzegać w podmiotach medycznych. Nowe obowiązki wynikają wprost z treści Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich [tj. Dz.U. z 2023 r., poz. 1304 ze zm.].

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Przygotowaliśmy dla Państwa wzorcową dokumentację zgodną z wytycznymi zawartymi w Ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. Pakiet dokumentów zawiera zarówno:

  • Omówienie podstawowych obowiązków podmiotu medyczne wynikających ze znowelizowanych przepisów
  • Wzór zapisów do Rejestru Czynności Przetwarzania Danych dla czynności sprawdzania kandydatów w rejestrach
  • Pełną wersję Polityki ochrony przed krzywdzeniem dzieci
  • Skróconą wersję Polityki ochrony przed krzywdzeniem dzieci

Standardy Ochrony Małoletnich dla szpitala

Czytaj więcej >>>
Co kiedy jednak podmiot medyczny zawarł umowę powierzenia z zewnętrznym laboratorium medycznym
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Stanowisko opisuje konsekwencje sytuacji, w której to podmiot wykonujący działalność leczniczą zawarł umowę powierzenia przetwarzania danych osobowych z zewnętrznym laboratorium diagnostycznym w związku ze zlecaniem wykonywania badań diagnostycznych swoich pacjentów. Wbrew pozorom sytuacji, w której mamy do czynienia z takim zawieraniem umów powierzenia przetwarzania danych jest więc niż można byłoby przypuszczać.

Czytaj więcej >>>
Zalecenia dla podmiotów medycznych zlecających badania laboratoryjne w ALAB laboratoria Sp. z o.o.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

W związku z Komunikatem z dnia 27 listopada 2023r., w którego treści ALAB laboratoria sp. z o.o. informuje o cyt.: „(…)o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego (…)” przygotowaliśmy stosowne Stanowisko IOD zawierające zalecenia dla podmiotów medycznych, zlecających wykonywanie badań ALAB laboratoria sp. z o.o.  Stanowisko IOD zawiera wyjaśnienia dotyczące kwestii związanej z ewentualnym obowiązkiem dokonania zgłoszenia zdarzenia do UODO oraz powiadomienia podmiotów danych, których zdarzenie dotyczyło. Wyjaśniamy także kwestie związane z obiegiem dokumentacji pomiędzy laboratorium zewnętrznym a podmiotem zlecającym. Wskazujemy ponadto na zasadność podjęcia określonych działań po stronie podmiotu zlecającego.

Czytaj więcej >>>
Materiały szkoleniowe zasady korzystania z pendrive w firmie Stanowisko IOD
Zasady korzystania z przenośnych pamięci

Zasady korzystania z przenośnych pamięci – stanowisko IOD zawierające materiały szkoleniowe kierowane do pracowników korzystających z przenośnych pamięci danych. Stanowisko opisuje podstawowe zasady bezpieczeństwa, jakich należy przestrzegać pracując z takimi urządzeniami. Wskazane zostało także, jakie praktyki są niedopuszczalne. Stanowisko IOD zawiera także listę pozwalającą na uzyskanie rozliczalności z realizacji zadania edukacyjnego personelu.

Stanowisko IOD materiały edukacyjne szkoleniowe informacyjne

Czytaj więcej >>>
Ocena ryzyka korzystanie z Pendrive materiały szkoleniowe
Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przygotowaliśmy dla Państwa materiał, jaki dedykowany jest dla tych podmiotów, które w związku ze swoim funkcjonowaniem przetwarzają dane z wykorzystaniem przenośnych pamięci danych.

Pakiet dokumentów zawiera:

  • Ankietę ewaluacyjną – ankietę sprawdzającą dzięki której ADO / IOD dokonać mogą analizy stanu faktycznego, a następnie na jej podstawie zalecić stosowanie adekwatnych środków bezpieczeństwa, zabezpieczających przetwarzanie danych osobowych z wykorzystaniem przenośnych pamięci danych.
  • Materiał szkoleniowy dla personelu – materiał pełni rolę informacyjną, jego zadaniem jest edukować personel korzystający z przenośnych pamięci danych w zakresie tego, jakiego rodzaju ryzyka związane są z takim przetwarzaniem oraz jakich zasad należy przestrzegać korzystając z przenośnych pamięci danych.

 

Czytaj więcej >>>
Informacje udostępniane pacjentom w podmiocie medycznym
Ankieta poprawności realizacji obowiązku informacyjnego

Ankieta poprawności realizacji obowiązku informacyjnego

Podmioty medyczne zobowiązane są do realizacji różnego rodzaju obowiązków informacyjnych zarówno na gruncie przepisów prawa ochrony danych, jak i przepisów branżowych. Przygotowaliśmy zestawienie w formie ankiety weryfikującej poprawność realizacji poszczególnych obowiązków informacyjnych.

Zakupując naszą dokumentację sprawdzą Państwo.

  • jakiego rodzaju obowiązki należy realizować,
  • czy w sposób zgodny z przepisami informacje przekazywane są w podmiocie leczniczym.

 

Czytaj więcej >>>
Jak zabezpieczyć przenośny sprzęt w firmie
Przenośny sprzęt IT w firmie

Przenośny sprzęt IT w firmie

Jak wynika z treści Decyzji UODO, nakładających kary administracyjne na administratorów, w związku z utratą danych na skutek kradzieży, zagubienia, zniszczenia sprzętu IT, który wynoszony jest poza siedzibę administratora, warto jest przygotować się prawidłowo do takiego przetwarzania.

Dokumentacja RODO

  • Procedura wynoszenia nośników danych poza obszar przetwarzania
  • Procedura korzystania z prywatnego sprzętu do celów służbowych
  • Zasady transportu, przechowywania i korzystania ze sprzętu przenośnego
  • Ankieta sprawdzająca poprawność wdrożonych rozwiązań

 

Czytaj więcej >>>
Integracja mMedica z RTG
Integracja mMedica z pracownią diagnostyczną

Integracja mMedica z pracownią diagnostyczną

Realizujemy kompleksowo usługę integracji aplikacji gabinetowej mMedica z pracownią diagnostyczną (RTG). Poprawnie wykonana integracja daje możliwość zautomatyzowania wymiany danych z wybraną pracownią diagnostyczną. Pozwala, po wystawieniu skierowania na wizycie, na przesyłanie zleceń bezpośrednia z poziomu aplikacji mMedica do pracowni RTG. Ponadto, co bardzo istotne, integracja umożliwia aplikacji mMedica automatyczne odbieranie  opisów badań diagnostycznych i ich załączanie do dokumentacji medycznej Pacjentów, prowadzonej w postaci elektronicznej.

Zakres usługi integracji obejmuje:

W ramach wykonywanej przez nas usługi, jednostka otrzymuje kompleksowe wsparcie. Poniżej prezentujemy ramowy schemat działania. Schemat pokazujący, jak przebiega całościowy proces wdrożenia i uruchomienia integracji z zewnętrznym laboratorium:

  • Wykupienie i zaczytanie licencji eWyniki Diag.
  • Pozyskanie danych webserwisu i pliku przekodowania od Pracowni RTG
  • Dodanie kontrahenta (Pracowni RTG) i konfiguracja wymiany danych webservice z uwzględnieniem konfiguracji sieci lokalnej klienta.
  • Przekodowanie słownika badań – wybór badań wykonywanych przez personel i powiązanie ich z wystawionymi przez Pracownię RTG.
  • Testy wysyłki zleceń i odbioru opisów badań z weryfikacją zapisu do e-Archiwum.
  • Szkolenie personelu (online) 2h.
Czytaj więcej >>>