Podglądanie danych na PUE ZUS
Podglądanie danych na PUE ZUS przez personel medyczny, lekarzy, pielęgniarki, asystentów medycznych. Lektura opublikowanego dokumentu pn.: „Sprawozdanie z działalności Prezesa Urzędu Ochrony Danych Osobowych w roku 2023” skłoniła mnie do podniesienia ww. problemu. Problemu związanego z wykorzystywaniem przyznanych personelowi uprawnień do przetwarzania danych osobowych gromadzonych na Platformie Usług Elektronicznych Zakładu Ubezpieczeń Społecznych (PUE ZUS) w celu nie związanym z wykonywanymi obowiązkami jako personel medyczny. Poniżej prezentuję konkretne sytuacje, które realnie wystąpiły, które nie tylko stały się przedmiotem zawiadomienia kierowanego do Prezesa Urzędu Ochrony Danych Osobowych, ale również były przez niego w ramach prowadzonych postępowań analizowane oraz stały się podstawą do podjęcia konkretnych rozstrzygnięć. Lektura ma na celu uświadomienie wszystkim pracownikom, jakim dostęp do PUE ZUS został przyznany, iż przekraczając przyznane im uprawnienia, poprzez wykorzystywanie dostępu do danych w celach nie związanych z wykonywanym zawodem może być powodem wielu nieprzyjemnych sytuacji. Podkreślam, za Prezesem UODO, nie ma tutaj znaczenia sytuacja życiowa, materialna, istotne jest bowiem to, iż przetwarzanie danych gromadzonych w ramach Platformy PUE ZUS, w następstwie wykorzystania dostępu, jako pracownikom medyczny, w celach nie związanych z realizacją powierzonych zadań, jest nieuprawnione.
(1) Przetwarzanie przez lekarza danych osobowych osoby będącej świadkiem w sprawie sądowej, pozyskanych za pośrednictwem PUE ZUS
W ocenie Prezesa UODO skorzystanie przez lekarza z danych osobowych skarżącej zawartych na PUE ZUS mogło być uzasadnione tylko celami zawodowymi lub związanymi z wykonywaną działalnością zawodową. Lekarz, jako osoba posiadająca uprawnienia oraz mająca możliwość dostępu do PUE ZUS w związku z wykonywaną działalnością zawodową, nie mógł korzystać z posiadanych uprawnień do innego celu i w efekcie uzyskał bez podstawy prawnej dostęp do danych skarżącej. W przedmiotowej sprawie, w ocenie Prezesa UODO, nie zaistniała przesłanka z art. 6 ust. 1 lit. f) RODO, na którą powoływał się lekarz, przez co organ stwierdził, że lekarz przetwarzał dane osobowe skarżącej niezgodnie z prawem i udzielił mu upomnienia DS.523.997.2023.
(2) Pozyskanie z PUE ZUS informacji o współmałżonku lekarza i ich wspólnym dziecku
Organ, oceniając legalność przetwarzania danych osobowych przez lekarza wskazał, iż brak jest przepisów prawa, które legalizowałyby takie wykorzystywanie przez niego danych osobowych skarżącej, jakie miało miejsce w opisywanej sprawie, tj. celem uzyskania dostępu do PUE ZUS przez lekarza, nieuzasadnionego względami medycznymi, w szczególności zamiarem wystawienia, anulowania lub sprostowania zaświadczenia lekarskiego lub potwierdzenia prawdziwości zawartych w zaświadczeniu danych. Wobec tego organ, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b) RODO, udzielił lekarzowi upomnienia za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 i art. 9 ust. 1 RODO poprzez bezpodstawne przetwarzanie danych osobowych skarżącej celem uzyskania dostępu do danych zgromadzonych na PUE ZUS oraz bezpodstawne przetwarzanie (przeglądanie) danych osobowych skarżącej zawartych na jej profilu w PUE ZUS. DS.523.578.2023.
(3) Uzyskanie przez lekarza dostępu do PUE ZUS w celu ustalenia adresu zamieszkania swojej krewnej
Organ w wydanej decyzji podkreślił, że lekarka wprawdzie znała dane osobowe skarżącej, z uwagi na okoliczność pozyskania ich od samej skarżącej w celu wystawienia skierowania na szczepienie przeciwko COVID-19, nie zmienia to jednak faktu ich bezpodstawnego wykorzystania celem uzyskania dostępu do PUE ZUS skarżącej. Prezes UODO stwierdził, że lekarka wykorzystała dane osobowe skarżącej (w szczególności nr PESEL) w celach prywatnych, do czego nie była w danej sytuacji uprawniona. Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b) RODO, organ udzielił lekarce upomnienia za naruszenie art. 5 ust. 1 lit. a) oraz art. 6 ust. 1 RODO poprzez wykorzystanie danych osobowych skarżącej bez podstawy prawnej w celu uzyskania dostępu do jej danych osobowych zlokalizowanych na PUE ZUS. DS.523.5595.2022.
(4) Uzyskanie dostępu do PUE ZUS w związku z powstałym konfliktem sąsiedzkim
Organ w decyzji zwrócił uwagę, że co do ogólnej zasady lekarz – jako podmiot zobowiązany do oceny zasadności wystawienia zaświadczenia lekarskiego – jest upoważniony do dostępu do danych zgromadzonych na PUE ZUS, ale dostęp taki nie jest bezwarunkowy. Przy ocenie procesu przetwarzania danych osobowych skarżącego w tej sprawie organ miał na względzie, że lekarz działał jako samodzielny administrator, bowiem uzyskując dostęp do danych osobowych skarżącego, zlokalizowanych w PUE ZUS, i przeglądając te dane, sam decydował o celach oraz sposobach ich przetwarzania. Wobec takich założeń organ zbadał, czy lekarz legitymował się przesłanką uprawniającą go do pozyskania danych skarżącego zawartych na PUE ZUS. W efekcie stwierdzenia braku spełnienia przesłanki organ udzielił lekarzowi upomnienia. DS.523.3633.2022.
(5) Uzyskanie przez pracownika lekarza dostępu do PUE ZUS w celu potwierdzenia adresu zamieszkania znanej pracownikowi osoby
Dostęp do danych zgromadzonych na profilu PUE ZUS nie był związany ze świadczeniem na rzecz osoby wnoszącej skargę usług medycznych. Z kolei nie ma przepisów, które legalizowałyby pozyskiwanie przez lekarzy czy personel administratora dostępu do danych osobowych za pośrednictwem systemów medycznych – w celu innym niż wystawienie, anulowanie lub sprostowanie zaświadczenia lekarskiego. DS.523.1262.2022.
(6) Pozyskanie danych osobowych pracownika przychodni przez innego pracownika
W treści decyzji organ wskazał, że płatnik składek, aby przetwarzać dane na PUE ZUS musi działać przez ustawowych lub statutowych przedstawicieli, ewentualnie udzielić pełnomocnictwa osobie fizycznej, np. swojemu pracownikowi albo pracownikowi biura rachunkowego. Osoba upoważniona musi mieć wcześniej założone swoje konto na PUE ZUS. W portalu PUE ZUS tworzony jest profil klienta, na którym udostępnione są dane w rolach, w których ten klient występuje w ZUS i do których ma dostęp: ubezpieczony, płatnik składek, świadczeniobiorca, lekarz, komornik. Dostęp do profilu ma osoba fizyczna, która działa w imieniu swoim lub podmiotu, który ją upoważnił. Zatem przychodnia jako płatnik składek winna była działać przez upoważnione do tego osoby oraz występować w roli do tego przeznaczonej z odpowiedniego profilu i konta utworzonego na PUE ZUS (jako płatnik), a nie, jak to miało miejsce w omawianym przypadku, kiedy to pracownik przychodni uzyskał dostęp do PUE ZUS skarżącej, korzystając z uprawnień lekarki w celu weryfikacji przyczyny nieobecności skarżącej w miejscu pracy. Prezes UODO ocenił, że nie została spełniona w tym przypadku żadna z przesłanek określonych w art. 9 ust. 2 RODO odnośnie do kwestionowanego przez stronę skarżącą nieuprawnionego dostępu do jej danych osobowych przetwarzanych za pośrednictwem PUE ZUS, i udzielił przychodni – jako podmiotowi odpowiadającemu za działania swojego pracownika – upomnienia. DS.523.745.2023.
(7) Wykorzystanie dostępu do danych osobowych
osoby, której one dotyczą, przetwarzanych na PUE ZUS przez lekarza w celu związanym z zatrudnieniem tej osoby
Prezes UODO skorzystał ze swoich uprawnień i upomniał lekarza za naruszenie polegające na wykorzystaniu numeru PESEL skarżącej, w celu uzyskania dostępu do jej danych zgromadzonych w systemie teleinformatycznym PUE ZUS, bez podstawy prawnej oraz następnie trzykrotnym uzyskaniu za pośrednictwem PUE ZUS dostępu do danych skarżącej w zakresie jej imienia i nazwiska, daty urodzenia, adresu zamieszkania nazwy skróconej i nr NIP płatnika składek (pracodawcy) oraz danych zawartych w wystawionych jej trzech zwolnieniach lekarskich, tj. informacji o okresie jej niezdolności do pracy, kodu choroby oraz wskazania lekarskiego bez podstawy prawnej. DS.523.3480.2023.
(8) Wykorzystanie dostępu do PUE ZUS przez
lekarza w związku z występowaniem przez niego w roli pracodawcy
Prezes UODO ustalił, że skarżąca, starając się o uzyskanie zwolnienia lekarskiego, podała jako miejsce pracy gabinet lekarski należący do lekarki. Jak ustaliła lekarka, adres zamieszkania, który wskazała skarżąca, był równocześnie adresem, pod którym żył mąż lekarki, z którym lekarka toczy sprawę rozwodową. W momencie otrzymania korespondencji od ZUS lekarka nie była świadoma ani bycia wskazaną przez skarżącą jako jej pracodawca, ani też relacji osobistej łączącej jej męża ze skarżącą. W efekcie doszło do sytuacji, w której skarżąca, związana z mężem lekarki, zgłosiła do ZUS podjęcie pracy w gabinecie lekarskim należącym do lekarki, dodatkowo sama, będąc niezdolną do pracy we wskazanym dniu podjęcia pracy – o wszystkim lekarka zaś dowiedziała się w ramach własnej analizy sprawy oraz z pisma przesłanego przez ZUS.
W omawianej sprawie charakterystyczne było po pierwsze wystąpienie przez administratora w „podwójnej” roli, tj. lekarki mającej upoważnienie do wystawiania zaświadczeń lekarskich oraz pracodawcy, w związku z przyjętym przez ZUS podejrzeniem zatrudniania skarżącej przez lekarkę, a po drugie, że zdarzenie zaistniało w następstwie przedstawienia przez skarżącą nieprawdziwych informacji ZUS w zakresie jej sytuacji zawodowej. Organ w decyzji zwrócił uwagę na to, że właściwość PUE ZUS umożliwia osobom wystawiającym zaświadczenia lekarskie dostęp do danych osobowych, w tym informacji o stanie zdrowia pacjentów. Dane dotyczące zdrowia są szczególną kategorią danych osobowych, a uzyskanie dostępu do nich przez lekarza wymaga spełnienia przesłanek legalności, określonych w art. 9 ust. 2 RODO.
Prezes UODO podkreślił, że lekarz, mając dostęp do danych zgromadzonych na PUE ZUS, nie może z tego dostępu korzystać w sposób dowolny. Aby dostęp ten nie naruszał przepisów RODO, musi zostać spełniony przynajmniej jeden warunek z art. 9 ust. 2 RODO. W opisywanej sprawie nie został spełniony żaden warunek legalizujący wykorzystanie danych w sposób, w jaki uczyniła to lekarka. Organ wyjaśnił w decyzji, że lekarka przyczynę wysłania do niej listu przez ZUS mogła ustalić opierając się na samej treści korespondencji, w której wskazane było wprost, że list informujący o odmownej decyzji otrzymuje z uwagi na bycie wpisaną jako płatnik składek wobec skarżącej, która ubiegała się o zasiłek chorobowy.
Organ podkreślił, że lekarz nie może w ramach tego samego procesu przetwarzania pełnić równocześnie funkcji lekarza świadczącego usługi medyczne oraz pracodawcy. Zabronione jest korzystanie z dostępu do PUE ZUS, który został przyznany lekarce z powodu wykonywanej profesji, w celach związanych z jej rolą jako pracodawcy. ZUS skierował zapytanie do lekarki w związku z uzasadnionym podejrzeniem zatrudniania przez nią skarżącej, tymczasem lekarka mogła we własnym zakresie (bez konieczności uzyskiwania dostępu do PUE ZUS z poziomu lekarza) ustalić, że żadnych relacji służbowych ze skarżącą nie posiadała. Lekarka była świadoma, że nie udzielała świadczeń medycznych skarżącej, więc brak było uzasadnienia dla korzystania z przysługującego jej, jako lekarzowi, dostępu do PUE ZUS w związku z pismem, które otrzymała od ZUS. W tej sprawie Prezes UODO skorzystał z uprawnienia przewidzianego w art. 58 ust. 2 lit. b) RODO i udzielił lekarce upomnienia za naruszenie art. 5 ust. 1 lit. a) oraz art. 9 ust. 1 RODO. DS.523.4058.2022.
Materiały źródłowe
Materiały źródłowe
Gotowa wzorcowa procedura dokonywania zgłoszeń wewnętrznych ...
Ustawa o ochronie sygnalistów - Procedura zgłoszeń wewnętrznych
Wzory oświadczeń kandydatów wymagane przy zatrudnieniu ... Lex Kamilek
Wybierz interesujący tematycznie dział Sklepu RODO
Procedura zgłoszeń wewnętrznych dla podmiotu medycznego
Procedura zgłoszeń wewnętrznych dla podmiotu medycznego
W związku z faktem uchwalenia Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów opracowaliśmy dokumentację zawierającą procedury związane z obsługa zgłoszeń wewnętrznych dedykowane dla podmiotu medycznego.
Kto ma obowiązek opracowania dokumentacji
Obowiązek przygotowania i wdrożenia dokumentacji na gruncie ww. Ustawy o ochronie sygnalistów mają podmioty medyczne, na rzecz których według stanu na dzień 1 stycznia lub 1 lipca danego roku wykonuje pracę zarobkową co najmniej 50 osób. Uwaga jednak do liczby 50 osób wykonujących pracę zarobkową wlicza się zarówno pracowników w przeliczeniu na pełne etaty oraz wlicza się osoby świadczące pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, jeżeli nie zatrudniają do tego rodzaju pracy innych osób, niezależnie od podstawy zatrudnienia.
Pakiet dokumentów zawiera
- Procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych.
- Potwierdzenie:
- dokonania konsultacji z organizacją związkową celem ustalenia procedury zgłoszenia wewnętrznego
- dokonania konsultacji z przedstawicielem załogi celem ustalenia procedury zgłoszenia wewnętrznego
- Wzór:
- informacji o podaniu do wiadomości osób wykonujących pracę procedury zgłoszeń wewnętrznych
- informacja dla osób ubiegających się o pracę / rekrutacja / negocjacje umowy – o procedurze zgłoszeń wewnętrznych
- rejestru zgłoszeń wewnętrznych
- upoważnienia do podejmowania działań następczych i przetwarzania danych osobowych
- upoważnienia do weryfikacji zgłoszeń wewnętrznych i przetwarzania danych osobowych
- transkrypcji rozmowy z linii nagrywanej / z linii nie nagrywanej w ramach której doszło do zgłoszenia wewnętrznego
- wniosek sygnalisty o zorganizowanie bezpośredniego spotkania celem dokonania ustnego zgłoszenia wewnętrznego
- zgłoszenia wewnętrznego
- protokołu ze zgłoszenia wewnętrznego dokonanego ustnie
- oświadczenia sygnalisty o wyrażeniu zgody na ujawnienie jego danych osobowych
- karta weryfikacji zgłoszenia wewnętrznego
- informacji zwrotnej dla osoby sygnalisty wraz ze schematem pytań i odpowiedzi pozwalających na ocenę zgłoszenia
- protokół ze zniszczenia danych osobowych zebranych przypadkowo
- protokół ze zniszczenia danych związanych ze zgłoszeniem (retencja)
- RCPD
- Klauzula Informacyjna art. 13 RODO
- Klauzula Informacyjna art. 14 RODO
- i inne.
Forma dokumentu: dokumenty edytowalne
Autor: dr Jakub Rzymowski
Autor: mgr Dominik Spałek
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
Wzory oświadczeń składanych przez osoby zatrudniane Ustawa o przeciwdziałaniu przestępczości na tle seksualnym
W skład pakiety wchodzą następujące dokumenty:
- Omówienie przepisów – wprowadzenie do tematu
- Oświadczenie – o jakim mowa w art. 21 ust. 7 Lex Kamilek / braku skazania
- Oświadczenie – o jakim mowa w art. 21 ust. 5 Lex Kamilek / państwa zamieszkania
Procedura użytkowania zewnętrznych nośników danych
Procedura użytkowania zewnętrznych nośników danych
Procedura opisuje zasady / powierzania / korzystania / zabezpieczania / testowania / przechowywania / niszczenia / przenośnych pamięci danych wykorzystywanych w pracy personelu administratora danych osobowych. Procedura użytkowania zewnętrznych nośników danych zawiera także zestaw zakazanych praktyk, wskazując na konkretne ryzyka, jakie wynikają z ich nieprzestrzegania, w szczególności w obszarze cyberbezpieczeństwa.
Pakiet dokumentów zawiera:
- Procedura użytkowania zewnętrznych nośników danych
- Materiał edukacyjny / cyberbezpieczeństwo w pracy z urządzeniami elektornicznymi
- Ankieta inwentaryzacyjno / ewaluacyjna
- Umowa użytkowania służbowego nośnika danych
- Protokół przekazania nośnika danych
Materiały szkoleniowe Cyberbezpieczeństwo RODO
Materiały szkoleniowe Cyberbezpieczeństwo RODO
Materiały szkoleniowe Cyberbezpieczeństwo RODO dla pracowników gotowe do wykorzystania przez Administratorów Danych Osobowych lub Inspektorów Ochrony Danych prowadzących działania edukacyjne w firmie. Kupując nasz produkt otrzymują Państwo dostęp do wszystkich materiałów edukacyjno-informacyjnych szkoleniowych, jakie tworzymy na bieżąco. Otrzymują Państwo także gotowy harmonogram szkoleniowy, co pozwala na wykazanie, rozliczenie realizacji obowiązku szkoleniowego IOD.
W skład pakietu wchodzi:
- Harmonogram szkoleniowy – dzięki któremu wykazywana jest rozliczalność działań szkoleniowych
- Materiały edukacyjne szkoleniowe – dedykowane na kolejne 12 miesięcy
Spis treści:
- Styczeń – „Jakie kroki można podjąć po wycieku danych dotyczących zdrowia”.
- Luty – „Oszuswo na BLIKa”.
- Marzec – „Czym jest phishing, jak się przed nim bronić”.
- Kwiecień – „Ochrona danych osobowych a przyczyny nieobecności w pracy pracowników”.
- Maj – „Cyberbezpieczeństwo i problem jednego hasła w wielu serwisach”.
- Czerwiec – „Podstawowe i szczegółowe zasady pracy z pocztą elektroniczną”.
- Lipiec – „Urlop od RODO ! broszura informująca o zagrożeniach podczas wypoczynku”.
- Sierpień – „Przypomnienie zasad przetwarzania danych – w codziennej pracy”.
- Wrzesień – „Jak ułatwić sobie pracę – popularne skróty klawiszowe”
- Październik – „W jaki sposób rozpoznać próbę ataku na zasoby firmy z wykorzystaniem email”
- Listopad – „Korzystanie z przenośnych pamięci danych w pracy, ryzyka i środki zaradcze”.
- Grudzień – „Prywatny adres email do celów służbowych”.
Bezpośrednio po zakupie otrzymają Państwo nw. materiały szkoleniowe. Z uwagi n fakt, iż na bieżąco tworzymy kolejne materiały w odpowiedzi na aktualne wydarzenia, liczba materiałów szkoleniowych stale rośnie. W przypadku kiedy stworzymy materiały, będziemy je przesyłali do Państwa na bieżąco – za darmo, do końca br.
Prowadzenie dokumentacji medycznej podczas wizyt domowych
Prowadzenie dokumentacji medycznej podczas wizyt domowych
Prowadzenie dokumentacji medycznej podczas wizyt domowych jest to zjawisko, które coraz częściej obecne jest w realiach podmiotów medycznych. Nie tylko oczekiwania i potrzeby zdrowotne pacjentów stanowią uzasadnienie dla wdrożenia takich rozwiązań, ale także zmieniające się przepisy, sprawiają, iż korzystanie z przenośnego sprzętu komputerowego z dostępem do zasobów bazodanowych przez personel udzielający świadczeń zdrowotnych w miejscu zamieszkania pacjenta, stają się obowiązkiem.
Nie tylko sprzęt, ale i dostęp zdalny do danych
Udzielanie świadczeń medycznych czy to w ramach tzw. „wizyt domowych”, bądź w ramach „opieki środowiskowej” czy też wystawianie recept w postaci elektronicznej podczas wizyty realizowanej w miejscu zamieszkania pacjenta, pociąga za sobą konieczność odpowiedniego przygotowania personelu medycznego do prowadzenia, zabezpieczania i przechowywania dokumentacji medycznej powstającej w takich sytuacjach.
Dokumentacja przygotowana do wdrożenia:
- Procedura pracy z wykorzystaniem sprzętu wynoszonego poza obszar podmiotu medycznego.
- Procedura zdalnego dostępu do danych.
- Upoważnienie dla personelu medycznego.
- Oświadczenie o zapoznaniu się z Procedurami pracy ze zdalnym dostępem do pracy.
- Karta szkolenia wstępnego.
- Test sprawdzający.
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Stanowisko IOD – przypominające o obowiązku prowadzenia wykazu udostępnionej dokumentacji medycznej przez podmiot wykonujący działalność leczniczą. Opracowanie zawiera szczegółowe informacje na temat tego, jakie dane należy bezwzględnie zamieszczać w wykazie, jakie mogą zostać w nim zapisane dodatkowo, oraz przedstawia błędne praktyki, z jakimi można spotkać się w praktyce funkcjonowania podmiotów leczniczych.
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych – z dniem 15 lutego 2024 r. wchodzą w życie znowelizowane przepisy, które m.in. na podmioty medyczne nakładają nowe obowiązki opracowania i wdrożenia standardów ochrony małoletnich, jakie należy przestrzegać w podmiotach medycznych. Nowe obowiązki wynikają wprost z treści Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich [tj. Dz.U. z 2023 r., poz. 1304 ze zm.].
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych
Przygotowaliśmy dla Państwa wzorcową dokumentację zgodną z wytycznymi zawartymi w Ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. Pakiet dokumentów zawiera zarówno:
- Omówienie podstawowych obowiązków podmiotu medyczne wynikających ze znowelizowanych przepisów
- Wzór zapisów do Rejestru Czynności Przetwarzania Danych dla czynności sprawdzania kandydatów w rejestrach
- Pełną wersję Polityki ochrony przed krzywdzeniem dzieci
- Skróconą wersję Polityki ochrony przed krzywdzeniem dzieci
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym
Stanowisko opisuje konsekwencje sytuacji, w której to podmiot wykonujący działalność leczniczą zawarł umowę powierzenia przetwarzania danych osobowych z zewnętrznym laboratorium diagnostycznym w związku ze zlecaniem wykonywania badań diagnostycznych swoich pacjentów. Wbrew pozorom sytuacji, w której mamy do czynienia z takim zawieraniem umów powierzenia przetwarzania danych jest więc niż można byłoby przypuszczać.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.
W związku z Komunikatem z dnia 27 listopada 2023r., w którego treści ALAB laboratoria sp. z o.o. informuje o cyt.: „(…)o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego (…)” przygotowaliśmy stosowne Stanowisko IOD zawierające zalecenia dla podmiotów medycznych, zlecających wykonywanie badań ALAB laboratoria sp. z o.o. Stanowisko IOD zawiera wyjaśnienia dotyczące kwestii związanej z ewentualnym obowiązkiem dokonania zgłoszenia zdarzenia do UODO oraz powiadomienia podmiotów danych, których zdarzenie dotyczyło. Wyjaśniamy także kwestie związane z obiegiem dokumentacji pomiędzy laboratorium zewnętrznym a podmiotem zlecającym. Wskazujemy ponadto na zasadność podjęcia określonych działań po stronie podmiotu zlecającego.