Proste to RODO ochrona danych w sektorze medycznym

Wdrożenie RODO w jednostkach medycznych. Audyt cyberbezpieczeństwa PWDL. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w sektorze medycznym

Kary RODO w medycynie

Proste to RODO - Rozporządzenie RODO

Kary RODO w medycynie i nie tylko.

Pytania, które powinien sobie zadać każdy, kto zarządza jednostką medyczną

    • Czy masz świadomość tego, ile podmiotów zostało ukaranych z RODO od początku obowiązywania przepisów?
    • Czy wiesz jaka jest wartość kar RODO nałożónych od początku obowiązywania Rozporządzenia?
    • Jaki jest roczny budżet jednostki, jaką zarządzasz, który przeznaczany jest na jej funkcjonowanie?

Rozporządzenie RODO

Artykuł 82
Prawo do odszkodowania i odpowiedzialność

1.   Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2.   Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

3.   Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

4.   Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

5.   Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

6.   Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Liczba podmiotów ukaranych:

103

Wartość kar RODO:

3.309 miliarda pln

Nieprawidłowe praktyki podmiotów medycznych:

Kary RODO w medycynie stały się faktem. Co było powodem nałożenia na podmioty medyczne kar z RODO, zobacz sam. Zastanów się, czy w twojej jednostce wszystko funkcjonuje tak jak powinno.

  • Brak wydanych upoważnień do przetwarzania danych szczególnej kategorii.
  • Nie aktualizowanie wydanych upoważnień.
  • Niedostateczny nadzór nad wydanymi / cofniętymi loginami dostępu do systemów informatycznych.
  • Brak kontroli poprawności wykorzystywania loginów / haseł dostępowych przez personel.
  • Nieprawidłowe procedury udostępniania dokumentacji medycznej z wykorzystaniem środków komunikacji na odległość.
  • Brak procedur udostępniania dokumentacji / informacji.
  • Niedostateczna liczba szkoleń personelu w zakresie udostępniania dokumentacji medycznej.
  • Nie przeprowadzanie kontroli wewnętrznych poprawności działania jednostki.
  • Brak wsparcia prawnego przy rozstrzyganiu wątpliwych przypadków.
  • Pośpiech i pobieżność działania przy udostępnianiu informacji.
  • Brak współpracy służb kadrowych z działem informatycznym.
  • Niezrozumienie powagi zagadnienia ochrony login i hasła dostępowego.
  • Niechęć personelu do posługiwania się własnym login i hasłem dostępowym.
  • Brak procedur weryfikacji w przypadku resetowania haseł dostępowych.
  • Zbyt szerokie zakresy uprawnień przypisane do loginów użytkowników.

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Biegli rewidenci są administratorami danych osobowych

Badanie finansowe a umowa powierzenia przetwarzania danych

Czy z biegłym rewidentem należy zawierać umowę powierzenia przetwarzania

Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych [UMPO].Za sprawą komunikatu nr 36 i 38 Polskiej Izby Biegłych Rewidentów, sprawa braku zasadności zawierania umów powierzeni, stała się nie tak oczywista. Izba stanęła bowiem na stanowisku, iż zasadnym i celowym jest zawarcie umowy powierzenia przetwarzania danych z biegłym rewidentem. W praktyce spotkać można rozbieżne interpretacje i opinie. Jedne z nich przyznają rację stanowisku, które przemawia za zasadnością zawierania umów powierzenia. Inne stanowiska wskazują, iż biegły rewident, wykonując swoje obowiązki ustawowe, staje się administratorem danych osobowych. Z tego względu za nie tyle niepożądane co niedopuszczalne uznać należy, zawieranie umów powierzenia przetwarzania danych w takiej sytuacji. Czytaj więcej >>>

Stanowisko UODO

Czy z biegłym rewidentem należy zawierać umowę powierzenia przetwarzania.  UODO udzielił odpowiedzi na pytanie, czy w świetle przepisów RODO firmy audytorskie i biegli rewidenci są „administratorami” czy też „podmiotami przetwarzającymi”.

Polska Izba Biegłych Rewidentów

PIBR informuje iż w związku z pojawiającymi się wątpliwościami dotyczącymi tego, jaka jest rola firm audytorskich i świadczących w ich imieniu usługi biegłych rewidentów, czy są one „administratorami” czy też „podmiotami przetwarzającymi” PIBR skierowała zapytanie do Prezesa Urzędu Ochrony Danych Osobowych („UODO”).

W swoim stanowisku z dnia 18 października 2019 r. UODO wskazuje iż z uwagi na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów.

Otrzymana interpretacja wymaga wprowadzenia odpowiednich zapisów w umowach o wykonanie usługi atestacyjnej (w tym badania sprawozdania finansowego). W PIBR trwają prace nad zmianą zapisów przykładowej umowy o badanie oraz przygotowaniem aneksu do zawartych już umów. Ponadto firmy audytorskie powinny dostosować (opracować i wdrożyć) swoje wewnętrzne procedury działalności związane z przepisami RODO.

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i   średnich firm.

5/5

799,00 pln

Dokumentacja RODO dla biura rachunkowego.  Kompletny zestaw wzorów dokumentów i procedur.

5/5

1499,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych

Proste to RODO

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych

Etapowa metoda ustalenia czy podmiot jest administratorem danych (odbiorcą) czy podmiotem przetwarzającym. Kiedy należy zarzwć umowę powierzenia przetwarzania danych.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych? To pytanie zadają sobie Państwo bardzo często. Zarówno, kiedy analizujecie relacje od strony administratora, jak i od strony potencjalnego podmiotu przetwarzającego. Z tego względu dr Jakub Rzymowski przygotował, dla Państwa wytyczne, jakie pomogą w ustalaniu charakteru relacji. Ufamy, iż materiał, jaki przygotowany został dla Państwa będize pomocy.jak więc stosować zapisy art. 28 Rozporządzenia RODO w praktyce, zapraszamy do testu.

Metoda 1: W czyim imieniu dane są przetwarzane?

Przetwarzanie danych osobowych w imieniu administratora lub nie w imieniu administratora może nie wystarczyć. Może okazać się że na tej podstawie nie jest mozliwa odpowiedź na pytanie. Nie będizemy w stanie ocenić, czy dany podmiot jest administratorem, czy podmiotem przetwarzającym. Jest tak ponieważ rozstrzygnięcie dylematu interpretacyjnego może być po prostu w danej sytuacji zbyt triudne. Dla danego rozstrzygającego niemożliwe. Jak zatem widać, oparcie metody badawczej jedynie o to w czyim imieniu dane są przetwarzane, może być zawodne i groźne.

Metoda 2: Czy ADO zleca czynności na danych?

Bardziej niezawodną wydaje się być kolejna metoda. Metoda oparta na tym, czy administrator danych zleca czynność na danych, czy inną czynność, do której wykonania dane są niezbędne.

Metoda 3: Czy możliwy jest zwrot danych?

Kolejną metodą jest metoda oparta o to, czy administrator może skutecznie żądać zwrócenia danych. Naturalnie zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym. Metodę tę stosuje pewien ze znanych mi praktyków ochrony danych i RODO – R. Kosuń. Rafała Kosunia znam osobiście. Jednak trudno jest mi wskazać źródło wskazujące na jego poglądy. Tym niemniej uważam, że warto na nie tu wskazać, z uwagi na ich trafność i wygodę w stosowaniu. Metoda ta musi być czasem uzupełniana, o to czy czynność zlecana jest czynnością na danych, czego R. Kosuń ma świadomość.

Metoda 4: Czy przepisy uniemożliwiają zwrot danych?

Jeszcze jedna metoda oparta może być o fakt, że podmiot, który badamy pod kątem ustalenia czy jest on administratorem czy podmiotem przetwarzającym, nie może zwrócić danych pierwotnemu administratorowi, ponieważ prawo mu to uniemożliwia. Przykładem są tu osoby/podmioty prowadzące niektóre zawody czy rodzaje działalności regulowane prawem, takie jak adwokat, doradca podatkowy, notariusz, szpital, przychodnia.

Krok 1 -

Czy podmiot przetwarza dane osobowe w imieniu (pierwotnego) administratora czy podmiot przetwarza dane osobowe we własnym imieniu?

  • Jeżeli podmiot przetwarza dane osobowe w imieniu (pierwotnego) administratora to podmiot ten jest podmiotem przetwarzającym
  • Jeżeli podmiot przetwarza dane osobowe we własnym imieniu to podmiot ten jest administratorem (odbiorcą).

Krok 1 jest pozornie przesądzający, niestety tylko pozornie, trudno bowiem czasem wręcz zrozumieć w czyim imieniu podmiot przetwarza.

Mając to na uwadze, trzeba mieć świadomość, że zarówno wynik, w którym zleceniobiorca jest administratorem danych, może być fałszywy jak i wynik, w którym zleceniobiorca jest podmiotem przetwarzającym może być fałszywy.

Krok 2 -

Czy podmiot lub osoba wykonuje zawód lub działalność uregulowaną prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy? Zwykle wiąże się to również z obowiązkiem przechowywania danych po wykonaniu zlecenia i niemożnością zwrócenia tych danych (pierwotnemu) administratorowi.

  • Jeżeli podmiot lub osoba wykonuje zawód lub działalność uregulowaną prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy, to taki podmiot lub osoba jest administratorem (odbiorcą).
  • Jeżeli podmiot lub osoba nie wykonuje zawodu  lub działalności uregulowanej prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy, to taki podmiot lub osoba jest administratorem (odbiorcą), lub podmiotem przetwarzającym, lecz w Kroku 2 tego nie ustalono, należy wykonać kroki następne.

Innymi słowy, twierdząca odpowiedź na pytanie skutkuje wynikiem pozytywnym ,który wydaje się być wiarygodny, przecząca odpowiedź na pytanie skutkuje wynikiem negatywnym, który może być fałszywie negatywny.

Krok 3

Czy administrator może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym? Nie wykluczam, że krok 3 tożsamy jest z krokiem 2 aczkolwiek nie mam tu całkowitej pewności.

Jeżeli administrator nie może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym, to podmiot ten jest administratorem danych (odbiorcą).

  • Jeżeli administrator może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym, to podmiot ten jest podmiotem przetwarzającym lub administratorem, lecz w Kroku 3 tego nie ustalono, należy wykonać kroki następne.

Innymi słowy, przecząca odpowiedź na pytanie skutkuje wynikiem pozytywnym, który wydaje się być wiarygodny, twierdząca odpowiedź na pytanie skutkuje wynikiem negatywnym, który może być fałszywie negatywny.

Krok 4

Czy administrator zleca wykonanie czynności na danych?

Jeżeli administrator zleca wykonanie czynności na danych, to zleceniobiorca jest podmiotem przetwarzającym.

  • Jeżeli administrator zleca wykonanie innej czynności niż czynność na danych, to zleceniobiorca jest administratorem danych (odbiorcą).

Najbardziej niezawodną wydaje się być metoda oparta na tym czy administrator danych zleca czynność na danych czy inną czynność, do której wykonania dane są niezbędne.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych,

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych. Ufamy, iż dzięki naszemu opracowaniu oraz zautomatyzowanej jego formie to pytanie nie będzie już dla Państwa problemem.

Dokument do pobrania PDF

Autor:Jakub Rzymowski z Konacelarii Adwokacjej Eurokancelaria prof. M. Królikwskiej-Olczak
Rodzaj publikacji: Komentarz RODO
Dostępność: Publikacja bezpłatna
Prawa autorskie: Copyright by J.Rzymowski

Bezpłatny komentarz RODO - Definicja "podmiot przetwarzający"

Autor:Jakub Rzymowski z Konacelarii Adwokacjej Eurokancelaria prof. M. Królikwskiej-Olczak
Rodzaj publikacji: Komentarz RODO
Dostępność: Publikacja bezpłatna
Prawa autorskie: Copyright by J.Rzymowski

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Pierwsza kara dla podmiotu publicznego

Proste to RODO - Rozporządzenie RODO

Prezes UODO nałożył pierwszą karę pieniężną na podmiot publiczny

Pierwsza kara dla podmiotu publicznego. Jednostki samorządu terytorialnego też muszą się liczyć z karą za nieprzestrzeganie RODO. Jednym z powodów nałożenia kary w wysokości 40 tys. na burmistrza miasta było to, że nie zawarł umowy powierzenia przetwarzania danych osobowych z podmiotami, którym przekazywał dane.  

Umowa powierzenia przetwarzania danych

Umowa powierzenia nie została zawarta z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej (BIP) Urzędu Miejskiego w Aleksandrowie Kujawskim. Takiej umowy nie zawarto również z inną firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie. Prezes UODO uznał więc, że doszło do naruszenia art. 28 ust. 3 RODO. Przepis ten zobowiązuje administratora, w imieniu którego przetwarzania danych osobowych dokonuje inny podmiot, do zawarcia z nim umowy powierzenia. W konsekwencji braku takiej umowy burmistrz dopuścił się udostępnienia danych osobowych bez podstawy prawnej, czym naruszył określone w RODO: zasadę przetwarzania danych zgodnie z prawem (art. 5 ust. 1 lit. a) oraz zasadę poufności (art. 5 ust. 1 lit. f).

Przeglady danych

To jednak nie jedyne naruszenia, jakie stwierdzono w toku postępowania kontrolnego prowadzonego przez Prezesa UODO. Ustalono także, że brak było procedur wewnętrznych dotyczących przeglądu zasobów dostępnych w BIP pod kątem ustalenia okresu ich publikowania. To spowodowało, że przykładowo w BIP były dostępne m.in. oświadczenia majątkowe z 2010 roku, podczas gdy okres ich przechowywania wynosi 6 lat, co wynika z przepisów sektorowych. W przypadku danych, których okresu przechowywania nie reguluje prawo, administrator powinien sam go ustalić adekwatnie do celów, w jakich je przetwarza. Administrator naruszył więc zasadę ograniczonego przechowywania, określoną w art. 5 ust. 1 lit. e RODO.

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Analiza ryzyka

W czasie postępowania ustalono również, że zarejestrowane materiały z posiedzeń rady miejskiej były dostępne w BIP jedynie poprzez zamieszczenie linka do dedykowanego kanału na YouTube. W Urzędzie Miejskim nie było kopii zapasowych tych nagrań. Przez to w przypadku utraty danych zapisanych w serwisie YouTube administrator nie dysponowałby tymi nagraniami. Nie przeprowadzono również analizy ryzyka związanej z publikacją nagrań z posiedzeń rady wyłącznie w serwisie YouTube. Doszło więc do naruszenia zasady integralności i poufności (art. 5 ust. 1 lit. f) oraz zasady rozliczalności (art. 5 ust. 2).

RCPD

Zasada rozliczalności została naruszona również w związku z brakami w rejestrze czynności przetwarzania. Nie było w nim np. wskazanych wszystkich odbiorców danych, a także brakowało wskazania planowanego terminu usunięcia danych dla niektórych czynności przetwarzania.

Współpraca z PUODO

Prezes UODO, nakładając karę, wziął pod uwagę to, że pomimo stwierdzonych w toku postępowania nieprawidłowości, nie zostały one usunięte przez administratora, ani nie wdrożył on rozwiązań mających przeciwdziałać naruszeniom w przyszłości. Administrator nie współpracował również z organem nadzoru. Dlatego Prezes UODO uznał, że nie zachodziły przesłanki, które mogłyby złagodzić wysokość kary.

Oprócz kary pieniężnej Prezes Urzędu nakazał również administratorowi podjęcie działań mających na celu usunięcie stwierdzonych naruszeń w ciągu 60 dni.

Decyzja PUODO z 18.10.2109 [ZSPU.421.3.2019]

Źródło informacji: www.uodo.gov.pl

Bezpłatna konsultacja telefoniczna

Zapraszamy do kontaktu z nami. W ramach bezpłatnej konsultacji telefonicznej postaramy się określić, w jaki sposób jesteśmy w stanie Państwu pomóc. Tel. +48 694 494 240

Dokumentacja RODO dla fizjoterapeutów

Dokumentacja RODO dla fizjoterapeutów

Dokumentacja RODO dla fizjoterapeutów.

Obowiązek posiadania / stosowania / weryfikowania.

Dokumentacja RODO dla fizjoterapeutów stała się faktem. Fizjoterapeuci są zobowiązani do prowadzenia, udostępniania i zabezpieczania, nie tylko dokumentacji medycznej, ale i dokumentacji, jaka określona jest przepisami o ochronie danych osobowych. Jednak nie należy wpadać w panikę. Należy zrozumieć i przyjąć za tezę, iż administrator danych osobowych powinien utworzyć, stosować i weryfikować dokumenty dotyczące przetwarzania danych osobowych, obowiązujące w ramach jego struktury. Taki to obowiązek nakłada na niego Rozporządzenie RODO.

Zakres dokumentacji dotyczącej przetwarzania danych daleko odbiega od obecnie znanych i stosowanych wzorów. Wzorów, jakie były obowiązujące pod rządami poprzednich regulacji prawych. Nie zmienia to jednak faktu, iż przepisy Rozporządzenia RODO wymagają od administratora posiadania, stosowania i weryfikowania dokumentacji dotyczącej przetwarzania danych osobowych. Zmiana sposobu podejścia do dokumentacji polegająca na odstąpieniu od sztywnego wzorca wymaganych dokumentów, na rzecz regulacji zakładającej swego rodzaju dowolność, nie oznacza, iż nie istnieją granice owej dowolności. Liczne opracowania zdają się sugerować, iż administratorzy wraz z rozluźnieniem wytycznych, co do tworzenia konkretnych dokumentów, zwolnieni zostali w ogóle z obowiązku posiadania rozbudowanej dokumentacji dotyczącej przetwarzania danych, a skupiać mają się na stosowaniu przepisów prawa. Powyższe jednak sugestie daleko rozmijają się z prawdą, albowiem Rozporządzenie RODO wprost przewiduje mechanizmy odpowiedzialności, jaką ponieść może administrator w związku z uchybieniami w zakresie nie tylko nie stosowania przepisów prawa ale i nie posiadania stosownej dokumentacji.  

Dokumentacja RODO.

Dla zobrazowania powagi sytuacji, zwróćmy uwagę na treści zapisów Rozporządzenia RODO. Zgodnie z art. 83 ust. 5 lit a) Rozporządzenia RODO, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 Rozporządzenia RODO, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 5 ust. 2 Rozporządzenia RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1, czyli wymienionych zasad przetwarzania danych, ale musi także, oprócz ich przestrzegania, dodatkowo być w stanie wykazać ich przestrzeganie. Przepis niniejszy wprowadza tzw. zasadę rozliczalności.

Co oznacza, iż brak możliwości wykazania przez administratora przestrzegania, którejkolwiek z zasad określonych treścią art. 5 Rozporządzenia RODO, oznacza naruszenie zasady rozliczalności, określonej w art. 5 ust. 2 Rozporządzenia RODO. Tym samym wskazuje na fakt, spełnienia się przesłanek odpowiedzialności, jakie wymienione zostały w art. 83 ust. 5 lit a) Rozporządzenia RODO. Dokumentacja RODO dla fizjoterapeutów musi więc pozostawać w posiadaniu administratora. Dzięki niej realizował będzie on zasadę rozliczalności.

Zasady przetwarzania danych osobowych w gabinecie fizjoterapeuty.

Dla uproszenia opracowaliśmy tabelaryczne zestawienie zasad, jakie przewidują przepisy Rozporządzenia RODO, a które muszą być przestrzegane przez administratorów. Na zasady należy patrzeć od strony obowiązku, jaki one wprowadzają dla podmiotu zobligowanego do ich przestrzegania oraz od strony uprawnienia, jakie otrzymuje podmiot danych. Przy takim postrzeganiu tych regulacji, przestrzeganie zasad stanie się procesem o wiele bardziej świadomym i trafnym. Po drugie takie spojrzenie i zrozumienie zasad pozwoli administratorowi uświadomić sobie, że musi, że ma obowiązek, rozliczyć się, czyli wykazać, że każdą z tych zasad przestrzega, a co w praktyce oznacza, iż musi posiadać adekwatną dokumentację przetwarzania danych, która obrazować będzie, jak ów administrator przestrzega zasad przetwarzania, o których mowa w art. 5 Rozporządzenia RODO.

Z art. 5 RODO wynika 11 zasad przetwarzania danych osobowych, są to zasada:

Dokumentacja RODO - ale tylko taka według Państwa potrzeb.

Z uwagi na fakt, iż proces wdrażania przepisów Rozporządzenia RODO, w większości placówek medycznych, już się rozpoczął, przygotowaliśmy inne podejście do tematu. Pragniemy Państwo zaproponować rozwiązania wycelowane w aktualne potrzeby. Mogą bowiem Państwo znajdować się na różnych etapach wdrożenia RODO. Oznacza to, iż nie wszystkie informacje będą dla Państwa konieczne i niezbędne. W zależności więc od momentu, w którym się Państwo znajdują, możecie wybrać odpowiedni rodzaj wsparcia dla swojej jednostki. W razie wątpliwości zapraszamy do bezpłatnej konsultacji telefonicznej. Czytaj więcej >>>

Opracowanie pokazujące, jakie obowiązki posiada fizjoterapeuta, jak powinna wyglądać prowadzona przez niego dokumentacja medyczna. Omówiono szereg aspektów związanych z udostępnianiem dokumentacji medycznej. Czy wiesz, że Twoim obowiązkiem jest >>>

Omówienie podstawowych obowiązków, jakie przepisy prawa nakładają na fizjoterapeutów, w związku z wykonywaniem przez nich zawodu. Tematyka nierozerwalnie związana jest z zagadnieniem RODO dla fizjoterapeutów. Czytaj więcej o swoich obowiązkach >>>

RODO dla fizjoterapeutów. Zbiór dokumentów opracowanych przez naszych ekspertów, dzięki którym, spełnienie obowiązków RODO w gabinecie fizjoterapii, stanie się o wiele prostsze. Wzory opracowane wg. potrzeb. Podzielone zostały na pakiety dedykowane fizjoterapeutom. W zależności od tego, na jakim etapie wdrażania przepisów RODO się znajdują. Sprawdź co mamy dla Ciebie >>>

Najciekawsze doniesienia prasowe dotyczące tematyki ochrony zdrowia, oraz przepisów o ochronie danych osobowych. Czytaj więcej >>>

II Ogólnopolska Konferencja RODO w Medycynie / RODO Sender

II Ogólnopolska Konferencja RODO w Medycynie

II Ogólnopolska Konferencja RODO w Medycynie / RODO Sender / Proste to RODO

18 listopada 2019r. w Warszawie na Uczelni Medycznej im Marii Skłodowskiej Curie, odbędzie się II Ogólnopolska Konferencja RODO w Medycynie. Polskie Centrum Edukacji, jako jej organizator, zaprosiło do współpracy szereg specjalistów, którzy dzielić będą się z Państwem swoją wiedzą i doświadczeniem.

Będziemy obecni - Proste to RODO

Również i my skorzystaliśmy z zaproszenia PCM do udziału w Konferencji. Kierowani doświadczeniem oraz problemami natury praktycznej przygotowaliśmy dla Państwa prezentację rozwiązania technologicznego pn. RODO Sender. Z jej wykorzystaniem udostępnianie dokumentacji medycznej, za pośrednictwem email, staje się rozwiązaniem banalnie prostym, szybkim, a przede wszystkim bezpiecznym i nie wymagającym nadmiernych kosztów.

Zapraszamy do naszego stolika eksperckiego - Proste to RODO

Dla uczestników, którzy zdecydują się na wizytę przy naszym stoliku eksperckim przewidzieliśmy ciekawe prezenty m.in. będą to darmowe licencje do wykorzystania RODO Sender w ramach własnych PWDL, ilość darmowych licencji ograniczona.

Program Konferencji "RODO w Medycynie"

  • „Prawa pacjenta a prawo administratora” – Jarosław Feliński, praktyk, wykładowca wyższych uczelni. Audytor Wiodący PN ISO/IEC 27001 [IRCA], Prezes Stowarzyszenia Inspektorów Ochrony Danych Osobowych w Polsce

  • „Rejestr czynności przetwarzania w praktyce” – Kamila Kulczyk, radca prawny z dwudziestoletnią praktyką zawodową. Praktyk, trener. Wieloletni doradca szerokiego kręgu podmiotów medycznych takich jak: szpital, hospicjum, gabinet lekarski, przychodnia

  • „Prowadzenie i udostępnianie dokumentacji medycznej w kontekście przepisów RODO” – dr n. prawnych Anna Augustynowicz, adiunkt w Warszawskim Uniwersytecie Medycznym oraz w Centrum Medycznym Kształcenia Podyplomowego. Zajmuje się problematyką odpowiedzialności prawnej personelu medycznego oraz prawami pacjenta i prawami personelu medycznego. Autorka szeregu publikacji w tym zakresie

  • „RODO Sender, jako profesjonalne narzędzie do bezpiecznego udostępniania dokumentacji medycznej w zaszyfrowanej postaci, zabezpieczonej indywidualnym hasłem przekazywanym odrębnym kanałem do odbiorcy”. Zagadnienia natury prawnej przedstawi: mgr Dominik Spałek, ekspert i zarazem członek zespołu Proste to RODO, posiadający 12 letnie doświadczenie w obsłudze podmiotów medycznych w zakresie zagadnień prawnych z dziedziny m.in. ochrony danych osobowych. Zagadnienia natury informatycznej zaprezentuje: mgr inż. Michał Kubik, oraz Kamil Kubik specjaliści w dziedzinie informatyzacji podmiotów medycznych. Wieloletni praktycy w zakresie
    realizacji wdrożeń systemów informatycznych w służbie zdrowia oraz kompleksowej obsłudze IT podmiotów medycznych.

  • „Praktyczne aspekty bezpieczeństwa danych medycznych w rejestracji oraz gabinecie lekarskim” – RODO-MED.PL, Radosław Dziedzic. Inspektor Ochrony Danych w placówkach medycznych. Certyfikowany auditor wewnętrzny QMS i ISMS. Praktyk od 12 lat związany z placówkami medycznymi – m.in. z wdrażaniem i projektowaniem oprogramowania dla służby zdrowia

  • „Szacowanie ryzyka i ocena skutków” – Józef Waniek, Inspektor Ochrony Danych. Wieloletni Dyrektor zarządzający państwowymi i publicznymi jednostkami ochrony zdrowia z dużym doświadczeniem i stażem zawodowym. Jednostka przez Niego zarządzana pozytywnie przeszła kontrolę Generalnego Inspektora Ochrony Danych Osobowych. Legitymuje się posiadaniem Międzynarodowego Certyfikatu Audytora Wiodącego Normy ISO – 27001:2005 wydanego przez TUW Nord Group – Polska oraz certyfikatu z zakresu kontroli zarządczej i zarządzania ryzykiem w jednostkach sektora finansów publicznych

  • „Powierzenie danych medycznych do przetwarzania. Umowy dotyczące danych osobowych medycznych” -Paweł Gudel, aplikant radcowski, pełni funkcję Inspektora Ochrony Danych, praktyk zajmujący się od czterech lat tematyką ochrony danych osobowych na rzecz wielu klientów, w tym z branży medycznej oraz powiązanej. Ukończył m.in. studia podyplomowe: Inspektor Ochrony Danych Osobowych – podyplomowe studia zarządzania bezpieczeństwem informacji oraz certyfikowane szkolenie Audytor Wewnętrzny SZBI ISO/IEC 27001:2017

  • „Ochrona danych osobowych pacjenta” – Zuzanna Rohn, Pełnomocnik Dyrektora ds. Wdrożenia EDM i Obsługi Pacjenta, Kierownik Ambulatorium ds. organizacyjno-administracyjnych

  • „Obsługa pacjenta w świetle RODO” – Dorota Uliasz, doradza osobom zarządzającym podmiotami leczniczymi w opracowywaniu i wdrażaniu procedur podnoszących jakość obsługi pacjenta; prowadzi szkolenia dla: lekarzy, pielęgniarek, pracowników rejestracji oraz całych zespołów placówek medycznych

Jak zgłosić swój udział - wystarczy wypełnić formularz zgłoszenieniowy

Formularz rejestracyjny dostępny jest na stronach Polskiego centrum Edukacji, które jest organizatorem już II edycji Konferencji “RODO w Medycynie”

Termin Konferencji "Rodo w Medycynie" i koszt udziału.

II Ogólnopolska Konferencja “RODO w Medycynie” odbędzie się 18 listopada 2019r. Koszt uczestnictwa jednej osoby wynosi 190 zł. Szczegółowe warunki uczestnictwa znajdą Państwo na stronie organizatora PCM.

Jak dojechać

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Jak wprowadzić monitoring w firmie

Monitoring wizyjny w firmie

Monitoring wizyjny w firmie

Czym jest monitoring wizyjny

Zgodnie z Kodeksem Pracy  szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci może być prowadzony za wykorzystaniem środków technicznych umożliwiających rejestrację obrazu. Tego rodzaju rozwiązanie przepisy nazywają monitoringiem wizyjnym. Na monitoring wizyjny składają się wszelkiego rodzaju kamery, systemy przesyłu oraz rejestratory, które przetwarzają obraz.W swoim artykule UODO podnosi ponadto, że w momencie, gdy obraz jest zapisywany, umożliwia on identyfikację osoby znajdującej się w obszarze monitoringu. Gdy dodatkowo wyposażony jest w narzędzia do analizy obrazu, przetwarzaniu ulegają dane biometryczne.

Atrapy kamer i systemy podglądu na żywo

Zdolność systemu do rejestracji obrazu, na chwilę obecną, przyjmowana jest jako element decydujący o możliwości uznania za monitoring wizyjny. Wydawać może się, iż jest to element wystarczający, jednak w praktyce jest jednak o wiele bardziej skomplikowanie. Jak bowiem należy traktować atrapy sugerujące, iż obszar objęty jest monitoringiem? Jak należy traktować tzw. “Foto-pułapki”? Foto-Pułapki, czyli systemy ukrytego monitoringu, mającego, z założenia, przeciwdziałać pozyskiwaniu dowodów, potwierdzających niezgodne z prawem zachowania. W naszej ocenie kategoryczne stanowiska, wskazujące na  niedopuszczalność stosowania atrap kamer, czy Foto-Pułapek, ulegną zweryfikowaniu z czasem.

Obsza objęty monitoringiem

Monitoring wizyjny w firmie nie obejmuje pomieszczeń sanitarnych, szatni, stołówek oraz palarni lub pomieszczeń udostępnianych zakładowej organizacji związkowej. Wyjątkiem jednak będzie sytuacja, w której stosowanie monitoringu, w tych pomieszczeniach, jest niezbędne do realizacji celu określonego i nie naruszy to godności oraz innych dóbr osobistych pracownika, a także zasady wolności i niezależności związków zawodowych, w szczególności poprzez zastosowanie technik uniemożliwiających rozpoznanie przebywających w tych pomieszczeniach osób.

Okres przechowywania nagrań z monitoringu wizyjnego w firmie

Nagrania obrazu pracodawca przetwarza wyłącznie do celów, dla których zostały zebrane, i przechowuje przez okres nieprzekraczający 3 miesięcy od dnia nagrania. Natomiast powinni Państwo pamiętać, iż w przypadku, kiedy nagranie stanowi dowód, lub moze stanowić dowód, w postępowaniu prowadzonym na podstawie prawa termin maksymalny przechowywania wydłuża się do czasu prawomocnego zakończenia postępowania.

Obowiązkowe usuwanie

Po upływie okresów maksymalnych, o których piszemy wyżej, uzyskane nagrania podlegają zniszczeniu, o ile przepisy odrębne nie stanowią inaczej.

Tryb wprowadzenia monitoringu wizyjnego u pracodawcy

Należy przede wszystkim dostrzec, iż nie tylko przepisy kodeksu pracy określają zasady i tryb stosowania monitoringu wizyjnego w firmie. Są bowiem także odrębne regulacje o charakterze szczególnym które dotyczą także monitoringu, ale w innych realiach np. PWDL czy w placówkach oświatowych. Skutkiem powyższego jest istnienie różnych procedur, które należy spełnić, aby stosować monitoring wizyjny w firmie.

Odpowiednie oznaczenie obszarów monitorowanych

W przypadku wprowadzenia monitoringu pracodawca oznacza pomieszczenia i teren monitorowany w sposób widoczny i czytelny, za pomocą odpowiednich znaków lub ogłoszeń dźwiękowych, nie później niż jeden dzień przed jego uruchomieniem.

Procedura wprowadzenia i stosownia monitoringu wizyjnego u pracodawcy zgodna z kodeksem pracy oraz Rozporządzeniem RODO

Przygotowaliśmy dla Państwa procedurę wg. której należy wprowadzić i stosować monitoring wizyjny w firmie. Nowelizacja zapisów Kodeksu Pracy sprawiła, iż Pracodawcy, zamierzający dopiero korzystać z monitoringu, albo już ja stosujący, mają nowe obowiązki do realizacji. Obowiązki te dotyczą także prowadzenia akt osobnych pracowników.

Monitoring wizyjny w firmie. Procedura wdrożenia i stosowania monitoringu u pracodawcy po zmianach kodeksu pracy.

5/5

99,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla mikroprzedsiębiorstw

5/5

799,00 pln

Dokumentacja RODO dla agencji ochrony osób i mienia.  Kompletny zestaw dokumentacji  procedur.

5/5

2999,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Test równowagi prawnie uzasadnionego interesu ADO

Test badania równowagi prawnie uzasadnionego interesu

Test równowagi prawnie uzasadnionego interesu ADO

Test równowagi prawie uzasadnionego interesu ADO. Jego wykonanie stanowi obowiązek ADO w sytuacji, w której zamierza on przetwarzać dane na podstawie prawnie uzasadnionego interesu. Wykonywanie testów równowagi służy także realizacji zasady rozliczalności, wynikającej z Rozporządzenia RODO. Przygotowaliśmy dla Państwa gotowy test – cała procedura dostępna w naszym Sklep RODO / GDPR.

Wyniki testu OPUI

Wynikiem analizy wykonanej z wykorzystaniem testu jest ustalenie, czy przetwarzanie danych w określonym celu, na podstawie prawnie uzasadnionego interesu jest dopuszczalne. Dopuszczalne, czyli, czy nie zachodzą przesłanki wskazujące na to, iż:

  • istnieją nadrzędne interesy, względem ww. interesu ADO,
  • istnieją nadrzędne prawa i wolności osoby, której dane dotyczą,

wymagające, ochrony danych osobowych, ze szczególnym uwzględnieniem, sytuacji, w jakiej podmiotem danych są:

  • dzieci.

Szczegółowo rzecz ujmując, w wyniku przeprowadzenia testu dojdzie do:

  • określenia celu przetwarzania,
  • analizy poziomu niezbędności i przydatności przetwarzania dla administratora,
  • oceny równowagi pomiędzy uzasadnionym interesem administratora a wpływem na prawa i wolności osoby, której dane dotyczą.

Testujemy systematycznie, nie jednorazowo.

Zmieniające się realia, w których dochodzi do przetwarzania danych, wymuszają systematyczne testowanie. Zasadnym i celowym jest, aby testy równowagi przeprowadzane były powtarzalnie. Muszą Państwo odpowiednio reagować na zmieniającą się rzeczywistość. Skutkiem tego będzie często konieczność ponownego przeanalizowania, danej konkretnej sytuacji w podmiocie.

Testując badamy, a nie kreujemy rzeczywistość.

Prawodawca bardzo szeroko definiuje podstawę prawną jaką jest uzasadniony interes administratora. Opisuje on warunki zastosowania prawnie uzasadnionego interesu administratora wskazując w szczególności na możliwość przetwarzania danych osobowych o ile w świetle rozsądnych oczekiwań osób, których dane dotyczą, opartych na powiązaniu tych oczekiwań z administratorem, nadrzędne nie są interesy lub podstawowe prawa i wolności osoby, której dane dotyczą.

Aby stwierdzić istnienie prawnie uzasadnionego interesu należy w każdym przypadku przeprowadzić dokładną ocenę, w tym ocenę tego, czy w czasie i w kontekście, w którym zbierane są dane osobowe, osoba, której dane dotyczą ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

Interesy i prawa podstawowe osoby, której dane dotyczą mogą być nadrzędne wobec interesu administratora danych, w szczególności w przypadkach, gdy dane osobowe są przetwarzane w sytuacji, w której osoby, których dane dotyczą, nie mają rozsądnych przesłanek, by spodziewać się dalszego przetwarzania.

Założenie, iż spełnione zostały wszystkie wymogi z art. 5 RODO.

Ocena OPUI zakłada, innymi słowy zatem, iż ADO przetwarzając dane przestrzega zasad, wynikających z art. 5 RODO.

Procedura wymusza testowanie.

Procedura powinna zakładać dokonanie analizy w obszarze:

  • Testowania celowości.
  • Analizowania niezbędności.
  • Zestawienia wyników, testowania równowagi.

Motyw (45)

Jeżeli przetwarzanie odbywa się w celu wypełnienia obowiązku prawnego, któremu podlega administrator, lub jeżeli jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej, podstawę przetwarzania powinno stanowić prawo Unii lub prawo państwa członkowskiego. Niniejsze rozporządzenie nie nakłada wymogu, aby dla każdego indywidualnego przetwarzania istniało szczegółowe uregulowanie prawne. Wystarczyć może to, że dane uregulowanie prawne stanowi podstawę różnych operacji przetwarzania wynikających z obowiązku prawnego, któremu podlega administrator, lub że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej. Prawo Unii lub prawo państwa członkowskiego powinno określać także cel przetwarzania. Ponadto prawo to może doprecyzowywać ogólne warunki określone w niniejszym rozporządzeniu dotyczące zgodności przetwarzania z prawem, określać sposoby wskazywania administratora, rodzaj danych osobowych podlegających przetwarzaniu, osoby, których dane dotyczą, podmioty, którym można ujawniać dane osobowe, ograniczenia celu, okres przechowywania oraz inne środki zapewniające zgodność z prawem i rzetelność przetwarzania. Prawo Unii lub prawo państwa członkowskiego powinno określać także, czy administratorem wykonującym zadanie realizowane w interesie publicznym lub w ramach sprawowania władzy publicznej powinien być organ publiczny czy inna osoba fizyczna lub prawna podlegająca prawu publicznemu lub prawu prywatnemu, na przykład zrzeszenie zawodowe, jeżeli uzasadnia to interes publiczny, w tym cele zdrowotne, takie jak zdrowie publiczne, ochrona socjalna oraz zarządzanie usługami opieki zdrowotnej.

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i średnich firm.

5/5

799,00 pln

Dokumentacja RODO dla biura rachunkowego.  Kompletny zestaw wzorów dokumentów i procedur.

5/5

1499,00 pln

Dokumentacja RODO dla agencji ochrony osób i mienia.  Kompletny zestaw dokumentacji  procedur.

5/5

2999,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla mikroprzedsiębiorstw

5/5

799,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Nowe rozporządzenie w sprawie dokumentacji medycznej

Rozporządzenie w sprawie dokumentacji medycznej

Nowe rozporządzenie w sprawie dokumentacji medycznej

Ruszył proces legislacji projektu rozporządzenia Ministra Zdrowia z dnia 11 października 2019 r. Projekt Rozporządzenia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania opublikowany został na stronie RCL.

Uspokajamy to dopiero projekt.

Zgodnie z treścią z art. 8 Ustawy z dnia 9 listopada 2018 r. o zmianie ustawy o działalności leczniczej oraz niektórych innych ustaw (Dz. U. poz. 2219)obecnie obowiązujące Rozporządzenie MZ z dnia 09 listopada 2015 r., dotychczasowe przepisy wykonawcze wydane na podstawie art. 22 ust. 3, art. 25 ust. 5 i art. 105 ust. 4 ustawy zmienianej w art. 1 oraz art. 30 ust. 1 i 2 ustawy zmienianej w art. 3 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych odpowiednio na podstawie art. 22 ust. 3, art. 25 ust. 5 i art. 105 ust. 4 ustawy zmienianej w art. 1, w brzmieniu nadanym niniejszą ustawą, oraz art. 30 ust. 1 i 2 ustawy zmienianej w art. 3, w brzmieniu nadanym niniejszą ustawą, jednak nie dłużej niż przez 12 miesięcy od dnia wejścia w życie niniejszej ustawy. ​

Projekt zakłada wejście w życie przepisów rozporządzenia w terminie 14 dni od dnia ogłoszenia, jednakże do dnia 30 czerwca 2020 r. podmioty prowadzące dokumentację medyczną będą mogły ją prowadzić na dotychczasowych zasadach. Pozwoli to na dostosowanie się podmiotom prowadzącym dokumentację medyczną na dostosowanie do nowych regulacji prawnych. Ponadto do końca 2020 roku dokumentacja, za wyjątkiem elektronicznej dokumentacji medycznej, o której mowa w ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, będzie mogła być podpisywana przy wykorzystaniu wewnętrznych mechanizmów systemu teleinformatycznego.

Podstawa prawna i geneza powstania.

Projekt Rozporządzenia stanowi wykonanie upoważnienia ustawowego zawartego w art. 30 ust. 1 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2019 r. poz. 1127, z późn. zm.).

Potrzeba wydania nowego rozporządzenia wynika z faktu, iż ustawą z dnia 9 listopada 2018 r. o zmianie ustawy o działalności leczniczej oraz niektórych innych ustaw (Dz. U. poz. 2219) nadane zostało nowe brzmienie ww. upoważnieniu ustawowemu do wydania aktu wykonawczego, zobowiązujące ministra właściwego do spraw zdrowia do określenia, w drodze rozporządzenia, rodzajów i zakresu dokumentacji medycznej, sposobu jej przetwarzania oraz wzorów niektórych rodzajów dokumentacji medycznej, w szczególności książeczki zdrowia dziecka. Zgodnie z art. 8 tej ustawy, obowiązujące rozporządzenie zachowuje moc do czasu wydania nowych przepisów, nie dłużej niż do dnia 31 marca 2020 r.

Jednocześnie istnieje potrzeba dostosowania przedmiotowej regulacji do zwiększającej się roli informatyzacji w systemie ochrony zdrowia, w szczególności w zakresie upowszechniania prowadzenia dokumentacji medycznej w postaci elektronicznej. W projekcie zaproponowane zostały zatem rozwiązania z jednej strony odzwierciedlające ten proces, a z drugiej strony w pewien sposób go stymulujące. W procesie udzielania świadczeń zdrowotnych możliwie najwięcej czasu powinno zostać poświęcone pacjentowi. Stąd zaproponowane rozwiązania mają skrócić czas przeznaczony na sporządzanie dokumentacji medycznej, zarówno w zakresie jej rodzajów, jak i zawartości, a także inne czynności nie związane bezpośrednio z procesem leczenia.

Prowadzenie dokumentacji w postaci elektronicznej.

Nowe rozporządzenie w sprawie dokumentacji medycznej za podstawową uznaje elektroniczną postać dokumentacji medycznej. Prowadzenie dokumentacji medycznej w postaci papierowej będzie możliwe w przypadku braku warunków organizacyjno-technicznych dla prowadzenia dokumentacji w postaci papierowej oraz wówczas gdy przepis rozporządzenia tak stanowi. Przez brak warunków organizacyjno-technicznych należy rozumieć zarówno stały brak rozwiązań informatycznych, jak i czasową niemożność prowadzenia dokumentacji w postaci elektronicznej np. wskutek awarii systemu teleinformatycznego, w którym prowadzona jest dokumentacja, czy sprzętu. O wymaganiach dotyczących systemu teleinformatycznego, na gruncie obecnie obowiązujących przepisów, pisaliśmy już na Proste to RODO.

Projekt zakłada też ujednolicenie prowadzenia dokumentacji medycznej w danym podmiocie udzielającym świadczeń zdrowotnych. Oznacza to, iż konieczne jest prowadzenie dokumentacji medycznej albo w postaci papierowej albo elektronicznej. Takie rozwiązanie ma na celu promowanie spójnych, całościowych rozwiązań informatycznych w podmiotach wykonujących działalność leczniczą, a także wyeliminowanie nieefektywnych praktyk tworzenia jednego dokumentu jednocześnie w postaci elektronicznej i papierowej. Prowadzenie dokumentacji medycznej w postaci elektronicznej jest nie tylko coraz powszechniejszym rozwiązaniem, ale też rozwiązaniem korzystnym z punktu widzenia zarówno podmiotu zobowiązanego do prowadzenia dokumentacji, jak i pacjenta. Ta postać dokumentacji pozwala bowiem nie tylko usprawnić proces jej prowadzenia oraz wyeliminować niektóre błędy spowodowane czynnikiem ludzkim czy skrócić czas niezbędny do wytworzenia dokumentu, ale również umożliwia rozpoczęcie prac nad zmianą sposobu raportowania informacji przez podmioty wykonujące działalność leczniczą w taki sposób, aby jak najwięcej tych danych mogło być generowanych automatycznie w ramach systemów teleinformatycznych, w których jest prowadzona dokumentacja medyczna w postaci elektronicznej. Projekt przewiduje zatem ułatwienia dla podmiotów, które prowadzą dokumentację w postaci elektronicznej. Przede wszystkim podmioty te nie będą miały obowiązku prowadzenia dokumentacji zbiorczej 

Wprowadzenie takiego rozwiązania odciąży podmioty od prowadzenia wielu rodzajów dokumentacji medycznej, które powielają (agregują) dane zawarte w innych dokumentach. Jednocześnie podmioty prowadzące dokumentację medyczną winny wprowadzać takie rozwiązania w zakresie dokumentacji indywidualnej, które pozwolą generować z niej informacje o charakterze zbiorczym, niezbędne dla realizacji obowiązków np. w zakresie sprawozdawczości statystycznej oraz rozliczeń z Narodowym Funduszem Zdrowia. Rozporządzanie modyfikuje zatem dotychczasowe tradycyjne postrzeganie dokumentacji medycznej jako odrębnych dokumentów, często powielających te same dane, przenosząc punkt ciężkości na zbiór danych przetwarzanych w systemie teleinformatycznym, z którego mogą być generowane poszczególne rodzaje dokumentacji medycznej czy dokumenty o charakterze sprawozdawczym.

W związku z wprowadzeniem elektronicznej postaci dokumentacji medycznej jako podstawowej, zaproponowano również nowe zasady dołączania do dokumentacji pacjenta wszelkich dokumentów z nim związanych oraz udostępnionych przez niego. W dokumentacji indywidualnej wewnętrznej dokonywane będą wpisy o udostępnieniu dokumentacji indywidualnej zewnętrznej za pomocą środków komunikacji elektronicznej wraz z linkiem do tej dokumentacji lub załączane będzie cyfrowe odwzorowanie dokumentacji w postaci papierowej lub w przypadku dokumentacji w postaci papierowej załączana będzie ich kopia. Możliwe będzie także odnotowanie zawartych w udostępnionej dokumentacji informacji, które są istotne dla procesu diagnostycznego, leczniczego lub pielęgnacyjnego. W takim przypadku dokumentacja w postaci papierowej dostarczona przez pacjenta będzie mu zwracana albo niszczona w sposób uniemożliwiający identyfikację tego pacjenta. Postępowanie to ma służyć stopniowej eliminacji z obiegu dokumentacji w postaci papierowej, rozwiązując jednocześnie kwestię sposobu postępowania w przypadkach gdy częściowo dokumentacja medyczna (np. dostarczona przez pacjenta) ma postać papierową oraz likwidując pojawiające się problemy z przechowywaniem wciąż rosnącej ilości dokumentacji medycznej w postaci papierowej. Problemy takie były sygnalizowane zarówno przez podmioty prowadzące dokumentację medyczną, jak i przez pacjentów. 

Wraz z coraz powszechniejszym prowadzeniem dokumentacji medycznej w postaci elektronicznej możliwe jest również usprawnienie wymiany informacji o leczeniu konkretnego pacjenta między różnymi podmiotami wykonującymi działalność leczniczą. Proponuje się, aby wytworzona dla pacjenta dokumentacja była przekazywana przez osobę, która ją wytworzyła osobie kierującej na badanie diagnostyczne, konsultację lub leczenie oraz lekarzowi podstawowej opieki zdrowotnej za pomocą środków komunikacji elektronicznej, w rozumieniu art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2019 r. poz. 123 i 730), w terminie 7 dni od jej wytworzenia. Dopiero w sytuacji, kiedy warunki organizacyjno-techniczne uniemożliwiałyby przekazanie dokumentacji w ww. sposób, przekazanie odbywałoby się w postaci papierowej. Obowiązki w tym zakresie będą nałożone na „wystawcę dokumentacji”. Regulacja ta stanowi również odpowiedź na zgłaszane w praktyce problemy, że wyniki badań, konsultacji i leczenia często nie trafiają obecnie do kierującego na nie lekarza. Zaproponowane rozwiązania wspierają zatem ciągłą i kompleksową opiekę nad pacjentem, gdyż lekarz kierujący po zapoznaniu się w ww. wynikami ma wszelkie podstawy do decydowania o dalszym sposobie postępowania leczniczo-diagnostycznego z pacjentem. Regulacje te nie będą dotyczyły sytuacji, w której osobą kierującą jest lekarz udzielający świadczeń nocnej i świątecznej opieki zdrowotnej, co jest związane ze specyfiką tej opieki i jej incydentalnością.

W związku z wprowadzeniem elektronicznej postaci dokumentacji medycznej jako podstawowej, niezbędnym jest uregulowanie kwestii związanych z jej podpisywaniem oraz z wymaganiami wobec systemów teleinformatycznych, w których jest ona prowadzona. W chwili obecnej dokumentacja medyczna prowadzona w postaci elektronicznej (za wyjątkiem elektronicznej dokumentacji medycznej, zwanej dalej „EDM”, o której mowa w art. 2 pkt 6 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. z 2019 r. poz. 408, z późn. zm.), zwanej dalej „ustawą o systemie”, może być podpisywana przy wykorzystaniu wewnętrznych mechanizmów systemu teleinformatycznego. Niemniej jednak sposób ten cechuje niski stopień bezpieczeństwa, a zatem w projekcie rozporządzenia zaproponowano podpisywanie dokumentacji medycznej prowadzonej w postaci elektronicznej (a więc nie tylko EDM) kwalifikowanym podpisem elektronicznym, podpisem zaufanym, podpisem osobistym oraz z wykorzystaniem sposobu potwierdzania pochodzenia oraz integralności danych dostępnego w systemie teleinformatycznym udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych (§ 4 ust. 3). Jednocześnie pozostawiono możliwość wykorzystywania do podpisu dokumentacji wewnętrznych mechanizmów systemu teleinformatycznego do dnia 31 grudnia 2020 r., tak by podmioty miały odpowiedni czas na dostosowanie się do nowego rozwiązania (§ 74 projektu rozporządzenia).

Czytaj dalejNowe rozporządzenie w sprawie dokumentacji medycznej

Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych

Badanie finansowe a umowa powierzenia przetwarzania danych

Czy z biegłym rewidentem należy zawrzeć umowę powierzenia przetwarzania danych osobowych w ramach jego czynności, które będzie wykonywał ?

Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych [UMPO].Za sprawą komunikatu nr 36 i 38 Polskiej Izby Biegłych Rewidentów, sprawa braku zasadności zawierania umów powierzeni, stała się nie tak oczywista. Izba stanęła bowiem na stanowisku, iż zasadnym i celowym jest zawarcie umowy powierzenia przetwarzania danych z biegłym rewidentem. W praktyce spotkać można rozbieżne interpretacje i opinie. Jedne z nich przyznają rację stanowisku, które przemawia za zasadnością zawierania umów powierzenia. Inne stanowiska wskazują, iż biegły rewident, wykonując swoje obowiązki ustawowe, staje się administratorem danych osobowych. Z tego względu za nie tyle niepożądane co niedopuszczalne uznać należy, zawieranie umów powierzenia przetwarzania danych w takiej sytuacji.

Proste to RODO podejmuje temat.

Mając w świadomości swoje własne stanowisko zespołu ekspertów Proste to RODO, podjęliśmy inicjatywę wyjaśnienia zagadnienia. W rozmowie z pracownikiem Izby, ustaliliśmy, iż faktycznie od sierpnia 2018 r., stanowisko, jakie przedstawione zostało w komunikatach ww. podlegało dyskusji. Rozmówczyni wprost wskazuje na fakt, iz na chwilę obecną jest to stanowisko Izby wiążące. Nie mniej jednak z uwagi na praktyki, stosowane w życiu codziennym, podjęte zostały działania, mające na celu jego sprawdzenie, zweryfikowanie. Wystąpiono z oficjalnym zapytaniem do Urzędu Ochrony Danych Osobowych w tej sprawie. Uzasadnieniem dla powyższego były właśnie sygnały, docierające bezpośrednio od biegłych rewidentów, wskazujące na rozbieżność stanowiska Izby i stanowisk IOD.  

Infolinia UODO potwierdza.

Potwierdziliśmy w rozmowie z pracownikiem Infolinii UODO, iż faktycznie takie zapytanie ze strony Izby wpłynęło do Urzędu. Obecnie sprawa jest procesowana. Zagadnienie faktycznie wzbudzało wiele kontrowersji. W rozmowie konkluzją staje się także problem nadużywania przez ADO konstrukcji UMPO w relacjach z podmiotaim zewnętrznymi. Otrzymaliśmy zapewnienie, iż ostateczne stanowisko Urzedu niebawem przekazane zostanie do wiadomości za pośrednictwem strony internetowej www.uodo.gov.pl

Kierunkowe wyjaśnienia.

Sprawozdanie finansowe umowa powierzenia. Roboczo jednak, poinformowani zostaliśmy, iż UODO stoi na stanowisku, iż w relacji powstającej w związku z badaniem sprawozdania finansowego przez biegłego rewidenta, nie dochodzi do zlecenia przetwarzania danych osobowych. Rola badanej jednostki sprowadza się do zainicjowania procesu badania sprawozdania finansowego, wyboru biegłego rewidenta i zawarcia umowy.

Stanowisko ostateczne UODO.

Stanowisko ostateczne UODO.​

W swoim stanowisku z dnia 18 października 2019 r. UODO wskazuje iż z uwagi na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów.

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i   średnich firm.

5/5

799,00 pln

Dokumentacja RODO dla biura rachunkowego.  Kompletny zestaw wzorów dokumentów i procedur.

5/5

1499,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.