Proste to RODO ochrona danych w sektorze medycznym

Wdrożenie RODO w jednostkach medycznych. Audyt cyberbezpieczeństwa PWDL. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w sektorze medycznym

Cofnięcie upoważnienia do przetwarzania danych

e-ZLA błedny PESEL

Cofnięcie upoważnienia do przetwarzania

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie RODO.

Jest rzeczą oczywistą, to co napisane zostało na wstępie. Tak samo jak to, iż administrator powinien przestrzegać zasad przetwarzania danych określonych przepisem art. 5 Rozporządzenia RODO. Nie jest jednak, już tak kategoryczna świadomość administratorów, iż nie przestrzeganie ww. zasad oraz brak możliwości wykazania ich przestrzegania, stanowi podstawę do pociągnięcia ich do odpowiedzialności na gruncie RODO.

Cofnięcie upoważnienia do przetwarzani danych osobowych.

Przekładając powyższe na tematykę opracowania, czyli weryfikację poprawności cofnięcia upoważnienia wskazujemy na zasadność wprowadzenia i stosować odpowiednich reguł, procedur postępowania. Procedury, które pozwolą na stworzenie gwarancji poprawności realizacji ww. obowiązku administratora w szerszym aspekcie, aniżeli tylko i wyłącznie ograniczenie się do formalnego wydania dokumentu zawierającego oświadczenie o cofnięciu upoważnienia dla osoby byłego pracownika, zleceniobiorcy, wykonawcy.

Ustanie podstawy prawnej statuującej polecenie przetwarzania.

Zazwyczaj w tym zakresie administratorzy, jako pracodawcy, zleceniodawcy, zamawiający znają swoje obowiązki i w sposób skuteczny i zgodny z prawem dokonują rozwiązania więzi prawnej łączącej ich z osobą pracownika, zleceniobiorcy, wykonawcy. Należy mieć jednak świadomość tego, iż rozwiązanie umowy, jej wygaśnięcie nie jest elementem wystarczającym na gruncie przepisów Rozporządzenia RODO, aby uznać iż wszystkie zadania administratora danych osobowych związane z organizacją procesu przetwarzania danych, zostały skutecznie zrealizowane.

Cofnięcie udzielonego upoważnienia do przetwarzania danych osobowych.

Pomimo, iż procedura wydaje się być oczywista i klarowna, niestety wciąż administratorzy  danych osobowych skłonni są do pozostawania w przekonaniu, iż wystarczającym jest tylko i wyłącznie wygaszenie podstawy prawnej statuującej polecenie przetwarzania.  Cofnięcie upoważnienia do przetwarzania jest elementem, który nie jest dostrzegany, jako konieczny. Powagi sprawie dodaje fakt, iż struktura organizacyjna administratora w sposób istotny wpływa na zakres czynności koniecznych do realizacji dla osiągnięcia efektu końcowego. Rodzaj czynności powinien bowiem uwzględniać takie zmienne jak:

  • Przetwarzanie danych jedynie w siedzibie administratora
  • Przetwarzanie danych poza siedzibą administratora
  • Korzystanie z systemów informatycznych z wykorzystaniem zdalnego dostępu
  • Korzystanie z systemów informatycznych z wykorzystaniem korespondencji elektronicznej

Stałe monitorowanie kanałów dostępu.

Stałe monitorowanie kanałów dostępu, pomimo prawidłowego wykonania ww. kroków, jest wciąż obowiązkiem administratora, który to musi mieć w świadomości fakt, iż podjął swoje działania względem osoby byłego pracownika, zleceniobiorcy, wykonawcy, w różnych okolicznościach stanu faktycznego. Często właśnie aspekt psychologiczny, relacje interpersonalne panujące w firmie, okoliczności podjęcia decyzji o rozwiązaniu więzi prawnej łączącej z pracownikiem, zleceniobiorcą, wykonawcą, mogą podnosić ryzyko wystąpienia prób nieuprawnionego dostępu do zasobów firmy. Zwracamy jednak uwagę na coś co również jest niedostrzegane. Nie zawsze takim byłym pracownikiem, zleceniobiorcą, czy wykonawcą kierują negatywne przesłanki i złe zamiary, czasami jest to po prostu ludzka ciekawość. Ciekawość przejawiająca się np. w tym, czy cofnięto mu uprawnienia do logowania się do poczty służbowej, czy wciąż aktywne jest przekierowanie poczty elektronicznej, czy nadal posiada aktywny login do systemu zamówień. Cofnięcie upoważnienia do przetwarzania formalne nie jest, jak widzimy jedyną czynnością, jaką należy wykonać.

Konsekwencje poniesie przede wszystkim administrator .

Administratorzy, jako przedsiębiorcy powinni mieć świadomość tego, iż to oni poniosą najdotkliwsze konsekwencje swoich zaniechań. 

  • Biznesowe
  • Wizerunkowe
  • Finansowe

Studium przypadku – czyli z życia wzięte.

Identyfikator

Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.

Zdalny dostęp

Pracownik, zleceniobiorca, wykonawca któremu wydane zostało upoważnienie do odbioru / dostarczania próbek / wyników badań laboratoryjnych, wyposażony został w indywidualny identyfikator, pozwalający jednostkom współpracującym z laboratorium na identyfikację tożsamości osoby uprawnionej do pobrania materiału / dostarczenia wyników, tymczasem jednak administrator nie podjął kroków w zakresie wycofania z obrotu ww. identyfikatora, nie poinformował podmiotów kooperujących z faktem wygaszenia upoważnienia do wykonywania ww. obowiązków przez byłego swojego pracownika, zleceniobiorcę, wykonawcę.

Zmiana stanowiska

Pracownik, zleceniobiorca, wykonawca zaangażowany był w procesy administratora, piastując wysokie stanowisko służbowe, przez co zarządzał on zadaniami w ramach procesów, a co za tym idzie miał wgląd i nadzór nad poprawnością ich realizacji, przeglądu dokonywał z wykorzystaniem systemu informatycznego wewnętrznego, tymczasem jednak, po przeniesieniu ww. osoby na inne niżej sytuowane stanowisko, nie zostały zmienione jego uprawnienia w ww. systemie.

Prywatny laptop

Przedstawiciel handlowy odpowiedzialny za utrzymanie prawidłowych relacji z klientami, oraz budowanie bazy nowych klientów, wykorzystywał do pracy prywatny sprzęt komputerowy. Milczące przyzwolenie administratora wynikało z faktu oszczędności, jakie dzięki temu wygenerowano – nie musiał wyposażać pracownika w służbowy telefon, laptop oraz z faktu, iż ww. przedstawiciel osiągał znacząco lepsze wyniki w realizacji zakładanych mu planów sprzedażowych, właśnie ze względu na swoją umiejętność organizacji pracy i dostępność dla klientów. Niestety jednak po rozstaniu się z ww. pracownikiem administrator pozbawiony został nie tylko bazy klientów, obsługiwanych przez przedstawiciela, jak i musi zaakceptować fakt, iż przedstawiciel może podjąć próbę wykorzystania posiadanych informacji np. kontaktując się z konkurencją.

Elektroniczny obieg dokumentów

Pracownik, zleceniobiorca, wykonawca, jako osoba uprawniona do zarządzania systemem elektronicznego obiegu dokumentacji w firmie, tworzył go od podstaw, budował i rozbudowywał. Jego obowiązkiem było także czuwanie nad poprawnością funkcjonowania systemu i reagowanie w sytuacjach kryzysowych. Z tego względu system wyposażony został w komunikator informujący jego administratora o nieprawidłowym i prawidłowym działaniu. Niestety jednak nie zostały wygaszone uprawnienia administratora na skutek, czego automatycznie wciąż system przesyła do niego komunikaty informujące go o poprawności wprowadzenia do systemu kolejnych to dokumentów firmowych np. decyzje o przyznaniu nagrody, drafty umów, treści umów zawartych z kooperantami, skończywszy na aktach osobowych pracowników.

Uprawnienia administratora

Pracownik jednostki medycznej otrzymał prawo dostępu do systemu teleinformatycznego, jednak zakres jego uprawnień w systemie nie został dostosowany do faktycznie realizowanych przez niego obowiązków, przez co miał on możliwość tworzenia kont innym użytkownikom, co miało miejsce w sytuacji, kiedy to pracownik służby informatycznej, nie był obecny w pracy, lub zachodziła „potrzeba” szybkiego stworzenia dostępu dla nowego pracownika.

Procedura wygaszania uprawnień do przetwarzania

Opis czynności, jakie należy wykonać wygaszając uprawnienia użytkownika do przetwarzania przez niego danych osobowych.​

Procedura sprawdzająca poprawność wygaszenia uprawnień użytkownika po cofnięciu upoważnienia do przetwarzania danych.

5/5

29,00 pln

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i   średnich firm.

5/5

799,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Opieka zdrowotna nad uczniami

Zasady opieki zdrowotnej nad uyczniami w szkołach

Opieka zdrowotna nad uczniami - nowe zasady i zadania

Ustawa o opiece zdrotownej nad uczniami.

Opieka zdrowotna nad uczniami. Dnia 12 września 2019 r., weszła w życie nowa Ustawa o opiece zdrowotnej nad uczniami. Regulacje ustawowe zastąpiły dotychczas obowiązujące Rozporządzenie Ministra Zdrowia z dnia 28 sierpnia 2009 r. w sprawie organizacji profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą. Najogólniej rzecz ujmując Ustawa o opiece zdrowotnej nad uczniami [dalej UOZ} reguluje sposób świadczenia usług zdrowotnych w szkołach oraz wskazuje podmioty, które są zobowiązane do świadczenia tych usług oraz zapewnienia warunków organizacyjnych, a także sposób współpracy tych podmiotów.

Niedopuszczalne praktyki - zacznijmy od końca.

Ustawa określa:

  • zakres i cele opieki zdrowotnej nad uczniami;
  • podmioty sprawujące opiekę zdrowotną nad uczniami;
  • podmioty zapewniające warunki organizacyjne opieki zdrowotnej nad uczniami;
  • organizację opieki zdrowotnej nad uczniami oraz zadania podmiotów, o których mowa w pkt 2 i 3;
  • zasady integrowania opieki zdrowotnej nad uczniami;
  • organizację opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi w szkole;
  • monitorowanie opieki zdrowotnej nad uczniami;
  • finansowanie zadań z zakresu opieki zdrowotnej nad uczniami;
  • dokumentowanie i sprawozdawanie realizacji zadań z zakresu opieki zdrowotnej nad uczniami.

Ustawę nie stosuje się do:

  • słuchaczy szkół dla dorosłych,
  • branżowych szkół II stopnia
  • szkół policealnych
  • oraz do uczniów szkół artystycznych realizujących wyłącznie kształcenie artystyczne.

Zakres opieki zdrowotnej:

Opieka zdrowotna nad uczniami jest realizowana w szkole i obejmuje:

  • profilaktyczną opiekę zdrowotną, jest ona sprawowana nad uczniami do ukończenia 19. roku życia, a w przypadku uczniów posiadających orzeczenie o potrzebie kształcenia specjalnego – do ukończenia szkoły ponadpodstawowej.
  • promocję zdrowia
  • opiekę stomatologiczną, jest ona sprawowana nad uczniami do ukończenia 19. roku życia.

Cele opieki zdrowotnej:

Opieka zdrowotna nad uczniami ma na celu:

  • ochronę zdrowia uczniów, w tym zdrowia jamy ustnej;
  • kształtowania u uczniów postaw prozdrowotnych oraz odpowiedzialności za własne zdrowie.

Cele te realizowane są poprzez:

  • działania na rzecz zachowania zdrowia oraz zapobiegania powstawaniu lub rozwojowi chorób,
  • wczesne wykrywanie problemów zdrowotnych i czynników ryzyka
  • edukację zdrowotną i promocję zdrowia, w tym aktywności fizycznej i sportu oraz prawidłowego żywienia;
  • udzielanie pierwszej pomocy w rozumieniu Ustawy o Państwowym Ratownictwie Medycznym.

Cele opieki zdrowotnej:

Profilaktyczną opiekę zdrowotną – sprawują:

  • pielęgniarka środowiska nauczania i wychowania
  • albo higienistka szkolna.

Opiekę stomatologiczną – sprawuje:

  • sprawuje lekarz dentysta

W zakresie edukacji zdrowotnej i promocji zdrowia, w sprawowaniu opieki stomatologicznej nad uczniami może uczestniczyć również higienistka stomatologiczna.

Pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna sprawują profilaktyczną opiekę zdrowotną nad uczniami w gabinecie profilaktyki zdrowotnej zlokalizowanym w szkole, a w przypadku braku gabinetu profilaktyki zdrowotnej w szkole, w miejscu określonym w umowie o udzielanie świadczeń opieki zdrowotnej. Organ prowadzący szkołę na podstawie umowy nieodpłatnie udostępnia pielęgniarce środowiska nauczania i wychowania albo higienistce szkolnej gabinet profilaktyki zdrowotnej w szkole.

Lekarz dentysta sprawuje opiekę stomatologiczną nad uczniami w miejscu określonym w umowie o udzielanie świadczeń opieki zdrowotnej. Miejscem tym jest gabinet dentystyczny zlokalizowany w szkole, gabinet dentystyczny poza szkołą albo dentobus, prowadzony przez podmiot wykonujący działalność leczniczą współpracujący ze szkołą. W przypadku braku gabinetu dentystycznego w szkole, organ prowadzący szkołę zawiera porozumienie z podmiotem wykonującym działalność leczniczą udzielającym świadczeń zdrowotnych z zakresu leczenia stomatologicznego dla dzieci i młodzieży finansowanych ze środków publicznych, w którym określa się sposób organizacji udzielania świadczeń.

Kwalifikacje oraz wymagania stawiane ww. podmiotom zostały precyzyjnie określone przepisami UOZ.

Podmioty zobowiązane do zapewnienia warunków dla sprawowania opieki zdrowotnej

Ustawa, określa, iż podmiotami zapewniającymi warunki dla sprawowania opieki zdrowotnej, przez podmioty do tego wyznaczone są:

  • dyrektor szkoły;
  • organ prowadzący szkołę.

Obserwujemy zatem, iż dochodzi do wyraźnego rozgraniczenia kompetencji, jakie przysługiwać będą dyrektorowi szkoły oraz organowi prowadzącemu, jako podmiotom zobowiązanym do zapewnienia warunków dla sprawowania opieki zdrowotnej nad uczniami.

Zadania dyrektora szkoły i organu prowadzącego

Współpraca dyrektora w celu zapewnienia warunków organizacyjnych

Dyrektor szkoły w celu zapewnienia warunków organizacyjnych opieki zdrowotnej nad uczniami współpracuje z:

  • podmiotami sprawującymi opiekę zdrowotną nad uczniami (pielęgniarka, higienistka, lekarz dentysta, higienistka stomatologiczna).
  • rodzicami w przypadku wystąpienia problemów zdrowotnych lub higienicznych, w oparciu o procedury organizacyjne postępowania.

Należy zwrócić uwagę, że współpraca z podmiotami sprawującymi opiekę zdrowotną nie uprawnia dyrektora do udostępniania danych osobowych uczniów, w tym danych o stanie zdrowia (oczywiście poza sytuacjami dotyczącymi zagrożenia życia lub uszczerbku na zdrowiu). Jednocześnie ustawa wskazuje na współpracę dyrektora z rodzicami w oparciu o procedury organizacyjne, stąd należało by wykonać ich przegląd co do aktualności pod kątem nowej ustawy

Zabezpieczenia lokalowe po stronie organu prowadzącego

Organ prowadzący szkołę zapewnia uczniom możliwość korzystania z:

  • gabinetu profilaktyki zdrowotnej, o którym mowa w przepisach ustawy z dnia 14 grudnia 2016 r. – Prawo oświatowe;
  • gabinetu dentystycznego, spełniającego wymagania, o których mowa w przepisach wydanych na podstawie art. 22 ust. 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219 oraz z 2019 r. poz. 492).

Opisane wyżej zagania sprowadzające się do zabezpieczenia lokalowego nie stanowią zadań szkoły, dyrektora szkoły a są to zadania obciążające organ prowadzący.

Współpraca z dyrektorem / z pedagogiem szkolnym / z nauczycielami

Pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna współpracuje z dyrektorem szkoły, nauczycielami i pedagogiem szkolnym. Współpraca ta polega na:

  • podejmowaniu wspólnych działań w zakresie edukacji zdrowotnej i promocji zdrowia, z uwzględnieniem potrzeb zdrowotnych oraz rozpoznanych czynników ryzyka dla zdrowia uczniów danej szkoły,
  • doradzaniu dyrektorowi szkoły w sprawie warunków bezpieczeństwa uczniów, organizacji posiłków i warunków sanitarnych w szkole.
  • na wniosek dyrektora szkoły pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna przedstawia zagadnienia z zakresu edukacji zdrowotnej i promocji zdrowia uczniów na posiedzeniach rady pedagogicznej, z zachowaniem prawa do tajemnicy o stanie zdrowia uczniów.

Podkreślenia więc wymaga fakt, iż kształt współpracy, sprowadzający się do wspólnie podejmowanych działań w zakresie edukacji zdrowotnej i promocji zdrowia oraz doradztwie, nie obejmuje przekazywania informacji nt. stanu zdrowia uczniów.

Współpraca z lekarzem, rodzicami, pełnoletnimi uczniami, dyrektorem i pracownikami, w celu zapewnienia opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi.

Opieka nad uczniem przewlekle chorym lub niepełnosprawnym w szkole jest realizowana przez pielęgniarkę środowiska nauczania i wychowania albo higienistkę szkolną. W celu zapewnienia właściwej opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi w szkole pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna współpracuje z :

  • lekarzem podstawowej opieki zdrowotnej,
  • rodzicami,
  • pełnoletnimi uczniami,
  • dyrektorem,
  • pracownikami szkoły.

Współpraca, obejmuje wspólne określenie sposobu opieki nad uczniem dostosowanego do stanu zdrowia ucznia w sytuacji konieczności podawania leków oraz wykonywania innych czynności podczas pobytu ucznia w szkole.

Zwrócić jednak należy uwagę na fakt, iż podawanie leków lub wykonywanie innych czynności podczas pobytu ucznia w szkole przez pracowników szkoły może odbywać się wyłącznie za ich pisemną zgodą. Jeżeli pracownik nie wyrazi takiej zgody na piśmie nie wolno mu podawać leków i wykonywać czynności.

Ustawodawca stworzył delegacje ustawową dla minister właściwego do spraw zdrowia, który to może ogłosić, w drodze obwieszczenia, zalecenia postępowania dotyczące opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi w szkole, opracowane przez odpowiednie stowarzyszenia lub towarzystwa naukowe o zasięgu krajowym, zrzeszające specjalistów w danej dziedzinie medycyny, zgodnie z postanowieniami ich statutów.

Podczas pobytu w szkole uczniów przewlekle chorych lub niepełnosprawnym pielęgniarka powinna przekazać zalecenia co do opieki nad uczniem, gdy ona jest nieobecna w szkole.

Współpraca pomiędzy podmiotami

Lekarz dentysta współpracuje z pielęgniarką środowiska nauczania i wychowania albo higienistką szkolną oraz dyrektorem szkoły w zakresie edukacji zdrowotnej i promocji zdrowia jamy ustnej oraz profilaktyki próchnicy zębów u uczniów.

Higienistka stomatologiczna współpracuje z lekarzem dentystą w sprawowaniu opieki stomatologicznej nad uczniami, w zakresie edukacji zdrowotnej i promocji zdrowia jamy ustnej.

Współpraca pielęgniarki środowiska nauczania i wychowania albo higienistki szkolnej z lekarzem dentystą polega na:

  • wymianie informacji o stanie zdrowia uczniów w zakresie niezbędnym do realizacji opieki stomatologicznej, w szczególności zdrowia jamy ustnej, za zgodą rodziców albo pełnoletniego ucznia. W szczególności informacje te dotyczą wydanych zaleceń, udzielonych i zaplanowanych świadczeń zdrowotnych, w zakresie niezbędnym do realizacji profilaktycznej opieki zdrowotnej nad uczniami. Pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna oraz lekarz dentysta, po otrzymaniu takiej pisemnej informacji zapoznają się z nią i dołączają do dokumentacji medycznej ucznia. Informacja ustna jest odnotowywana w dokumentacji medycznej.
  • podejmowaniu wspólnych działań w zakresie profilaktyki chorób, promocji zdrowia i edukacji zdrowotnej oraz identyfikacji czynników ryzyka oraz zagrożeń zdrowotnych w zakresie zdrowia jamy ustnej.

Współpraca z rodzicami / z pełnoletnimi uczniami

Współpraca pielęgniarki środowiska nauczania i wychowania albo higienistki szkolnej z rodzicami albo pełnoletnimi uczniami polega na:

  1. przekazywaniu informacji o:
    • stanie zdrowia i rozwoju psychofizycznym ucznia,
    • terminach i zakresie udzielania świadczeń profilaktycznej opieki zdrowotnej nad uczniami,
    • możliwościach i sposobie kontaktowania się z osobami sprawującymi profilaktyczną opiekę zdrowotną nad uczniami;
  2. informowaniu i wspieraniu rodziców lub pełnoletnich uczniów w:
    • organizacji korzystania ze świadczeń profilaktycznej opieki zdrowotnej oraz opieki stomatologicznej nad uczniami, w tym profilaktycznych badań lekarskich, badań przesiewowych, przeglądów stomatologicznych oraz szczepień ochronnych,
    • realizacji zaleceń lekarza podstawowej opieki zdrowotnej oraz lekarza dentysty;
  3. uczestniczeniu w zebraniach z rodzicami albo zebraniach rady rodziców, w celu omówienia zagadnień z zakresu edukacji zdrowotnej i promocji zdrowia uczniów.

Stany nagłe

W stanach nagłego zagrożenia zdrowotnego podczas transportu ucznia przez zespół ratownictwa medycznego do szpitala oraz w szpitalu do czasu przybycia rodziców może być obecna pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna albo opiekun faktyczny. Decyzję o obecności jednej z tych osób podczas transportu podejmuje kierownik zespołu ratownictwa medycznego po uzyskaniu zgody dyrektora szkoły.

Współpraca,

  • z zespołem podstawowej opieki zdrowotnej, a w przypadku gdy nie został utworzony zespół podstawowej opieki zdrowotnej – z lekarzem podstawowej opieki zdrowotnej,
  • z lekarzem dentystą,
  • z rodzicami, albo pełnoletnimi uczniami
  • z dyrektorem szkoły, nauczycielami, pedagogiem szkolnym,

może odbywać się z wykorzystaniem:

  • systemów teleinformatycznych,
  • środków komunikacji elektronicznej
  • lub publicznie dostępnych usług telekomunikacyjnych,

pod warunkiem że administratorzy i podmioty przetwarzające dane osobowe wdrożą środki techniczne i organizacyjne zapewniające odpowiedni stopień bezpieczeństwa tych danych w procesie ich przekazywania, określony w przepisach o ochronie danych osobowych.

Organizacja szkoleń, jako zadanie dyrektora szkoły.

Dyrektor szkoły zapewnia pracownikom szkoły szkolenia lub inne formy zdobycia wiedzy na temat sposobu postępowania wobec uczniów przewlekle chorych lub niepełnosprawnych, odpowiednio do potrzeb zdrowotnych uczniów. Z treści uzasadnienia wynika, iż ustawodawca dyrektorowi szkoły pozostawił wolność wyboru rodzaju szkoleń i ich formę. „Dyrektor zatem zachowuje dowolność w wyborze formy oraz realizatora szkolenia, którym może być pielęgniarka szkolna, lekarz sprawujący opiekę nad dzieckiem lub organizacja zrzeszająca rodziców dzieci chorych na daną chorobę przewlekłą. Możliwe jest również odbycie przez nauczycieli szkoleń w formie e-learningowej udostępnionych przez medyczne towarzystwa naukowe.” Tak, więc mogą to być szkolenia otwarte, indywidualne, wewnętrzne w placówce, zewnętrzne, a także e-learning organizowany przez medyczne towarzystwa naukowe.

Zakres świadczeń opieki zdrowotnej

Pielęgniarka środowiskowa nauczania i wychowania / higienistka szkolna

  1. Zakres świadczeń opieki zdrowotnej wykonywanych przez pielęgniarkę środowiska nauczania i wychowania albo higienistkę szkolną, w tym u uczniów przewlekle chorych lub niepełnosprawnych, określają przepisy wydane na podstawie art. 31d Ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych w części dotyczącej wykazu świadczeń gwarantowanych pielęgniarki lub higienistki szkolnej.
  2. Rolą ww. podmiotów, jest także integracja opieki zdrowotnej na uczniami w celu wsparcia rodziców oraz pełnoletnich uczniów w realizacji prawa do świadczeń zdrowotnych. W tym celu współpracuje z lekarzem dentystą z rodzicami.
  3. W ramach profilaktycznej opieki zdrowotnej nad uczniami pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna współpracuje również z zespołem podstawowej opieki zdrowotnej, o którym mowa w ustawie z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. z 2019 r. poz. 357 i 730), a w przypadku gdy nie został utworzony zespół podstawowej opieki zdrowotnej – z lekarzem podstawowej opieki zdrowotnej. Współpraca ta polega na:
    • pozyskiwaniu porad;
    • wymianie informacji o stanie zdrowia uczniów w zakresie niezbędnym do realizacji profilaktycznej opieki zdrowotnej, za zgodą rodziców albo pełnoletnich uczniów. Informacje te dotyczą: rozpoznania, sposobu leczenia, rokowania, ordynowanych leków, środków spożywczych specjalnego przeznaczenia żywieniowego i wyrobów medycznych, w tym okresu ich stosowania i sposobu dawkowania, oraz wyznaczonych wizyt, udzielonych i zaplanowanych świadczeń opieki zdrowotnej, w tym w innych niż podstawowa opieka zdrowotna zakresach świadczeń opieki zdrowotnej określonych w art. 15 ust. 2 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Po otrzymaniu pisemnej informacji, i zapoznaniu się z nią dołączana jest ona do dokumentacji medycznej ucznia. Natomiast analogiczna informacja przekazana w formie ustnej jest odnotowywana w dokumentacji medycznej ucznia
    • podejmowaniu wspólnych działań, w zakresie niezbędnym do zachowania zdrowia, profilaktyki, rozpoznawania i leczenia chorób, pielęgnowania oraz rehabilitacji uczniów;
    • podejmowaniu wspólnych działań w zakresie profilaktyki chorób, promocji zdrowia i edukacji zdrowotnej oraz identyfikacji czynników ryzyka i zagrożeń zdrowotnych.

Lekarz dentysta

Lekarz dentysta sprawujący opiekę stomatologiczną nad uczniami wykonuje:

  1. świadczenia ogólnostomatologiczne dla dzieci i młodzieży do ukończenia 18. roku życia – przy czym mogą być wykonywane po uzyskaniu pisemnej zgody rodziców albo pełnoletnich uczniów, wyrażonej po uzyskaniu informacji, o której mowa w art. 9 ust. 2 UOPPiRP[1], zgodę wyraża się przed udzieleniem świadczenia zdrowotnego i jest zbierana przez pielęgniarkę lub higienistkę, a nie przez szkołę
  2. profilaktyczne świadczenia stomatologiczne dla dzieci i młodzieży do ukończenia 19. roku życia – określone w przepisach wydanych na podstawie art. 31d ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, w części dotyczącej wykazu świadczeń gwarantowanych z zakresu leczenia stomatologicznego dla dzieci i młodzieży, z wyłączeniem świadczeń ortodoncji – przy czym jest sprawowana w przypadku braku sprzeciwu rodziców albo pełnoletnich uczniów. Rodzice na pierwszym zebraniu rodziców oraz pełnoletni uczniowie na pierwszych zajęciach z wychowawcą w roku szkolnym uzyskują informację o zakresie opieki zdrowotnej oraz o prawie do wyrażenia sprzeciwu, o jakim mowa wyżej. Sprzeciw powinien zostać złożony w formie pisemnej do świadczeniodawcy realizującego opiekę. Informację tę umieszcza się ponadto w miejscu ogólnie dostępnym w szkole. Wychowawcy na pierwszym zebraniu powinni przedstawić informację na temat zakresu opieki zdrowotnej i stomatologicznej jakie będą zapewniane w placówce (informację taką powinna przygotować pielęgniarka) oraz o prawie do wyrażenia sprzeciwu na piśmie do podmiotu świadczącego usługi zdrowotne i dentystyczne. Oświadczenia o sprzeciwie nie składa się do szkoły, nie składa się względem szkoły.

W przypadku gdy opieka stomatologiczna nad uczniami jest sprawowana w dentobusie, lekarz dentysta wykonuje:

  1. świadczenia ogólnostomatologiczne dla dzieci i młodzieży do ukończenia 18. roku życia udzielane w dentobusie – przy czm mogą być wykonywane po uzyskaniu pisemnej zgody rodziców albo pełnoletnich uczniów, wyrażonej po uzyskaniu informacji, o której mowa w art. 9 ust. 2 UOPPiRP[2], zgodę wyraża się przed udzieleniem świadczenia zdrowotnego i jest zbierana przez pielęgniarkę lub higienistkę, a nie przez szkołę
  2. profilaktyczne świadczenia stomatologiczne dla dzieci i młodzieży do ukończenia 19. roku życia udzielane w dento-busie – określone w przepisach wydanych na podstawie art. 31d ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, w części dotyczącej wykazu świadczeń gwarantowanych z zakresu leczenia stomatologicznego dla dzieci i młodzieży, z wyłączeniem świadczeń ortodoncji – przy czym jest sprawowana w przypadku braku sprzeciwu rodziców albo pełnoletnich uczniów. Rodzice na pierwszym zebraniu rodziców oraz pełnoletni uczniowie na pierwszych zajęciach z wychowawcą w roku szkolnym uzyskują informację o zakresie opieki zdrowotnej oraz o prawie do wyrażenia sprzeciwu, o jakim mowa wyżej. Sprzeciw powinien zostać złożony w formie pisemnej do świadczeniodawcy realizującego opiekę. Informację tę umieszcza się ponadto w miejscu ogólnie dostępnym w szkole. Wychowawcy na pierwszym zebraniu powinni przedstawić informację na temat zakresu opieki zdrowotnej i stomatologicznej jakie będą zapewniane w placówce (informację taką powinna przygotować pielęgniarka) oraz o prawie do wyrażenia sprzeciwu na piśmie do podmiotu świadczącego usługi zdrowotne i dentystyczne. Oświadczenia o sprzeciwie nie składa się do szkoły, nie składa się względem szkoły.

[1] Art. 9 ust. 2 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.)  Pacjent, w tym małoletni, który ukończył 16 lat, lub jego przedstawiciel ustawowy mają prawo do uzyskania od osoby wykonującej zawód medyczny przystępnej informacji o stanie zdrowia pacjenta, rozpoznaniu, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia oraz rokowaniu, w zakresie udzielanych przez tę osobę świadczeń zdrowotnych oraz zgodnie z posiadanymi przez nią uprawnieniami.

[2] Art. 9 ust. 2 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.)  Pacjent, w tym małoletni, który ukończył 16 lat, lub jego przedstawiciel ustawowy mają prawo do uzyskania od osoby wykonującej zawód medyczny przystępnej informacji o stanie zdrowia pacjenta, rozpoznaniu, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia oraz rokowaniu, w zakresie udzielanych przez tę osobę świadczeń zdrowotnych oraz zgodnie z posiadanymi przez nią uprawnieniami.

Sprawowanie opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi w szkole.

Opieka nad uczniem przewlekle chorym lub niepełnosprawnym w szkole jest realizowana przez pielęgniarkę środowiska nauczania i wychowania albo higienistkę szkolną.

W celu zapewnienia właściwej opieki nad uczniami przewlekle chorymi lub niepełnosprawnymi w szkole pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna współpracuje z lekarzem podstawowej opieki zdrowotnej, rodzicami, pełnoletnimi uczniami oraz dyrektorem i pracownikami szkoły.

Współpraca, obejmuje:

  • wspólne określenie sposobu opieki nad uczniem dostosowanego do stanu zdrowia ucznia w sytuacji konieczności podawania leków
  • oraz wykonywania innych czynności podczas pobytu ucznia w szkole.

Podawanie leków lub wykonywanie innych czynności podczas pobytu ucznia w szkole przez pracowników szkoły może odbywać się wyłącznie za ich pisemną zgodą. Dyrektor szkoły zapewnia pracownikom szkoły szkolenia lub inne formy zdobycia wiedzy na temat sposobu postępowania wobec uczniów przewlekle chorych lub niepełnosprawnych, odpowiednio do potrzeb zdrowotnych uczniów.

Dokumentacja medyczna

Obowiązki podmiotów sprawujących opiekę zdrowotną

Podmioty sprawujące opiekę zdrowotną nad uczniami są obowiązane:

  1. do prowadzenia dokumentacji medycznej zgodnie z Ustawą z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.) z zachowaniem wymagań wynikających z ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000 i 1669 oraz z 2019 r. poz. 730). Rodzaje i zakres dokumentacji medycznej dotyczącej opieki zdrowotnej nad uczniami określają przepisy wydane na podstawie art. 30 ust. 1 ww. UoPPiRP – należy podkreślić, iż nie rola dyrektora szkoły, czy organu prowadzącego jest prowadzenie dokumentacji medycznej.
  2. do przestrzegania praw pacjenta, o których mowa w Ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2017 r. poz. 1318, z późn. zm.), w szczególności:
    • do zachowania w tajemnicy informacji uzyskanych w związku ze sprawowaniem tej opieki, w tym związanych ze stanem zdrowia uczniów,
    • oraz poszanowania intymności i godności uczniów w czasie udzielania im świadczeń zdrowotnych.

Obowiązki podmiotów sprawujących opiekę zdrowotną

Dokumentacja medyczna jest przechowywana odpowiednio przez okres pobierania przez ucznia nauki w danej szkole przez:

  1. pielęgniarkę środowiska nauczania i wychowania
  2. albo higienistkę szkolną
    • w gabinecie profilaktyki zdrowotnej w szkole
    • lub miejscu udzielania świadczeń przez świadczeniodawcę,
  3. lekarza dentystę.

Przekazywanie dokumentacji medycznej do nowej szkoły

W przypadku zmiany szkoły przez ucznia dokumentacja medyczna, jest przekazywana, za pokwitowaniem:

  • pielęgniarce środowiska nauczania i wychowania
  • albo higienistce szkolnej

w szkole przyjmującej ucznia.

Przekazywanie dokumentacji medycznej absolwenta szkoły

Po zakończeniu kształcenia przez ucznia pielęgniarka środowiska nauczania i wychowania albo higienistka szkolna przekazuje, za pokwitowaniem, indywidualną dokumentację medyczną absolwenta zespołowi podstawowej opieki zdrowotnej, sprawującemu nad nim opiekę zdrowotną.

Umowa powierzenia przetwarzania w związku ze sprawowanie profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą.

Zgodnie z art. 68 ust. 1 pkt 11) Dyrektor szkoły lub placówki współpracuje z pielęgniarką albo higienistką szkolną, lekarzem i lekarzem dentystą, sprawującymi profilaktyczną opiekę zdrowotną nad dziećmi i młodzieżą, w tym udostępnia imię, nazwisko i numer PESEL ucznia celem właściwej realizacji tej opieki. Zakres udostępnianych danych nie może ulec rozszerzeniu. Mając powyższe na względzie stwierdzić należy, iż nie zachodzą przesłanki do tego, aby zawierać umowy powierzenia przetwarzania danych z podmiotami sprawującymi ww. opiekę zdrowotną. Z uwagi na fakt, iż ustawodawca wyraźnie wskazał podmioty, zobowiązane do sprawowania ww. opieki zdrowotnej, również bezzasadnym czyni powyższe zawieranie umów powierzenia przetwarzania danych z tego powodu. Dodatkowym argumentem jest to, iż podmioty sprawujące ww. opiekę zdrowotną nie mają kompetencji do tego, aby zwracać szkole prowadzoną przez siebie dokumentację medyczną. Bezwzględnie zatem mamy do czynienia z relacją występującą pomiędzy odrębnymi administratorami danych osobowych, którzy współpracują ze sobą w zakresie realizacji swoich zadań i celów, a danymi wymieniają się tylko w zakresie uregulowanym w art. 68 ust. 1 pkt. 11) Prawa Oświatowego, robiąc to na zasadzie udostępnienia a nie na zasadzie zlecania przetwarzania danych.

Opieka zdrowotna nad uczniami - Plik do pobrania PDF

Autorzy niniejszego tekstu:
Marisuz Stasiak Vel Stasek Copyright by © M.Stasiak Vel Stasek
Kontakt z autorem: biuro@msvs.com.pl, www.msvs.com.pl Dominik Spałek Copyright by © D.Spalek
Kontakt z autorem: biuro@prostetorodo.pl, www.prostetorodo.pl Autorzy wyrażają zgodę na niekomercyjne udostępnianie niniejszego tekstu, wyłącznie w niezmienionej treści, łącznie z niniejszymi zapisami.

Regulamin monitoringu wizyjnego dla szkoły. Kompletne opracowanie wraz z klauzulą i infografiką.

5/5

150,00 pln

Wzór oświadczenia woli o upoważnieniu do odbioru dziecka z przedszkola, ze świetlicy szkolnej.

5/5

29,00 pln

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Kategorie FAQ

Dokumentacja RODO dla fizjoterapeutów

Dokumentacja RODO dla fizjoterapeutów

Dokumentacja RODO dla fizjoterapeutów.

Obowiązek posiadania / stosowania / weryfikowania.

Dokumentacja RODO dla fizjoterapeutów stała się faktem. Fizjoterapeuci są zobowiązani do prowadzenia, udostępniania i zabezpieczania, nie tylko dokumentacji medycznej, ale i dokumentacji, jaka określona jest przepisami o ochronie danych osobowych. Jednak nie należy wpadać w panikę. Należy zrozumieć i przyjąć za tezę, iż administrator danych osobowych powinien utworzyć, stosować i weryfikować dokumenty dotyczące przetwarzania danych osobowych, obowiązujące w ramach jego struktury. Taki to obowiązek nakłada na niego Rozporządzenie RODO.

Zakres dokumentacji dotyczącej przetwarzania danych daleko odbiega od obecnie znanych i stosowanych wzorów. Wzorów, jakie były obowiązujące pod rządami poprzednich regulacji prawych. Nie zmienia to jednak faktu, iż przepisy Rozporządzenia RODO wymagają od administratora posiadania, stosowania i weryfikowania dokumentacji dotyczącej przetwarzania danych osobowych. Zmiana sposobu podejścia do dokumentacji polegająca na odstąpieniu od sztywnego wzorca wymaganych dokumentów, na rzecz regulacji zakładającej swego rodzaju dowolność, nie oznacza, iż nie istnieją granice owej dowolności. Liczne opracowania zdają się sugerować, iż administratorzy wraz z rozluźnieniem wytycznych, co do tworzenia konkretnych dokumentów, zwolnieni zostali w ogóle z obowiązku posiadania rozbudowanej dokumentacji dotyczącej przetwarzania danych, a skupiać mają się na stosowaniu przepisów prawa. Powyższe jednak sugestie daleko rozmijają się z prawdą, albowiem Rozporządzenie RODO wprost przewiduje mechanizmy odpowiedzialności, jaką ponieść może administrator w związku z uchybieniami w zakresie nie tylko nie stosowania przepisów prawa ale i nie posiadania stosownej dokumentacji.  

Dokumentacja RODO.

Dla zobrazowania powagi sytuacji, zwróćmy uwagę na treści zapisów Rozporządzenia RODO. Zgodnie z art. 83 ust. 5 lit a) Rozporządzenia RODO, naruszenia przepisów dotyczących podstawowych zasad przetwarzania, o których to zasadach i warunkach mowa w art. 5, 6, 7 oraz 9 Rozporządzenia RODO, podlegają administracyjnej karze pieniężnej w wysokości do 20 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.

Zgodnie z art. 5 ust. 2 Rozporządzenia RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1, czyli wymienionych zasad przetwarzania danych, ale musi także, oprócz ich przestrzegania, dodatkowo być w stanie wykazać ich przestrzeganie. Przepis niniejszy wprowadza tzw. zasadę rozliczalności.

Co oznacza, iż brak możliwości wykazania przez administratora przestrzegania, którejkolwiek z zasad określonych treścią art. 5 Rozporządzenia RODO, oznacza naruszenie zasady rozliczalności, określonej w art. 5 ust. 2 Rozporządzenia RODO. Tym samym wskazuje na fakt, spełnienia się przesłanek odpowiedzialności, jakie wymienione zostały w art. 83 ust. 5 lit a) Rozporządzenia RODO. Dokumentacja RODO dla fizjoterapeutów musi więc pozostawać w posiadaniu administratora. Dzięki niej realizował będzie on zasadę rozliczalności.

Zasady przetwarzania danych osobowych w gabinecie fizjoterapeuty.

Dla uproszenia opracowaliśmy tabelaryczne zestawienie zasad, jakie przewidują przepisy Rozporządzenia RODO, a które muszą być przestrzegane przez administratorów. Na zasady należy patrzeć od strony obowiązku, jaki one wprowadzają dla podmiotu zobligowanego do ich przestrzegania oraz od strony uprawnienia, jakie otrzymuje podmiot danych. Przy takim postrzeganiu tych regulacji, przestrzeganie zasad stanie się procesem o wiele bardziej świadomym i trafnym. Po drugie takie spojrzenie i zrozumienie zasad pozwoli administratorowi uświadomić sobie, że musi, że ma obowiązek, rozliczyć się, czyli wykazać, że każdą z tych zasad przestrzega, a co w praktyce oznacza, iż musi posiadać adekwatną dokumentację przetwarzania danych, która obrazować będzie, jak ów administrator przestrzega zasad przetwarzania, o których mowa w art. 5 Rozporządzenia RODO.

Z art. 5 RODO wynika 11 zasad przetwarzania danych osobowych, są to zasada:

Dokumentacja RODO - ale tylko taka według Państwa potrzeb.

Z uwagi na fakt, iż proces wdrażania przepisów Rozporządzenia RODO, w większości placówek medycznych, już się rozpoczął, przygotowaliśmy inne podejście do tematu. Pragniemy Państwo zaproponować rozwiązania wycelowane w aktualne potrzeby. Mogą bowiem Państwo znajdować się na różnych etapach wdrożenia RODO. Oznacza to, iż nie wszystkie informacje będą dla Państwa konieczne i niezbędne. W zależności więc od momentu, w którym się Państwo znajdują, możecie wybrać odpowiedni rodzaj wsparcia dla swojej jednostki. W razie wątpliwości zapraszamy do bezpłatnej konsultacji telefonicznej. Czytaj więcej >>>

Opracowanie pokazujące, jakie obowiązki posiada fizjoterapeuta, jak powinna wyglądać prowadzona przez niego dokumentacja medyczna. Omówiono szereg aspektów związanych z udostępnianiem dokumentacji medycznej. Czy wiesz, że Twoim obowiązkiem jest >>>

Omówienie podstawowych obowiązków, jakie przepisy prawa nakładają na fizjoterapeutów, w związku z wykonywaniem przez nich zawodu. Tematyka nierozerwalnie związana jest z zagadnieniem RODO dla fizjoterapeutów. Czytaj więcej o swoich obowiązkach >>>

RODO dla fizjoterapeutów. Zbiór dokumentów opracowanych przez naszych ekspertów, dzięki którym, spełnienie obowiązków RODO w gabinecie fizjoterapii, stanie się o wiele prostsze. Wzory opracowane wg. potrzeb. Podzielone zostały na pakiety dedykowane fizjoterapeutom. W zależności od tego, na jakim etapie wdrażania przepisów RODO się znajdują. Sprawdź co mamy dla Ciebie >>>

Najciekawsze doniesienia prasowe dotyczące tematyki ochrony zdrowia, oraz przepisów o ochronie danych osobowych. Czytaj więcej >>>

Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych

Badanie finansowe a umowa powierzenia przetwarzania danych

Czy z biegłym rewidentem należy zawrzeć umowę powierzenia przetwarzania danych osobowych w ramach jego czynności, które będzie wykonywał ?

Sprawozdanie finansowe a umowa powierzenia przetwarzania danych osobowych [UMPO].Za sprawą komunikatu nr 36 i 38 Polskiej Izby Biegłych Rewidentów, sprawa braku zasadności zawierania umów powierzeni, stała się nie tak oczywista. Izba stanęła bowiem na stanowisku, iż zasadnym i celowym jest zawarcie umowy powierzenia przetwarzania danych z biegłym rewidentem. W praktyce spotkać można rozbieżne interpretacje i opinie. Jedne z nich przyznają rację stanowisku, które przemawia za zasadnością zawierania umów powierzenia. Inne stanowiska wskazują, iż biegły rewident, wykonując swoje obowiązki ustawowe, staje się administratorem danych osobowych. Z tego względu za nie tyle niepożądane co niedopuszczalne uznać należy, zawieranie umów powierzenia przetwarzania danych w takiej sytuacji.

Proste to RODO podejmuje temat.

Mając w świadomości swoje własne stanowisko zespołu ekspertów Proste to RODO, podjęliśmy inicjatywę wyjaśnienia zagadnienia. W rozmowie z pracownikiem Izby, ustaliliśmy, iż faktycznie od sierpnia 2018 r., stanowisko, jakie przedstawione zostało w komunikatach ww. podlegało dyskusji. Rozmówczyni wprost wskazuje na fakt, iz na chwilę obecną jest to stanowisko Izby wiążące. Nie mniej jednak z uwagi na praktyki, stosowane w życiu codziennym, podjęte zostały działania, mające na celu jego sprawdzenie, zweryfikowanie. Wystąpiono z oficjalnym zapytaniem do Urzędu Ochrony Danych Osobowych w tej sprawie. Uzasadnieniem dla powyższego były właśnie sygnały, docierające bezpośrednio od biegłych rewidentów, wskazujące na rozbieżność stanowiska Izby i stanowisk IOD.  

Infolinia UODO potwierdza.

Potwierdziliśmy w rozmowie z pracownikiem Infolinii UODO, iż faktycznie takie zapytanie ze strony Izby wpłynęło do Urzędu. Obecnie sprawa jest procesowana. Zagadnienie faktycznie wzbudzało wiele kontrowersji. W rozmowie konkluzją staje się także problem nadużywania przez ADO konstrukcji UMPO w relacjach z podmiotaim zewnętrznymi. Otrzymaliśmy zapewnienie, iż ostateczne stanowisko Urzedu niebawem przekazane zostanie do wiadomości za pośrednictwem strony internetowej www.uodo.gov.pl

Kierunkowe wyjaśnienia.

Sprawozdanie finansowe umowa powierzenia. Roboczo jednak, poinformowani zostaliśmy, iż UODO stoi na stanowisku, iż w relacji powstającej w związku z badaniem sprawozdania finansowego przez biegłego rewidenta, nie dochodzi do zlecenia przetwarzania danych osobowych. Rola badanej jednostki sprowadza się do zainicjowania procesu badania sprawozdania finansowego, wyboru biegłego rewidenta i zawarcia umowy.

Stanowisko ostateczne UODO.

Stanowisko ostateczne UODO.​

W swoim stanowisku z dnia 18 października 2019 r. UODO wskazuje iż z uwagi na charakter relacji pomiędzy firmami audytorskimi oraz biegłymi rewidentami a ich klientami, firmy audytorskie występują w roli samodzielnych administratorów.

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla małych i   średnich firm.

5/5

799,00 pln

Dokumentacja RODO dla biura rachunkowego.  Kompletny zestaw wzorów dokumentów i procedur.

5/5

1499,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Rejestr Czynności Przetwarzania Danych

RCPD dla firm

Rejestr Czynności Przetwarzania Danych Osobowych

Obowiązek posiadania RCPD

Obowiązek posiadania rejestru czynności przetwarzania danych osobowych RCPD, za posiadanie którego odpowiada administrator danych osobowych, wynika z art. 30 ust. 1 RODO. „Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają.(…)”

Dwa odrębne rejestry: RCPD / RWKCP

Ze względu na częsty bład, jaki występuje w pratyce, zwracamy uwagę na to, iż mamy dwa rejestry. Rejestr czynności przetwarzania danych RCPD oraz rejestr wszystkich kategorii czynności przetwarzania RWKCP. Obowiązek prowadzenia rejestru czynności spoczywa na administratorze, czyli osobie fizycznej lub prawnej, organie publicznym, jednostce lub innym podmiocie, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Obowiązek prowadzenia rejestrów kategorii czynności został nałożony zaś na podmioty przetwarzające, czyli osoby fizyczne lub prawne, organy publiczne, jednostki lub inne podmioty, które przetwarzają dane osobowe w imieniu administratora

Dlaczego posiadanie ROCP jest tak ważne.

Należy mieć na uwadze, iż UODO może i ma do tego prawo aby skontrolować firmę. Po prostu sprawdzą czy ADO prowadzi RCPD. Ponadto inspektorzy analizować będą także samą treść rejestru przetwarzania danych osobowych. Rejestr będzie dla Państwa także narzędziem, z którego pomocą, zrezlizujecie pozostałe swoje obowiązki RODO.

Liczba pracowników ma znaczenie.

Rozporządzenie RODO różnicuje przypadki, w których prowadzenie RCPD będzie obowiązkiem. Uzależnia to od ilości pracowników, zatrudnionych przez przedsiębiorcę, podmiot. Obowiązku prowadzenia rejestru czynności przetwarzania danych nie mają przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób.

Zatrudniasz mniej niż 250 osób, ale i tak musisz prowadzić RCPD.

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

Przedsiębiorcy zatrudniający mniej niż 250 pracowników, muszą prowadzić rejestr czynności przetwarzania, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 Rozporządzenia RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Obowiązek powstaje wtedy, kiedy zachodzi którakolwiek z tych sytuacji samodzielnie.

Treść RCPD - co powinien zawierać.

Zawartość dokumentu, jakim jest rejestr czynności przetwarzania danych, wynika z art. 30 ust. 1 Rozporządzenia RODO. Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

  • imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  • gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 RODO akapit drugi, dokumentacja odpowiednich zabezpieczeń;
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  • ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 RODO, jeżeli jest to możliwe.

Rejestr Czynności Przetwarzania Danych dla Firm

Rejestr czynności przetwarzania danych dostarczamy jako kompletna tabela, wypełniona danymi i zawierająca wszystkie wymagane prawem informacje. Dokument dostarczamy w formie edytowalnej, w postaci elektronicznej, w tabeli utworzonej w programie Excel. Nie jest to tylko wzór dokumentu, to jest wypełniony danymi dokument.

Kup Teraz - RCPD dla firm.

Kliknij i przejdź do strony z zamówieniami. Jeśli masz jakiekolwiek pytania dotyczace dokumentacji RODO, jaką chcesz kupić po prostu zadzwoń do nas.

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla mikroprzedsiębiorstw

5/5

799,00 pln

Procedura realizacji praw osób których dane dotyczą art. 15 – 21 RODO. Kompleksowe omówienie tematu wraz ze wzorami wniosków zapytań i odpowiedzi.

5/5

149,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Monitoring wizyjny w firmie. Procedura wdrożenia i stosowania monitoringu u pracodawcy po zmianach kodeksu pracy.

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Bezpłatne udostępnienie dokumentacji medycznej po raz pierwszy.

Darmowa dokumentacja dla upowżnionego i pełnomocnika

Bezpłatne udostępnienie dokumentacji medycznej po raz pierwszy.

Bezpłatne udostępnienie dokumentacji medycznej po raz pierwszy. Jest to temat, który wciąż wzbudza wiele kontrowersji wśród podmiotów medycznych. Już w kwietniu 2019 r., przekazywaliśmy do Rzecznika Praw Pacjenta, zgłaszane wątpliwości przez jednostki medyczne. W związku z tym RPP i MZ podjęły stosowne działania czytaj. “Dokumentacja medyczna bez opłat także dla upoważnionego i pełnomocnika.” Z satysfakcją odnotowujemy, iż nasze uwagi, sugestie i wątpliwości jednostek medycznych zostały dostrzeżone. Odpowiedzi bowiem na nie ujęte zostały w objaśnieniach prawnych “Udostępnianie, prowadzenie i przechowywanie dokumentacji medycznej – zagadnienia praktyczne“. O czym informuje nas Departament Prawny Biura Rzecznika Praw Pacjenta w piśmie z dnia 07 października 2019 r. [RzPP-DPR-WPZ.422.14.2019.MA].

 

Za pierwszym razem nie oznacza tylko w jednym przypadku.

Podmiot medyczny nie może pobrać od pacjenta, przedstawiciela ustawowego pacjenta opłaty za udostępnienie dokumentacji medycznej, po raz pierwszy. Nie chodzi jednak o pierwsze w ogóle udostępnienie dokumentacji pacjentowi przez dany podmiot. Chodzi o udostępnienie w określonym zakresie i sposób. Oznacza to, że od jednego podmiotu pacjent może nawet kilkukrotnie otrzymać dokumentację medyczną za darmo. Pod warunkiem, że żądaniem udostępnienia objęta będzie ta część dokumentacji, której wcześniej pacjent nie otrzymał. Przy następnym udostępnieniu tych samych dokumentów i w ten sam sposób podmiot będzie mógł pobrać stosowną opłatę.

Bezpłatnie także dokumentacja powstała przed 04 maja 2019r.

W praktyce pojawiały się głosy, jakoby regulacje prawne wprowadzone 04 maja 2019r., nie dotyczą dokumentacji medycznej sprzed tej daty. Uprawnienie do bezpłatnego udostępnienia dokumentacji medycznej dotyczy także dokumentacji medycznej sporządzonej przed wejściem w życie zmian w przepisach UoPPiRP.

Prior tempore, potior iure.

Wystąpienie osoby upoważnionej o dokumentację medyczną ma taki sam skutek, jak skorzystanie z tego uprawnienia przez samego pacjenta. Z tego względu jeżeli z wnioskiem o udostępnienie dokumentacji medycznej – złożonym w określonym zakresie i sposób – wystąpi osoba upoważniona, nie należy od niej pobierać opłaty. W konsekwencji jednak, jeżeli sam pacjent wcześniej uzyskał już dostęp do dokumentacji medycznej w zakresie i sposób objęty żądaniem osoby upoważnionej – zaistnieje podstawa do obciążenia jej opłatą.

Jeśli natomiast odwrócimy sytuacje, i to pierwszy wniosek złoży osoba upoważniona sprawa będzie wyglądała analogicznie.  W takiej sytuacji podmiot udzielający świadczeń zdrowotnych także będzie mógł pobrać opłatę od pacjenta.

I mamie i tacie, tylko mamie, tylko tacie ...

Również w sytuacji złożenia wniosku przez obojga rodziców osobno mamy analogiczną sytuację. Pierwszy z rodziców otrzyma dokumentację nieodpłatnie. Względem drugiego podmiot może naliczyć opłatę. Podmiot leczniczy skutecznie zrealizuje swój obowiązek dotyczący bezpłatnego udostępnienia dokumentacji medycznej jeśli udostępni bez pobrania opłaty dokumentację jednemu z przedstawicieli ustawowych pacjenta.

Bezpłatnie udostępniona dokumentacja po raz pierwszy, ale przed 04 maja 2019r.

Prawo pacjenta lub jego przedstawiciela ustawowego do bezpłatnego udostępniania dokumentacji medycznej po raz pierwszy, w żądanym zakresie oraz sposób, obowiązuje od dnia 4 maja 2019 r. Jeżeli przed tą datą podmiot udzielający świadczeń zdrowotnych udostępnił pacjentowi dokumentację medyczną bezpłatnie (mimo możliwości pobrania opłatny) nie jest obowiązany do ponownego bezpłatnego udostępnienia dokumentacji medycznej, z zastrzeżeniem zakresu wniosku i żądanego sposobu udostępnienia dokumentacji medycznej.

Kompletny i gotowy wzór procedury udostępniania dokumentacji medycznej w PWDL.

Korzystając z naszej procedury uporządkujecie Państwo zasady według, których udostępniana jest dokumentacja medyczna w Państwa jednostce. Jest to proces złożony i bardzo często prowadzący do niejasnych sytuacji. Procedura zawiera szeroki opis wprowadzający. Dzięki niemy rozwiewane są wątpliwości dotyczące niejasnych sytuacji.  Z tego względu zachęcamy do skorzystania z naszej procedury.

Kup Teraz - Procedura "Jak prawidłowo udostępniać dokumentację medyczną".

Kliknij i przejdź do strony z zamówieniami. Jeśli masz jakiekolwiek pytania dotyczace dokumentacji RODO, jaką chcesz kupić po prostu zadzwoń do nas.

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla przychodni [PWDL].

5/5

1499,00 pln

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Bezpieczeństwo dokumentacji medycznej wysyłanej email

Kontakt Proste to RODO

Bezpieczeństwo dokumentacji wysyłanej email - cz. 2

Bezpieczeństwo dokumentacji medycznej wysyłanej email. Problem wysyłania dokumentacji medycznej pocztą elektroniczną zasygnalizowany został przez nas części pierwszej niniejszego opracowania.Kontunuując omówimy zalecenia, jakie wydał jeszcze GIODO. Zalecenia dotyczące bezpieczeństwa poczty elektronicznej. Główny Inspektor Ochrony Danych Osobowych wydał bowiem “Opinia w sprawie bezpieczeństwa danych
przekazywanych przy użyciu poczty elektronicznej“.

Bezpieczna wymiana informacji drogą elektroniczną.

Jak zapewnić bezpieczeństwo informacji przekazywanej przy użyciu poczty elektronicznej, to kwestia, która wciąż budzi liczne wątpliwości, zwłaszcza wówczas, gdy przekazywane informacje podlegają ochronie prawnej lub z innych względów powinny być właściwie zabezpieczone, by zapewnić ich poufność, integralność i autentyczność. Mając na uwadze fakt, że wiele narzędzi programowych wykorzystywanych do wysyłania i odbierania poczty elektronicznej nie gwarantuje zapewnienia tych wskazanych wyżej podstawowych atrybutów bezpieczeństwa, nie ma wątpliwości, że ustalenie określonych zasad i środków wtym zakresie jest niezbędne.

Szyfrowanie w celu zachowania poufności informacji zawartych w email.

Jedną z podstawowych metod służących zachowaniu poufności treści przekazywanych drogą elektroniczną jest szyfrowanie. Niestety jednak, jak pokazują nasze doświadczenia, z metody tej korzysta niewielu uzytkowników poczty elektronicznej. Przyczyn takich zaniechań jest kilka. Począwszy od braku wiedzy na temat konieczności stosowania szyfrowania. Skończywszy na zwykłej niechęci użytkowników. Najczęściej bowiem niechęć wynika z konieczności zastosowania dodatkowej procedury. Przygotowania pliku, jego spakowania, nadania hasła, zapisania hasła i przesłania hasła do odbiorcy.

Także GIODO dostrzega przyczyny niechęci użytkowników do stosowania szyfrowania.

Szyfrowanie przekazywanych informacji jest jedną z najbardziej efektywnych metod zapewnienia poufności. Nie wymaga ona bowiem podejmowania żadnych dodatkowych działań związanych zzabezpieczaniem kanałów komunikacyjnych, serwerów pocztowych i innych serwerów pośredniczących wprzekazywaniu informacji. W metodzie tej informacja przed wysłaniem zostaje zaszyfrowana i w takiej postaci trafia do odbiorcy. Przechwycenie jej podczas teletransmisji, jak również odczyt z serwerów pocztowych nadawcy i odbiorcy nie stwarza zagrożenia jej ujawnienia, gdyż jest ona zaszyfrowana. Metoda ta wymaga jednak dodatkowych działań organizacyjnych nadawcy i odbiorcy związanych z przekazaniem klucza do jej odszyfrowania

Szyfrowanie z wykorzystaniem infrastruktury publicznego klucza (certyfikaty bezpieczeństwa).

Inną metodą może być posługiwanie się infrastrukturą klucza publicznego. Zaletą takiego rozwiązania jest to, że przesyłana informacja jest szyfrowana kluczem publicznym adresata i w związku z tym nie ma potrzeby przekazywania mu klucza użytego do zaszyfrowania, jak ma to miejsce w przypadku użycia popularnych programów szyfrujących. Do potwierdzania autentyczności klucza publicznego stosuje się ich certyfikaty –dokumenty elektroniczne, które „wiążą” dane identyfikacyjne właściciela danego klucza publicznego z wydaną mu przez centrum certyfikacji parą kluczy. Certyfikaty mogą być generowane wewnętrznie przez podmioty, tj. własne centra certyfikacji, lub przez komercyjne urzędy certyfikacji, tzw. zaufaną trzecią stronę.

Bezpiecześntwo dokumentacji

Jak wskazuje Grupa Robocza Art. 29 w opinii 03/2016 z 19 czerwca 2016 r. w sprawie oceny i przeglądu Dyrektywy oprywatności i łączności elektronicznej, wykorzystanie szyfrowania wzrosło po medialnych doniesieniach związanych z działaniami, prowadzonymi na szeroką skalę przez podmioty publiczne i prywatne w celu przechwytywania nie kierowanej do nich korespondencji.Do tej samej opinii odniósł się również Europejski Inspektor Ochrony Danych w swojej opinii 5/2016 z 22 czerwca 2016 r., który zachęca do rozwijania standardów technicznych dotyczących szyfrowania, także w celu wspierania wymogów bezpieczeństwa wynikających z nowego rozporządzenia o ochronie danych.

Zapewnienie bezpieczeństwa infrastruktury i kanałów telekomunikacyjnych.

Zaprojektowanie oraz budowa odpowiedniej infrastruktury systemu teleinformatycznego to konieczność. Już na etapie planowania należy w odpowiedni sposób przewidywać i planować adekwatne rozwiązania technologiczne. Nie tylko wybór sprzętu ale i dostawców usług jest tutaj elementem istotnym.

Bezpiecześtwo dokumentacji wysyłanej email zapewniać można stosując także inne metody. Dodatkową metodą zapewnienia poufności jest użycie serwerów pocztowych, które w komunikacji między komputerem nadawcy i odbiorcy oraz między sobą wykorzystują szyfrowane kanały komunikacyjne, co powoduje, że jeśli doszłoby do przechwycenia przesyłanej wiadomości, miałaby ona postać zaszyfrowaną. Rozwiązanie takie nie jest jednak łatwe do zastosowania, jeśli nadawca i odbiorca wiadomości korzystają z różnych serwerów pocztowych, co ma miejsce w większości przypadków komunikacji urzędu z obywatelem czy firmy z klientem.

Przy tym jednak rozwiązaniu pamiętać należy o tym, iż informacje przesyłane zaszyfrowanym kanałem komunikacji przechowywane są w niezaszyfrowanej formie na serwerach nadawcy i odbiorcy. Natomiast za ich składowanie odpowiadają administratorzy serwerów. Nie należy zapominac o tej  tematyce i w sposób odpowiedzialny podejmować decyzję. Decyzje czy korzystać będziemy z własnego serwera pocztowego i jesteśmy w stanie go zabezpieczyć. Czy skorzystamy z usługi podiotu zewnętrznego.

Wysyłanie dokumentacji medycznej na email

Kontakt Proste to RODO

Wysyłanie dokumentacji medycznej na email.

Wysyłanie dokumentacji medycznej na email. Czy pacjent ma prawo, aby żądać wysłania mu dokumentacji medycznej drogą elektroniczną? Czy może domagać się tego, aby przychodnia, szpital udostępnili mu dokumentację przesyłając ją na email? Nie można przecież wykluczyć sytuacji, w których taka forma przekazania dokumentacji może odegrać istotną rolę w procesie leczenia. Szybkość tej formy komunikacji może okazać się decydująca.

Zacznijmy od tego, że wysyłanie dokumentacji medycznej na email może mieć istotne znaczenie dla wnioskodawcy. Faktycznie, taka forma udostępnienia dokumentacji może odegrać znaczącą rolę w procesie diagnozy, czy leczenia. Z tego względu jednostki powinny w sposób odpowiedzialny podejść do tematu zorganizowania procesu udostępniania dokumentacji medycznej na email.

Na marginesie dodam, iż sam znalazłem się w takiej sytuacji. Ze względów zdrowotnych koniecznością stało się przesłanie na mój adres email zdjęcia z prześwietlenia RTG. Było to niezbędne celem skonsultowania przedstawionej mi diagnozy wstępnej. Muszę przyznać, że przychodnia stanęła na wysokości zadania. W ciągu 2 minut miałem na swoim email “swoje” zdjęcie. Wszystko przebiegło sprawnie. Niestety jednak, patrząc od strony ochrony danych, w tym danych medycznych, opis i zdjęcie przesłane zostało tzw. “tekstem otwartym”.  Pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia. Ale ma także prawo do udzielania mu informacji na temat jego stanu zdrowia i udzielonych świadczeń zdrowotnych. Aby prawa te mogły być realizowane jednostki medyczne mają obowiązek prowadzić, przechowywać, udostępniać i chronić dokumentację medyczną swoich pacjentów. Pacjent ma prawo do żądania udostępnienia mu dokumentacji medycznej na email na zasadach określonych przepisami prawa.

W jakich więc sytuacjach może pacjent, czy osoba upoważniona, wnioskować o przesłanie na email dokumentacji medycznej? Czy są jakieś ograniczenia, o których powinniśmy bezwzględnie wiedzieć?

Zacznijmy od tego, że dokumentacja medyczna może być prowadzona w różnej formie. Może to być albo tradycyjna forma papierowa dokumentu, albo jego elektroniczna postać. Należy także pamiętać o szczególnej postaci formy elektronicznej jaką jest Elektroniczna Dokumentacja Medyczna tzw. EDM. W zależności od formy prowadzenia dokumentacji medycznej, różnie kształtować będą się uprawnienia do żądania jej udostępnienia na email.

Zgodnie z przepisami prawa.

Zgodnie z przepisami Ustawy o prawach Pacjenta i Rzeczniku Praw Pacjenta, dokumentacja medyczna udostępniana jest:
    • do wglądu,
    • przez sporządzenie jej wyciągu, odpisu, kopii lub wydruku,
    • przez wydanie oryginału,
    •  za pośrednictwem środków komunikacji elektronicznej,
    •  na informatycznym nośniku danych.

Udostępnianie dokumentacji prowadzonej w postaci papierowej.

Odnosząc się do udostępniania dokumentacji za pośrednictwem środków komunikacji elektronicznej, czy na informatycznym nośniku danych. Dokumentacja medyczna prowadzona w postaci papierowej może być udostępniona w te właśnie sposoby przez sporządzenie kopii w formie odwzorowania cyfrowego(skanu). Uwaga jednak, taką możliwość musi przewidywać regulamin organizacyjny podmiotu udzielającego świadczeń zdrowotnych. Nie będzie zatem możliwości udostępniania dokumentacji medycznej w postaci kopii w formie odwzorowania cyfrowego (skanu), jeśli regulamin organizacyjny podmiotu nie przewiduje sposobności udostępniania dokumentacji medycznej za pośrednictwem środków komunikacji elektronicznej lub na informatycznym nośniku danych. Takie udostępnianie ma fakultatywny charakter dla podmiotu, który może a nie musi wprowadzić takiej możliwości w swoim regulaminie organizacyjnym.

Udostępnianie dokumentacji prowadzonej w postaci elektronicznej.

Jeśli jednostka prowadzi dokumentację medyczną w postaci elektronicznej, dla jej udostępnienia w ww. sposób regulamin nie musi przewidywać takiej możliwości. Czyli, jeśli jednostka prowadzi dokumentację medyczną w postaci elektronicznej ma obowiązek udostępniać ją za pośrednictwem środków komunikacji elektronicznej oraz na informatycznych nośnikach danych.

Udostępnianie dokumentacji prowadzonej w postaci EDM.

Elektroniczna Dokumentacja Medyczna, zgodnie z wytycznymi, zapisywana powinna być w formacie HL7 CDA w systemach teleinformatycznych, natomiast udostępniana poza SIM w formacie XML, albo PDF. Funkcjonalność udostępniania dokumentacji medycznej za pośrednictwem SIM realizowana powinna być dopiero w terminie od 01 stycznia 2021 r.

Dobrze, ale co to będą te środki komunikacji elektronicznej?

Zgodnie z art. 2 pkt. 5  Ustawy o świadczeniu usług drogą elektroniczną [dalej UoŚUDE] cyt.: „(…) określenia użyte w ustawie oznaczają: (…) środki komunikacji elektronicznej – rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności pocztę elektroniczną (…)”. Oznacza to, iż pod pojęciem środków komunikacji elektronicznej kryją się nie tylko rozwiązania techniczne w postaci poczty elektronicznej (e-mail). Chociaż są to najbardziej popularne rozwiązania. Mogą to być także innego rodzaju komunikatory, czy rozwiązania programowe umożliwiające przy wykorzystaniu transmisji danych przekazywanie dokumentacji medycznej.

Jakie zadania stoją przed jednostką będącą ADO.

Zapewnienie bezpieczeństwa informacji.

Warto nadmienić, iż w sytuacji, w której podmiot zdecyduje się na udostępnianie dokumentacji medycznej za pośrednictwem środków komunikacji elektronicznej, z jednej strony zobligowany jest uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku.

Poszanowanie zbiorowych praw pacjentów.

Z drugiej strony zmuszony jest do takiego ukształtowania swojego działania, aby nie narazić się na odpowiedzialność z tytułu stosowania niedozwolonych praktyk naruszających zbiorowe prawa pacjentów. Za wątpliwe zatem uznać należałoby rozwiązanie zakładające udostępnianie dokumentacji medycznej za pośrednictwem środków komunikacji elektronicznej, z ograniczeniem do stosowania tylko i wyłącznie w zakresie wymiany informacji z wykorzystaniem profilu ePUAP, a tym samym z ograniczeniem stosowania korespondencji w postaci elektronicznej (e-mail) w innej formie. Z tego względu za zasadne i celowe uznać należy, takie ukształtowanie zasad aby z jednej strony nie stanowiło naruszenia praw zbiorowych pacjentów, a z drugiej gwarantowało bezpieczeństwo danych. Z tego względu każdy przypadek należy traktować indywidualnie i z należyta staranności i dokładnością, pamiętając o przesłankach koniecznych do spełnienia dla realizacji dyspozycji w zakresie udostępnienia dokumentacji medycznej. Wysyłanie dokumentacji medycznej na email będzie zatem wyrazem jej udostępnienia za pośrednictwem środków komunikacji elektronicznej.

W takim razie pozostaje nam ustalenie co to znaczy, że dokumentacja udostępniana powinna być na informatycznym nośniku danych?

Udostępniana dokumentacja medyczna, powinna zostać zapisana w formie cyfrowej na informatycznym nośniku danych, czyli takim nośniku,  który oprócz funkcjonalności zapisu charakteryzować musi się także funkcjonalnością polegającą na zdolności przechowywania zapisanych danych oraz możliwością ich odczytywania. Przykładowymi informatycznych nośników mogą być: pamięć komputera, pamięci dyskowe, urządzenia pamięciowe USB, płyty CD, DVD. Wraz z rozwojem technologii zmieniają się także rodzaje nośników danych, jedne zastępowana są innymi.

Czy przepisy prawa przewidują jakieś specjalne wymogi aby udostępniać dokumentacje medyczną za pośrednictwem środków komunikacji elektronicznej?

Kiedy dokumentacja medyczna prowadzona jest w postaci elektronicznej przepisy przewidują dodatkowe obowiązki przy jej udostępnianiu, które musza realizować jednostki medyczne. W sytuacji, kiedy udostępniamy taką dokumentację w postaci wydruków, powinna być ona potwierdzona za zgodność z oryginalną dokumentacją. Innym zagadnieniem są wymogi, jakie musi spełniać system teleinformatyczny, aby jednostka w ogóle mogła prowadzić dokumentację medyczną w postaci elektronicznej.

Wskazana upoważniona osoba podpisuje taki dokument wydrukowany także swoim imieniem i nazwiskiem. System teleinformatyczny musi posiadać funkcjonalność która pozwoli na przetworzenie dokumentacji udostępnianej przez samego pacjenta na postać elektroniczną. Po takim przetworzeniu w sposób zapewniający czytelność, spójność i dostępność dokument załączany jest do dokumentacji medycznej. Pamiętać także należy, iż udostępnianie dokumentacji tworzonej w postaci elektronicznej za pośrednictwem środków komunikacji elektronicznej, czy to na informatycznym nośniku danych, musi być dokonane z zachowaniem zasad bezpieczeństwa. Mowa tutaj o szyfrowaniu korespondencji przesyłanej do adresata, o przekazywaniu haseł dostępowych do plików odrębnym kanałem przekazu, stosowaniu takich formatów zapisu, które nie będą miały wpływu na treść, na spójność na czytelność dokumentu dostarczonego.

Zaczynamy dotykać tematu bezpieczeństwa w udostępnianiu dokumentacji medycznej. Na co powinny uważać tutaj jednostki udostępniając dokumentację medyczną?

Wymiana informacji za pośrednictwem środków komunikacji elektronicznej to już codzienność przedsiębiorców. Czas dostępu do informacji jest zagadnieniem priorytetowym. Szybka wymiana danych pozwala na uzyskanie przewagi nad konkurencją. Sprawnie zorganizowany system wymiany informacji to podstawa zarządzania. Bez względu na wielkość przedsiębiorcy.

Nie należy jednak zapominać o tym, iż bezpieczeństwo informacji jest tak samo ważne jak one same. Wysyłanie dokumentacji medycznej na email jest obszarem, który należy traktować w sposób szczególny. Pomijanie zagadnienia bezpieczeństwa informacji przesyłanych wewnątrz firmy, czy do jej klientów może prowadzić do dramatycznych skutków. Brak zapewnienia bezpieczeństwa dla danych, w tym danych osobowych, prowadzić może do pociągnięcia przedsiębiorcy od odpowiedzialności finansowej a nawet karnej. Utrata danych, ich podsłuchanie, czy przejęcie nad nimi kontroli, może stanowić źródło realnych problemu dla przedsiębiorców i ich klientów.

Nieprawidłowości i błędy przy posługiwaniu się pocztą elektroniczną.

Jako specjaliści zajmujący się bezpieczeństwem wymian wymiany informacji w naszej praktyce odnotowaliśmy szereg przypadków. Przypadków pokazujących jakie rozwiązania stosują w praktyce przedsiębiorcy. Konsekwencje negatywne mogące wyniknąć z ich stosowania są różnej rangi. Uświadomienie sobie jednak nieprawidłowych praktyk to pierwszy z kroków, jakie należy wykonać wdrażając czy modernizując system wymiany informacji w przedsiębiorstwie.

Brak określenia zasad korzystania z poczty elektronicznej.

Jest to podstawowy i najczęściej spotykany błąd w przedsiębiorstwach, skutkujący całkowita utratą kontroli nad tym, jakie dane są przesyłane w firmie, pomiędzy kim a kim. Nieświadomi pracownicy stanowić mogą realne zagrożenie dla interesów firmy i jej Klientów.

Posługiwanie się otwartym tekstem w komunikacji.

Jest to proceder często spotykany tam, gdzie pracownicy zniechęceni są do prowadzenia komunikacji elektronicznej. Pozornie ułatwiając sobie życie, tłumacząc to oszczędnością czasu przesyłają w treści email istotne dane do adresatów. Wysyłanie dokumentacji medycznej na email z otwartym tekstem jest kategorycznie nagannym działaniem

Błędy przy adresowaniu poczty email.

Z tych samych powodów co wyżej pracownicy przedsiębiorstw często wysyłają wiadomość do adresatów nie weryfikując poprawności wpisanych adresów. Ponadto przy korespondencji kierowanej do kilku odbiorców nie ukrywają innych adresów.

Przesyłanie haseł zabezpieczających tym samym kanałem.

Praktyką można powiedzieć było przesyłanie ważnych dokumentów w pliku zabezpieczonym przed otwarciem hasłem, ale łącznie z podaniem tego hasła w tej samej wiadomości. Czy w innej wiadomości przesyłanej na ten sam email.

Brak weryfikacji poprawności załączników.

Odnotować należy także sytuacje, w których nadawcy poczty email zapominają o sprawdzeniu poprawności przesyłanego załącznika. W konsekwencji inny niż powinien adresat otrzymuje dokumentu, które nie powinny trafić do niego.

Czy jest możliwe rozwiązanie tych wszystkich problemów łącznie? Innymi słowy czy przychodnie, szpitale, gabinety mogą wprowadzić takie rozwiązania, które będą minimalizowały ryzyko niezgodnego z prawem udostępnienia dokumentacji medycznej przesyłając ją na email?

Można problem bezpieczeństwa komunikacji w firmie rozwiązać na wiele sposobów. Ale należy mieć na uwadze to, iż użytkownicy systemu mogą być, a nawet pewnie będą, niechętni wprowadzeniu nowych skomplikowanych zasad. Nie będą chcieli posługiwać się instrukcjami kancelaryjnymi. Niechętnie podejdą do zakazu stosowania dotychczasowych złych praktyk. Można starać się zmieniać ich nawyki poprzez długie szkolenia. Można też zastosować nasze rozwiązanie, od zaraz od już.

Postęp prac nad oprogramowaniem do udostępniania dokumentacji medycznej na email.
Zakres wykonanych prac. 88%

Bezpieczeństwo dokumentacji medycznej wysyłanej na email. Część 2.

Badanie ankietowe wśród pacjentów

Proste to RODO

Badanie ankietowe wśród pacjentów.

Czy Jednostka, jako podmiot wykonujący działalność leczniczą, jest uprawniona do tego, aby wyrazić zgodę na przeprowadzenie przez studenta uczelni wyższej badania ankietowego niezbędnego do przygotowania pracy licencjackiej, przy jednoczesnym braku określenia formy przeprowadzenia badania ankietowego, jak i treści pytań ankietowych, po tym jak złożył on osobiście taki wniosek?

Student uczelni składa w Jednostce podanie z wnioskiem o umożliwienie mu przeprowadzenia badania ankietowego wśród jej pacjentów. Niestety jednak nie określa on tematu badania. Nie wskazuje także formy, w jakiej przewiduje przeprowadzić badanie ankietowe wśród pacjentów.

Kwestie budzące wątpliwości.

  • Jaka i czy w ogóle jest podstawa prawna dla udostępnienia wnioskodawcy dokumentacji medycznej.
  • Wnioskodawca nie określił w sposób precyzyjny formy przeprowadzenia badania ankietowego.
  • Czy realizacja wniosku nie leży w sprzeczności z prawami pacjentów.

Rozróżnić należy dwa stany faktyczne, które mogą przybrać formę realizacji wniosku studenta, albowiem od tego zależeć będzie charakter odpowiedzi. Z uwagi na nieprecyzyjność wniosku, należy hipotetycznie założyć nw. warianty:

  • Wniosek dotyczy udostępnienia dokumentacji medycznej w celu udzielenia odpowiedzi na postawione badania ankietowe
  • Prośba dotyczy badania ankietowego, realizowanego zgodnie z formułą zadawania pytań i uzyskiwania odpowiedzi według określonych kryteriów.

Wniosek dotyczy udostępnienia dokumentacji medycznej.

Art. 26 ust. 3a Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta [dalej UoPPiRP] stanowi, iż dokumentacja medyczna podmiotów leczniczych, o których mowa w art. 89 ust. 1 i 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, instytutów badawczych, o których mowa w art. 3 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. z 2016 r. poz. 371, 1079, 1311 i 2260 oraz z 2017 r. poz. 202), i innych podmiotów udzielających świadczeń zdrowotnych uczestniczących w przygotowaniu osób do wykonywania zawodu medycznego i kształceniu osób wykonujących zawód medycznyjest udostępniana tym osobom wyłącznie w zakresie niezbędnym do realizacji celów dydaktycznych.

Art. 26 ust. 4 [UoPPiRP] stanowi, iż dokumentacja medyczna może być udostępniona także szkole wyższej lub instytutowi badawczemu do wykorzystania w celach naukowych, bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy.

Wniosek dotyczy badania ankietowego wśród pacjentów, realizowanego zgodnie z formuła zadawania pytań i uzyskiwania odpowiedzi według określonych kryteriów.

Pojęcie „badania ankietowego” odnosi się zazwyczaj to formuły zadawania pytań i uzyskiwania odpowiedzi według określonych kryteriów. Jeśli pytania mają być zadawane osobom mającym dostęp do dokumentacji medycznej a odpowiedzi udzielane w oparciu o treść dokumentacji, dokumentacja ta nie jest udostępniana  wnioskodawcy. W takim wypadku korzystają z dokumentacji osoby, które mają sporządzić odpowiedzi na przedstawione w ankiecie pytania. Powstaje wówczas problem nie tyle dostępu do danych wrażliwych (tych wnioskodawca nie uzyskuje), lecz wynagrodzenia administratora danych za pracę wykonaną celem udzielenia odpowiedzi, lub ewentualnie podjęcia decyzji o wykonaniu tych czynności nieodpłatnie.

Gdyby natomiast to sam student zamierzał badać treść dokumentacji, byłby to z kolei rzeczywiście wniosek o jej udostępnienie, ale wówczas już nie wniosek o przeprowadzenie badania ankietowego. Istotnie – nie wchodziłby wówczas w grę przepis art. 26 ust. 3a ani 4 UoPPiRP – zatem wniosek o takie udostępnienie nie miałby podstawy prawnej.

Co do umożliwienia wnioskodawcy przeprowadzenia badania bezpośrednio wśród pacjentów, należy pamiętać, że art. 13 ustawy z 15.04.2011 r. o działalności leczniczej (Dz.U. z 2018 r. poz. 160 ze zm.) dopuszcza możliwość prowadzenia na terenie podmiotu leczniczego innej działalności niż działalność lecznicza, jednak działania te nie mogą być uciążliwe dla pacjenta lub przebiegu leczenia. Artykuł 20 ust. 1 UoPPiRP gwarantuje też pacjentom prawo do intymności. „Rozpytanie pacjentów” poprzez osobisty, aktywny kontakt ze strony studenta na terenie Jednostki mógłby dla pacjentów stanowić zarówno uciążliwość, jak i naruszenie prawa do intymności.

Podsumowując temat badanie ankietowe wśród pacjentów

Za zasadne i celowe uznać należy przekazanie niniejszego stanowiska bezpośrednio wnioskodawcy, przy założeniu, iż akceptowalną formą jest propozycja wyrażenia zgody przez Jednostkę na przeprowadzenie badania ankietowego zakładającego: dostarczenie do akceptacji przygotowanych formularzy, a po jej udzieleniu, wyłożenie ich w ustalonym miejscu celem wypełnienia wyłącznie przez zainteresowanych pacjentów na zasadzie pełnej dobrowolności i całkowitej anonimowości, bez gwarancji uzyskania zakładanych rezultatów ankietowych

Upoważnienie do przetwarzania danych ZFŚS

Upoważnienie do przetwarzania danych ZFŚS

Upoważnienie do przetwarzania danych ZFŚS

Upoważnienie do przetwarzania danych ZFŚS a związek zawodowy.

  • Czy za uprawnione [1] do przetwarzania danych osobowych uznać należy osoby wyznaczone przez organizacje związkowe do uzgadniania przyznawania środków z ZFŚS, pomimo iż nie posiadają stosownego nadanego im przez organizację związkową upoważnienia?
  • Czy organizacje związkowe świadome są tego, iż tak prowadząc działalność związkową, narażają się na odpowiedzialność określoną przepisami o ochronie danych osobowych?

Związki Zawodowe a RODO.

Pytanie 1: Czy pracodawca posiada uprawnienie do nadania upoważnienia do przetwarzania danych osobowych względem przedstawiciela organizacji związkowej. Przedstawiciela, który został oddelegowany przez organizację, w związku z trybem konsultacji, o jakim mowa w art. 27 ust. 2 Ustawy o związkach zawodowych? Czy realizacja powyższego uprawnienia do nadania upoważnienia osobie wskazanej przez związek zawodowy / lub jego nie nadanie nie naruszy zasady niezależności związkowej wyrażonej treścią art. 1 ust. 2 Ustawy o związkach zawodowych?

Pytanie 2: Czy związek zawodowy traktować należy jako odrębnego administratora danych osobowych, któremu dane udostępniane są w związku z konsultacją z art. 27 ust. 2 Ustawy o związkach zawodowych? Konsekwencją czego będzie to, iż upoważnienia nadawane będą przez odrębnego administratora, jakim będzie związek zawodowy?

Pytanie 3: Czy tryb konsultacji z art. 27 ust. 2 Ustawy o związkach zawodowych nakłada na pracodawcę obowiązek uzgodnienia przyznania każdego świadczenia, względem każdego uprawnionego występującego ze stosownym wnioskiem?

Obowiązki pracodawcy, jako podmiotu administrującego ZFŚS.

Na wstępie zacznę od tego, iż należy nazwać obowiązki, jakie nałożone zostały na pracodawcę w związku z administrowaniem przez niego środkami zakładowego funduszu świadczeń socjalnych[2].  Zasadą jest, iż pracodawca, administrujący środkami ZFŚS nie może ich wydatkować niezgodnie z Regulaminem zakładowej działalności socjalnej. Postanowienia regulaminu z kolei nie mogą być sprzeczne z zasadą przyznawania świadczeń według kryterium socjalnego. Kryterium uzależniającego przyznawanie ulgowych usług i świadczeń wyłącznie od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z Funduszu [3].

Wracając do obowiązków, po pierwsze pracodawca ma obowiązek ustalania zasad wykorzystania ZFŚS, w tym zasad podział środków z tego Funduszu na poszczególne cele i rodzaje działalności, w regulaminie, którego treść uzgadnia z zakładową organizacją związkową. [odpowiednio międzyzakładową organizacją związkową]. Po wtóre, ma on obowiązek przyznawania świadczeń z ZFŚS, dokonując tego w uzgodnieniu z zakładową organizacją związkową. [odpowiednio międzyzakładową organizacją związkową][4].

Sposoby dokonywania uzgodnień.

Z uwagi na pytania postawione w niniejszym opracowaniu, interesować nas będzie tryb dokonywania uzgodnień przy przyznawaniu świadczeń z Funduszu. W zależności od charakteru, kształtu, historii współpracy i kilku innych czynników natury niemierzalnej, mechanizm dochodzenia do uzgodnienia w tym zakresie może przybierać różną postać. Począwszy od wcielania osób reprezentujących organizacje związkowe do tzw. Komisji Socjalnych utworzonych na mocy Regulaminu ZFŚS, poprzez kierowanie takich wniosków beneficjentów ZFŚS bezpośrednio do organizacji związkowej celem dokonania uzgodnienia, skończywszy na jedynie informowaniu organizacji związkowej o fakcie wnioskowania, a w skrajnych przypadkach jedynie informowaniu o przyznaniu świadczenia beneficjentowi.

Wzajemne relacje między partnerami społecznymi.

Nie ulga wątpliwości, iż pracodawca jako administrator Funduszu nierzadko wykorzystuje swoją pozycję oraz funkcję do tego, aby oddziaływać negatywnie na organizacje związkowe, jej członków. Fundusz może być także ukrytym narzędziem do prowadzenia działalności ukierunkowanej na dyskredytację związków. Chęć odwetu pracodawcy, który doznał uszczerbku w związku z prowadzonym zgodnie z prawem sporem zbiorowym bywa motywem działania pracodawcy. W praktyce dnia codziennego przejawia się to dokonywaniem wypłat z Funduszu na rzecz beneficjentów, którzy nie wzięli czynnego udziału w akcji protestacyjnej, czy nie przystąpili do strajku jako zbiorowym powstrzymaniu się od pracy z naruszeniem opisanego trybu uzgadniania. Wyłączenie prawa do żądania zwrotu Funduszowi środków wydatkowanych niezgodnie z przepisami ustawy w przypadku rozdysponowania świadczeń bez uzgodnienia ze związkami zawodowymi ma daleko idące konsekwencje. Uruchamianie w tym miejscu narzędzi charakterystycznych dla zbiorowych stosunków pracy de facto doprowadzi do eskalacji konfliktów między partnerami społecznymi. Natomiast uruchamianie procedury związanej z istnieniem uzasadnionego podejrzenia popełnienia przestępstwa polegającego na utrudnianiu wykonywania działalności związkowej prowadzonej, bądź na niewykonywaniu przepisów ustawy, albo podejmowania działań niezgodnie z przepisami ustawy, wydaje się być działaniem z góry skazanym na niepowodzenie.

Niezależność organizacji związkowych, jako zasada.

Mając na uwadze przedstawione realia funkcjonowania partnerów społecznych przejdźmy do analizy zagadnienia, jakim jest nadawanie przez pracodawcę upoważnień do przetwarzania danych osobowych szczególnych kategorii w związku z funkcjonowaniem ZFŚS [5]. Uzupełniająco należy wprowadzić do rozważań element założenia ustawodawcy, iż związek zawodowy jest niezależny w swojej działalności statutowej od pracodawców, administracji państwowej i samorządu terytorialnego oraz od innych organizacji[6].

Niezależność od pracodawców oznaczać powinna swobodę w zakresie prowadzenia działalności zgodnej z prawem, a w szczególności w zakresie podejmowania decyzji. Z drugiej strony mieć należy na uwadze również to, iż pracodawca w swojej działalności, pozostaje związany decyzjami organizacji związkowej, ale tylko w zakresie prawem przewidzianym i w związku z autonomicznie podejmowanymi decyzjami. Zatem mamy na dwóch przeciwnych biegunach dwa autonomiczne podmioty, wyposażone w prawo do autonomicznego decydowania, ale co do jednego wspólnego celu, jakim jest podział środków z ZFŚS poprzez przyznanie świadczenia.

Upoważnienie do przetwarzania danych osobowych dla członków komisji socjalnej.

Tymczasem treść art. 8 ust. 1b Ustawy o ZFŚS zdaje się sugerować, iż ustawodawca przyznał wyłącznie jednemu z ww. podmiotów – pracodawcy, prawo do decydowania o tym, kogo upoważni on do przetwarzania danych osobowych, więcej, kto zostanie dopuszczony do przetwarzania danych osobowych udostępnionych pracodawcy w związku z ubieganiem się o świadczenie funduszowe[7]. Upoważnienie do przetwarzania danych ZFŚS staje się więc zagadnieniem problematycznym.

Takie rozumienie przepisu mogłoby zostać wykorzystane przez pracodawców do swego rodzaju oddziaływania na organizacje związkowe, o czym pisaliśmy powyżej. Nietrudno bowiem wyobrazić sobie sytuację, w której to pracodawca nie udziela upoważnienia niektórym z osób reprezentujących związek, wytypowanym do złożenia oświadczenia woli w zakresie dokonania uzgodnienia przyznania świadczenia z ZFŚS.

Związek zawodowy, jako odrębny od pracodawcy, administrator danych osobowych ZFŚS.

Mając na uwadze racjonalność ustawodawcy przyjąć należy, iż organizacja związkowa w zakresie realizacji swoich uprawnień w odniesieniu do ZFŚS jest odrębnym administratorem danych osobowych względem danych przetwarzanych, realizującą cele określone przepisami prawa i jednocześnie prowadzącą działalność związkową zgodnie z przepisami prawa. Przyjęcie powyższego stoi w zgodzie z zasadą niezależności związkowej. Z tego względu przepis art. 8 ust. 1b Ustawy o ZFŚS należy odczytywać jako przyznający uprawnienie pracodawcy do nadawania upoważnień względem osób wykonujących pracę zarobkową wyznaczonych do podejmowania rozstrzygnięć w ramach procedur określonych Regulaminem ZFŚS jemu podległych. W swej autonomii związek zawodowy uprawnionym jest do decydowania o tym, kto (jaka osoba) zostanie wyznaczony do jego reprezentowania na zewnątrz. Brak jest przepisów ograniczających organizację związkową w sposobie realizacji ww. prawa. Oznacza to, iż organizacja może wyznaczyć osobę, która w jej imieniu będzie realizowała zadania związane z uzgodnieniem sposobu podziału środków z Funduszu, która to osoba nie będzie mieć przymiotu podmiotu złączonego z pracodawcę stosunkiem pracy czy stosunkiem cywilnoprawnym[8]. W takim stanie rzeczy to związek zawodowy odpowiedzialny jest za umocowanie, upoważnienie wyznaczonego reprezentanta do przetwarzania danych osobowych ZFŚS.

Przy założeniu, iż ustawodawca jednak przyznał pracodawcy przymiot jedynego administratora danych osobowych względem ZFŚS oraz przyznał mu wyłączne uprawnienie do nadawania upoważnień należy mieć na względzie to, iż jest to jedynie uprawnienie pracodawcy. Brak jest mechanizmów służących wymuszeniu tego, aby upoważnienie do przetwarzania danych ZFSS zostało przez pracodawcę nadane. Nadane konkretnej osobie wskazanej zgodnie z prawem do reprezentowania organizacji związkowej. Z drugiej strony, jeśli przyjąć, że pracodawca ma nie możliwość a bezwzględny obowiązek wydania upoważnienia do przetwarzania danych, wówczas to czynność ta sprowadzona zostałaby do czysto technicznych kwestii związanych ze złożeniem oświadczenia woli. Pamiętać jednak należy o odpowiedzialności administratora za przetwarzanie danych osobowych, co oznacza iż musi on mieć prawo możliwość dokonania wyboru tego, kto zostanie dopuszczony do przetwarzania danych.

Reasumując.

Kwestie problematyczne i wymagające uwzględnienia.

Autorem niniejszego tekstu jest Dominik Spałek. Copyright by © D.Spałek. Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami. Proste to RODO.

Przypisy:
[1] Uprawnione, zgodnie z treścią art. 107 Ustawy z dnia 10 maja 2018 o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000)
[2] Art.10 Ustawy z dnia 04 marca 1994 r., (Dz.U. z 1994 r., nr 43, poz. 163 ze zm.) o zakładowym funduszu świadczeń socjalnych cyt.: „(…)Środkami Funduszu administruje pracodawca(…)”.
[3] Wyrok Sądu Najwyższego z dnia 20 sierpnia 2001 r. (I PKN 579/00, OSNP 2003 nr 14, poz. 331)
[4]
Warto zaznaczyć, iż ustawodawca dokonał rozróżnienia sankcji, jakie wynikać mogą z naruszenia jednego czy drugiego ze wskazanych obowiązków. Sankcją za naruszenie obowiązku ustalania zasad wykorzystania zakładowego funduszu świadczeń socjalnych, w tym zasad podział środków z tego funduszu na poszczególne cele i rodzaje działalności, w regulaminie, którego treść uzgadnia z zakładową organizacją związkową, będzie prawo wystąpienia do sądu pracy przez związki zawodowe z roszczeniem o zwrot Funduszowi środków wydatkowanych niezgodnie z przepisami ustawy lub o przekazanie należnych środków na Fundusz. Fakt szczególnej pozycji ww. obowiązku wynika chociażby z tego, iż mowa o nim w art. 27 ust. 1 Ustawy o związkach zawodowych jak i z art. 8 ust. 2 Ustawy o ZFŚS. Naruszenie obowiązku przyznawania świadczeń z ZZFŚS w uzgodnieniu z zakładową organizacją związkową, nie pociąga za sobą takich konsekwencji. Zgodnie z treścią Wyroku Sądu Najwyższego z dnia 11 maja 2010 r., (SN II PK 234/09) naruszenie ww. obowiązku nie pociąga za sobą sankcji państwowej, o jakiej mowa w art. 8 ust. 3 Ustawy o ZFŚS, albowiem cyt. „(…)z natury tych stosunków wynika pierwszeństwo stosowania przez partnerów społecznych metod działania charakterystycznych dla zbiorowych stosunków pracy, łącznie ze sporem zbiorowym, a sankcja państwowa powinna mieć charakter wyjątkowy(…)”.
[5] Zgodnie z art. 8 ust. 1b Ustawy o ZFSS, który stanowi, iż cyt.: „(…) do przetwarzania danych osobowych dotyczących zdrowia, o których mowa w art. 9 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UEL119 z 04.05.2016, str.1, z późn. zm.), mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie do przetwarzania takich danych wydane przez pracodawcę. Osoby dopuszczone do przetwarzania takich danych są obowiązane do zachowania ich w tajemnicy (…)”.
[6] Zgodnie z art. 1 ust 2 Ustawy o ZZ cyt.: „(…) związek zawodowy jest niezależny w swojej działalności statutowej od pracodawców, administracji państwowej i samorządu terytorialnego oraz od innych organizacji (…)”.
[7] W mojej ocenie nie jest to przejaw realizacji przez ustawodawcę krajowego dyspozycji wyrażonej artykułem 4 pkt. 7) Rozporządzenia RODO, pomimo, iż mamy tutaj do czynienia z celami  i sposobami przetwarzania określonymi przepisami prawa, to nie sposób zakładać, iż w tak ukrytej formie ustawodawca dał wyraz woli przyznania pracodawcy przymiotu jedynego administratora danych osobowych Funduszu.
[8] § 42 ust. 9 Statutu NSZZ „Solidarność”