Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Kary RODO w Polsce

Kary RODO w Polsce

Kary RODO w Polsce

Usystematyzowane i ułożone według kolejności decyzje nakładające kary RODO w Polsce. Sygnatury akt spraw odwoławczych. Informacje i doniesienia prasowe w temacie. Wszystko zebrane w jednym miejscu. Dla zainteresowanych wszystkie decyzje Urzędu Ochrony Danych Osobowych.

Bisnode

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 15 marca 2019r. ZSPR.421.3.2018.
Informacja prasowa UODO.

 

Sąd przyznał rację Prezesowi UODO. Wysokość nałożonej kary administracyjnej do ponownej analizy. Informacja prasowa UODO.

Dolnośląski Związek Piłki Nożnej

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 25 kwietnia 2019r. ZSPR.440.43.2019. Informacja prasowa UODO.

 

WSA w Warszawie potwierdził zasadność kary nałożonej na Dolnośląski Związek Piłki Nożnej. Informacja prasowa UODO.

ClickQuickNow Sp. z o.o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.7.2019.
Informacja prasowa UODO.

Morele.net Sp. z o. o.

Decyzja UODO

WSA

Informacja medialna

Decyzja UODO z dnia 16 października 2019r. ZSPR.421.2.2019.
Informacja prasowa UODO.

Kto może odebrać receptę

Kto jest uprawniony do odbioru recepty

Kto może odebrać receptę od lekarza.

Kto może odebrać receptę, ta sprawa na pozór wydaje się być oczywista, jednak w rzeczywistości nie jest to takie proste. Temat niniejszy wywołany został za sprawą stanowiska UODO dot. pytania o to, czy osoba wystawiająca e-receptę może przez telefon podać pacjentowi 4-cyfrowy kod dostępu?

Prawa pacjenta

Prawo do dokumentacji medycznej.

Zgodnie z art. 23 ust. 1 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta [dalej UoPPiRP]

cyt.: „(…) pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych (…)”.

Oznacza to, iż prawem pacjenta jest żądanie dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.

Prawo do informacji o stanie zdrowia, o udzielonych świadczeniach medycznych.

Zgodnie z art. 9 ust. 1 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta

cyt.: „(…)  pacjent ma prawo do informacji o swoim stanie zdrowia (…)”

Oznacza to tyle, iż pacjent, ma prawo do żądania informacji o swoim stanie zdrowia, a podmiot wykonujący świadczenia medyczne ma obowiązek realizacji prawa pacjenta do informacji.

Recepty.

Stanowisko UODO w sprawie odbioru recept - tożsamość.

W treści stanowiska czytamy, iż

cyt.: „(…) obowiązujące przepisy nie wskazują, aby placówka medyczna dysponowała prawem do ustnego informowania pacjenta o 4-cyfrowym kodzie podczas rozmowy telefonicznej, to w wyjątkowych sytuacjach, po zweryfikowaniu tożsamości osoby dzwoniącej, osoba wystawiająca receptę mogłaby przekazać pacjentowi 4-cyfrowy kod dostępu. Istotne w takich przypadkach jest prawidłowe uwierzytelnienie osoby-pacjenta, z którym prowadzona jest rozmowa telefoniczna (np. poprzez numer PESEL pacjenta, powód wizyty lekarskiej, datę i godzinę wizyty itd.) (…)”. Trudno nie zgodzić się z treścią stanowiska w odniesieniu do ogólnie przedstawionego stanu faktycznego.

Kiedy możemy mieć do czynienia z koniecznością przekazania kodu.

W jakich sytuacjach mieć będziemy do czynienia ze stanem faktycznym, w którym zachodzić może konieczność pozyskania takiego kodu drogą telefoniczną. Jakie więc sytuacje sprawią, iż pacjent, osoba upoważniona, osoba trzecia (dalej wyjaśnienie) będą podejmować próby pozyskania 4-cyfrowego kodu w inny sposób, aniżeli w postaci wydruku:

  1. Po pierwsze w sytuacji, kiedy dane nie zostały przekazane za pośrednictwem systemu informacji o ochronie zdrowia. Nie przesłano e-recepty na wskazany adres poczty elektronicznej w systemie. Nie przesłano, co najmniej kodu dostępu oraz informacji o PESEL, na numer telefonu wiadomości SMS wskazany w systemie.
  2. Po drugie, takie próby mogą mieć miejsce, nawet wtedy, kiedy przesłano informacje w trybie opisanym w pkt. 1, ale pacjent zagubił wydruk informacji z e-recepty (jeśli go miał), albo zagubił wydruk informacji z e-recepty a nie posiada obiektywnej możliwości dostępu do systemu informacji o ochronie zdrowia.
  3. Po trzecie, może to mieć miejsce, po prostu wówczas, kiedy pacjent zgłosił takie żądanie.
  4. Nas jednak najbardziej interesuje czwarty przypadek, sytuacja, w której to e-recepta wystawiona została w następstwie tzw. „wizyty recepturowej„, a pacjent złożył oświadczenie, o jakim mowa w art. 42 ust. 3 pkt. 2 Ustawy o zawodach lekarza i lekarza dentysty. 

Czym jest tzw. "wizyta recepturowa"

Co do zasady, lekarz orzeka ostanie zdrowia określonej osoby po uprzednim, osobistym jej zbadaniu lub zbadaniu jej za pośrednictwem systemów teleinformatycznych lub systemów łączności, a także po analizie dostępnej dokumentacji medycznej tej osoby.

Uwaga jednak, zgodnie z art. 42 ust. 2 ww. Ustawy o zawodzie lekarza i lekarza dentysty cyt.:”(…) Lekarz może, bez dokonania badania pacjenta, wystawić receptę niezbędną do kontynuacji leczenia oraz zlecenie na zaopatrzenie w wyroby medyczne jako kontynuację zaopatrzenia w wyroby medyczne, jeżeli jest to uzasadnione stanem zdrowia pacjenta odzwierciedlonym w dokumentacji medycznej (…)”.

Procedura wydawania recept, zleceń, w przypadku e-recept - wydruków

Zgodnie z art. 42 ust. 3 pkt 1) i 2) Ustawy o zawodzie lekarza i lekarza dentysty cyt.: „(…) w przypadku, o którym mowa w ust. 2, recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk, o którym mowa w art. 96b ust. 2 pkt 3 ustawy z dnia 6września 2001r. – Prawo farmaceutyczne (Dz.U. z2017r. poz.2211, z późn. zm.), mogą być przekazane:

  1. przedstawicielowi ustawowemu pacjenta albo osobie upoważnionej przez pacjenta do odbioru recepty lub zlecenia, a w przypadku wystawienia recepty w postaci elektronicznej –wydruku;
  2. osobie trzeciej, jeżeli pacjent oświadczy podmiotowi udzielającemu świadczeń zdrowotnych, że recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk mogą być odebrane przez osoby trzecie bez szczegółowego określania tych osób (…)”.

Co oznacza, iż w przypadku, recepty wystawionej w następstwie tzw „wizyty recepturowej”, recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk , o którym mowa w art. 96b ust. 2 pkt 3 Ustawy Prawo farmaceutyczne mogą być przekazane:

  • przedstawicielowi ustawowemu pacjenta albo osobie upoważnionej przez pacjenta do odbioru recepty lub zlecenia, a w przypadku wystawienia recepty w postaci elektronicznej – wydruku,
  • osobie trzeciej, jeżeli pacjent oświadczy podmiotowi udzielającemu świadczeń zdrowotnych, że recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk mogą być odebrane przez osoby trzecie bez szczegółowego określania tych osób.

Odnotowanie oświadczenia o upoważnieniu osób trzecich

Zgodnie z art. 42 ust 4 Ustawy o zawodzie lekarza i lekarza dentysty cyt.: „(…) upoważnienie lub oświadczenie, o których mowa w ust. 3, odnotowuje się w dokumentacji medycznej pacjenta albo dołącza do tej dokumentacji (…)”.

  1. Upoważnienie o tym, iż recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk mogą być odebrane przez osoby wskazane, możliwe do zidentyfikowania, w upoważnieniu odnotowuje się w dokumentacji medycznej pacjenta albo dołącza do tej dokumentacji.
  2. Oświadczenie o tym, iż recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk mogą być odebrane przez osoby trzecie bez szczegółowego określania tych osób odnotowuje się w dokumentacji medycznej pacjenta albo dołącza do tej dokumentacji.

Definicja wydruku e-recepty.

W treści stanowiska UODO czytamy cyt.: „(…) Zatem na podstawie obowiązujących przepisów tę informację pacjent otrzymuje – poza wydrukiem, również na jego żądanie albo w innej uzgodnionej postaci w określonych sytuacjach, tj.

  • kiedy świadczenie zdrowotne jest udzielane w miejscu wezwania
  • lub badania za pośrednictwem systemów teleinformatycznych lub środków łączności (telemedycyna).(…)”.

Zgodnie z art. 96b ust. 2 pkt. Ustawy Prawo farmaceutyczne cyt,:”(…) informację, o której mowa w ust.1, pacjent otrzymuje:

  1. na wskazany w systemie informacji w ochronie zdrowia adres poczty elektronicznej, jeżeli dotyczy;
  2. na wskazany w systemie informacji w ochronie zdrowia numer telefonu, w postaci wiadomości tekstowej zawierającej co najmniej kod dostępu oraz informację o konieczności podania numeru PESEL przy realizacji recepty, jeżeli dotyczy;
  3. w postaci wydruku – w przypadku braku wskazania w systemie informacji w ochronie zdrowia danych, o których mowa w pkt 1 i 2, oraz na żądanie pacjenta, albo winnej uzgodnionej postaci zawierającej co najmniej klucz dostępu do recepty lub pakietu recept lub kod dostępu oraz nazwę produktu leczniczego – w przypadku udzielania świadczenia zdrowotnego w miejscu wezwania lub badania za pośrednictwem systemów teleinformatycznych lub systemów łączności i braku możliwości przekazania informacji w postaci wydruku (…)”.

Zatem w prawem określonych przypadkach  informacje o wystawionej e-recepcie, pacjent otrzymuje w postaci wydruku,

  • w przypadku braku wskazania w systemie informacji w ochronie zdrowia danych, o których mowa w pkt 1 i 2,
  • oraz na żądanie pacjenta,

natomiast w innej uzgodnionej postaci – czyli w formie informacji zawierającej co najmniej klucz dostępu do recepty lub pakietu recept lub kod dostępu oraz nazwę produktu leczniczego – otrzymuje w przypadku, kiedy mamy do czynienia łącznie z sytuacją

  • udzielania świadczenia zdrowotnego w miejscu wezwania lub badania za pośrednictwem systemów teleinformatycznych lub systemów łączności
  • i kiedy zachodzi brak możliwości przekazania informacji w postaci wydruku.

Widzimy zatem, iż przekazanie informacji w innej uzgodnionej postaci, innej niż wydruk, możliwe jest po spełnieniu się dwóch warunków łącznie udzieleniu świadczenia w opisanych warunkach i jednocześnie braku możliwości dokonania wydruku. Brak możliwości dokonania wydruku nie jest autonomiczną przesłanką do przekazania informacji. W takiej sytuacji będziemy mieli z ostrożności warto dodać, do czynienia z koniecznością wystawienia recepty w postaci papierowej.

CSIOZ - wyjaśnia czym jest wydruk e-recepty

Jak wyjaśnia w swoim poradniku CSIOZ cyt.: „(…) e-recepta nie wymaga drukowania. Drukuje się wyłącznie tzw. wydruk informacyjny o e-recepcie, o ile pacjent nie wskazał w swoim IKP adresu e-mail lub nr telefonu, na który otrzyma informację o wystawionej e-recepcie, a także na żądanie pacjenta. Przepisy prawa nie określają minimalnego formatu wydruku informacyjnego e-recepty, tak jak to miało miejsce w przypadku recept papierowych. Można ją wydrukować zarówno na dotychczasowym formacie recept papierowych jak i na kartce A4, zależy to wyłącznie od ustawień drukarki w gabinecie (…)”.

Widzimy zatem, iż przez wydruku e-recepty rozumie się wydruk informacji o e-recepcie wykonany w dowolnym formacie, nie zaś wydruk e-recepty. Jednak CSIOZ trzyma się definicji iż mamy do czynienia z wydrukiem realizowanym za pośrednictwem urządzeń do tego celu przeznaczonych.

Kto przekazuje receptę, zlecenie, wydruk.

Zgodnie z art. 42 ust. 2 Ustawy o zawodzie lekarza i lekarza dentysty cyt.: „(…) w przypadku, o którym mowa w ust. 2, recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruk, o którym mowa w art. 96b ust. 2 pkt 3 ustawy z dnia 6 września 2001r. – Prawo farmaceutyczne (Dz.U. z2017r. poz.2211, z późn. zm.), mogą być przekazane (…)”.

Zgodnie z art. 96b ust. 3 Ustawy Prawo farmaceutyczne cyt.: „(…) informację, o której mowa w ust. 2 pkt 3, wydaje osoba wystawiająca receptę (…)”.

  • Ustawa o zawodzie lekarza i lekarza dentysty, wskazuje jedynie na obowiązek przekazania recepty lub zlecenia, a w przypadku recepty w postaci elektronicznej – wydruku.
  • Ustawa Prawa farmaceutyczne wskazuje, iż informację, o jakich mowa w art. 96b ust. 2 pkt 3 wydaje osoba wystawiająca receptę.

Potwierdzenie wydania i odbioru.

Zgodnie z art. 42 ust. 5 Ustawy o zawodzie lekarza i lekarza dentysty cyt.: „(…) informacje o wystawieniu recepty lub zlecenia, o których mowa w ust. 2, zamieszcza się w dokumentacji medycznej pacjenta. Informację o osobie, której przekazano taką receptę lub zlecenie, odnotowuje się w dokumentacji medycznej pacjenta albo dołącza do tej dokumentacji (…)”.

  • Informacje o wystawieniu recepty lub zlecenia, wydruku z tzw. „wizyty recepturowej”, zamieszcza się w dokumentacji medycznej pacjenta.
  • Informację o osobie, której przekazano taką receptę lub zlecenie, odnotowuje się w dokumentacji medycznej pacjenta albo dołącza do tej dokumentacji.

Identyfikacja osoby / ustalenie tożsamości odbierającego.

Cytowany przepis wymusza konieczność podjęcia działań w zakresie identyfikacji osoby stawiającej się,

  • w pierwszym przypadku w celu ustalenia jej tożsamości celem weryfikacji jej uprawnienia do odbioru recepty, zlecenia, wydruku oraz w celu odnotowania fakty wydania jej zlecenia, recepty, wydruku,
  • w drugim przypadku czynności podejmowane są jedynie w celu odnotowania tożsamości stawiającej się osoby, celem wykazania, iż recepta, zlecenie, wydruk zostały wydane.

Zwracamy jednak uwagę na fakt, iż podjęcie czynności identyfikujących niezbędne jest do dokonania także względem pacjenta, którego dotyczy wystawiona recepta, zlecenie, wydruk. Ponadto, co istotne, informacje o identyfikacji odnotowuje się albo zamieszcza się w dokumentacji medycznej pacjenta, co oznacza, iż powyższe możliwe jest bez obecności ww. osób w jednostce medycznej. Osoba stawiająca się może przynieść bowiem stosowne upoważnienie do tego, iż jest uprawniona do odbioru recepty, a może także takiego upoważnienia nie przynosić, ale personel medyczny musi być w stanie zweryfikować tę okoliczność. Zatem w przypadki osób trzecich, które nie mają upoważnienia imiennego, ale pacjent przygotował oświadczenie co do prawa do przekazania recepty, zlecenia, wydruku takim osobom, i zostało ono odnotowane, załączone do dokumentacji medycznej  – wówczas to, należy zweryfikować ten element złożenia oświadczenia i odnotować, albo załączyć do dokumentacji informację o wydaniu konkretnej osobie recepty, zleceni, wydruku.

Stanowisko IOD - obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Stanowisko IOD – przypominające o obowiązku prowadzenia wykazu udostępnionej dokumentacji medycznej przez podmiot wykonujący działalność leczniczą. Opracowanie zawiera szczegółowe informacje na temat tego, jakie dane należy bezwzględnie zamieszczać w wykazie, jakie mogą zostać w nim zapisane dodatkowo, oraz przedstawia błędne praktyki, z jakimi można spotkać się w praktyce funkcjonowania podmiotów leczniczych.

Stanowisko IOD

Czytaj więcej >>>
Polityka ochrony dzieci przed krzywdzeniem
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych – z dniem 15 lutego 2024 r. wchodzą w życie znowelizowane przepisy, które m.in. na podmioty medyczne nakładają nowe obowiązki opracowania i wdrożenia standardów ochrony małoletnich, jakie należy przestrzegać w podmiotach medycznych. Nowe obowiązki wynikają wprost z treści Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich [tj. Dz.U. z 2023 r., poz. 1304 ze zm.].

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Przygotowaliśmy dla Państwa wzorcową dokumentację zgodną z wytycznymi zawartymi w Ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. Pakiet dokumentów zawiera zarówno:

  • Omówienie podstawowych obowiązków podmiotu medyczne wynikających ze znowelizowanych przepisów
  • Wzór zapisów do Rejestru Czynności Przetwarzania Danych dla czynności sprawdzania kandydatów w rejestrach
  • Pełną wersję Polityki ochrony przed krzywdzeniem dzieci
  • Skróconą wersję Polityki ochrony przed krzywdzeniem dzieci

Standardy Ochrony Małoletnich dla szpitala

Czytaj więcej >>>
Co kiedy jednak podmiot medyczny zawarł umowę powierzenia z zewnętrznym laboratorium medycznym
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Stanowisko opisuje konsekwencje sytuacji, w której to podmiot wykonujący działalność leczniczą zawarł umowę powierzenia przetwarzania danych osobowych z zewnętrznym laboratorium diagnostycznym w związku ze zlecaniem wykonywania badań diagnostycznych swoich pacjentów. Wbrew pozorom sytuacji, w której mamy do czynienia z takim zawieraniem umów powierzenia przetwarzania danych jest więc niż można byłoby przypuszczać.

Czytaj więcej >>>
Zalecenia dla podmiotów medycznych zlecających badania laboratoryjne w ALAB laboratoria Sp. z o.o.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

W związku z Komunikatem z dnia 27 listopada 2023r., w którego treści ALAB laboratoria sp. z o.o. informuje o cyt.: „(…)o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego (…)” przygotowaliśmy stosowne Stanowisko IOD zawierające zalecenia dla podmiotów medycznych, zlecających wykonywanie badań ALAB laboratoria sp. z o.o.  Stanowisko IOD zawiera wyjaśnienia dotyczące kwestii związanej z ewentualnym obowiązkiem dokonania zgłoszenia zdarzenia do UODO oraz powiadomienia podmiotów danych, których zdarzenie dotyczyło. Wyjaśniamy także kwestie związane z obiegiem dokumentacji pomiędzy laboratorium zewnętrznym a podmiotem zlecającym. Wskazujemy ponadto na zasadność podjęcia określonych działań po stronie podmiotu zlecającego.

Czytaj więcej >>>
Materiały szkoleniowe zasady korzystania z pendrive w firmie Stanowisko IOD
Zasady korzystania z przenośnych pamięci

Zasady korzystania z przenośnych pamięci – stanowisko IOD zawierające materiały szkoleniowe kierowane do pracowników korzystających z przenośnych pamięci danych. Stanowisko opisuje podstawowe zasady bezpieczeństwa, jakich należy przestrzegać pracując z takimi urządzeniami. Wskazane zostało także, jakie praktyki są niedopuszczalne. Stanowisko IOD zawiera także listę pozwalającą na uzyskanie rozliczalności z realizacji zadania edukacyjnego personelu.

Stanowisko IOD materiały edukacyjne szkoleniowe informacyjne

Czytaj więcej >>>
Ocena ryzyka korzystanie z Pendrive materiały szkoleniowe
Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przygotowaliśmy dla Państwa materiał, jaki dedykowany jest dla tych podmiotów, które w związku ze swoim funkcjonowaniem przetwarzają dane z wykorzystaniem przenośnych pamięci danych.

Pakiet dokumentów zawiera:

  • Ankietę ewaluacyjną – ankietę sprawdzającą dzięki której ADO / IOD dokonać mogą analizy stanu faktycznego, a następnie na jej podstawie zalecić stosowanie adekwatnych środków bezpieczeństwa, zabezpieczających przetwarzanie danych osobowych z wykorzystaniem przenośnych pamięci danych.
  • Materiał szkoleniowy dla personelu – materiał pełni rolę informacyjną, jego zadaniem jest edukować personel korzystający z przenośnych pamięci danych w zakresie tego, jakiego rodzaju ryzyka związane są z takim przetwarzaniem oraz jakich zasad należy przestrzegać korzystając z przenośnych pamięci danych.

 

Czytaj więcej >>>
Informacje udostępniane pacjentom w podmiocie medycznym
Ankieta poprawności realizacji obowiązku informacyjnego

Ankieta poprawności realizacji obowiązku informacyjnego

Podmioty medyczne zobowiązane są do realizacji różnego rodzaju obowiązków informacyjnych zarówno na gruncie przepisów prawa ochrony danych, jak i przepisów branżowych. Przygotowaliśmy zestawienie w formie ankiety weryfikującej poprawność realizacji poszczególnych obowiązków informacyjnych.

Zakupując naszą dokumentację sprawdzą Państwo.

  • jakiego rodzaju obowiązki należy realizować,
  • czy w sposób zgodny z przepisami informacje przekazywane są w podmiocie leczniczym.

 

Czytaj więcej >>>
Jak zabezpieczyć przenośny sprzęt w firmie
Przenośny sprzęt IT w firmie

Przenośny sprzęt IT w firmie

Jak wynika z treści Decyzji UODO, nakładających kary administracyjne na administratorów, w związku z utratą danych na skutek kradzieży, zagubienia, zniszczenia sprzętu IT, który wynoszony jest poza siedzibę administratora, warto jest przygotować się prawidłowo do takiego przetwarzania.

Dokumentacja RODO

  • Procedura wynoszenia nośników danych poza obszar przetwarzania
  • Procedura korzystania z prywatnego sprzętu do celów służbowych
  • Zasady transportu, przechowywania i korzystania ze sprzętu przenośnego
  • Ankieta sprawdzająca poprawność wdrożonych rozwiązań

 

Czytaj więcej >>>
Integracja mMedica z RTG
Integracja mMedica z pracownią diagnostyczną

Integracja mMedica z pracownią diagnostyczną

Realizujemy kompleksowo usługę integracji aplikacji gabinetowej mMedica z pracownią diagnostyczną (RTG). Poprawnie wykonana integracja daje możliwość zautomatyzowania wymiany danych z wybraną pracownią diagnostyczną. Pozwala, po wystawieniu skierowania na wizycie, na przesyłanie zleceń bezpośrednia z poziomu aplikacji mMedica do pracowni RTG. Ponadto, co bardzo istotne, integracja umożliwia aplikacji mMedica automatyczne odbieranie  opisów badań diagnostycznych i ich załączanie do dokumentacji medycznej Pacjentów, prowadzonej w postaci elektronicznej.

Zakres usługi integracji obejmuje:

W ramach wykonywanej przez nas usługi, jednostka otrzymuje kompleksowe wsparcie. Poniżej prezentujemy ramowy schemat działania. Schemat pokazujący, jak przebiega całościowy proces wdrożenia i uruchomienia integracji z zewnętrznym laboratorium:

  • Wykupienie i zaczytanie licencji eWyniki Diag.
  • Pozyskanie danych webserwisu i pliku przekodowania od Pracowni RTG
  • Dodanie kontrahenta (Pracowni RTG) i konfiguracja wymiany danych webservice z uwzględnieniem konfiguracji sieci lokalnej klienta.
  • Przekodowanie słownika badań – wybór badań wykonywanych przez personel i powiązanie ich z wystawionymi przez Pracownię RTG.
  • Testy wysyłki zleceń i odbioru opisów badań z weryfikacją zapisu do e-Archiwum.
  • Szkolenie personelu (online) 2h.
Czytaj więcej >>>

Umowa powierzenia przetwarzania z apteką przyszpitalną

Umowa powierzenia przetwarzania z apteką przyszpitalną

Umowy powierzenia przetwarzania danych w realiach medycznych

Szpital nie prowadzi apteki przyszpitalnej, w związku z tym zawarł umowę z odrębnym podmiotem, apteką, na realizację usługi farmaceutycznej – wykonywanie leków na zlecenie.

Problematyczne kwestie:

Czy szpital ma możliwość nie prowadzenia apteki przyszpitalnej i jednocześnie zlecić realizację usługi farmaceutycznej – wykonywanie leków na zlecenie innej aptece?

Przepisy prawa:

Konkluzja.

Apteka działa jako odrębny ADO, z tego względu zawieranie umowy powierzenia ze szpitalem jest bezzasadne. W opisanym stanie faktycznym będzie miało miejsce udostępnienie danych osobowych, a relacja jaka zachodzi to relacja pomiędzy odrębnymi administratorami danych osobowych.

Autor stanowiska.

Autor: Dominik Spałek
Kontakt: 694 494 240
email: biuro@prostetorodo.pl

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Czy małe biuro rachunkowe musi prowadzić rejestr czynności przetwarzania danych

Czy w małym biurze rachunkowym nalezy prowadzić RCPD

Rejestr Czynności Przetwarzania Danych jest dokumentem, który podlegać może kontroli. Zarówno pod kątem tego, czy administrator prowadzi taki rejestr, w jakiej formie, ale także pod kątem tego, w jaki sposób jest on prowadzony.

Stan faktyczny dotyczy małego biura rachunkowego

Biuro rachunkowe, niewielkie, zatrudniające kilku pracowników, jest podmiotem jaki obsługuje swoich klientów. Czy w związku z tym powinno ono prowadzić rejestr czynności? Zwrócić należy uwagę, iż biuro rachunkowe przetwarza dane swoich klientów, nie są to jego dane.

Podstawy prawne

Rejestr Czynności Przetwarzania Danych - RCPD

Rejestr Wszystkich Kategorii Czynności Przetwarzania Danych - RWKCPD

Zwolnienie z obowiązku prowadzenia obu rejestrów

Konkluzja

W mojej ocenie biuro rachunkowe nie jest zobowiązane do prowadzenia RCPD względem danych, jakie przetwarza, jako podmiot przetwarzający. Zatem będzie biuro zobowiązane do prowadzenia RCPD ale względem danych, co do których jest administratorem. Rejestr Czynności Przetwarzania Danych prowadzi bowiem administrator względem danych, co do których pełni taką rolę. Nie mniej jednak biuro rachunkowe względem danych, jakie przetwarza, jako podmiot przetwarzający, będzie zobowiązane do prowadzenia Rejestru Wszystkich Kategorii Czynności Przetwarzania Danych. Przypomnieć należy, iż dla powstania obowiązku prowadzenia RCPD czy też RWKCPD wystarczy, iż spełniona zostanie którakolwiek, chociażby jedna z przesłanek ich prowadzenia.

UODO

Grupa Robocza Art. 29 przyjęła stanowisko, w którym wskazuje, kiedy przedsiębiorcy zatrudniający mniej niż 250 osób, nie będą zwolnieni z obowiązku prowadzenia rejestru czynności przetwarzania.

Obowiązek ten trzeba realizować, gdy przetwarzanie:

  • może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą,
  • nie ma charakteru sporadycznego,
  • obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Przy czym dla jego powstania wystarczy, że zachodzi którakolwiek z tych sytuacji samodzielnie. Rejestr czynności przetwarzania trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Pełny tekst stanowiska Grupy Roboczej Art. 29.

Autor stanowiska.

Autor: Dominik Spałek
Kontakt: 694 494 240
email: biuro@prostetorodo.pl

Dokumentacja RODO dla biura rachunkowego.  Kompletny zestaw wzorów dokumentów i procedur.

5/5

1499,00 pln

Kompletny Rejestr Czynności Przetwarzania Danych Osobowych dla mikroprzedsiębiorstw

5/5

799,00 pln

Test równowagi dla prawnie uzasadnionego interesu administratora. Procedura pozwalająca wykonać test równowag.

5/5

198,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Czy należy podawać imię i nazwisko IOD

Dane inspektora ochrony danych podane powinny zostać przez ADO

Czy należy podawać imię i nazwisko IOD - Inspektor Colombo.

Czy należy podawać imię i nazwisko IOD ? Zapewne większości z Państwa znana jest sylwetka sympatycznego porucznika Columbo ze słynnego serialu telewizyjnego. Jednak nie dla wszystkich znane jest imię i nazwisko odtwórcy głównej roli …. Petera Falk. Taka jednak sytuacja jest niedopuszczalna, jeśli chodzi o inspektorów ochrony danych. Każdy zainteresowany musi mieć możliwość zapoznania się z danymi osób, które zostały wyznaczone na IODa. Zatem bezwzględnie należy podać imię i nazwisko IOD, ale nie tylko.

Wciąż wiele pytań o to, czy należy ujawniać dane IOD

Sprawa pomimo, że jest prosta i praktycznie bezdyskusyjna, wciąż potrafi wzbudzać szereg kontrowersji. Ustawodawca wprost nałożył określone i precyzyjne obowiązki zakresie podawania do informacji przez administratorów danych osób wyznaczonych na IODa.

Zgodnie z art.11 Ustawy o ochronie danych osobowych cyt.: „(…) Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ust.1, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności (…)”.

Zgodnie z art.10 ust. 1 Ustawy o ochronie danych osobowych cyt.: „(…) Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.(…)”.

Dowiedz się więcej

Udostępnienie dokumentacji niepełnoletniej matce dziecka

Udostępnianie dokumentacji medycznej

Udostępnienie dokumentacji niepełnoletniej matce dziecka.

Udostępnienie dokumentacji niepełnoletniej matce dziecka, może okazać się problemem w realiach jednostek medycznych. Decyzja musi uwzględniać przepisy Ustawy o Prawach Pacjenta i Rzeczniku Praw Pacjenta. Należy jednak dokonać również analizy stanu faktycznego na gruncie przepisów Kodeksu Rodzinnego i Opiekuńczego.

Stan faktyczny.

Ojciec dziecka ma 15 lat, matka dziecka ma lat 17. Oboje są niepełnoletni. Nie został zawarty pomiędzy nimi związek małżeński. Jednak wystąpili oni z wnioskiem (każdy z rodziców osobno) o udostępnienie dokumentacji medycznej dziecka, zaraz po porodzie. Z takim samym wnioskiem wystąpili także dziadkowie (rodzice ojca i rodzice matki dziecka). PWDL nie dysponuje żadnym postanowieniem sądowym dotyczącym ustanowienia opiekuna prawnego dla małoletniego pacjenta, czy też kuratora. Niepełnoletni rodzice we wniosku powołali się na art. 96 par. 2 Kodeksu rodzinnego i opiekuńczego.

Problematyczne kwestie.

Jak w opisanej sytuacji powinien postąpić PWDL? Czy powinien wydać niepełnoletnim rodzicom dokumentację medyczną w oparciu o art. 96 par. 3 Kodeksu rodzinnego i opiekuńczego? Czy PWDL powinien wydać dokumentację medyczną dziadkom, rodzicom małoletnich rodziców? Co w sytuacji, kiedy małoletni rodzice zawrą związek małżeński, czyli matka 17-latka będzie traktowana jako osoba pełnoletnia?

Podstawy prawne.

Konkluzja.

W mojej ocenie w sytuacji, w jakiej znalazła się placówka medyczna, powinna ona udostępnić dokumentację medyczną  opiekunowi prawnemu dziecka, który zarazem jest jego przedstawicielem ustawowym.

Uzasadnienie.

Władza rodzicielska przysługuje obojgu rodzicom, co jest zasadą wprowadzoną przepisami KRiO. Jednak w zależności od sytuacji stanu faktycznego, władza rodzicielska może kształtować się różnorako. Jeżeli jedno z rodziców nie żyje albo nie ma pełnej zdolności do czynności prawnych, władza rodzicielska przysługuje drugiemu z rodziców. To samo dotyczy wypadku, gdy jedno z rodziców zostało pozbawione władzy rodzicielskiej albo gdy jego władza rodzicielska uległa zawieszeniu. Jeżeli żadnemu z rodziców nie przysługuje władza rodzicielska albo jeżeli rodzice są nieznani, ustanawia się dla dziecka opiekę. W sytuacji zatem kiedy rodzice biologiczni nie posiadają pełnej zdolności do czynności prawnych, mieć będziemy do czynienia z sytuacją, w której nie przysługuje  żadnemu z nich władza rodzicielska. W takiej sytuacji, jeżeli żadnemu z rodziców nie przysługuje władza rodzicielska, albowiem nie posiadają pełnej zdolności do czynności prawnych , ustanawia się dla dziecka opiekę. Jednostka medyczna, zgodnie z przepisami będzie mogła udostępnić dokumentację medyczną ustanowionemu opiekunowi prawnemu, jako ustawowemu przedstawicielowi dziecka. Wnioskodawcy w postępowaniu o ustanowienie opieki nad dzieckiem niepełnoletnich rodziców, mogą złożyć stosowny wniosek o ustanowienie zabezpieczenia, do czasu rozstrzygnięcia postępowania. Odnosząc się do podstawy prawnej, przywołanej we wniosku rodziców dziecka, stwierdzić należy, iż nie stanowi ona podstawy dla takiego udostępnienia. Przepis art. 96 par. 2 KRIO traktuje o kwestii uczestnictwa w sprawowaniu bieżącej pieczy nad dzieckiem przez rodziców nieposiadających pełnej zdolności do czynności prawnych.

Autor stanowiska.

Autor: Dominik Spałek
Kontakt: 694 494 240
email: biuro@prostetorodo.pl

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Szyfrowanie wiadomości email

Należy szyfrować wiadomości email

Szyfrowanie wiadomości email wymagane przepisami prawa.

Szyfrowanie wiadomości email. Wydaje się to być jasne, jednak warto przypominać, iż komunikacja elektroniczna prowadzona z wykorzystaniem np. email narażona jest na różnego rodzaju zagrożenia. Z tego względu należy stosować adekwatne środki zabezpieczające. Świadomość takiego stanu rzeczy sprawiła, iż ustawodawca wprost nałożył na nadawców korespondencji obowiązek szyfrowania przesyłanych email. Poniżej przedstawimy dla przykładu dwa takie przypadki.

Zgłoszenia podejrzeń i rozpoznań zakażeń, chorób zakaźnych oraz zgonów z ich powodu.

Dnia 19 grudnia 2019r. weszło w życie nowe Rozporządzenie Ministra Zdrowia z dnia 18 grudnia 2019r., w sprawie zgłaszania podejrzeń i rozpoznań zakażeń, chorób zakaźnych oraz zgonów z ich powodu (Dz.U. z 2019r., poz. 2430) [Dalej Rozporządzenie ZP]. Zasadnicze zmiany odnoszą się do wszystkich formularzy ZLK. Rozszerzono zakres danych zawartych w zgłoszeniach, określono nowe tryby realizacji zgłoszeń, wprowadzono nowe wzory formularzy, przypomniano o obowiązkowym szyfrowania korespondencji email. Czytaj więcej >>> Zgodnie z przepisami Rozporządzenia ZP zgłoszenie może być dokonanie w formie: elektronicznej; papierowej a w określonych przypadkach także telefonicznie.

Zgłoszenie przesyłane za pośrednictwem środków komunikacji elektronicznej w postaci zaszyfrowanej.

Zgodnie z § 4 ust. 1 lit c)  Rozporządzenia ZP cyt.: „(…) zgłoszenie jest dokonywane w postaci (…) przesłanego za pomocą środków komunikacji elektronicznej w postaci zaszyfrowanej – jeżeli pozwalają na to możliwości techniczne nadawcy i odbiorcy (…)”. Co oznacza tyle, iż obowiązkiem nadawcy korespondencji np. email jest odpowiednie zabezpieczenie przesyłanej treści. Zgłoszenie, które jest przekazywane, z uwagi na dane szczególnej kategorii, jakie zawiera, potraktowane zostało wyjątkowo przez ustawodawcę. Ustawodawca nie tyle przewidział możliwość szyfrowania, ale wskazał iz szyfrowanie wiadomości email jest obowiązkiem jednostki medycznej.

Zgłoszenie niepożądanego odczynu poszczepiennego NOP.

Zagadnienia związane z realizacją obowiązków dokonywania zgłoszeń niepożądanych odczynów poszczepienny, omówione zostały na gruncie Ustawy o zapobieganiu oraz zwalczaniu zakażeń i chorób zakaźnych.

Zgłoszenie NOP w formie prezsyłek kodowanych.

Zgodnie z § 4 ust. 1 pkt 2) Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010r., w sprawie niepożądanych odczynów poszczepiennych oraz kryteriów ich rozpoznawania cyt,.: „(…) Zgłoszenie niepożądanego odczynu poszczepiennego lekarz lub felczer: (…) przesyła za pomocą poczty elektronicznej, jeżeli pozwalają na to techniczne możliwości nadawcy i odbiorcy, w formie przesyłek kodowanych (…)”. Co oznacza tyle, iż ustawodawca przewidział obowiązek adekwatnego zabezpieczenia korespondencji email ze zgłoszeniem NOP. Zabezpieczenie polega na zastosowaniu kodowania, czyli szyfrowania przesyłanych treści.

RODO Sender program do automatycznego szyfrowania email i wysyłania hasła na SMS.

Gotowy, wygodny i skuteczny sposób na to jak szyfrować maile RODO Sender. Program do automatycznego szyfrowania załączników w poczcie email, który jednocześnie tworzy i przesyła hasło do odbiorcy za pomocą SMS. Przesyłanie hasła do archiwum odrębnym kanałem podnosi bezpieczeństwo komunikacji.

Logo RODO Sender Proste to RODO

Program partnerski RODO Sender

Zostań partnerem sprzedaży. Twój pasywny dochód.

Jakie dane może przetwarzać pracodawca

Jakie dane może przetwarzać pracodawca

Jakie dane może przetwarzać pracodawca

Jakie dane może przetwarzać pracodawca, to pytanie, które wciąż zadawane jest w dyskusjach związanych z zatrudnieniem. Z tego względu postaramy się pokazać, co decyduje o tym, jakie dane mogą zostać pozyskane i wykorzystane przez pracodawców.

Zasada adekwatności danych

Zgodnie z art. 5 ust. 1 lit c) Rozporządzenia RODO cyt.: „(…) dane osobowe muszą być: (…)  adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”); (…). Jak podnosi dr Jakub Rzymowski w komentarzu do art. 5 ustl 1 lit c) RODO  dane osobowe muszą być właśnie adekwatne do celów przetwarzania. Adekwatność tę ocenia ADO, musi jednak przy tym pamiętać, że oceniać ją może też osoba, której dane dotyczą, PUODO, wreszcie sądy. Należy pamiętać, że zasadą, która wynika z art. 6 ust. 1 RODO i z art. 9 ust. 1 RODO jest zakaz przetwarzania danych osobowych. Przetwarzanie jest dopuszczalne jeżeli ADO spełnia przesłanki dopuszczalności przetwarzania wynikające z kolejnych liter art. 6 ust. 1 RODO lub z kolejnych liter art. 9 ust. 2 RODO. Przesłanki dopuszczalności są, o czym należy pamiętać, wyjątkami wobec ogólnego zakazu przetwarzania. Przesłanki te należy oceniać w kontekście zasad przetwarzania, wynikających z art. 5 ust. 1 RODO. Ustalenie celu przetwarzania danych pozwala na ocenę zakresu ich przetwarzania. Szczegółowemu omówieniu celów przetwarzania danych poświęcony jest komentarz do art. 5 ust. 1lit b RODO, traktującego o zasadzie ograniczenia celu.

Definicja prawa pracy

Mając w świadomości obowiązek respektowania zasady minimalizacji danych, ich adekwatności do realizowanych celów przechodzimy na grunt przepisów prawa pracy. Dla przypomnienia, pragnę odesłać do lektury art. 9 kodeksu pracy. Zgodnie z art. 9 § 1 Kodeksu pracy cyt.: „(…) Ilekroć w Kodeksie pracy jest mowa o prawie pracy, rozumie się przez to przepisy Kodeksu pracy oraz przepisy innych ustaw i aktów wykonawczych, określające prawa i obowiązki pracowników i pracodawców, a także postanowienia układów zbiorowych pracy i innych opartych na ustawie porozumień zbiorowych, regulaminów i statutów określających prawa i obowiązki stron stosunku pracy. (…)”. Co oznacza tyle, iż nie tylko Ustawa z 26 czerwca 1974r. Kodeks pracy, zawierać może przepisy prawa pracy. Pamiętać jednak należy, iż postanowienia układów zbiorowych pracy i porozumień zbiorowych oraz regulaminów i statutów nie mogą być mniej korzystne dla pracowników niż przepisy Kodeksu pracy oraz innych ustaw i aktów wykonawczych.

Kodeks pracy - art. 22(1) k.p.

Dane osoby ubiegającej się o zatrudnienie - kandydata do pracy

Zgodnie z art. 22 (1) § 1 k.p. cyt.: „(…) pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

  1. imię (imiona) i nazwisko;
  2. datę urodzenia;
  3. dane kontaktowe wskazane przez taką osobę;
  4. wykształcenie;
  5. kwalifikacje zawodowe;
  6. przebieg dotychczasowego zatrudnienia.(…)”.

Uwaga jednak jest taka, iż pracodawca żąda podania danych osobowych, dotyczących wykształcenia, kwalifikacji zawodowych oraz przebiegu dotychczasowego zatrudnienia, gdy jest to niezbędne do wykonywania pracy określonego rodzaju lub na określonym stanowisku.

Dane pracownika

Zgodnie z 22 (1) § 3 k.p. cyt.: „(…) pracodawca żąda od pracownika podania dodatkowo danych osobowych obejmujących:

  1. adres zamieszkania;
  2. numer PESEL, a w przypadku jego braku – rodzaj i numer dokumentu potwierdzającego tożsamość;
  3. inne dane osobowe pracownika, a także dane osobowe dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy;
  4. wykształcenie i przebieg dotychczasowego zatrudnienia, jeżeli nie istniała podstawa do ich żądania od osoby ubiegającej się o zatrudnienie;
  5. numer rachunku płatniczego, jeżeli pracownik nie złożył wniosku o wypłatę wynagrodzenia do rąk własnych (…)”.

Zgoda kandydata albo pracownika

Zgoda względem danych innych niż dane szczególnej kategorii

Zgodnie z 22 (1a) § 1 k.p. cyt.: „(…) zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę innych danych osobowych niż wymienione w art. 22(1) § 1 i 3, z wyjątkiem danych osobowych, o których mowa w art. 10 rozporządzenia [dop. RODO] (…)”. Brak takiej zgody bądź jej wycofanie, nie może być podstawą niekorzystnego traktowania kandydata do pracy lub pracownika. Nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji. Nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia, wypowiedzenie umowy o pracę lub jej rozwiązanie bez wypowiedzenia przez pracodawcę. Przetwarzanie, o którym mowa dotyczy danych osobowych udostępnianych przez osobę ubiegającą się o zatrudnienie lub pracownika na wniosek pracodawcy lub danych osobowych przekazanych pracodawcy z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika.

Zgoda względem danych szczególnej kategorii

Zgodnie z 22 (1b) § 1 k.p. cyt.: “(…) zgoda osoby ubiegającej się o zatrudnienie lub pracownika może stanowić podstawę przetwarzania przez pracodawcę danych osobowych, o których mowa w art. 9 ust. 1 rozporządzenia [dop. RODO], wyłącznie w przypadku, gdy przekazanie tych danych osobowych następuje z inicjatywy osoby ubiegającej się o zatrudnienie lub pracownika (…)”. Również w tym wypadku należy podkreślić, iż nie wyrażenie zgody, nie może stanowić źródła negatywnych konsekwencji dla kandydata do pracy, czy pracownika.

Czy może pracodawca żądać innego zakresu danych

Zgodnie z 22 (1) § 4 k.p. cyt.: „(…) pracodawca żąda podania innych danych osobowych niż określone w § 1 i 3, gdy jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (…)”. Co oznacza, tyle iż należy z uwagą czytać przepisy, aby nie wpaść w pułapkę, iż pracodawca może przetwarzać tylko dane o jakich mowa w § 1 oraz § 3 cytowanego przepisu – albowiem tak nie jest.

Inne przepisy stanowiące podstawę przetwarzania danych

Rejestry przestępczości na tle seksualnym

Zgodnie z art. 21 Ustawy z dnia 13 maja 2016r. o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym (Dz.U. 2016 poz. 862 ze zm.) [dalej Ustawa OPZPS] cyt.: „(…) przed nawiązaniem z osobą stosunku pracy lub przed dopuszczeniem osoby do innej działalności związanej z wychowaniem, edukacją, wypoczynkiem, leczeniem małoletnich lub z opieką nad nimi pracodawcy lub inni organizatorzy w zakresie takiej działalności są obowiązani do uzyskania informacji, czy dane tej osoby są zamieszczone w Rejestrze z dostępem ograniczonym lub w Rejestrze osób, w stosunku do których Państwowa Komisja do spraw wyjaśniania przypadków czynności skierowanych przeciwko wolności seksualnej i obyczajności wobec małoletniego poniżej lat 15 wydała postanowienie o wpisie w Rejestrze (…)”, co oznacza tyle, iż nawiązanie stosunku pracy, dopuszczenie do innej działalności musi zostać poprzedzone procesem weryfikacji. Czytaj więcej „Kwestionariusz osobowy a nazwisko rodowe”.

Świadectwo pracy

Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 30 grudnia 2016 r. w sprawie świadectwa pracy [Dz.U. 2016 poz. 2292]

Protokół wypadkowy

Rozporządzenie Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy [Dz.U. 2019 poz. 1071]

Stanowisko IOD - obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Stanowisko IOD – przypominające o obowiązku prowadzenia wykazu udostępnionej dokumentacji medycznej przez podmiot wykonujący działalność leczniczą. Opracowanie zawiera szczegółowe informacje na temat tego, jakie dane należy bezwzględnie zamieszczać w wykazie, jakie mogą zostać w nim zapisane dodatkowo, oraz przedstawia błędne praktyki, z jakimi można spotkać się w praktyce funkcjonowania podmiotów leczniczych.

Stanowisko IOD

Czytaj więcej >>>
Polityka ochrony dzieci przed krzywdzeniem
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych – z dniem 15 lutego 2024 r. wchodzą w życie znowelizowane przepisy, które m.in. na podmioty medyczne nakładają nowe obowiązki opracowania i wdrożenia standardów ochrony małoletnich, jakie należy przestrzegać w podmiotach medycznych. Nowe obowiązki wynikają wprost z treści Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich [tj. Dz.U. z 2023 r., poz. 1304 ze zm.].

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Przygotowaliśmy dla Państwa wzorcową dokumentację zgodną z wytycznymi zawartymi w Ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. Pakiet dokumentów zawiera zarówno:

  • Omówienie podstawowych obowiązków podmiotu medyczne wynikających ze znowelizowanych przepisów
  • Wzór zapisów do Rejestru Czynności Przetwarzania Danych dla czynności sprawdzania kandydatów w rejestrach
  • Pełną wersję Polityki ochrony przed krzywdzeniem dzieci
  • Skróconą wersję Polityki ochrony przed krzywdzeniem dzieci

Standardy Ochrony Małoletnich dla szpitala

Czytaj więcej >>>
Co kiedy jednak podmiot medyczny zawarł umowę powierzenia z zewnętrznym laboratorium medycznym
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Stanowisko opisuje konsekwencje sytuacji, w której to podmiot wykonujący działalność leczniczą zawarł umowę powierzenia przetwarzania danych osobowych z zewnętrznym laboratorium diagnostycznym w związku ze zlecaniem wykonywania badań diagnostycznych swoich pacjentów. Wbrew pozorom sytuacji, w której mamy do czynienia z takim zawieraniem umów powierzenia przetwarzania danych jest więc niż można byłoby przypuszczać.

Czytaj więcej >>>
Zalecenia dla podmiotów medycznych zlecających badania laboratoryjne w ALAB laboratoria Sp. z o.o.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

W związku z Komunikatem z dnia 27 listopada 2023r., w którego treści ALAB laboratoria sp. z o.o. informuje o cyt.: „(…)o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego (…)” przygotowaliśmy stosowne Stanowisko IOD zawierające zalecenia dla podmiotów medycznych, zlecających wykonywanie badań ALAB laboratoria sp. z o.o.  Stanowisko IOD zawiera wyjaśnienia dotyczące kwestii związanej z ewentualnym obowiązkiem dokonania zgłoszenia zdarzenia do UODO oraz powiadomienia podmiotów danych, których zdarzenie dotyczyło. Wyjaśniamy także kwestie związane z obiegiem dokumentacji pomiędzy laboratorium zewnętrznym a podmiotem zlecającym. Wskazujemy ponadto na zasadność podjęcia określonych działań po stronie podmiotu zlecającego.

Czytaj więcej >>>
Materiały szkoleniowe zasady korzystania z pendrive w firmie Stanowisko IOD
Zasady korzystania z przenośnych pamięci

Zasady korzystania z przenośnych pamięci – stanowisko IOD zawierające materiały szkoleniowe kierowane do pracowników korzystających z przenośnych pamięci danych. Stanowisko opisuje podstawowe zasady bezpieczeństwa, jakich należy przestrzegać pracując z takimi urządzeniami. Wskazane zostało także, jakie praktyki są niedopuszczalne. Stanowisko IOD zawiera także listę pozwalającą na uzyskanie rozliczalności z realizacji zadania edukacyjnego personelu.

Stanowisko IOD materiały edukacyjne szkoleniowe informacyjne

Czytaj więcej >>>
Ocena ryzyka korzystanie z Pendrive materiały szkoleniowe
Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przygotowaliśmy dla Państwa materiał, jaki dedykowany jest dla tych podmiotów, które w związku ze swoim funkcjonowaniem przetwarzają dane z wykorzystaniem przenośnych pamięci danych.

Pakiet dokumentów zawiera:

  • Ankietę ewaluacyjną – ankietę sprawdzającą dzięki której ADO / IOD dokonać mogą analizy stanu faktycznego, a następnie na jej podstawie zalecić stosowanie adekwatnych środków bezpieczeństwa, zabezpieczających przetwarzanie danych osobowych z wykorzystaniem przenośnych pamięci danych.
  • Materiał szkoleniowy dla personelu – materiał pełni rolę informacyjną, jego zadaniem jest edukować personel korzystający z przenośnych pamięci danych w zakresie tego, jakiego rodzaju ryzyka związane są z takim przetwarzaniem oraz jakich zasad należy przestrzegać korzystając z przenośnych pamięci danych.

 

Czytaj więcej >>>
Informacje udostępniane pacjentom w podmiocie medycznym
Ankieta poprawności realizacji obowiązku informacyjnego

Ankieta poprawności realizacji obowiązku informacyjnego

Podmioty medyczne zobowiązane są do realizacji różnego rodzaju obowiązków informacyjnych zarówno na gruncie przepisów prawa ochrony danych, jak i przepisów branżowych. Przygotowaliśmy zestawienie w formie ankiety weryfikującej poprawność realizacji poszczególnych obowiązków informacyjnych.

Zakupując naszą dokumentację sprawdzą Państwo.

  • jakiego rodzaju obowiązki należy realizować,
  • czy w sposób zgodny z przepisami informacje przekazywane są w podmiocie leczniczym.

 

Czytaj więcej >>>
Jak zabezpieczyć przenośny sprzęt w firmie
Przenośny sprzęt IT w firmie

Przenośny sprzęt IT w firmie

Jak wynika z treści Decyzji UODO, nakładających kary administracyjne na administratorów, w związku z utratą danych na skutek kradzieży, zagubienia, zniszczenia sprzętu IT, który wynoszony jest poza siedzibę administratora, warto jest przygotować się prawidłowo do takiego przetwarzania.

Dokumentacja RODO

  • Procedura wynoszenia nośników danych poza obszar przetwarzania
  • Procedura korzystania z prywatnego sprzętu do celów służbowych
  • Zasady transportu, przechowywania i korzystania ze sprzętu przenośnego
  • Ankieta sprawdzająca poprawność wdrożonych rozwiązań

 

Czytaj więcej >>>
Integracja mMedica z RTG
Integracja mMedica z pracownią diagnostyczną

Integracja mMedica z pracownią diagnostyczną

Realizujemy kompleksowo usługę integracji aplikacji gabinetowej mMedica z pracownią diagnostyczną (RTG). Poprawnie wykonana integracja daje możliwość zautomatyzowania wymiany danych z wybraną pracownią diagnostyczną. Pozwala, po wystawieniu skierowania na wizycie, na przesyłanie zleceń bezpośrednia z poziomu aplikacji mMedica do pracowni RTG. Ponadto, co bardzo istotne, integracja umożliwia aplikacji mMedica automatyczne odbieranie  opisów badań diagnostycznych i ich załączanie do dokumentacji medycznej Pacjentów, prowadzonej w postaci elektronicznej.

Zakres usługi integracji obejmuje:

W ramach wykonywanej przez nas usługi, jednostka otrzymuje kompleksowe wsparcie. Poniżej prezentujemy ramowy schemat działania. Schemat pokazujący, jak przebiega całościowy proces wdrożenia i uruchomienia integracji z zewnętrznym laboratorium:

  • Wykupienie i zaczytanie licencji eWyniki Diag.
  • Pozyskanie danych webserwisu i pliku przekodowania od Pracowni RTG
  • Dodanie kontrahenta (Pracowni RTG) i konfiguracja wymiany danych webservice z uwzględnieniem konfiguracji sieci lokalnej klienta.
  • Przekodowanie słownika badań – wybór badań wykonywanych przez personel i powiązanie ich z wystawionymi przez Pracownię RTG.
  • Testy wysyłki zleceń i odbioru opisów badań z weryfikacją zapisu do e-Archiwum.
  • Szkolenie personelu (online) 2h.
Czytaj więcej >>>

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Podejrzany załącznik z FV

Jak sprawdzić załącznik?

Podejrzany załącznik z FV, nieznany link - co robić?

Podejrzany załącznik z FV, nieznany link, co robić w takiej sytuacji? Nie będziemy Wam opowiadać o różnych metodach ataków, jakie stosują hakerzy. Opowiemy Wam po prostu, jak się zachować, kiedy na waszą skrzynkę email, wpadnie korespondencja zawierająca:

  • załącznik z dokumentem np. fakturą vat, oświadczeniem, wezwaniem do zapłaty,
  • informacja o aktualizacji danych do serwisu internetowego np. banku, i link do aktualizacji,
  • informację o wszczęciu kontroli przez urząd skarbowy, lub zus.

Czego nie wolno robić nigdy!

Zasada ograniczonego zaufania, nigdy nie wolno dać ponieść się emocjom. To trudne, jednak nigdy nie wolno działać pod presją czasu.

  • bezwzględnie nigdy nie otwieramy podejrzanego załacznika,
  • tym bardziej nigdy nie klikamy w niepewny link.

Jak sprawdzić taki załącznik, czy nieznany link?

To banalnie proste, nie wymaga to wiedzy informatycznej. Co więcej takie sprawdzenie jest zupełnie bezpłatne. Wystarczy, że zapamiętasz jeden adres internetowej strony www.virustotal.com

Jak sprawdzić niepewny załącznik.

  • Zapisujemy (nie otwieramy) tylko zapisujemy niepewny plik z email na komputerze i zapamiętujemy miejsce gdzie został zapisany.
  • Otwieramy w przeglądarce internetowej stronę www.virustotal.com
  • Klikamy na sstronie przycisk wskazany czerwoną strzałką i dodajemy zapisany nieznany załącznik.
  • Potwierdzamy załadowanie pliku „Confirm upload” i czekamy na wyniki.
  • W przypadku negatywnych wynbików sprawdzenia, należy poinformować odpowiednie dział informatyczny, bezwzględnie usunąć załącznik zapisany uprzednio na dysku, aby w przyszłości przez przypadek nie otworzyć go.

Jak sprawdzić nieznany link.

  • Zapisujemy (nie otwieramy) tylko zapisujemy niepewny link np. klikamy na linku prawy przycisk myszki i wybieramy opcję „Kopiuj adres odnośnika”
  • Otwieramy w przeglądarce internetowej stronę www.virustotal.com
  • Wybieramy zakładkę URL (na środku strony)
  • Następnie na stronie w miejscu wskazanym czerwoną strzałką klikamy prawy przycisk myszki i wybieramy opcję „Wklej” albo „Paste” i wciskamy klawisz Enter.

Dobre praktyki i brak pośpiechu.

Przedstawiona metoda nie jest jedyną prawidłową metoda postępowania, ale jest dostępna dla każdego pracownika. Pamiętać należy, iż sposobów postępowania jest wiele. 

Jak chronić wysyłane załączniki.

Aby chronić wysyłane przez Ciebie załaczniki, korzystaj z szyfrowania email. Przedstawiamy prosty program, który automatycznie zaszyfruje załączniki w Twoim email natomiast hasło do otwarcia pliku samodzielnie prześle w postaci SMS do odbiorcy email. RODO Sender dowiedz się więcej.

Podstawy prawne przetwarzania danych przez fizjoterapeutę

Na jakiej podstawie przetwarza dane ficjoterapeuta

Obowiązek prowadzenia dokumentacji medycznej

Podstawy prawne przetwarzania danych. Zgodnie z Uchwała Krajowej Rady Fizjoterapeutów 357/I KRF z dnia 09 kwietnia 2019r., cyt.: „(…) wykonywanie zawodu fizjoterapeuty polega na udzielaniu świadczeń zdrowotnych. Praktyki zawodowe fizjoterapeutów są podmiotami udzielającymi świadczeń zdrowotnych i zgodnie z art. 24 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta [dalej UoPPiRP] ciąży na nich obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej (…)”, co oznacza tyle, iż obowiązkiem osób prowadzących praktyki zawodowe fizjoterapeutów jest respektowanie postanowień prawa w zakresie prowadzenia dokumentacji medycznej. Powyższe potwierdza treść art. 9 pkt. 4) Ustawy z dnia 35 września 2015r., o zawodzie fizjoterapeuty cyt.: „(…) Fizjoterapeuta jest obowiązany: (…) prowadzić i udostępniać dokumentację medyczną na zasadach określonych w ustawie z dnia 6 listopada 2008r. oprawach pacjenta i Rzeczniku Praw Pacjenta (…)”[1].

Indywidualna praktyka w zakładzie leczniczym

Fizjoterapeuta wykonujący indywidualną praktykę fizjoterapeutyczną wyłącznie w zakładzie leczniczym podmiotu leczniczego dokonuje wpisów w dokumentacji indywidualnej i zbiorczej prowadzonej przez podmiot leczniczy, w sposób określony w rozdziale 2 Rozporządzenie Ministra Zdrowia z dnia 09 listopada 2015 r. [dalej Rozporządzenie RDM] w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej prowadzenia[2]. Co istotne, fizjoterapeuta udzielający świadczeń w ramach indywidualnej praktyki fizjoterapeutycznej w zakładzie leczniczym podmiotu leczniczego nie prowadzi oddzielnej dokumentacji medycznej.

Przetwarzanie danych osobowych

Mając na względzie fakt, iż dokumentacja medyczna, stanowi zbiór danych medycznych w tym danych osobowych, o szczególnym charakterze, należy uświadomić sobie fakt, iż ma to swoje konsekwencje prawne. Jedną z nich jest to, iż dochodzi do przetwarzania danych osobowych pacjentów. Powyższe skutkuje tym, iż administrator danych osobowych zobowiązany jest do respektowania postanowień Rozporządzenia  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.[3] [dalej Rozporządzenie RODO]  oraz Ustawy z dnia 10 maja 2018r., o ochronie danych osobowych[4] {dalej Ustawa ODO].

Podstawy prawne przetwarzania danych

Niestety wciąż częstym błędem w zakresie wskazywania przez administratorów danych osobowych podstawy prawnej, w oparciu o którą dochodzi do przetwarzania przez nich danych osobowych, w związku z udzielaniem świadczeń zdrowotnych, jest posługiwanie się „zgodą podmiotu danych.

Reasumując

Czy zgoda pacjenta jest wymagana do przetwarzania danych w związku z udzielaniem świadczeń zdrowotnych przez fizjoterapeutę?

Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.

Ruszył nabór na szkolenia Proste to RODO. Nie czekaj zarezerwuj swoje miejsce już dziś, skorzystaj z preferencyjnej ceny. Wykup swój bilet i zadaj pytanie, na które odpowiemy na szkoleniu.

5/5

Sprawdź promocję

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln