Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO Inspektor Ochrony Danych Częstochowa
Dokumentacja RODO
Wdrożenia RODO
Zewnętrzny IOD

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Menu

FAQ

FAQ –  wprowadziliśmy do naszego serwisu dział poświęcony pytaniom i odpowiedziom. Często bowiem trafiacie Państwo do nas z konkretnymi problemami. Dlatego nie chcemy Państwa pozostawiać z nimi sam na sam. Po otrzymaniu danego pytania nasi eksperci starają się udzielić, jak najbardziej wyczerpującej odpowiedzi. Zagadnienia dotyczą ochrony zdrowia, słuzby zdrowia, sektora medycznego, ale także różnych innych branż. Staramy się w naszych odpowiedziach posługiwać się zrozumiałym i prostym językiem. Dzięki temy istnieje możliwość ich wykorzystywania wprost w codziennej pracy inspektora ochrony danych.

Podstawy prawne przetwarzania danych przez fizjoterapeutę

przez
Na jakiej podstawie przetwarza dane ficjoterapeuta

Obowiązek prowadzenia dokumentacji medycznej

Podstawy prawne przetwarzania danych. Zgodnie z Uchwała Krajowej Rady Fizjoterapeutów 357/I KRF z dnia 09 kwietnia 2019r., cyt.: „(…) wykonywanie zawodu fizjoterapeuty polega na udzielaniu świadczeń zdrowotnych. Praktyki zawodowe fizjoterapeutów są podmiotami udzielającymi świadczeń zdrowotnych i zgodnie z art. 24 ust. 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta [dalej UoPPiRP] ciąży na nich obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej (…)”, co oznacza tyle, iż obowiązkiem osób prowadzących praktyki zawodowe fizjoterapeutów jest respektowanie postanowień prawa w zakresie prowadzenia dokumentacji medycznej. Powyższe potwierdza treść art. 9 pkt. 4) Ustawy z dnia 35 września 2015r., o zawodzie fizjoterapeuty cyt.: „(…) Fizjoterapeuta jest obowiązany: (…) prowadzić i udostępniać dokumentację medyczną na zasadach określonych w ustawie z dnia 6 listopada 2008r. oprawach pacjenta i Rzeczniku Praw Pacjenta (…)”[1].

Indywidualna praktyka w zakładzie leczniczym

Fizjoterapeuta wykonujący indywidualną praktykę fizjoterapeutyczną wyłącznie w zakładzie leczniczym podmiotu leczniczego dokonuje wpisów w dokumentacji indywidualnej i zbiorczej prowadzonej przez podmiot leczniczy, w sposób określony w rozdziale 2 Rozporządzenie Ministra Zdrowia z dnia 09 listopada 2015 r. [dalej Rozporządzenie RDM] w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej prowadzenia[2]. Co istotne, fizjoterapeuta udzielający świadczeń w ramach indywidualnej praktyki fizjoterapeutycznej w zakładzie leczniczym podmiotu leczniczego nie prowadzi oddzielnej dokumentacji medycznej.

Przetwarzanie danych osobowych

Mając na względzie fakt, iż dokumentacja medyczna, stanowi zbiór danych medycznych w tym danych osobowych, o szczególnym charakterze, należy uświadomić sobie fakt, iż ma to swoje konsekwencje prawne. Jedną z nich jest to, iż dochodzi do przetwarzania danych osobowych pacjentów. Powyższe skutkuje tym, iż administrator danych osobowych zobowiązany jest do respektowania postanowień Rozporządzenia  Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.[3] [dalej Rozporządzenie RODO]  oraz Ustawy z dnia 10 maja 2018r., o ochronie danych osobowych[4] {dalej Ustawa ODO].

Podstawy prawne przetwarzania danych

Niestety wciąż częstym błędem w zakresie wskazywania przez administratorów danych osobowych podstawy prawnej, w oparciu o którą dochodzi do przetwarzania przez nich danych osobowych, w związku z udzielaniem świadczeń zdrowotnych, jest posługiwanie się „zgodą podmiotu danych.

Reasumując

[1] http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20150001994/U/D20151994Lj.pdf
[2] Rozporządzenie Ministra Zdrowia z dnia 09 listopada 2015 r., w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej prowadzenia.
[3] Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
[4] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20180001000

Czy zgoda pacjenta jest wymagana do przetwarzania danych w związku z udzielaniem świadczeń zdrowotnych przez fizjoterapeutę?

Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.

Szkolenie dla zaawansowanych dr Jakub Rzymowski Dominik Spałek

Ruszył nabór na szkolenia Proste to RODO. Nie czekaj zarezerwuj swoje miejsce już dziś, skorzystaj z preferencyjnej ceny. Wykup swój bilet i zadaj pytanie, na które odpowiemy na szkoleniu.

5/5

Sprawdź promocję

Dodaj do koszyka
Udostępnianie dokumentacji medycznej

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Dodaj do koszyka
NIK lista pyutań kontrolnych

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Dodaj do koszyka
Ewidencja udostępnionej dokumentacj imedycznej

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Dodaj do koszyka
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Dodaj do koszyka

Prawy przycisk myszki

przez
Jak wysłać plik przez RODO Sender?

Jak wysłać plik przez RODO Sender

  • Wybierz plik, który chcesz przesłać, jako zaszyfrowany i zabezpieczony hasłem.
  • Kliknij jeden raz prawy przycisk myszki.
  • Wybierz z menu rozwijanego "Wyślij do programu RODOS Sender"
  • Podaj adres email oraz numer telefonu adresata.
  • Kliknij "Wyślij" ... gotowe wysłałeś zaszyfrowany i zabezpieczony hasłem plik na email, oraz hasło na SMS odbiorcy.

Proste to RODO bezpieczeństwo informacji przesyłanych przez email

Logo RODO Sender Proste to RODO
Pobierz program

Darmowa wersja

Pobierz licencję
Logo RODO Sender Proste to RODO
Pobierz program

159,00 pln

Kup Licencję
Logo RODO Sender Proste to RODO
Pobierz program

299,00 pln

Kup Licencję
Logo RODO Sender Proste to RODO
Pobierz program

399,00 pln

Kup Licencję

Kiedy można wystawiać recepty papierowe

przez
Brak dostępu do systemu P1

W jakiej postaci należy wystawiać recepty od dnia 08 stycznia 2020r.

Kiedy można wystawiać recepty papierowe. Zgodnie z art. 95b ust. 1 Ustawy z dnia 06 września 2001 r. Prawo farmaceutyczne[1] [dalej UPF] cyt,: „(…) recepta jest wystawiana w postaci elektronicznej albo papierowej (…)”, co może sugerować, iż stosowanie ww. formy elektronicznej albo formy papierowej zależy od wolnego wyboru. Tak jednak nie jest, albowiem zasadą jest.  Zgodnie z art. 56 ust. 2 Ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia[2] [dalej UOSIOZ] cyt.: „(…) recepty mogą być wystawiane w postaci papierowej do dnia 7 stycznia 2020r. (…)”, co oznacza tyle, iż od dnia 08 stycznia 2020 r., zasadą staje się, iż recepty wystawiane będą w postaci elektronicznej. Na marginesie zwracamy uwagę na zmianę terminu pierwotnie, terminem do którego istniała możliwość wystawiania recept w postaci papierowej według wyboru był termin 31 grudnia 2019r.

[1] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20011261381
[2] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20190000408

Odpowiednie przygotowanie systemu teleinformatycznego jednostki jest jej obowiązkiem.

Zgodnie z art. 56 ust. 5 UOSIOZ cyt.: „(…) Usługodawcy, inni niż wskazani w ust. 4a [dop. apteki], są obowiązani do zgłoszenia jednostce podległej ministrowi właściwemu do spraw zdrowia, właściwej w zakresie systemów informacyjnych ochrony zdrowia, gotowości podłączenia swoich systemów do systemu, o którym mowa w art. 7 ust. 1, [dop. Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych] oraz do podłączenia się do tego systemu, nie później niż do dnia 31 grudnia 2019r. (…)”, co oznacza tyle, iż przepis ww. nakazuje podjęcie takich działań, które nie tylko przygotują jednostkę do przyłączenia się do systemu, ale doprowadzą do realizacji tego założenia w określonym terminie, tj. do 31 grudnia 2019r. Oznacza to, iż system teleinformatyczny jednostki na dzień 31 grudnia 2019r., musi być nie tylko przygotowany do podłączenia, ale musi zostać podłączony do systemu, ze wszystkimi tego konsekwencjami. W szczególności musi posiadać taką strukturę, aby jednostka miała możliwość realizacji swoich zadań w tym obszarze. Zatem nie jest celem jedynie przyłączenie systemu jednostki do systemu.

System teleinformatyczny

Zgodnie z art. 2 pkt. 3) Ustawa z dnia 18 lipca 2002 r., o świadczeniu usług drogą elektroniczną[3] cyt.: „(…) system teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania, zapewniający przetwarzanie i przechowywanie, a także wysyłanie i odbieranie danych poprzez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu ustawy z dnia 16lipca 2004r. – Prawo telekomunikacyjne (Dz.U. z 2018r. poz. 1954 i 2245) (…)”.

Zgodnie z art. 3 pkt. 3 Ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne[4] cyt.: „(…) system teleinformatyczny – zespół współpracujących ze sobą urządzeń informatycznych i oprogramowania zapewniający przetwarzanie, przechowywanie, a także wysyłanie i odbieranie danych przez sieci telekomunikacyjne za pomocą właściwego dla danego rodzaju sieci telekomunikacyjnego urządzenia końcowego w rozumieniu przepisów ustawy z dnia 16lipca 2004r. – Prawo telekomunikacyjne (Dz.U. z 2018r. poz. 1954, 2245 i 2354) (…)”.

[3] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20190000700
[4] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu20021441204

Kiedy trzeba wystawić receptę w postaci papierowej.

Od dnia 08 stycznia 2020r., recepty powinny być wystawiane tylko w postaci elektronicznej, chyba że zachodzą prawem określone przypadki, w których to możliwe jest wystawienie recepty w postaci papierowej.

Art. 95 ust. 2 Ustawy Prawo farmaceutyczne

Zgodnie z art. 95b ust. 2 UPF cyt.: „(…) receptę w postaci papierowej wystawia się w przypadku

  1. braku dostępu do systemu teleinformatycznego, o którym mowa w art. 7 ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia;
  2. recepty na produkt leczniczy lub wyrób medyczny wystawionej przez osobę uprawnioną do wystawiania recept zgodnie z prawem państwa członkowskiego Unii Europejskiej lub państwa członkowskiego Europejskiego Porozumienia o Wolnym Handlu (EFTA) – strony umowy o Europejskim Obszarze Gospodarczym, w którym recepta została wystawiona, podlegającej realizacji w państwie członkowskim Unii Europejskiej lub państwie członkowskim Europejskiego Porozumienia o Wolnym Handlu (EFTA) stronie umowy o Europejskim Obszarze Gospodarczym, zwanej dalej „receptą transgraniczną”; [recepty transgraniczne,]
  3. recepty dla osoby o nieustalonej tożsamości;
  4. recepty wystawianej przez lekarza, o którym mowa w art. 9 ust. 2 ustawy o zawodzie lekarza[5], albo pielęgniarkę i położną, o której mowa w art. 24 ust. 1 ustawy z dnia 15 lipca 2011r. o zawodach pielęgniarki i położnej (Dz.U. z2018r. poz.123, z późn. zm.12));[6] [dop. recepty wystawiane w ramach tzw. okazjonalnego wykonywania w Polsce zawodu medycznego przez osobę z innego państwa członkowskiego UE]
  5. recepty na produkt leczniczy nieposiadający pozwolenia na dopuszczenie do obrotu na terytorium Rzeczypospolitej Polskiej i sprowadzany z zagranicy na warunkach i w trybie określonych w art. 4 [dop. recepty wystawiane w ramach tzw. importu docelowego] (…)”.

[5] http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU19970280152/U/D19970152Lj.pdf
[6] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20190000123

Art. 95 ust. 3 Ustawy Prawo farmaceutyczne

Zgodnie z art. 95b ust. 3 UPF cyt.: „(…) recepta dla:

  1. osoby wystawiającej, zwana dalej „receptą pro auctore
  2. małżonka, osoby pozostającej we wspólnym pożyciu, krewnych lub powinowatych w linii prostej, a w linii bocznej do stopnia pokrewieństwa między dziećmi rodzeństwa osoby wystawiającej, zwana dalej „receptą pro familiae”- jest wystawiana w postaci elektronicznej albo papierowej (…)’.

Brak dostępu do systemu P1

Najwięcej kontrowersji budzi przypadek określony w art. 95b ust. 2 pkt. 1 UPF cyt.: „(…) receptę w postaci papierowej wystawia się w przypadku (…) braku dostępu do systemu teleinformatycznego, o którym mowa w art. 7 ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia (…), co oznacza tyle, iż prawidłowa interpretacja zwrotu „brak dostępu do systemu teleinformatycznego” jest warunkiem koniecznym prawidłowego stosowania przepisu.

Kiedy będziemy mieli do czynienia z brakiem dostępu do systemu.

Zakres znaczeniowy tego zwrotu prowadzi nas do tego, iż na pewno z brekiem dostępu do systemu będziemy mieli do czynienia, wtedy kiedy miejsce będzie miała awarii tego systemu. W treści opracowania dot. najczęściej zadawanych pytań w odniesieniu do e-recept[7] przeczytać możemy, iż stan braku dostępu do systemu, występował będzie podczas wizyty domowej lekarza.

 

Jednak czy są to wszystkie sytuacje stanu faktycznego, które stanowić będą o tym, iż mamy do czynienia z brakiem dostępu do systemu w rozumieniu przepisów UPF?

[7] https://csioz.gov.pl/fileadmin/user_upload/e-recepta/najczestsze_pytania_lekarzy_i_innych_pracownikow_medycznych_5cade06e4c8e3.pdf

Co z planem ciągłości działania, o którym mowa chociaż by na gruncie Rozporządzenia RODO?

Zgodnie z art. 32 ust. 1 lit. b) Rozporządzenia RODO cyt.: „(…) uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: (…) b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania (…)”, co w praktyce oznaczać powinno, iż administratorzy, podmioty przetwarzające, powinni wdrożyć, takie środki organizacyjne i techniczne, aby zapewnić ciągłość i dostępność funkcjonalności przetwarzania danych w ramach procesu wystawiania recept, po stronie swojego systemu teleinformatycznego.

Czy zatem, brak zabezpieczeń po stronie systemu teleinformatycznego jednostki, skutkujący utratą możliwości realizacji zadania, jakim jest wystawienie recepty należy traktować jako „brak dostępu do systemu” w rozumieniu UPF?

Mając na uwadze prawa pacjenta, wydaje się, iż za zasadne i celowe uznać należy stwierdzenie, iż uchybienia jednostek, w zakresie realizacji obowiązków określonych treścią cytowanego przepisu RODO, należy traktować, jako zdarzenia skutkujące brakiem dostępu do systemu, w rozumieniu UPF. W przeciwnym wypadku, konsekwencje negatywne uchybień w zakresie braku zapewnienia dostępności przez jednostkę ponosiłby przede wszystkim pacjent. Uznać zatem w mojej ocenie należy, iż takie sytuacje, jak:

  • awaria systemu zasilania / przy jednoczesnym braku zapewnienia alternatywnego źródła zasilania,
  • awaria sieci internetowej / przy jednoczesnym braku zapewnienia redundantnego łącza,
  • brak zasięgu sieci umożliwiającej transmisję danych / przy jednoczesnym braku zapewnienia redundantnego łącza,
  • awaria systemu teleinformatycznego jednostki / przy jednoczesnym braku zapewnienia serwisu IT / sprzętu zapasowego uruchamianego w razie potrzeby niezwłocznie,

to przypadki, w których mieć będziemy do czynienia z „brakiem dostępu do systemu” w rozumieniu UPF, uzasadniającym wystawienie recepty w postaci papierowej. Kiedy można wystawiać recepty papierowe stało się jasne.

Realizacja recepty w przypadku awarii systemu.

Zwrócić jednak należy także uwagę na zapis art. 96 ust. 1a. UPF zgodnie, z którym, cyt.: „(…) w przypadku awarii systemu, o którym mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia, produkty lecznicze, środki spożywcze specjalnego przeznaczenia żywieniowego i wyroby medyczne wydawane na podstawie recepty są wydawane na podstawie informacji o wystawionej recepcie, udostępnionej w sposób, o którym mowa w art. 96b ust. 2 pkt 1 [dop. informacja przekazana na adres email wskazany w systemie] lub 3 [dop. informacja w postaci wydruku] oraz ust. 2a [dop. informacja a Internetowym Koncie Pacjenta], po okazaniu dokumentu potwierdzającego tożsamość oraz złożeniu oświadczenia, że nie dokonano realizacji recepty, której dotyczy ta informacja (…), co oznacza tyle, iż dla aptek ustawodawca przewidział konieczność realizacji opisanego trybu w wyjątkowym przypadku braku dostępności do systemu tj. w przypadku „awarii systemu”, co niewątpliwie jest węższym pojęciem, aniżeli pojęcie „braku dostępu do systemu”.

Przydatne linki.

W jakiej postaci powinny być wystawiane recepty.

Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.

Szkolenie dla zaawansowanych dr Jakub Rzymowski Dominik Spałek

Ruszył nabór na szkolenia Proste to RODO. Nie czekaj zarezerwuj swoje miejsce już dziś, skorzystaj z preferencyjnej ceny. Wykup swój bilet i zadaj pytanie, na które odpowiemy na szkoleniu.

5/5

Sprawdź promocję

Dodaj do koszyka
Udostępnianie dokumentacji medycznej

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Dodaj do koszyka
NIK lista pyutań kontrolnych

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Dodaj do koszyka
Ewidencja udostępnionej dokumentacj imedycznej

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Dodaj do koszyka
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Dodaj do koszyka

Miejsce prowadzenia kontroli poza siedzibą płatnika

przez
Miejsce kontroli ZUS

Czy Inspektor ZUS może zabrać dokumenty z siedziby kontrolowanego płatnika?

Miejsce prowadzenia czynności kontrolnych.

Miejsce prowadzenia kontroli. Zgodnie z art. 90 ust. 1 Ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych (Dz. U. 1998 Nr 137 poz. 887 z późn zm.)[1] [dalej UOSUS] cyt.: „(…) czynności kontrolne prowadzone są w siedzibie płatnika składek oraz w miejscach prowadzenia przez niego działalności, a także w miejscu prowadzenia działalności przez osoby trzecie w związku z powierzeniem tym osobom niektórych czynności na podstawie odrębnych umów (…)”, co oznacza tyle, iż co do zasady czynności kontrolne powinny być wykonywane w siedzibie płatnika składek lub w innych miejscach prowadzenia przez niego działalności, z uwagi na fakt, iż tam zwyczajowo przechowywane są dokumenty stanowiące przedmiot kontroli.

[1] http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU19981370887/U/D19980887Lj.pdf

Zasady wstępu do siedziby płatnika.

Zgodnie z art. 90 ust. 2 UOSUS cyt.: „(…) Inspektor kontroli Zakładu jest uprawniony do wstępu i poruszania się po terenie siedziby płatnika oraz miejsc prowadzenia przez niego działalności, na podstawie dokumentów, o których mowa w art. 89 ust. 1, bez potrzeby uzyskiwania przepustki oraz nie podlega rewizji osobistej przewidzianej w wewnętrznym regulaminie określonym przez płatnika składek (…)”, co oznacza tyle, iż okazanie legitymacji służbowej i doręczenie upoważnienia do przeprowadzenia kontroli jest elementem wystarczającym dla jej wszczęcia, a w konsekwencji wstępu i poruszania się po terenie siedziby płatnika oraz miejscach prowadzenia prze niego działalności. Elementem istotnym jest tutaj fakt, iż Inspektor nie podlega rewizji osobistej, jeśli takowa przewidziana została, jako element bezpieczeństwa w procedurach wewnętrznych płatnika. Z tego względu płatnicy powinni korzystać z przysługującego im uprawnienia do tego, iż oni sami, albo wyznaczona przez nich osoba ma prawo uczestniczyć w czynnościach kontrolnych. W ten sposób może również działać w interesie samego Inspektora który podlega przepisom o bezpieczeństwie i higienie pracy obowiązującym na terenie, gdzie wykonuje czynności kontrolne.

Czynności wykonywane poza siedzibą płatnika.

Zgodnie z art. 90 ust. 4 UOSUS cyt.: „(…) czynności kontrolne mogą być wykonywane poza miejscami określonymi w ust. 1 w razie niezapewnienia przez płatnika składek warunków, o których mowa w art. 88 ust. 1 pkt 3, a także w przypadkach, gdy charakter czynności tego wymaga (…)”, co oznacza tyle, iż czynności kontrolne mogą być wyjątkowo przeprowadzone poza miejscem siedziby płatnika oraz miejscem prowadzenia przez niego działalności. Oznacza to, iż miejsce prowadzenia kontroli może być inne w niżej wymienionych przypadkach.

Niezbędne warunki dla prowadzenia kontroli.

  • W pierwszym przypadku, będzie mogło to mieć miejsce, kiedy płatnik nie zapewnia niezbędnych warunków do przeprowadzenia czynności kontrolnych, w tym nie udostępnia środków łączności, z wyjątkiem środków transportowych, oraz nie zapewnia innych niezbędnych środki technicznych do wykonania czynności kontrolnych, którymi dysponuje.

Charakter czynonści tego wymaga.

  • W drugim przypadku czynności kontrolne mogą być wykonywane poza miejscem siedziby płatnika, poza miejscem prowadzenia przez niego działalności, gdy charakter czynności tego wymaga.

Obowiązkowy protokół przekazania dokumentacji.

Zgodnie z art. 90 ust. 5 UOSUS cyt.: „(…) w przypadkach określonych w ust. 4 [opisane dwa przypadki wyjątkowe] płatnik składek jest obowiązany, na żądanie inspektora kontroli Zakładu, wydać określone przez niego dokumenty wymienione w art. 88 ust. 1 pkt 1 na czas niezbędny do przeprowadzenia czynności kontrolnych, nie dłuższy jednak niż 3 tygodnie. Czynności w tym zakresie są prowadzone w terenowej jednostce organizacyjnej Zakładu. Z wydania dokumentów sporządza się protokół, który podpisuje również płatnik składek (…)”, co oznacza tyle, iż w owych wyjątkowych przypadkach kontrola będzie realizowana w określonym miejscu i określonym czasie. Miejsce prowadzenia kontroli będzie terenowa jednostka ZUS. Czynności nie mogą trwać dłużej niż 3 tygodnie. Co istotne, z punktu widzenia płatnika – jako administratora danych osobowych, z wydania dokumentów sporządza się stosowny protokół.

Za zgodą.

  • Trzecim przypadkiem kiedy czynności kontrolne mogą być wykonywane poza siedzibą płatnika, jest przypadek opisany w art. 80a ust. 1 i 2 Ustawy z dnia 2 lipca 2004 o swobodzie działalności gospodarczej (Dz.U. 2004 Nr 173 poz. 1807 z późn. zm.)[1] Kontrolę przeprowadza się w siedzibie kontrolowanego, miejscu wykonywania działalności gospodarczej lub, za zgodą lub na wniosek kontrolowanego, winnym miejscu przechowywania dokumentacji, w tym ksiąg podatkowych, w godzinach pracy lub w czasie faktycznego wykonywania działalności gospodarczej przez kontrolowanego. Kontrola lub poszczególne czynności kontrolne, za zgodą kontrolowanego, mogą być przeprowadzane również w siedzibie organu kontroli, jeżeli może to usprawnić prowadzenie kontroli

[1] http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20041731807/U/D20041807Lj.pdf

Zestawienie imienne pracowników i wyników badań a prawo pracodawcy do kontroli zakresu przeprowadzonych badań w ramach medycyny pracy.

Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.

Szkolenie dla zaawansowanych dr Jakub Rzymowski Dominik Spałek

Ruszył nabór na szkolenia Proste to RODO. Nie czekaj zarezerwuj swoje miejsce już dziś, skorzystaj z preferencyjnej ceny. Wykup swój bilet i zadaj pytanie, na które odpowiemy na szkoleniu.

5/5

Sprawdź promocję

Dodaj do koszyka
Udostępnianie dokumentacji medycznej

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Dodaj do koszyka
NIK lista pyutań kontrolnych

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Dodaj do koszyka
Ewidencja udostępnionej dokumentacj imedycznej

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Dodaj do koszyka
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Dodaj do koszyka

Zestawienia przy fakturach za medycynę pracy

przez
Zestawienie imienne przy fakturach w medycynie pracy

Zestawienia przy fakturach

Zestawienia przy fakturach – analizując przedmiotowe zagadnienie, sprowadzające się w praktyce do przekazywania pracodawcom, kierującym w ramach medycyny pracy swoich pracowników na badania, zestawień zawierających dane pracowników oraz rodzaj, albo wyniki badań, zaznaczyć należy, iż takie przekazywanie informacji stanowi przejaw przetwarzania szczególnej kategorii danych.

Podstawy prawne do przetwarzania danych

Zgodnie z art. 9 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)[dalej RODO] cyt.: „(…) zabrania się przetwarzania danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby (…)”. Przetwarzanie, takich danych, możliwe jest jednak w wyjątkowych sytuacjach, które enumeratywnie wskazane zostały treścią art. 9 ust. 2 RODO. Uprzedzając dalsze rozważania, już na tym etapie warto wskazać, iż przepis art. 9 ust. 2 RODO, nie wprowadza wyjątku, który to pozwalałby pracodawcy na przetwarzanie danych medycznych dotyczących pracownika w związku z medycyną pracy.

Art. 4 ust. 15 RODO „(…)„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia(…)”

Rola pracodawcy

Zgodnie z art. 229 § 4 k.p. cyt.: „(…) pracodawca nie może dopuścić do pracy pracownika bez aktualnego orzeczenia lekarskiego stwierdzającego brak przeciwwskazań do pracy na określonym stanowisku w warunkach pracy opisanych w skierowaniu na badania lekarskie  (…)”, co oznacza tyle, iż rola pracodawcy ograniczona został do konieczności podjęcia działań, mających na celu ustalenie zdolności pracownika do pracy na określonym stanowisku, poprzez skierowanie go na stosowne badania w ramach medycyny pracy. Badania w wyniku, którego wydawane jest adekwatne orzeczenie lekarskie o zdolności do wykonywania pracy, albo o jej braku. Jak również obowiązkiem pracodawcy jest odpowiednie zareagowanie w sytuacji orzeczenie stwierdzającego brak zdolności do wykonywania pracy danego rodzaju na danym stanowisku.

Zdaniem UODO.

Powyższe jednoznacznie wskazuje, co również podniósł Urząd Ochrony Danych Osobowych w piśmie z dnia 14 maja 2019 r., (znak. ZSZ.ZS.027.79.2019.MS.38722), iż cyt.: „(…) decyzję dotyczącą stwierdzenia bądź istnienia przeciwskazań do pełnienia służby podejmuje tylko i wyłącznie – na podstawie przeprowadzonych badań, lekarz orzecznik (…)”, co oznacza, tyle iż nie jest rolą pracodawcy decydowanie w tym zakresie. Zestawienia przy fakturach zatem jest elementem zbuteczny dla pracodawcy.

Rodzaj badania oraz wyniki badania

Zgodnie z Motywem 35 RODO cyt.: „(…) do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, jak to określa dyrektywa Parlamentu Europejskiego i Rady 2011/24/UE; numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro (…)”, co oznacza tyle, iż do danych medycznych, w analizowanym przypadku, zaliczać będziemy zarówno informacje o rodzaju wykonanych w odniesieniu do pracownika badań, jak i o wynikach tych badań.

Zasady RODO

Zgodnie z art. 5 ust. 1 lit c) RODO cyt.: „(…) Dane osobowe musza być: (…) c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”) (…)” co oznacza tyle, iż przepis nakłada na pracodawcę – jako administratora danych osobowych, obowiązek przetwarzania danych osobowych w sposób adekwatny, stosowny i ograniczony do tego, co jest niezbędne do celów przetwarzania, obowiązek przetwarzania danych osobowych wyłącznie w niezbędnym zakresie. Oznacza to, iż cytowany przepis przyznaje uprawnienie, przysługujące każdej osobie której dane dotyczą, polegające na tym, że oczekiwać może tego, że administrator danych osobowych przetwarza dotyczące jej dane w sposób adekwatny, stosowny i ograniczony do tego co jest niezbędne do celów przetwarzania.

Zakres wykonanych badań a koszty pracodawcy

Argumentem, którym najczęściej posługują się pracodawcy, oczekujący, dostarczania im zestawień wykonanych badań względem poszczególnych pracowników, jest troska o finanse. Troska realizowana poprzez pryzmat ewentualnej kontroli zakresu przeprowadzonych badań w odniesieniu do konkretnych pracowników. W tym miejscu jednak wskazać należy, iż decyzję o zakresie badań, adekwatnych do opisanego rodzaju pracy, stanowiska pracy pracownika poddawanego badaniu, podejmuje lekarz, zgodnie z § 2 ust. 2 Rozporządzenia Ministra Zdrowia i Opieki Społecznej w sprawie przeprowadzania badań lekarskich pracowników, zakresu profilaktycznej opieki zdrowotnej nad pracownikami oraz orzeczeń lekarskich wydawanych do celów przewidzianych w Kodeksie pracy. Zgodnie z ww. przepisem cyt.: „(…) lekarz przeprowadzający badanie profilaktyczne może poszerzyć jego zakres o dodatkowe specjalistyczne badania konsultacyjne oraz badania dodatkowe, a także wyznaczyć krótszy termin następnego badania, niż to określono we wskazówkach metodycznych, jeżeli stwierdzi, że jest to niezbędne dla prawidłowej oceny stanu zdrowia osoby przyjmowanej do pracy lub pracownika (…)”, co oznacza tyle, iż pracodawca nie posiada uprawnień do merytorycznego kwestionowania zakresu przeprowadzonych badań.

Zdaniem UODO

Urząd w treści wyżej wymienionej korespondencji słusznie podnosi, iż cyt.: „(…) prawo do prywatności o ochrony danych osobowych jednostki e zestawieniu z aspektem finansowym – kosztami poniesionym przez pracodawcę na wykonanie badań pracowników – ma nadrzędne znaczenie (…)”. Co więcej w treści ww. wystąpienia czytamy, iż cyt.: „(…) cel służący rozliczeniom nie może prowadzić do udostępniania danych osobowych pracownika dotyczących jego zdrowia. Wskazać należy, że (…) imienny wykaz pracowników wraz z adnotacją o wykonanych badaniach lekarskich i laboratoryjnych – w ocenie organu ochrony danych osobowych, prowadziłby do naruszenia prawa do prywatności i ochrony danych osobowych pracownika (…)”.

Konsekwencje

Naruszenie zasady adekwatności określonej w art. 5 ust. 1 c) RODO, może w skrajnym przypadku prowadzić do nałożenia na pracodawcę – jako administratora danych osobowych gromadzącego dane z naruszeniem ww. zasady – sankcji przewidzianych w art. 83 ust. 5 RODO. Stwarza również ryzyko pociągnięcia go do  odpowiedzialności odszkodowawczej, o jakiej  mowa w art. 82 ust. 1 RODO.

Art. 82 ust. 1 RODO „(…)Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę(…)”.

Zalecenie praktyczne

Powyższe rozwiązanie w całości wyeliminuje ryzyko po stronie pracodawcy będącego odrębnym administratorem danych osobowych postawienia mu zarzutu przetwarzania danych z naruszeniem zasady adekwatności, minimalizacji danych, oraz po stronie Jednostki możliwość zarzutu przetwarzania danych poprzez ich udostępnianie niezgodnie z przepisami.

Zestawienia przy fakturach zawierające dane pracowników, wraz z wynikami ich badań, nie powinno trafiać do pracodawców, kierujących na badania w ramach medycyny pracy.

Zestawienie imienne pracowników i wyników badań a prawo pracodawcy do kontroli zakresu przeprowadzonych badań w ramach medycyny pracy.

Autorem niniejszego tekstu jest: Dominik Spałek. Copyright by © D.Spałek
Kontakt z autorem: biuro@prostetorodo.pl / www.prostetorodo.pl
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami.

Wzory dokumentów RODO

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.

Pełna lista
Udostępnianie dokumentacji medycznej

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Dodaj do koszyka
NIK lista pyutań kontrolnych

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Dodaj do koszyka
Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln

Dodaj do koszyka

RODO a BHP

przez
Przepisy RODO a BHP

Szkolenie pracowników w zakresie BHP

Przeprowadzanie szkoleń BHP jest obligatoryjnym obowiązkiem Pracodawcy    wynikającym z przepisów Ustawy Kodeks Pracy z dnia 26 czerwca 1974 r.

  • Pracodawca przeprowadza szkolenie sam, korzystając z usług pracownika BHP    zatrudnionego wewnątrz organizacji. Pracodawca przetwarza dane pracowników na podstawie art. 6 ust. 1 lit. c) ogólnego rozporządzenia o ochronie danych osobowych tj. w celu wypełnienia ciążącego na nim obowiązku prawnego. Oznacza to, że nie musi uzyskiwać zgody od pracowników na przetwarzanie ich danych.
  • Pracodawca korzysta z usług podmiotu zewnętrznego – przekazywanie danych     pracowników biorących udział w szkoleniu następuje również bez ich zgody i odbywa     się na podstawie art. 6 ust. 1 lit. c) ogólnego rozporządzenia o ochronie danych    osobowych tj. w celu wypełnienia ciążącego na Pracodawcy obowiązku prawnego.

Status zewnętrznej firmy szkoleniowej z zakresu BHP w świetle przepisów ogólnego rozporządzenia o ochronie danych.

Realizacja szkolenia bhp przez zewnętrzną firmę szkoleniową odbywa się na wyraźne polecenie Pracodawcy. Polecenie to wiąże się z koniecznością przetwarzania, zleceniem przetwarzania, przez zewnętrzną firmę danych osobowych pracowników skierowanych przez Pracodawcę na szkolenie. W konsekwencji konieczne jest zawarcie z zewnętrzną firmą szkoleniową umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 Rozporządzenia RODO na podstawie, której Pracodawca zleca przetwarzanie danych pracowników wyłącznie w zakresie niezbędnym do realizacji zadania głównego.

Temat ten poruszony został w stanowisku UODO z dnia 15 października 2020r, w którym to czytamy:

W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania.
 

Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług).

Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu – w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń.

Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych.

Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej.

Postępowania powypadkowe związane z naruszeniem przepisów BHP.

Na podstawie § 7 ust. 1 pkt 4 Rozporządzenia Rady Ministrów z 01.07.2009 r. w sprawie ustalenia okoliczności i przyczyn wypadków przy pracy[1] Inspektor BHP niezwłocznie od otrzymania wiadomości o wypadku jest zobowiązany do ustalenia okoliczności przyczyn wypadku, w szczególności: do zebrania informacji od świadków wypadku. Podstawą pozyskiwania danych osobowych świadka będzie art. 6 ust. 1 lit. c) Rozporządzenia RODO tj. konieczność wypełnienia obowiązku prawnego ciążącego na Administratorze danych osobowych a także art.  6 ust. 1 lit. f) Rozporządzenia RODO, czyli prawnie uzasadniony interes Administratora danych osobowych,  w którego organizacji doszło do wypadku tj. w szczególności zapewnienie ochrony przed przyszłymi roszczeniami. 

Świadek powinien zostać poinformowany, że dane osobowe będą przetwarzane tylko dla potrzeb sporządzenia dokumentacji powypadkowej, którą otrzymają osoby uprawnione i podmioty wymienione w przepisach prawa tj. w szczególności: poszkodowany/ewentualnie członek jego rodziny, ZUS, lub wg potrzeby: Państwowa Inspekcja Pracy, Policja, Prokurator, Sędzia. Dokumentacja powypadkowa będzie przechowywana przez Administratora danych osobowych przez 10 lat, a następnie niszczona, z zastrzeżeniem, że jeśli celem przetwarzania będzie dochodzenie roszczeń to przez okres ich przedawnienia.

Inspektor BHP wykonuje swoje obowiązki w tym zakresie posiadając pisemne polecenie i upoważnienie od Administratora danych osobowych do przetwarzania danych w granicach sporządzania protokołu ustalania okoliczności i przyczyn wypadku.

[1] http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20091050870

Wykorzystywanie nagrań z monitoringu stosowanego w organizacji do celów szkoleniowych z BHP.

Pracodawca w oparciu o prawnie uzasadniony interes w rozumieniu art. 6 ust. 1 lit. f) Rozporządzenia RODO ma prawo użyć fragmentów nagrań z monitoringu i pokazywać je w celu szkoleniowym wyselekcjonowanej grupie pracowników, mając na uwadze ochronę przed incydentami, a tym samym zapewnienie bezpieczeństwa wewnątrz organizacji. Pracodawca musi jednak pamiętać, by takie działania nie narażały nikogo na naruszenie czci, czy dobrego imienia.

Zawiadomienie o wypadku przy pracy osoby wskazanej przez pracownika w treści kwestionariusza osobowego/ protokołu powypadkowego.

Podstawę prawną z zakresu przepisów o ochronie danych osobowych w tym zakresie stanowią art. 6 ust. 1 lit. e) oraz art. 9 ust. 2 lit. c) Rozporządzenia RODO tj. działanie w oparciu o ochronę żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej. Oznacza to, że zgoda osoby wskazanej przez pracownika w treści kwestionariusza osobowego/protokołu powypadkowego – nie jest wymagana.

Zespół powypadkowy.

Zespół powypadkowy, powoływany przez Pracodawcę, jest zobowiązany wykorzystać materiały zebrane przez organy prowadzące śledztwo lub dochodzenie, jeżeli materiały te zostaną mu udostępnione. Zespół powypadkowy jest zobowiązany również zasięgnąć opinii lekarza, a w razie potrzeby opinii specjalistów, w zakresie niezbędnym do oceny rodzaju i skutków wypadku. Zespół powypadkowy w przypadku

Wypadku, który miał rozmiary katastrofy lub spowodował zagrożenie dla bezpieczeństwa publicznego, wykorzystuje ustalenia zespołu specjalistów,  powołanego przez właściwy organ sprawujący nadzór. Członkowie Zespołu powypadkowego sporządzają stosowne oświadczenia dotyczące dokumentacji  dostarczonej przez poszkodowanego do wglądu, zawierające:

  • imię i nazwisko poszkodowanego
  • pesel
  • rozpoznanie (opis  doznanego urazu), historię choroby
  • datę i podpis sporządzającego dokument

Pracodawca w związku z postępowaniem w sprawie zaistniałego wypadku w pracy, wypadku w drodze do pracy i z pracy, podejrzenia i stwierdzenia choroby zawodowej przetwarza następujące dane osobowe:

w protokole ustalenia okoliczności i przyczyn wypadku przy pracy na podstawie Rozporządzenia Ministra Rodziny, Pracy i Polityki Społecznej z dnia 24 maja 2019 r. w sprawie wzoru protokołu ustalenia okoliczności i przyczyn wypadku przy pracy:

  • nazwa lub imię i nazwisko Pracodawcy, adres siedziby Pracodawcy, NIP, seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość Pracodawcy, pesel, kod PKD
  • imię, nazwisko i funkcja/stanowisko członków zespołu powypadkowego
  • imię i nazwisko poszkodowanego, data urodzenia, miejsce zamieszkania (kod pocztowy, miejscowość, ulica, numer domu lub lokalu) seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamości, pesel, dane o zatrudnieniu, stanowisko służbowe, data i godzina wypadku, miejsce wypadku, ustalenie okoliczności i przyczyn wypadku
  • skutki wypadku dla poszkodowanego – rodzaj i umiejscowienie urazu
  • imię i nazwisko osoby zgłaszającej wypadek

Zgodnie z Rozporządzeniem Rady Ministrów z dnia 1 lipca 2009 roku w sprawie ustalania okoliczności i przyczyn wypadków przy pracy ;

W dokumencie wewnętrznym Pracodawcy (zarządzeniu):

  • imię, nazwisko i funkcja/stanowisko członków zespołu powypadkowego

W Rejestrze wypadków przy pracy:

  • imię i nazwisko poszkodowanego
  • miejsce i datę wypadku
  • informacje dotyczące skutków wypadku poszkodowanego
  • datę sporządzenia protokołu powypadkowego
  • stwierdzenie czy wypadek jest wypadkiem przy pracy czy nie
  • datę przekazania do Zakładu Ubezpieczeń Społecznych wniosku oświadczenia z tytułu wypadku przy pracy
  • liczbę dni niezdolności do pracy
  • inne informacje, niebędące danymi osobowymi, których zamieszczenie w rejestrze jest celowe, w tym wnioski i zalecenia profilaktyczne zespołu powypadkowego

W dokumencie stanowiącym wyjaśnienie poszkodowanego:

  • imię (imiona) i nazwisko, data urodzenia poszkodowanego
  • seria i numer dowodu osobistego lub innego dokumentu potwierdzającego tożsamość
  • pesel
  • miejsce zatrudnienia – nazwa i adres
  • stanowisko służbowe
  • data i godzina wypadku, miejsce wypadku
  • miejsce zamieszkania
  • opis okoliczności i przyczyn wypadku

W dokumencie zawierającym informacje uzyskane od świadka wypadku:

  • imię (imiona) i nazwisko świadka wypadku
  • miejsce zamieszkania świadka wypadku
  • miejsce zatrudnienia – nazwa i adres pracodawcy
  • stanowisko służbowe
  • data i godzina wypadku
  • miejsce wypadku
  • opis okoliczności i przyczyn wypadku

Dokumentacja niezbędna do ustalenia uszczerbku na zdrowiu ubezpieczonego, jaką Płatnik składek jest zobowiązany przesłać do ZUS zgodnie z Rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 18 grudnia 2002 roku w sprawie szczegółowych zasad orzekania o stałym lub długotrwałym uszczerbku na zdrowiu, trybu postępowania przy ustalaniu tego uszczerbku oraz postępowania o wypłatę jednorazowego odszkodowania :

  • wniosek o jednorazowe odszkodowanie
  • protokół powypadkowy
  • prawomocny wyrok sądu pracy
  • karta wypadku
  • decyzja o stwierdzeniu choroby zawodowej
  • zaświadczenie o stanie zdrowia wydane przez lekarza, pod którego opieką znajduje się ubezpieczony
  • odpis aktu zgonu – w przypadku zgonu osoby, która uległa wypadkowi przy pracy, lub u której stwierdzono chorobę zawodową

Dane zawarte na Karcie wypadku w drodze do pracy lub z pracy zgodnie z Rozporządzeniem Ministra Pracy i Polityki Społecznej z dnia 27 kwietnia 2012 roku zmieniające rozporządzenie w sprawie szczegółowych zasad oraz trybu uznawania za wypadek w drodze do pracy lub z pracy, sposobu jego dokumentowania, wzoru karty wypadku w drodze do pracy lub z pracy oraz terminu jej sporządzania

  • wniosek o jednorazowe odszkodowanie
  • protokół powypadkowy
  • prawomocny wyrok sądu pracy
  • karta wypadku
  • decyzja o stwierdzeniu choroby zawodowej
  • zaświadczenie o stanie zdrowia wydane przez lekarza, pod którego opieką znajduje się ubezpieczony
  • odpis aktu zgonu – w przypadku zgonu osoby, która uległa wypadkowi przy pracy, lub u której stwierdzono chorobę zawodową

Dane w Rejestrze wypadków w drodze do pracy i z pracy do domu:

  • imię i nazwisko poszkodowanego, data wypadku, data sporządzenia karty wypadku, uwagi

Dane przetwarzane przy zgłoszeniu podejrzenia choroby zawodowej zgodnie z Rozporządzeniem Ministra Zdrowia z dnia 1 sierpnia 2002 r. w sprawie dokumentowania chorób zawodowych i skutków tych chorób:

Zgłoszenie podejrzenia choroby zawodowej:

  • nazwa i adres podmiotu zgłaszającego podejrzenie choroby zawodowej
  • imię i nazwisko, data i miejsce urodzenia, adres zamieszkania, pesel, aktualna sytuacja zawodowa, aktualny pracodawca – pełna nazwa, adres, numer identyfikacyjny regon, stanowisko i rodzaj pracy, okresy zatrudnienia osoby u której wystąpiło podejrzenie choroby zawodowej
  • miejsce zatrudnienia lub wykonywania pracy, w którym nastąpiło narażenie zawodowe będące powodem zgłoszenia podejrzenia choroby zawodowej, adres, regon, stanowisko i rodzaj pracy byłego pracodawcy
  • pełna nazwa choroby zawodowej której dotyczy zgłoszenie, z wykazu chorób zawodowych
  • czynniki i okres narażenia zawodowego.

Karta oceny narażenia zawodowego w związku z podejrzeniem choroby zawodowej:

  • nazwa i adres podmiotu sporządzającego kartę
  • imię i nazwisko, data i miejsce urodzenia, pesel, adres zamieszkania osoby u której wystąpiło podejrzenie choroby zawodowej
  • aktualna sytuacja zawodowa osoby u której wystąpiło podejrzenie choroby zawodowej tj. aktualny pracodawca – pełna nazwa, adres, regon
  • nazwa i pozycja choroby zawodowej
  • imię i nazwisko, funkcja/stanowisko zgłaszającego podejrzenie choroby zawodowej

Zawiadomienie o skutkach choroby zawodowej:

  • nazwa i adres pracodawcy u którego powstała choroba zawodowa pracownika
  • regon pracodawcy
  • imię i nazwisko chorego, płeć, data urodzenia, adres chorego, liczbę dni niezdolności do pracy, informacja o odszkodowaniu

Dane przetwarzane w Rejestrze podejrzeń o choroby zawodowe i w Rejestrze stwierdzonych chorób zawodowych zgodnie z Ustawą z dnia 26 czerwca 1974 roku Kodeks Pracy:

Rejestr podejrzeń o choroby zawodowe:

  • imię i nazwisko pracownika, u którego wystąpiło podejrzenie o zachorowanie na chorobę zawodową
  • data zgłoszenia podejrzenia o chorobę zawodową
  • data zgłoszenia do Państwowej Inspekcji Pracy i Państwowej Inspekcji Sanitarnej
  • nazwa choroby zawodowej
  • data i numer decyzji Państwowego Inspektora Sanitarnego

Rejestr stwierdzonych chorób zawodowych:

  • imię i nazwisko oraz stanowisko pracownika chorego na chorobę zawodową
  • data stwierdzenia choroby zawodowej
  • data i numer decyzji Państwowego Inspektora Sanitarnego
  • nazwa choroby zawodowej (oraz numer statystyczny )
  • skutki choroby zawodowej
  • data wysłania do Instytutu Medycyny Pracy w Łodzi oraz do Państwowej Inspekcji Sanitarnej zawiadomienia o skutkach choroby zawodowej
  • wnioski w zakresie poprawy stanu BHP jeżeli choroba powstała wskutek pracy w tym zakładzie pracy

Autorka: Magdalena Waszak

Magdalena Waszak

Autor: Magdalena Waszak

Inspektor ochrony danych w dużych instytucjach publicznych i prywatnych podmiotach świadczących usługi zdrowotne. Absolwentka studiów podyplomowych z ochrony danych osobowych pod patronatem UODO. Uczestniczka wielu konferencji naukowych i szkoleń z dziedziny bezpieczeństwa danych osobowych. Audytor wewnętrzny Systemu Zarządzania Jakością ISO 9001:2015 i ISO/IEC 27001. Od 12 lat związana z branżą medyczną i sportową. Zajmuje się głównie prawami pacjenta, prawem pracy i prawem zamówień publicznych. Zaangażowana we wspieranie organizacji pozarządowych broniących praw człowieka m.in. Amnesty International.

Sklep RODO dla przedsiębiorcy

Wybierz interesujący tematycznie dział Sklepu RODO

Podmioty medyczne

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>
Placówki Oświatowe

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>
Przedsiębiorcy i firmy

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>
Stanowiska IOD

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>
Oferta usług informatycnzych

Oferta
usług informatycznych

Wejdź do sklepu >>>
Niszczarki do dokumentów

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>

Nieprzytomny pacjent a informacja o jego stanie zdrowia

przez
Nieprzytomny pacjent

Nieprzytomny pacjent a prawo do udzielenia informacji na temat jego stanu zdrowia.

Nieprzytomny pacjent to sytuacja, w której personel jednostki medycznej niestety znajduje się bardzo często. Z tego względu posiadanie wiedzy na temat procedur obowiązujących, w takich sytuacjach to podstawa. Zachowanie personelu powinno być nacechowane troską o poszanowanie praw pacjenta, oraz troską o jego stan zdrowia. Należy mieć na względzie bowiem to, iż osoby pytające o stan zdrowia nieprzytomnego pacjenta, mogą mieć informacje istotne z punktu widzenia medycznego dla pacjenta.

Czy rodzina nieprzytomnego pacjenta ma prawo uzyskania informacji na temat jego stanu zdrowia?

Zgodnie z art. 31 ust. 6 UoZL „(…)  jeżeli pacjent nie ukończył 16 lat lub jest nieprzytomny bądź niezdolny do zrozumienia znaczenia informacji, lekarz udziela informacji osobie bliskiej w rozumieniu art. 3 ust. 1 pkt 2 ustawy z dnia 6 listopada 2008 r. oprawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.z2017r.poz.1318, ze zm.) (…), co oznacza tyle, iż w wyjątkowej sytuacji, kiedy to:

  • pacjent nie ukończył jeszcze 16 lat,
  • albo pacjent bez względu na wiek, ale jest nieprzytomny,
  • albo bez względu na wiek, ale jest niezdolny do zrozumienia znaczenia informacji mu przekazywanych,

lekarz udziela informacji o stanie zdrowia takiego pacjenta osobie bliskiej, w rozumieniu UoPPiRP. Znajduje to swoje uzasadnienie w wyjątkowym stanie faktyczny oraz racjonalnym założeniu, iż przeważająca większość pacjentów życzy sobie, aby informacje o ich stanie zdrowia posiadali członkowie ich rodzi. Należy także zwrócić uwagę na okoliczność, iż takie osoby, z racji stopnia zażyłości z pacjentem pozostającym w wyjątkowej sytuacji zdrowotnej, mogą posiadać istotne z medycznego punktu widzenia informacje nt. samego pacjenta, których uwzględnienie przy udzielaniu świadczeń zdrowotnych może mieć znaczenie albo istotne znaczenie dla stanu zdrowia a nawet życia pacjenta. Powyższe uzasadnia, iż w sytuacji wyjątkowej, nawet przy braku wyrażenia zgody, złożenia oświadczenia o upoważnieniu do dostępu do informacji o stanie zdrowia pacjenta, lekarza ma prawo do udzielenia informacji, udziela informacji osobom bliskim pacjenta. Opracowany przez nas schemat udzielania informacji ułatwi zrozumienie tematu.

Nieprzytomny pacjent to sytuacja, w której personel jednostki medycznej niestety znajduje się bardzo często. Z tego względu posiadanie wiedzy na temat procedur obowiązujących, w takich sytuacjach to podstawa. Zachowanie personelu powinno być nacechowane troską o poszanowanie praw pacjenta, oraz troską o jego stan zdrowia. Należy mieć na względzie bowiem to, iż osoby pytające o stan zdrowia nieprzytomnego pacjenta, mogą mieć informacje istotne z punktu widzenia medycznego dla pacjenta.

Podstawa prawna.

Autor: mgr Dominik Spałek

Kontakt: tel. 694 494 240
Email: biuro@prostetorodo.pl

Przygotowaliśmy procedurę z wzorami i wprowadzeniem

  • Kto ma prawo do informacji o stenie zdrowia pacjenta?
  • Jaki jest zakres możliwych do udzielenia informacji?
  • Co w sytuacji, kiedy pacjent jest niepełnoletni?
  • Czy można ograniczyć pacjenta w prawie do informacji o jego stanie zdrowia?
  • Jak ma się zachować lekarz w sytuacji, w której np. są złe rokowania co do stanu zdrowia pacjenta?
  • W jaki sposób przyjmować zgody na udzielanie informacji?
  • Czy należy wprowadzić hasła dla identyfikacji?
  • Co kiedy pacjent nie ukończył 16 roku życia?
  • Jak postąpić, kiedy policjant prosi o informacje nt. pobytu pacjenta w placówce?
  • Jakie wprowadzić mechanizmy identyfikacji tożsamości na odległość?
  • Kto to jest osoba bliska, i jak ustalić jej tożsamość np. przez telefon?
  • Jak należy postępować, kiedy pacjent jest nieprzytomny?
  • Kogo informować, kiedy pacjent jest niezdolny do zrozumienia znaczenia informacji?
Procedura udzielania informacji na temat stanu zdrowia i udzielonych świadczeń
Procedura udzielania informacji o stanie zdrowia pacjenta w PWDL
Materiały szkoleniowe Cyberbezpieczeństwo RODO
Materiały szkoleniowe Cyberbezpieczeństwo RODO

Materiały szkoleniowe Cyberbezpieczeństwo RODO

Materiały szkoleniowe Cyberbezpieczeństwo RODO dla pracowników gotowe do wykorzystania przez Administratorów Danych Osobowych lub Inspektorów Ochrony Danych prowadzących działania edukacyjne w firmie. Kupując nasz produkt otrzymują Państwo dostęp do wszystkich materiałów edukacyjno-informacyjnych szkoleniowych, jakie tworzymy na bieżąco. Otrzymują Państwo także gotowy harmonogram szkoleniowy, co pozwala na wykazanie, rozliczenie realizacji obowiązku szkoleniowego IOD.

W skład pakietu wchodzi:

  • Harmonogram szkoleniowy – dzięki któremu wykazywana jest rozliczalność działań szkoleniowych
  • Materiały edukacyjne szkoleniowe – dedykowane na kolejne 12 miesięcy

Spis treści:

  • Styczeń – „Jakie kroki można podjąć po wycieku danych dotyczących zdrowia”.
  • Luty – „Oszuswo na BLIKa”.
  • Marzec – „Czym jest phishing, jak się przed nim bronić”.
  • Kwiecień  – „Ochrona  danych osobowych a przyczyny nieobecności w pracy pracowników”.
  • Maj – „Cyberbezpieczeństwo i problem jednego hasła w wielu serwisach”.
  • Czerwiec – „Podstawowe i szczegółowe zasady pracy z pocztą elektroniczną”.
  • Lipiec – „Urlop od RODO ! broszura informująca o zagrożeniach podczas wypoczynku”.
  • Sierpień – „Przypomnienie zasad przetwarzania danych – w codziennej pracy”.
  • Wrzesień – „Jak ułatwić sobie pracę – popularne skróty klawiszowe”
  • Październik – „W jaki sposób rozpoznać próbę ataku na zasoby firmy z wykorzystaniem email”
  • Listopad – „Korzystanie z przenośnych pamięci danych w pracy, ryzyka i środki zaradcze”.
  • Grudzień – „Prywatny adres email do celów służbowych”.

Bezpośrednio po zakupie otrzymają Państwo nw. materiały szkoleniowe. Z uwagi n fakt, iż na bieżąco tworzymy kolejne materiały w odpowiedzi na aktualne wydarzenia, liczba materiałów szkoleniowych stale rośnie. W przypadku kiedy stworzymy materiały, będziemy je przesyłali do Państwa na bieżąco – za darmo, do końca br.

 

Czytaj więcej >>>
Prowadzenie dokumentacji medycznej podczas wizyt domowych

Prowadzenie dokumentacji medycznej podczas wizyt domowych

Prowadzenie dokumentacji medycznej podczas wizyt domowych jest to zjawisko, które coraz częściej obecne jest w realiach podmiotów medycznych. Nie tylko oczekiwania i potrzeby zdrowotne pacjentów stanowią uzasadnienie dla wdrożenia takich rozwiązań, ale także zmieniające się przepisy, sprawiają, iż korzystanie z przenośnego sprzętu komputerowego z dostępem do zasobów bazodanowych przez personel udzielający świadczeń zdrowotnych w miejscu zamieszkania pacjenta, stają się obowiązkiem.

Nie tylko sprzęt, ale i dostęp zdalny do danych

Udzielanie świadczeń medycznych czy to w ramach tzw. „wizyt domowych”, bądź w ramach „opieki środowiskowej” czy też wystawianie recept w postaci elektronicznej podczas wizyty realizowanej w miejscu zamieszkania pacjenta, pociąga za sobą konieczność odpowiedniego przygotowania personelu medycznego do prowadzenia, zabezpieczania i przechowywania dokumentacji medycznej powstającej w takich sytuacjach.

Dokumentacja przygotowana do wdrożenia:

  1. Procedura pracy z wykorzystaniem sprzętu wynoszonego poza obszar podmiotu medycznego.
  2. Procedura zdalnego dostępu do danych.
  3. Upoważnienie dla personelu medycznego.
  4. Oświadczenie o zapoznaniu się z Procedurami pracy ze zdalnym dostępem do pracy.
  5. Karta szkolenia wstępnego.
  6. Test sprawdzający.
Czytaj więcej >>>
Stanowisko IOD - obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej
Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Obowiązek prowadzenia wykazu udostępnionej dokumentacji medycznej

Stanowisko IOD – przypominające o obowiązku prowadzenia wykazu udostępnionej dokumentacji medycznej przez podmiot wykonujący działalność leczniczą. Opracowanie zawiera szczegółowe informacje na temat tego, jakie dane należy bezwzględnie zamieszczać w wykazie, jakie mogą zostać w nim zapisane dodatkowo, oraz przedstawia błędne praktyki, z jakimi można spotkać się w praktyce funkcjonowania podmiotów leczniczych.

Stanowisko IOD

Czytaj więcej >>>
Polityka ochrony dzieci przed krzywdzeniem
Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych – z dniem 15 lutego 2024 r. wchodzą w życie znowelizowane przepisy, które m.in. na podmioty medyczne nakładają nowe obowiązki opracowania i wdrożenia standardów ochrony małoletnich, jakie należy przestrzegać w podmiotach medycznych. Nowe obowiązki wynikają wprost z treści Ustawy o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich [tj. Dz.U. z 2023 r., poz. 1304 ze zm.].

Procedura ochrony dzieci przed krzywdzeniem w podmiotach leczniczych

Przygotowaliśmy dla Państwa wzorcową dokumentację zgodną z wytycznymi zawartymi w Ustawie o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym i ochronie małoletnich. Pakiet dokumentów zawiera zarówno:

  • Omówienie podstawowych obowiązków podmiotu medyczne wynikających ze znowelizowanych przepisów
  • Wzór zapisów do Rejestru Czynności Przetwarzania Danych dla czynności sprawdzania kandydatów w rejestrach
  • Pełną wersję Polityki ochrony przed krzywdzeniem dzieci
  • Skróconą wersję Polityki ochrony przed krzywdzeniem dzieci

Standardy Ochrony Małoletnich dla szpitala

Czytaj więcej >>>
Co kiedy jednak podmiot medyczny zawarł umowę powierzenia z zewnętrznym laboratorium medycznym
Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Konsekwencje zwarcia umowy powierzenia z laboratorium zewnętrznym

Stanowisko opisuje konsekwencje sytuacji, w której to podmiot wykonujący działalność leczniczą zawarł umowę powierzenia przetwarzania danych osobowych z zewnętrznym laboratorium diagnostycznym w związku ze zlecaniem wykonywania badań diagnostycznych swoich pacjentów. Wbrew pozorom sytuacji, w której mamy do czynienia z takim zawieraniem umów powierzenia przetwarzania danych jest więc niż można byłoby przypuszczać.

Czytaj więcej >>>
Zalecenia dla podmiotów medycznych zlecających badania laboratoryjne w ALAB laboratoria Sp. z o.o.
Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

Zalecenia dla podmiotu zlecającego badania w ALAB laboratoria Sp. z o.o.

W związku z Komunikatem z dnia 27 listopada 2023r., w którego treści ALAB laboratoria sp. z o.o. informuje o cyt.: „(…)o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego (…)” przygotowaliśmy stosowne Stanowisko IOD zawierające zalecenia dla podmiotów medycznych, zlecających wykonywanie badań ALAB laboratoria sp. z o.o.  Stanowisko IOD zawiera wyjaśnienia dotyczące kwestii związanej z ewentualnym obowiązkiem dokonania zgłoszenia zdarzenia do UODO oraz powiadomienia podmiotów danych, których zdarzenie dotyczyło. Wyjaśniamy także kwestie związane z obiegiem dokumentacji pomiędzy laboratorium zewnętrznym a podmiotem zlecającym. Wskazujemy ponadto na zasadność podjęcia określonych działań po stronie podmiotu zlecającego.

Czytaj więcej >>>
Materiały szkoleniowe zasady korzystania z pendrive w firmie Stanowisko IOD
Zasady korzystania z przenośnych pamięci

Zasady korzystania z przenośnych pamięci – stanowisko IOD zawierające materiały szkoleniowe kierowane do pracowników korzystających z przenośnych pamięci danych. Stanowisko opisuje podstawowe zasady bezpieczeństwa, jakich należy przestrzegać pracując z takimi urządzeniami. Wskazane zostało także, jakie praktyki są niedopuszczalne. Stanowisko IOD zawiera także listę pozwalającą na uzyskanie rozliczalności z realizacji zadania edukacyjnego personelu.

Stanowisko IOD materiały edukacyjne szkoleniowe informacyjne

Czytaj więcej >>>
Ocena ryzyka korzystanie z Pendrive materiały szkoleniowe
Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przygotowaliśmy dla Państwa materiał, jaki dedykowany jest dla tych podmiotów, które w związku ze swoim funkcjonowaniem przetwarzają dane z wykorzystaniem przenośnych pamięci danych.

Pakiet dokumentów zawiera:

  • Ankietę ewaluacyjną – ankietę sprawdzającą dzięki której ADO / IOD dokonać mogą analizy stanu faktycznego, a następnie na jej podstawie zalecić stosowanie adekwatnych środków bezpieczeństwa, zabezpieczających przetwarzanie danych osobowych z wykorzystaniem przenośnych pamięci danych.
  • Materiał szkoleniowy dla personelu – materiał pełni rolę informacyjną, jego zadaniem jest edukować personel korzystający z przenośnych pamięci danych w zakresie tego, jakiego rodzaju ryzyka związane są z takim przetwarzaniem oraz jakich zasad należy przestrzegać korzystając z przenośnych pamięci danych.

 

Czytaj więcej >>>
Informacje udostępniane pacjentom w podmiocie medycznym
Ankieta poprawności realizacji obowiązku informacyjnego

Ankieta poprawności realizacji obowiązku informacyjnego

Podmioty medyczne zobowiązane są do realizacji różnego rodzaju obowiązków informacyjnych zarówno na gruncie przepisów prawa ochrony danych, jak i przepisów branżowych. Przygotowaliśmy zestawienie w formie ankiety weryfikującej poprawność realizacji poszczególnych obowiązków informacyjnych.

Zakupując naszą dokumentację sprawdzą Państwo.

  • jakiego rodzaju obowiązki należy realizować,
  • czy w sposób zgodny z przepisami informacje przekazywane są w podmiocie leczniczym.

 

Czytaj więcej >>>

Wybierz interesujący tematycznie dział Sklepu RODO

Podmioty medyczne

Dokumentacja RODO
dla podmiotów medycznych

Wejdź do sklepu >>>
Placówki Oświatowe

Dokumentacja RODO
dla podmiotów oświatowych

Wejdź do sklepu >>>
Przedsiębiorcy i firmy

Dokumentacja RODO
dla firm i przedsiębiorstw

Wejdź do sklepu >>>
Stanowiska IOD

Stanowiska IOD
Zalecenia i sanowiska

Wejdź do sklepu >>>
Oferta usług informatycnzych

Oferta
usług informatycznych

Wejdź do sklepu >>>
Niszczarki do dokumentów

Oferta
niszczarki do dokumentów

Wejdź do sklepu >>>

Cofnięcie upoważnienia do przetwarzania danych

przez
e-ZLA błedny PESEL

Cofnięcie upoważnienia do przetwarzania

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Rozporządzenie RODO.

Dowiedz się więcej

Opieka zdrowotna nad uczniami

przez
Opieka zdrowotna nad dziećmi w szkole

Opieka zdrowotna nad uczniami - nowe zasady i zadania

Ustawa o opiece zdrotownej nad uczniami.

Opieka zdrowotna nad uczniami. Dnia 12 września 2019 r., weszła w życie nowa Ustawa o opiece zdrowotnej nad uczniami. Regulacje ustawowe zastąpiły dotychczas obowiązujące Rozporządzenie Ministra Zdrowia z dnia 28 sierpnia 2009 r. w sprawie organizacji profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą. Najogólniej rzecz ujmując Ustawa o opiece zdrowotnej nad uczniami [dalej UOZ] reguluje sposób świadczenia usług zdrowotnych w szkołach oraz wskazuje podmioty, które są zobowiązane do świadczenia tych usług oraz zapewnienia warunków organizacyjnych, a także sposób współpracy tych podmiotów.

Dowiedz się więcej

Dokumentacja RODO dla fizjoterapeutów

przez
Dokumentacja RODO dla fizjoterapeutów

Dokumentacja RODO dla fizjoterapeutów.

Obowiązek posiadania / stosowania / weryfikowania.

Dokumentacja RODO dla fizjoterapeutów stała się faktem. Fizjoterapeuci są zobowiązani do prowadzenia, udostępniania i zabezpieczania, nie tylko dokumentacji medycznej, ale i dokumentacji, jaka określona jest przepisami o ochronie danych osobowych. Jednak nie należy wpadać w panikę. Należy zrozumieć i przyjąć za tezę, iż administrator danych osobowych powinien utworzyć, stosować i weryfikować dokumenty dotyczące przetwarzania danych osobowych, obowiązujące w ramach jego struktury. Taki to obowiązek nakłada na niego Rozporządzenie RODO.

Zakres dokumentacji dotyczącej przetwarzania danych daleko odbiega od obecnie znanych i stosowanych wzorów. Wzorów, jakie były obowiązujące pod rządami poprzednich regulacji prawych. Nie zmienia to jednak faktu, iż przepisy Rozporządzenia RODO wymagają od administratora posiadania, stosowania i weryfikowania dokumentacji dotyczącej przetwarzania danych osobowych. Zmiana sposobu podejścia do dokumentacji polegająca na odstąpieniu od sztywnego wzorca wymaganych dokumentów, na rzecz regulacji zakładającej swego rodzaju dowolność, nie oznacza, iż nie istnieją granice owej dowolności. Liczne opracowania zdają się sugerować, iż administratorzy wraz z rozluźnieniem wytycznych, co do tworzenia konkretnych dokumentów, zwolnieni zostali w ogóle z obowiązku posiadania rozbudowanej dokumentacji dotyczącej przetwarzania danych, a skupiać mają się na stosowaniu przepisów prawa. Powyższe jednak sugestie daleko rozmijają się z prawdą, albowiem Rozporządzenie RODO wprost przewiduje mechanizmy odpowiedzialności, jaką ponieść może administrator w związku z uchybieniami w zakresie nie tylko nie stosowania przepisów prawa ale i nie posiadania stosownej dokumentacji.  

Dowiedz się więcej