Dokumentacja RODO w placówkach medycznych

Praktyczny poradnik o dokumentacji w placówce medycznej

Z uwagi na liczne problemy, z którymi zetknęły się podmioty stosujące rozporządzenie już w pierwszych miesiącach jego obowiązywania, dostrzeżono konieczność stworzenia opracowania, które służyć będzie pomocą szczególnie podmiotom medycznym. Stąd niniejsza propozycja, której rozdziały poświęcono analizie takich zagadnień, jak: obowiązek informacyjny placówki medycznej względem pacjentów, polityki wewnętrzne ochrony danych osobowych w podmiocie medycznym, ze szczególnym uwzględnieniem analizy ryzyka czy oceny skutków dla oceny ryzyka, poparte przykładami. Omówiono również status i zadania Inspektora Ochrony Danych, zakres upoważnień do przetwarzania danych czy praktyczne sposoby zabezpieczania i przetwarzania danych osobowych medycznych. Nie bez znaczenia, w dobie kształtujących się pierwszych doświadczeń stosowania RODO, pozostaje proces zgłaszania naruszeń i system kar nakładanych przez PUODO.

Niewątpliwym atutem poradnika jest także szczegółowe przedstawienie zasad zabezpieczenia danych medycznych, poparte praktycznymi przykładami.

Najważniejsze atuty publikacji to:

• liczne przykłady związane z prawidłowym przetwarzaniem szczególnych kategorii medycznych danych osobowych;
• wzory dokumentów i rozwiązań do zastosowania w jednostkach przetwarzających dane osobowe medyczne;
• schematy przebiegu postępowania przed Prezesem UODO;
• omówienie istotnych z uwagi na tematykę poradnika przepisów ogólnego rozporządzenia unijnego o ochronie danych osobowych w kontekście dokumentacji ochrony danych osobowych w placówkach medycznych;
• uwzględnienie przepisów ustawy z 10 maja 2018 r. o ochronie danych osobowych;
• uwzględnienie aktualnych propozycji kodeksów postępowania dla sektora ochrony danych osobowych;
• doskonały zespół Autorów, który tworzą osoby z wieloletnią praktyką, specjalizujące się w problematyce ochrony danych osobowych czy prawie nowych technologii, a także blisko współpracujący z podmiotami leczniczymi.

Prawidłowe stosowanie przepisów o ochronie danych osobowych jest szczególnie istotne w jednostkach, które przetwarzają dane wrażliwe, jakimi są dane medyczne. Trzeba pamiętać, że przetwarzanie takich danych zasadniczo jest zakazane. Jedynym wyjątkiem jest przetwarzanie ich w celu ochrony zdrowia, świadczenia usług medycznych lub leczenia przez osoby zawodowo zajmujące się leczeniem. Każda placówka udzielająca świadczeń zdrowotnych powinna być wyposażona w dokumentację ochrony danych osobowych, która jest zgodna z zasadą legalizmu, transparentności i rozliczalności. Dokumentacja powinna zapewniać bezpieczeństwo placówce medycznej, personelowi oraz pacjentom, korzystającym z jej usług.

Dzięki tej publikacji Czytelnik dowie się m.in.:

• Jak prawidłowo realizować obowiązek informacyjny w placówce medycznej?
• Jak powinna wyglądać wewnętrzna polityka ochrony danych osobowych w placówkach medycznych?
• Czy każda placówka powinna posiadać dokument Polityka Ochrony Danych?
• Na czym polega zasada rozliczności i jak ją wykazać?
• Co powinien zawierać Rejestr Czynności Przetwarzania?
• Dlaczego należy posiadać Rejestr Naruszeń?
• Kiedy i jak zgłosić naruszenie do Prezesa Urzędu Ochrony Danych?
• Jak informować o monitoringu?
• Jakich zgód nie należy pozyskiwać od pacjentów?
• Jakie są obowiązki personelu medycznego na gruncie RODO?
• Czym różni się obowiązek administratora zapewnienia dostępu do dokumentacji medycznej od zapewnienia dostępu do kopii danych?
• Jak prawidłowo zabezpieczyć dane osobowe zgromadzone w dokumentacji medycznej?
• Jak przeprowadzić analizę ryzyka dla danych wrażliwych?
• Jakie są możliwe do zastosowania środki ochrony fizycznej w zakresie bezpieczeństwa danych osobowych?
• Jak zorganizować systemową ochronę danych osobowych przed nieuprawnionym dostępem do nich oraz nieuprawnioną zmianą ich treści?
• Jakie zadania ma Inspektor Ochrony Danych w placówce medycznej?
• Komu nadać nowe upoważnienia do przetwarzania danych osobowych?
• Za jakie zachowania związane z przetwarzaniem danych osobowych grozi obecnie odpowiedzialność karna?
• Jakie środki ochrony prawnej przysługują osobie, której dane dotyczą w związku z naruszeniem przez administratora przepisów RODO?
• Na co zwrócić uwagę przy umowie outsoursingu z Inspektorem Ochrony Danych?
• Jakiego rodzaju naruszenia przepisów RODO skutkują nałożeniem kary pieniężnej przez PUODO?
• Jak przebiega postępowanie w sprawie nałożenia kary pieniężnej prowadzone przez PUODO?
• Co to jest kodeks postępowania dla sektora ochrony zdrowia?
• Czemu służą kodeksy postępowania?
• Jakie są skutki zobowiązania się administratorów i podmiotów przetwarzających dane do stosowania kodeksu postępowania?
• Czym skutkuje zawieszenie, wykluczenie spośród podmiotów stosujących kodeks?
• W jakim, celu należy ustalać kontekst przetwarzania danych osobowych?
• Z wykorzystaniem jakich metod analizować ryzyko przetwarzania danych osobowych płynącego z otoczenia?
• W jakich perspektywach należy analizować zagrożenia dla danych osobowych płynące z otoczenia?
• Jakie jest miejsce IOD w strukturze organizacyjnej podmiotu leczniczego i w jakich rolach występuje w organizacji w kontekście przetwarzania danych osobowych?
• Jak postawy i zachowania pracowników wpływają na bezpieczeństwo danych osobowych?
• Jakie znaczenie mają kompetencje personelu dla zapewnienia bezpieczeństwa danych osobowych?
• Na czym polega powszechny obowiązek notyfikacji naruszeń ochrony danych osobowych?
• Czu każde naruszenie przepisów o ochronie danych osobowych stanowi naruszenie ochrony danych osobowych?
• Na kim ciąży obowiązek zgłoszenia naruszenia organowi nadzoru?
• Jaka jest treść zgłoszenia naruszenia ochrony danych osobowych?
• Jak zrealizować obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych?
• Jak realizować obowiązek dokumentowania naruszeń ochrony danych osobowych?

Przedstawiona do recenzji monografia pod redakcją Anety Sieradzkiej i Dominiki Tykwińskiej-Rutkowskiej jest poświęcona problematyce dokumentowania ochrony danych osobowych w placówkach medycznych. (…) Poszczególne rozdziały są względem siebie komplementarne i nawzajem sobie potrzebne. Podziału monografii na rozdziały dokonano w pełni prawidłowo, tj. wyczerpują zakres tematyczny i porządkują zawarte w nich treści. W monografii wyważono treści naukowe i praktyczne. Poza tym trzeba uczciwie przyznać, że są części wyjaśniające „elementarne” pojęcia, stanowiące swoiste wprowadzenie dla „nieprawników”, jak i rozdziały prezentujące konkretne rozwiązania o charakterze „technicznym czy technologicznym” uzupełnione wywodem naukowym. W ten sposób zespół Autorów bardzo poprawnie stara się wypełnić istniejącą na rynku wydawniczym lukę.

dr n. med. Mariusz K. Wójtowicz
MBA Exec.
Prezes Zarządu
Szpital Miejski w Zabrzu Sp. z o.o.