Zamówienia publiczne, dostęp do danych osób, które już nie pracują w placówce, nieprzestrzeganie zasady czystego biurka czy też brak odpowiednich szkoleń personelu z zakresu ochrony danych osobowych. To tylko niektóre z nieprawidłowości, jakie pojawiają się podczas przeprowadzania audytów w placówkach medycznych.
Placówki medyczne podlegają kontroli organu nadzorczego, jakim jest UODO, w zakresie przetwarzania danych osobowych. Dlatego też tak istotne jest, aby znać dokładnie zasady przeprowadzania takiej kontroli, przebieg tej procedury, jakie dokumenty podlegają weryfikacji oraz jakie prawa ma podmiot kontrolowany z uwzględnieniem specyfiki placówki medycznej.
Jak wskazała Andrea Jelinek, przewodnicząca EROD: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych”. Powyższa teza dotyczy także udostępniania dokumentacji medycznej. Sprawdź, jak wykonywać ten obowiązek w trakcie pandemii.
Zgodnie z podstawowymi zasadami dotyczącymi udostępniania dokumentacji medycznej i udzielania informacji o stanie zdrowia (dokumentacja medyczna jest nośnikiem takiej informacji) pacjent ma w zasadzie nieograniczone prawo do uzyskania danych jego dotyczących, przetwarzanych przez podmiot leczniczy (na przykład samodzielny publiczny zakład opieki zdrowotnej prowadzący szpital).
Ocena skutków w odniesieniu do ochrony danych to proces umożliwiający opisanie przetwarzania oraz ocenę jego konieczności i proporcjonalności. Proces ten ma wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych i określenie środków pozwalających zaradzić tym czynnikom ryzyka. W ten sposób opisuje ocenę skutków Grupa Robocza Art. 29 w swych wytycznych. Jaki jest podział obowiązków między ADO a IOD w tym zakresie?
Ważnym aspektem w pracy administratora danych osobowych pod kątem bezpiecznego przetwarzania danych jest przeprowadzanie oceny ryzyka. Taki dokument powinien jednak być opracowywany w odpowiednich standardach. W tym celu warto przygotować regulamin zarządzania ryzykiem ochrony danych osobowych.
Instytucja tzw. uprzednich konsultacji może wystąpić w związku z oceną skutków dla ochrony danych (dalej: OSOD). Zgodnie bowiem z art. 36 RODO, jeżeli OSOD wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator danych osobowych (dalej: ADO) nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania ADO powinien się skonsultować z organem nadzorczym, którym w Polsce jest Prezes UODO. Brzmienie tego przepisu pozostawia pewne wątpliwości.
Zgoda może być podstawą przetwarzania danych tylko wtedy, gdy nie występują inne przesłanki legalizujące. Gdy jednak zgoda ma zastosowanie, to musi spełniać określone warunki, by rzeczywiście była podstawą przetwarzania.
Czy w ramach przeprowadzanych kontroli instytucje, takie jak Zakład Ubezpieczeń Społecznych (ZUS) czy Państwowa Inspekcja Pracy (PIP), mogą mieć wgląd do akt osobowych pracowników? Czy kiedy instytucje państwowe wykonują czynności kontrolne w ramach przyznanych im uprawnień, mogą mieć wgląd w dokumentację pracownika? W związku z licznymi wątpliwości w tym zakresie Prezes UODO postanowił odnieść się do wskazanych kwestii.
Rezygnacja z dokumentacji zbiorczej ma ułatwić i usprawnić proces tworzenia dokumentacji w formie elektronicznej, a także umożliwić odejście od prowadzenia wielu rodzajów dokumentacji medycznej, często niepotrzebnie powielanej. Oto szczegóły.
Przepisy specustawy uregulowały po raz pierwszy kwestię telemedycyny, mimo że wiele placówek już korzystało z tej formy współpracy z pacjentami. Stworzono przy okazji system informatyczny, który umożliwia wykonywanie i rozliczanie świadczeń refundowanych ze środków NFZ. Jednakże nadal nie wskazano w żaden sposób szczegółowo kwestii związanych z ochroną danych osobowych. W związku z tym należy kierować się ogólnymi przepisami i zasadami wynikającymi z RODO.
Ponieważ pozyskiwanie danych członków rodziny pracownika zgłaszanych przez pracodawcę do ubezpieczenia zdrowotnego odbywa się na podstawie przepisów prawa, które zapewniają odpowiednią ochronę ich praw, pracodawca może skorzystać ze zwolnienia z dopełniania wobec nich obowiązku informacyjnego.
Elektroniczna dokumentacja medyczna będzie obowiązkowa od stycznia 2021 roku. Niemniej jednak już teraz warto zapoznać się ze wszystkimi wymogami, jakie placówki będą musiały spełnić w tym zakresie. Jeden z nich dotyczy uwierzytelniania wpisów. Poniższa lista kontrolna pozwoli w łatwy sposób zweryfikować poprawne postępowanie.
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
Chcesz otrzymywać powiadomienia o zmianach prawnych, webinariach i wydarzeniach branżowych?
Wyrażając zgodę na otrzymywanie powyższych powiadomień, oświadczam iż zapoznałem/am się z Regulaminem usługi i zgadzam się na stosowanie jego postanowień.