Dość powszechną w sektorze ochrony zdrowia praktyką jest tworzenie przez podmioty lecznicze (takie jak samodzielne publiczne zakłady opieki zdrowotnej, kapitałowe spółki samorządowe czy prywatne podmioty lecznicze) fundacji dla wspierania celów związanych z ochroną zdrowia, profilaktyką i zwalczaniem zagrożeń zdrowotnych. Różnie kształtuje się sytuacja prawna i kadrowa takich podmiotów i nie można dla każdej możliwej sytuacji zastosować jednego szablonowego rozwiązania w zakresie ochrony danych osobowych.
Z uwagi na rangę zagrożenia, a także na wzrastającą liczbę zachorowań na koronawirusa placówki medyczne stosują rozwiązania mające na celu minimalizację ryzyka zakażenia innych osób, w tym personelu medycznego. Jednym z dozwolonych pomysłów jest wprowadzanie kamer umożliwiających uzyskanie bieżącego obrazu z sal łóżkowych (bez nagrywania), tak, aby personel mógł kontrolować sytuację bez potrzeby przebywania w salach.
Jeśli pracodawca nadal posiada aktywny adres poczty elektronicznej byłego pracownika, który był przypisany do niego w trakcie pełnienia obowiązków służbowych, to pozostaje nadal administratorem tych danych. Pamiętajmy, że administratorem danych jest ten podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. A zatem podstawą przetwarzania danych byłego pracownika zawartych w adresie mailowym może być realizacja prawnie uzasadnionego interesu administratora.
14 listopada 2019 r. NIK opublikowała raport po kontroli szpitali w zakresie ochrony danych osobowych. We wszystkich skontrolowanych szpitalach dopatrzono się nieprawidłowości w zakresie zapewnienia bezpieczeństwa danych osobowych pacjentów, w tym w niektórych podmiotach popełniono niedopuszczalne błędy.
Niewłaściwa realizacja zadań związanych z powołaniem inspektora ochorny danych, brak oceny skutków dla ochrony danych, opóźnienia w aktualizacji wewnętrznej dokumentacji związanej z bezpieczeństwem przetwarzania danych, błędy związane z zawieraniem umów powierzenia przetwarzania danych osobowych oraz brak klauzul informacyjnych dla pacjentów. To tylko niektóre z licznych błędów, jakie wykazała kontrola NIK dotycząca wdrożenia przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych. Kontrola była przeprowadzona w 24 placówkach z terenu sześciu województw w okresie od 25 maja 2018 r. do 23 kwietnia 2019 r.
Podniesienie prestiżu placówki poprzez podanie do publicznej informacji na stronie internetowej danych lekarzy specjalistów jest dość częstą praktyką. Nie zapominajmy jednak, że w ten sposób dochodzi do przetwarzania danych osobowych, a placówka musi wykazać, na jakiej podstawie to robi. Sprawdź, na jakich zasadach jest to możliwe.
Placówki ochrony zdrowia muszą wdrożyć zabezpieczenia, które są adekwatne do ryzyka związanego z przetwarzaniem danych osobowych. W przypadku kontroli PUODO placówki powinny być w stanie wykazać, że rzeczywiście dokonały oceny ryzyka. W praktyce kwestia przeprowadzania oceny ryzyka jest często bagatelizowana i ogranicza się do przygotowania ogólnikowych dokumentów. Nie jest to wystarczające.
Identyfikacja pacjenta jest obowiązkiem placówki medycznej, ale również gwarantem zapewnienia bezpieczeństwa pacjentom i własnym interesom podmiotu leczniczego. Ważne jest, aby wszystkie zasady jasno uregulować i systematycznie szkolić personel niezależnie od stażu pracy w placówce czy doświadczenia zawodowego. Prawidłowo wyszkolony personel pozwoli uniknąć błędów i zapewni poprawne oraz efektywne wykonywanie świadczeń medycznych.
Stosowanie monitoringu wizyjnego, w miejscu pracy jakim jest SOR, nie budzi specjalnie większych zastrzeżeń, w kontekście jego legalności. Przy założeniu, że szpital wypełnił obowiązki, jakie ciążą na nim jako pracodawcy oraz ADO i czuwa nad bezpieczeństwem wizerunków osób zarejestrowanych przez kamery. Niestety nie można stwierdzić tego samego w odniesieniu do monitoringu fonicznego. Sprawdź, jakie działanie jest poprawne i zgodne z ochroną danych osobowych.
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
Chcesz otrzymywać powiadomienia o zmianach prawnych, webinariach i wydarzeniach branżowych?
Wyrażając zgodę na otrzymywanie powyższych powiadomień, oświadczam iż zapoznałem/am się z Regulaminem usługi i zgadzam się na stosowanie jego postanowień.