Blog

AKTUALNOŚCI


Wrzesień 14, 2018 RODO0

Obowiązek informacyjny został uregulowany w art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej RODO. Nie jest to obowiązek nowy, gdyż istniał on już wcześniej na mocy art. 23 oraz 24, nieobowiązującej już ustawy z 29.08.1997 r. o ochronie danych osobowych. Jednakże obecnie obowiązujące przepisy RODO znacząco rozbudowały ów obowiązek.



Czerwiec 24, 2018 RODO0

Zgodnie z przepisami RODO osobie, której dane osobowe są przetwarzane przysługują w szczególności następujące uprawnienia:

  1. prawo dostępu do danych, w szczególności do uzyskania od administratora danych potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące (art. 15 RODO)
  2. prawo do żądania sprostowania swoich danych osobowych, w tym ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia (art. 16 RODO)
  3. prawo do żądania usunięcia („do bycia zapomnianym”), m.in. jeżeli uważa, że dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane, jak również wtedy gdy osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie i nie ma innej podstawy prawnej przetwarzania (art. 17 RODO);
  4. prawo żądania ograniczenia przetwarzania danych, m.in. wówczas, gdy kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych (art. 18 RODO);
  5. do przenoszenia danych jeżeli przetwarzanie odbywa się na podstawie zgody oraz w sposób zautomatyzowany – ma prawo żądania, by dane osobowe zostały przesłane przez administratora bezpośrednio innemu administratorowi, o ile jest to technicznie możliwe (art. 20 RODO);
  6. wniesienia sprzeciwu wobec przetwarzania – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi) lub art. 6 ust. 1 f) RODO (przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią), w tym profilowania na podstawie tych przepisów (art. 21 RODO).
  7. wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych w Warszawie, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza RODO (art. 77 RODO)
  8. do odszkodowania – jeżeli poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO (art. 82 RODO).

            Należy jednak pamiętać, że opisane w skrócie powyżej – przewidziane w RODO – m.in. prawo do usunięcia danych, ograniczenia przetwarzania danych oraz do wniesienia sprzeciwu wobec takiego przetwarzania w ochronie zdrowia są mocno ograniczone z uwagi na treść szczególnych przepisów, które nakazują osobie wykonującej działalność leczniczą przechowywanie określonych danych. Pierwszym z brzegu przykładem jest art. 29 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, który nakazuje każdemu podmiotowi wykonującemu działalność leczniczą przechowywanie danych zgromadzonych w dokumentacji medycznej przez określony czas (przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu -jako zasada).

                                                                                               Adwokat Karol Kolankiewicz



Maj 13, 2018 RODO0

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej RODO, wprowadza nową instytucję inspektora ochrony danych (IODO).

Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (w tym przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.



Maj 13, 2018 RODO0

Podjęcie przez pracodawcę decyzji o wprowadzeniu monitoringu („środków technicznych umożliwiających rejestrację obrazu”) może nastąpić jeżeli pracodawca uzna to za konieczne, wyłącznie w celu:

  • zapewnienia bezpieczeństwa pracowników;
  • ochrony mienia;
  • zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę.

Wprowadzenie monitoringu nie może służyć kontroli przez pracodawcę wykonywania pracy przez pracownika. Monitoring pracowników nie może obejmować całego zakładu pracy. Możliwe będzie nagrywanie pomieszczeń, które służą do wykonywania pracy, nie będzie natomiast możliwe zamontowanie kamer w pomieszczeniach sanitarnych, szatniach, stołówkach czy palarniach. Przetwarzanie danych uzyskanych w drodze monitorowania pracowników może nastąpić wyłącznie dla celów, dla których dane zostały zebrane.

Aby pracodawca mógł wprowadzić rejestrację obrazu musi poinformować pracowników. Ma do tego dochodzić „w sposób przyjęty u pracodawcy” (czyli tak jak np. w przypadku regulaminu pracy, regulaminu wynagradzania czy planu urlopów), nie później niż na 14 dni przed uruchomieniem monitoringu. Poinformowanie będzie także konieczne każdorazowo przed rozpoczęciem pracy przez nowego pracownika.



Maj 1, 2018 RODO0

W załączeniu na powtarzaną wielokrotnie – podczas szkoleń, spotkań i audytów – prośbę poniżej przedstawiono minimalny wykaz dokumentów, które każda osoba wykonująca działalność leczniczą powinna posiadać po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej RODO). Już w tym miejscu należy podkreślić, że nie jest to pełna lista, gdyż każda placówka i każdy gabinet ma inną sytuację i musi ją samodzielnie ocenić w kontekście wchodzącego w dniu 25 maja 2018r. RODO.

  1. dokument dot. zasad ochrony danych osobowych w placówce

– obowiązek taki nie został wyrażony wprost ale wskazuje na niego art. 25 ust. 1 i 2 RODO

(1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

  1. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 



Kwiecień 10, 2018 RODO0

RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Ta skomplikowana nazwa aktu prawnego, kryjącego w swej treści nowe regulacje dotyczące ochrony danych osobowych, wskazuje zakres danych o stanie zdrowia, których przetwarzanie obwarowane jest szczególną ochroną.



Kwiecień 6, 2018 RODO0

Jedną z konsekwencji wejścia w życie z dniem 25 maja 2018r. rozporządzenia Parlamentu Europejskiego i Rady 2016/679 tzw. RODO będzie wprowadzenie – nieznanego dotychczas polskim przepisom – obowiązku zgłaszania naruszeń w zakresie danych osobowych do nowego organu – Prezesa Urzędu Ochrony Danych Osobowych.

Obowiązek administratora.

Obowiązek zgłaszania naruszeń bezpieczeństwa w zakresie danych osobowych obciąża administratora lub wyznaczonego przez niego inspektora ochrony danych osobowych. Będzie on dotyczyć co do zasady wszystkich administratorów danych osobowych, w tym również indywidualnych i grupowych praktyk lekarskich oraz podmiotów leczniczych, niezależnie od ich wielkości.

Naruszenie bezpieczeństwa.

RODO definiuje naruszenie bezpieczeństwa jako zdarzenie prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. Przykładowo można wskazać na nieuprawniony dostęp do programu służącego do prowadzenia dokumentacji medycznej, zagubienie papierowej dokumentacji medycznej pacjenta, przekazanie dokumentacji medycznej osobie nieuprawnionej, uszkodzenie serwera służącego do przechowywania danych osobowych, zniszczenie dokumentacji medycznej przed upływem wymaganego przepisami okresu jej przechowywania, wyciek danych w wyniku ataku hakerskiego.



Marzec 15, 2018 RODO0

Wejście w życie.

Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 – nazywane potocznie RODO – wejdzie w życie na terenie Rzeczypospolitej Polskiej i pozostałych państw członkowskich Unii Europejskiej z dniem 25 maja 2018r. Od tego dnia wszystkie podmioty przetwarzające dane osobowe, w tym lekarze i lekarze dentyści prowadzący praktyki zawodowe i podmioty lecznicze, będą zobowiązane do jego stosowania (wyjątek stanowią jedynie praktyki kontraktowe, które nie mają statusu administratora danych osobowych). Obecnie na etapie legislacyjnym jest również projekt nowej ustawy o ochronie danych osobowych oraz przepisów wprowadzających do niej. Celem ustawy będzie jednak jedynie uszczegółowienie przepisów RODO oraz ewentualna odmienna regulacja krajowa – tam gdzie RODO na to pozwala.


ISPOZ 2017. Wszystkie prawa zastrzeżone.