1133Aktualności - Wdrożenie RODO w placówce medycznej

Dlaczego ochrona danych osobowych jest taka ważna? 

Ochrona danych osobowych zgromadzonych w placówce medycznej to zagadnienie niezwykle ważne szczególnie biorąc pod uwagę fakt, iż wielkimi krokami zbliża się termin informatyzacji służby zdrowia.

Dane pacjentów przechowywane są w systemach komputerowych, na serwerach, wszelkiego rodzaju komputerowych nośnikach zapasowych, ale także w papierowej dokumentacji medycznej. W ramach audytu, eksperci CDPM przeprowadzają kompleksowy przegląd organizacji pod kątem zgodności prowadzonych działań przetwarzania danych osobowych z wymaganiami RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), które zacznie obowiązywać już od 25 maja 2018 roku. Co więcej, uwzględnione zostaną aspekty wynikające z obecnie prowadzonych prac legislacyjnych nad nową Ustawą o ochronie danych osobowych (UODO). Regulacjom tym podlegają wszystkie przedsiębiorstwa, które prowadzą działalność na terenie Unii.

Kto odpowiada za proces ochrony danych osobowych? 

Osoba, która jest odpowiedzialna za przechowywanie i przetwarzanie takich danych to Administrator Danych Osobowych, czyli w praktyce właściciel placówki. To on odpowiedzialny jest za przygotowanie, wdrożenie i utrzymywanie prawidłowych procedur bezpieczeństwa danych osobowych i to na nim spoczywa odpowiedzialność w razie kontroli GIODO. Zadanie wynikające z przepisów ustawy z dnia 29 sierpnia 1997 r o ochronie danych osobowych (Dz.U. j.t. 2002.101.926 z późniejszymi zmianami) oraz odpowiednich rozporządzeń obejmuje zarówno dokumentację jak i dostosowanie infrastruktury technicznej do wymogów bezpiecznego przetwarzania danych osobowych.

Oferta CDPM w zakresie Ochrony Danych Osobowych:

- Przeprowadzenie audytu ochrony danych osobowych,

 

- Przygotowanie i wdrożenie dokumentacji dotyczącej ochrony danych osobowych w placówce medycznej,

 

- Przejęcie przez CDPM funkcji i obowiązków Inspektora Ochrony Danych.

 

Wdrażanie dokumentacji ochrony danych osobowych na podstawie RODO

 

Przedmiot prac w zakresie wdrożenia: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO):

 

  • Audyt w placówce;

  • Opracowanie dokumentów;

  • Przygotowanie do wdrożenia;

  • Konieczne zmiany;

  • Wdrożenie dokumentacji;

  • Przejęcie funkcji Inspektor Ochrony Danych;

  • Szkolenie pracowników.

 

 

Audyt

Audyt podzielony jest na cztery etapy.

Etap I 

Rozpoczyna się spotkaniem otwierającym, na którym audytorzy przedstawiają podpisane oświadczenia o zachowaniu tajemnicy handlowej i zawodowej placówki. Następnie od Kierownika lub osoby przez niego upoważnionej uzyskują upoważnienie pisemne do wglądu w dokumentację zakładu, w tym dokumentację medyczną.

Etap II 

W jego trakcie osoba upoważniona do kontaktu z audytorem prezentuje placówkę oraz dostarcza dokumenty konieczne do przeprowadzenia audytu na prośbę audytora. Audytor sprawdza funkcjonowanie placówki na określonych stanowiskach administracyjnych oraz stopień przestrzegania przepisów przez pracowników. Z dokonywanych czynności auditor sporządza notatki służbowe, które stanowią podstawę do opracowania raportu.

Etap III 

Kończy przeprowadzenie audytu. Jest nim spotkanie zamykające. Audytor zdaje uzyskane od osoby upoważnionej dokumenty, potwierdza ich przekazanie a następnie zamyka audyt.

Etap IV 

Każdy audyt zakończony jest podsumowaniem, które wskazuje czy i w jakich obszarach nastąpiła niezgodność z przepisami prawnymi i wewnętrznymi. Stanowi ono pomoc w podnoszeniu jakości funkcjonowania placówki.

Audyt sprawdza funkcjonowanie placówki medycznej zgodnie z obowiązującymi przepisami odnośnie ochrony danych osobowych. Przede wszystkim nastawiony jest analizę posiadanych dokumentów: administracyjnych, pracowniczych, dokumentacji medycznej, rejestrów, procedur, przestrzegania przepisów ochrony danych osobowych.

Celem audytu jest ocena rzeczywistego stanu funkcjonowania placówki dlatego nie powinno się zatajać przed audytorem żadnej informacji. Pracownicy nie powinni być poinformowani o terminie audytu.

Działania audytorskie będą realizowane w trzech etapach:

Zebranie danych i obserwacji z badanej organizacji (m.in. przesłanki legalności przetwarzania danych osobowych i szczególnie chronionych, zakres i cel przetwarzania danych, obowiązek informacyjny, zarejestrowanie zbioru danych, bezpieczeństwo systemów informatycznych).

Analiza i ewentualne uzupełnienie materiału (CDPM dokona oceny zebranego materiału w oparciu o opracowane przez siebie, szczegółowe wskaźniki w poszczególnych obszarach. Dotychczasowa praktyka wykazała, że podczas weryfikacji z reguły konieczne jest uzupełnienie zebranych danych. Ponadto przygotowywane będą zalecenia dla organizacji, których realizacja umożliwi uzyskanie zgodności z wymaganiami).

Opracowanie wyników i prezentacja zaleceń (Wyniki analizy będą opracowane w postaci dokumentu, prezentującego procentowy poziom uzyskania zgodności z wymaganiami. Dodatkowo przedstawione będą w nim potwierdzenia spełnienia wymagań oraz zalecenia, w przypadku konieczności podjęcia działań korygujących. Materiał będzie również omawiany z przedstawicielami organizacji podczas warsztatów, podsumowujących audyt).

Następstwem przeprowadzonego audytu jest zestaw zaleceń, które organizacja powinna spełnić, by uzyskać zgodność z wymaganiami. 

Ilość audytorów: 1-2 osób.

Ilość dni audytowych: 1-2 dni.

Wdrożenie dokumentacji:

  • Wykonanie oceny ryzyka i opracowanie wymagań technicznych i organizacyjnych, adekwatnych do wymaganego poziomu ochrony danych;

 

Opracowanie Oceny skuteczności przetwarzania;

 

Ustalenie celów przetwarzania danych;

 

Opracowanie Polityki Ochrony danych;

 

Opracowanie umów związanych z powierzeniem przetwarzania danych;

 

Ustalenie zakresu Prawa pacjenta do informacji

 

Opracowanie dokumentacji pracowniczej; 

 

Opracowanie Oceny skutków dla Ochrony Danych;

 

Dokonanie Oceny Ryzyka;

 

Opracowanie zgód na przetwarzanie danych osobowych w oparciu o cele przetwarzania danych z uwzględnieniem czynności przetwarzania pracowniczych oraz wykonywania działalności leczniczej;

 

Ustalenie zakresu dostępu dla personelu;

 

Opracowanie Upoważnień.

 

Pełnienie funkcji Inspektora Ochrony Danych przez CDPM

Inspektor ochrony danych nie tylko będzie musiał cechować się odpowiednią wiedzą ale również wiedzą praktyczną. Jak dotychczas praktyka pokazuje wiedza teoretyczna jest niewystarczająca. Będzie to mogła być osoba z personelu administratora ale również może wykonywać zadania na podstawie umowy o świadczenie usług (outsourcing).

 

Zadania IOD:

Do podstawowych zadań Administratora należy:

przeprowadzanie audytu bezpieczeństwa,

przygotowywanie dokumentacji ochrony danych osobowych (polityki bezpieczeństwa oraz instrukcji zarządzania systemami informatycznymi),

wdrożenie odpowiednich procedur,

okresowe szkolenie wszystkich członków organizacji,

prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,

uczestniczenie przy projektach związanych z ochroną danych osobowych,

sprawowanie nadzoru nad procesem przetwarzania danych osobowych,

opracowanie dokumentacji wewnętrznej związanej z dostępem do danych osobowych.

informowanie administratora oraz pracowników o obowiązkach spoczywających na nich na mocy Rozporządzenia oraz innych przepisów,

monitorowanie przestrzegania przepisów oraz polityk administratora,

udzielanie wskazówek administratorowi w przedmiocie wdrożenia odpowiednich i skutecznych środków technicznych jak również organizacyjnych mających zabezpieczyć dane osobowe 

wykonywanie oceny skutków planowanych operacji przetwarzania dla ochrony danych.

 

W ramach przejęcia funkcji IOD oferujemy:

  1. Realizację zadań Inspektora Ochrony Danych określonych w art. 39 Rozporządzenia, tj.:

a)    informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b)    monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c)     udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;

d)    współpraca z organem nadzorczym;

e)     pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

  1. Do zadań Inspektora Ochrony Danych należy także:

a)    dokonanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych;

b)    zawiadamianie osoby, której dane dotyczą, o naruszeniu przetwarzania jej danych, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych;

c)     nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłaszanie organowi nadzorczemu, naruszenia przetwarzania danych;

d)    prowadzenie rejestru czynności przetwarzania danych osobowych;

e)     opracowywanie umowy lub innego instrumentu prawnego, który podlega prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora;

f)      opracowanie i pomoce we wdrożeniu przez administratora odpowiednich polityk ochrony danych;

g)    opracowanie informacji, o których mowa w art. 13 i 14 RODO;

h)    prowadzenie komunikacji na mocy art. 15-22 i 34 w sprawie przetwarzania danych. 

  1. Do zadań Inspektora Ochrony Danych należy także zapewnianie przestrzegania przepisów Rozporządzenia, w szczególności przez:

a)    sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;

b)    nadzorowanie opracowania i aktualizowania dokumentacji przetwarzania danych osobowych;

c)     zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych 
z przepisami o ochronie danych osobowych.

  1. Do zadań Inspektora Ochrony Danych należy także:

a)    przygotowywanie propozycji pism w kontaktach z Organami administracji publicznej lub klientami Zleceniodawcy w zakresie zgodności przetwarzania danych z przepisami 
o ochronie danych osobowych; 

b)    Na wniosek Zleceniodawcy tworzenie opinii prawnych w zakresie ochrony danych osobowych;

c)     Przygotowanie wzoru upoważnienia dla pracowników lub współpracowników w zakresie przetwarzania danych osobowych, a także wsparcie merytoryczne w przedmiocie nadawania, aktualizowania i odbierania upoważnień do przetwarzania danych osobowych;

d)    Przygotowywanie lub opiniowanie klauzul, regulaminów lub innych dokumentów w zakresie zgodności z przepisami o ochronie danych osobowych;

e)     Weryfikacja regulaminów konkursów i programów lojalnościowych w zakresie zgodności z przepisami o ochronie danych osobowych; 

f)      Przygotowanie lub weryfikowanie propozycji umów powierzenia przetwarzania danych osobowych, umów o zachowaniu poufności w zakresie zgodności z przepisami ochrony danych osobowych lub innych umów dotyczących przekazania danych osobowych;

g)    przygotowywanie propozycji pism w kontaktach z osobami fizycznymi zgłaszającymi naruszenie ich praw w zakresie ochrony danych osobowych;

h)    przygotowywanie propozycji pism w zakresie wniosków dotyczących udostępnienia przetwarzanych przez Zleceniodawcę danych osobowych;

i)      przeprowadzanie sprawdzeń (audytów drugiej strony) w zakresie zgodności z przepisami o ochronie danych osobowych oraz zawartej ze Zleceniodawcą Umowy w innym podmiocie, o którym mowa w art. 28 Rozporządzenia, jeśli uprawnienie do kontroli zostało zagwarantowane Zleceniodawcy w umowie powierzenia;

j)      udzielanie odpowiedzi na wszelkie pytania lub wątpliwości Zleceniodawcy związane z ochroną danych osobowych w organizacji Zleceniodawcy;

k)     wykonywanie pozostałych działań Inspektora Ochrony Danych, które wynikają wprost z Rozporządzenia oraz aktów krajowych regulujących kwestie związane z ochroną danych osobowych.

 

Skorzystaj z usługi pełnienia funkcji Inspektora Ochrony danych przez pracowników CDPM. Usługa dostępna już od 200 zł miesięcznie!

 

Zapytaj o szczegóły

 

Dowiedz się więcej o Inspektorze Ochrony danych

 

 

 

Kalendarium wydarzeń:

Aktualności

close

Ważne: Nasza strona www korzysta z plików cookies.

Pozostając na naszej stronie, wyrażasz zgodę na korzystanie z plików cookies. Więcej o plikach cookies w Polityce prywatności