• W widocznym miejscu (np. w poczekalni lub na stronie internetowej, jeśli taką placówka posiada) należy umieścić klauzulę informacyjną.
• W przypadku zatrudniania pracowników- ich dane osobowe również stanowią zbiór danych osobowych w Państwa podmiotach.
• Jeśli został powołany Inspektor Ochrony Danych należy zgłosić go do UODO oraz podać w klauzuli informacyjnej jego dane kontaktowe.
• Zgodnie z art.29 RODO – Każdy pracownik, aby móc przetwarzać dane osobowe musi zostać do tego upoważniony oraz podpisać oświadczenie o poufności. RODO nie narzuca formy upoważnienia, nie mniej jednak można zrobić to formie pisemnej korzystając z załącznika dostępnego w szablonach dokumentacji.
• W przypadku współpracy z firmami outsourcingowymi/ podwykonawcami wymagane jest podpisanie umowy powierzenia, która określi podmiotom zewnętrznym zakres przetwarzania danych osobowych w Państwa zbiorach.
• W przypadku pobierania danych osobowych, które ujęte są w zakresie dokumentacji medycznej (np. art. 25 Ustawy o prawach pacjenta) nie jest wymagana pisemna zgoda pacjenta (przetwarzanie odbywa się na mocy prawa).
Zredagowane dokumenty są przechowywane w Państwa podmiotach, nie należy ich wysyłać do organu nadzorczego.
Najczęściej zadawane pytania:
W jakiś sposób wysyłać wyniki badań do pacjentów?
• W przypadku przesyłania danych osobowych drogą elektroniczną należy wysyłać pliki zaszyfrowane/spakowane (np. programem 7 zip, winzipem, winrarem) i zahasłowane. Hasło powinno być przesłane do odbiorcy odrębnym mailem lub SMS.
• Przekazując dane drogą pocztową zaleca się, by wysyłać je spakowane w dwie koperty, listem poleconym za potwierdzeniem odbioru.
W jaki sposób dwie indywidulane praktyki mogą ze sobą współpracować w zakresie przetwarzania danych osobowych pacjentów?
Zgodnie z artykułem 26 RODO – jednym z rozwiązań w tej sytuacji może być umowa współadministrowania, której wzór jest dostępny pod adresem mailowym: katarzyna.michalska@wil.org.pl
Jak wywołać pacjentów do gabinetu?
Pacjentów można wywołać używając numerów lub godziny wizyty. W chwili obecnej nie ma także przeciwskazań, by korzystać także z imienia pacjenta.
Jakie zabezpieczenia należy wprowadzić?
RODO nakłada na Administratorze obowiązek zabezpieczenia danych osobowych jednak nie podaje konkretnych rozwiązań. Zgodnie z art. 32 RODO należy wykorzystać zabezpieczenia adekwatne do możliwości finansowych oraz organizacyjnych.
1. Dokumenty zawierające dane osobowe należy przechowywać w szafach zamykanych na klucz,
2. Nie należy eksponować kartotek pacjentów na biurkach, parapetach,
3. Stosować indywidualne loginy i hasła do systemów informatycznych,
4. Na komputerach podłączonych do sieci internetowej bezwzględnie należy stosować oprogramowanie antywirusowe,
5. Nie używać nośników zewnętrznych niewiadomego pochodzenia,
6. Sporządzać regularnie kopię bezpieczeństwa i przechowywać ją w innym pomieszczeniu niż podstawowa baza danych,
7. Ustawić monitory w sposób, aby uniemożliwić wgląd osobom postronnym,
8. Nie udzielać informacji na korytarzach,
9. Weryfikować tożsamość osób i ewentualne upoważnienia pisemne (jeśli dokumenty odbierają osoby, które nie są adresatami tych dokumentów), które odbierają recepty, skierowania, zaświadczenia,
10. Nie pozostawiać osób postronnych w miejscach przetwarzania danych osobowych, kiedy wychodzimy z gabinetu.