Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Polecamy

Ochrona danych osobowych w działach kadr zgodnie z rodo

Ochrona danych osobowych w działach kadr zgodnie z rodo
 

Andrzej Boboli, Mateusz Borkiewicz, Agata Cisowska, Kamila Koszewicz, Grzegorz Leśniewski

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

RCP dla podmiotów leczniczych

07-11-2018 Autor: Grażyna Kawczyńska, Wojciech Piasecki

Prawodawca unijny w art. 30 rodo nakłada obowiązek prowadzenia rejestru czynności przetwarzania. Tymczasem w całym dokumencie nie ma definicji czynności przetwarzania. Co zatem ma się znaleźć w takim rejestrze?

 

Rejestr czynności przetwarzania (dalej: RCP) to zespół powiązanych ze sobą operacji na danych, wykonywanych przez jedną lub kilka osób, które można określić w sposób zbiorczy, w związku z celem, w jakim te czynności są podejmowane. Stanowi on więc pakiet informacji o procesach przetwarzania danych i odgrywa rolę swoistej mapy takiego przetwarzania. Jest też podstawą zasady rozliczalności oraz podstawowym dokumentem dla UODO do oceny i monitorowania przetwarzania danych osobowych.

 

Szczegółowo czy ogólnie?

 

Przygotowanie RCP to zidentyfikowanie czynności (procesów) w ramach przetwarzanych zbiorów, a opis tych czynności może być bardzo szczegółowy lub bardzo ogólny. W pierwszym przypadku, czyli zbyt szczegółowego opisu czynności przetwarzania, doprowadzimy do tego, że system ochrony danych osobowych nie będzie skuteczny. Duża liczba procesów przetwarzania danych może uniemożliwić sprawne zarządzanie oraz monitoring. Taki RCP nie jest czytelny ani dla administratora, ani dla organu nadzorczego. Jeśli natomiast zrobimy RCP zbyt ogólnie, to może okazać się, że pominęliśmy jakiś istotny proces, albo został on potraktowany jako część pewnego większego procesu. Nie zostanie on wówczas sprawdzony pod kątem zgodności z zasadami przetwarzania zgodnymi z rodo.

 

Proces taki będzie funkcjonował, a administrator nie będzie stosował w tym obszarze zasad ochrony.

 

Co umieścić w RCP?

 

Zadaniem administratora jest tak sklasyfikować i zarejestrować czynności przetwarzania danych, aby rejestr był czytelny oraz aby spełniał zasadę rozliczalności oraz funkcję informacyjną. Wydaje się, że najbardziej zdroworozsądkowym podejściem będzie pogrupowanie czynności pod kątem realizacji tego samego celu przetwarzania.

 

Obowiązkowe informacje w RCP to:

  • nazwa oraz dane kontaktowe administratora oraz wszelkich współadministratorów;
  • gdy ma to zastosowanie – dane inspektora ochrony danych;
  • cele przetwarzania;
  • opis kategorii osób, których dane dotyczą;
  • opis kategorii przetwarzanych danych osobowych;
  • kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione;
  • informacje o przekazaniu danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz dokumentacji odpowiednich zabezpieczeń;
  • planowane terminy usunięcia poszczególnych kategorii danych;
  • jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa.

Poza informacjami obowiązkowymi w RCP warto umieścić także dodatkowe informacje, poszerzające wiedzę o konkretnej czynności. Rejestr czynności przetwarzania ma mieć formę pisemną, w tym formę elektroniczną. Może być więc prowadzony w formie elektronicznej, np. w systemie Excel albo za pomocą dedykowanego do tego celu oprogramowania.

 

RCP dla różnych podmiotów leczniczych

 

Podmioty lecznicze to podmioty wykonujące działalność leczniczą, której nie można wykonywać, nie przetwarzając szczególnych kategorii danych osobowych, głównie w zakresie danych o stanie zdrowia czy danych genetycznych. Rejestr czynności przetwarzania dla każdego podmiotu leczniczego może być zupełnie inny. Przedstawiamy, kierując się zasadą grupowania czynności według tego samego celu przetwarzania, dwa przykładowe rejestry: dla podmiotu leczniczego jako jednostki podstawowej opieki zdrowotnej (dalej: Przychodnia) oraz dla podmiotu leczniczego wykonującego działalność leczniczą w zakresie świadczeń szpitalnych (dalej: Szpital). 

 

I. Czynności wyodrębnione w Przychodni

1. Zaoptowanie pacjenta.

2. Przyjęcie od pacjenta upoważnienia do dostępu do dokumentacji medycznej.

3. Zarejestrowanie pacjenta.

4. Udzielenie świadczeń zdrowotnych i prowadzenie dokumentacji medycznej.

5. Udostępnienie dokumentacji medycznej.

6. Udostępnienie informacji dotyczącej zdrowia.

7. Wyrejestrowanie pacjenta – rezygnacja z wyboru lekarza POZ (podstawowej opieki zdrowotnej).

8. Rozliczenie świadczeń.

9. Przechowywanie dokumentacji medycznej.

10. Zniszczenie dokumentacji medycznej.

 

Zaoptowanie pacjenta jest pierwszym zapisaniem się pacjenta do konkretnego lekarza oraz założeniem mu dokumentacji medycznej. Pacjent dokonuje wyboru lekarza, pielęgniarki i położnej. Źródłem danych jest tu pacjent lub jego przedstawiciel ustawowy, a odbiorcą danych jest płatnik publiczny, czyli NFZ.

 

Pacjent ma prawo upoważnić osobę do dostępu do dokumentacji medycznej. Wiąże się to z przetwarzaniem danych osobowych innych niż dane pacjenta. Celem tej czynności jest umożliwienie uzyskania informacji dotyczącej zdrowia pacjenta lub kopii dokumentacji medycznej przez osobę upoważnioną przez pacjenta. Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (dalej: upp) nie precyzuje, jakie dane osobowe dotyczące osoby upoważnianej ma podać pacjent. Muszą to być jednak dane identyfikacyjne i w praktyce każdy podmiot leczniczy zbiera inne dane, takie jak: imiona i nazwiska, dane dotyczące pokrewieństwa, adresy zamieszkania, PESEL-e, numery telefonów.

[...]

Autorzy są wspólnikami spółki Informacje Bezpieczne Sp. z o.o. Sp. k. Ochroną danych osobowych zajmują się od 20 lat. Oboje szkolą i wdrażają przepisy rodo w kilkudziesięciu firmach z branży administracji, służby zdrowia, edukacji i biznesu.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.