Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej

Ewentualne roszczenia po zakończeniu rekrutacji – uwagi do Poradnika PUODO

Nie milkną komentarze do wydanego ostatnio przez PUODO Poradnika dla pracodawców. Jedną z kwestii budzącą wątpliwości komentujących, była zawarta w Poradniku opinia o braku możliwości przetwarzania przez pracodawców danych kandydatów do pracy, po zakończeniu rekrutacji, w celu zabezpieczenia się przed ich ewentualnymi roszczeniami.

„Niedopuszczalne jest przetwarzanie danych tylko w celu zabezpieczenia się przed ewentualnym przyszłym i niepewnym roszczeniem osoby, której dotyczą”

W uzasadnieniu dla tak postawionej tezy czytamy:

„W przeciwnym razie może pojawić się wątpliwość jak długo należy przetwarzać dane osobowe, jeżeli ta osoba nie zdecyduje się na wytoczenia powództwa przeciwko pracodawcy. W toku rekrutacji nie powstaje żaden stosunek zobowiązaniowy pomiędzy kandydatem do pracy, a pracodawcą. Brak jest dokonania wzajemnych rozliczeń lub możliwości zarzucenia drugiej stronie niewykonania umowy lub nieprawidłowego jej wykonania. Nie ma więc podstaw do uznania, że pracodawca jest uprawniony do przetwarzania danych z uwagi na konieczność ustalenia bądź nie, istnienia roszczenia. Działanie pracodawcy stanowiłoby przetwarzanie danych kandydata „na wszelki wypadek”.  Czytaj więcej

Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego “Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Poradnik ABI – trzy numery wartościowej informacji

Do nabycia są już dostępne trzy numery Poradnika ABI. Do pierwszego najobszerniejszego numeru Poradnika ABI załączone są wzory najważniejszych dokumentów wymaganych od ABI takie jak plan sprawdzeń, sprawozdanie ze sprawdzenia czy rejestr zbiorów danych osobowych.

Poradniki ABI omawiają też ważne lub kontrowersyjne zagadnienia prawne z zakresu ochrony danych osobowych takie jak na przykład udostępnianie danych osobowych Policji, przetwarzanie danych pracowniczych, dozwolony monitoring pracowników i inne.

Ważną częścią Poradników ABI są też zagadnienia dotyczące reformy ochrony danych osobowych, która została zakończona  w organach UE a która wprowadzi rewolucyjne zmiany w ochronie danych osobowych we wszystkich państwach członkowskich UE. W szczególności warto śledzić te zagadnienia, które niebawem będą stanowiły punkt odniesienia dla oceny zgodności przetwarzania danych osobowych.

Kolejny numer 4 Poradnika ABI poświęcony będzie przetwarzaniu danych osobowych w internecie w szczególności zagadnieniom związanym ze świadczeniem usług drogą elektroniczną ale także dotyczących przetwarzania danych w portalach społecznościowych jak również zasady prowadzenia marketingu internetowego.

Wszystkich zainteresowanych serdecznie zapraszam do prenumeraty.

Dane wrażliwe w salonie urody

IMG_6855

Branża urody przetwarza dane osobowe coraz częściej też dane wrażliwe. Związane jest to z szerokim wachlarzem świadczonych usług w szczególności zabiegów kosmetycznych. Prawidłowe wykonanie zabiegu wymaga pozyskiwania wielu informacji dotyczących stanu zdrowia, przebytych chorób, przyjmowanych leków, stwierdzonych alergii i innych.

Informacje te są to dane osobowe uznane przez ustawę o ochronie danych osobowych za wrażliwe. Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie, gdy istnieje odpowiednie do tego podstawa prawna. W działalności salonów urody tą podstawą może być wyłącznie pisemna zgoda klienta. W każdym innym przypadku dane przetwarzane są nielegalnie i w każdej chwili GIODO może nakazać zaprzestanie przetwarzania przez salon takich danych.

Dla salonów jest to o tyle ważne, że nakaz zaprzestania przetwarzania danych wrażliwych pozbawiłby je dokumentacji związanej z prawidłowością przeprowadzanych czynności, wykonywanych zabiegów. A w przypadku sprawy sądowej salon traci dowody w sprawie najczęściej na swoją obronę.

O tych i innych ważnych kwestiach mówiliśmy podczas ostatniego szkolenia, które dla branży Beauty, które miałam przyjemność prowadzić.