Obowiązki lekarza w związku z RODO

Zatem tak, jak Pan zasugerował, wystarczy aby klient (lekarz) miał w swoim gabinecie informację – naklejkę na szybie czy na ścianie.

Ustawa o RODO dotyczy wszystkich Administratorów Danych Osobowych przetwarzających dane osobowe spełniających dwa kryteria:

• przetwarza dane osobowe w związku z działalnością zarobkową, zawodowa lub dla realizacji celów statutowych,
• decyduje o celach i środkach przetwarzania danych osobowych.

Dotyczy to także osób prowadzących jednoosobową działalność – usługi lekarskie.

Trzeba dokonać analizy i ocenić ryzyka wynikające z przetwarzania danych osobowych w działalności gospodarczej

Celem rzetelnego określenia nowych obowiązków przed podjęciem działań dostosowawczych do wymogów RODO należy dokonać analizy i ocenić ryzyka wynikające z przetwarzania danych osobowych w działalności gospodarczej – sprawdźmy w jaki sposób prowadzona jest korespondencja, rejestry, czy stosujemy zasadę czystego biurka, zasadę kluczy czyli pokój i karty medyczne zamykane są na klucz, czy system komputerowy jest zabezpieczony przed dostępem osób niepowołanych, jeśli wysyłane są drogą e-mailową informacje o pacjencie należy stosować hasła, dane osobowe o chorobach to szczególne dane wymagające szczególnego traktowania – zabezpieczenia.

Zgodnie z art. 4 pkt 1 RODO „dane osobowe” oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane  dotyczą”). Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer telefonu, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Zgodnie z art. 9 ust.1 RODO do „danych wrażliwych” (czyli danych objętych szczególnymi zasadami ochrony) należy zaliczyć takie dane, które dotyczą:

• pochodzenia rasowego lub etnicznego,
• poglądów politycznych,
• przekonań religijnych lub światopoglądowych,
• przynależności do związków zawodowych,
• danych genetyczne,
• danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej,
• danych dotyczących zdrowia,
• danych dotyczących seksualności lub orientacji seksualnej tej osoby.

PRZYKŁAD INFORMACJI PRZEKAZYWANYCH PRZEZ ADMINISTRATORA DANYCH OSOBOWYCH

1. Administratorem Danych Osobowych, jest ……… z siedzibą w Warszawie (kontakt: ul. Prosta, 00-000 Warszawa).
2. Dane osobowe przetwarzane będą na podstawie art. 6 ust. 1 pkt. b i c Ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 (RODO).
3. Celem przetwarzania danych osobowych jest wykonanie usługi lekarskiej.
4. Osobie podającej dane osobowe przysługuje  prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo do wniesienia sprzeciwu, prawo do cofnięcia zgody na ich przetwarzanie w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.
5. Dane osobowe będą przechowywane ……….. (wskazujemy jak długo będą przechowywane – dane Imię i Nazwisko, numer telefonu, PESEL, opis stanu zdrowia - proszę ustalić termin przetwarzania danych osobowych zgodnie ze stanem faktycznym).
6. Podane dane nie będą podlegały profilowaniu.
7. W razie wątpliwości, co do poprawności przetwarzania danych osobowych przysługuje osobie podającej dane osobowe prawo skontaktowania się z Prezesem Urzędu Ochrony Danych Osobowych  ul. Stawki 2, 00-193 Warszawa.

Należy powołać Administratora Danych Osobowych, zgodnie z artykułem 37 RODO

1. Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 (dane wrażliwe), oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Oceniamy ryzyko naszych działań w odniesieniu do przetwarzania danych osobowych – czy tylko ja mam dostęp do kart medycznych pacjentów, czy są one pod szczególnym nadzorem zamykane w szafie pod kluczem ?

Zgłaszamy incydent – mamy na takie działanie 72 godziny,

Informujemy o uprawnieniach z zakresu ochrony danych osobowych pacjentów.

Prowadzić rejestr czynności przetwarzania

Obowiązek prowadzenia „rejestru czynności przetwarzania” mają:

• przedsiębiorcy lub podmioty zatrudniające powyżej 250 osób,
• przedsiębiorcy lub podmioty zatrudniające mniej niż 250 osób, jeżeli:

– przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dotyczą;

– przetwarzanie nie ma charakteru sporadycznego;

– obejmują szczególną kategorię danych osobowych, o których mowa w art.9 ust.1