Prawa w związku z kontrolą
Kontrola UODO, czyli Urzędu Ochrony Danych Osobowych może być zapowiedziana lub nie, w zależności od tego, czy wynika ona z planu kontroli, czy została zlecona w wyniku podejrzeń, że przepisy mogą być nieprzestrzegane.
Kontroler ma obowiązek okazania legitymacji służbowej, a także upoważnienia podmiotowi kontrolowanemu. W upoważnieniu tym powinny znaleźć się szczegółowe informacje dotyczące m.in. zakresu kontroli, czy podstawy prawnej oraz pouczenie o prawach i obowiązkach kontrolowanego. Natomiast same czynności sprawdzające powinny odbywać się w obecności kontrolowanego bądź upoważnionych przez niego osób.
Uprawnienia organu nadzorczego ochrony danych osobowych
Organem odpowiedzialnym za przeprowadzanie kontroli jest Prezes Urzędu Ochrony Danych Osobowych. Uprawnienia, jakie przysługują organowi nadzorczemu, są zapisane w artykule 58 RODO. Należą do nich m.in.:
- prowadzenie postępowań,
- nakazanie administratorowi i podmiotowi przetwarzającemu dostarczenia informacji, a co za tym idzie – uzyskania danych osobowych i informacji niezbędnych do realizacji swoich zadań,
- wydawanie ostrzeżeń i udzielanie upomnień administratorowi lub podmiotowi przetwarzającemu,
- nakazanie spełnienia żądań osób, których dotyczą przetwarzane dane,
- nakazanie dostosowania operacji przetwarzania do przepisów RODO,
- nakazanie zawiadomienia osób, których dane naruszono,
- ograniczenie lub zakazanie przetwarzania danych,
- przegląd, a także cofanie stosownej certyfikacji,
- nakazanie sprostowania lub usunięcia danych osobowych i powiadomienia o tym odbiorców, którym ujawniono te dane,
- zastosowanie administracyjnej kary pieniężnej.
Osoba przeprowadzająca kontrolę może rozmawiać z pracownikami placówki. Należy więc zwrócić uwagę na stopień przeszkolenia personelu w zakresie przestrzegania procedur związanych z RODO i postępowaniu z kartoteką pacjentów. Warto też sprawdzić, czy pracownicy będą wiedzieli, jak zachować się podczas ewentualnej kontroli w tym zakresie.
Inspektor Ochrony Danych – kim jest i czym się zajmuje?
Inspektor Ochrony Danych (IOD) jest instytucją, która zastąpiła Administratora Bezpieczeństwa Informacji. Artykuł 27 RODO wskazuje na to, że jego wyznaczenie jest obligatoryjne dla dużej części podmiotów medycznych (obowiązek dotyczy organów i podmiotów publicznych oraz podmiotów przetwarzających dane na dużą skalę).
Zadaniem Inspektora Ochrony Danych jest:
- wsparcie administratora danych,
- monitorowanie przestrzegania omawianego rozporządzenia oraz innych przepisów dotyczących danych osobowych,
- informowanie go o jego obowiązkach w tym zakresie,
- udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych,
- współpraca z organem nadzorczym,
- ocena incydentów,
- pełnienie funkcji pośrednika pomiędzy administratorem lub podmiotem przetwarzającym, a PUODO.
Inspektor Ochrony Danych jest zatem istotny w kontekście kontroli UODO w placówce medycznej i przygotowania się do niej przez sprawdzany podmiot.
Dokumentacja ochrony danych osobowych
Przedsiębiorstwa i instytucje, w których odbywa się przetwarzanie danych, są zobowiązane do prowadzenia odpowiedniej dokumentacji. Jej zakres w każdym przypadku jest ustalany indywidualnie.
Dokumentacja stanowi ważne źródło informacji na temat wdrożonych procedur podczas kontroli. Wśród najważniejszych kwestii popartych odpowiednią dokumentacją wymieniamy:
- rejestr czynności przetwarzania w placówce medycznej – dotyczy czynności wykonywanych przez administratora danych osobowych,
- rejestr kategorii czynności przetwarzania – dotyczy czynności wykonywanych przez podmiot przetwarzający,
- analizę ryzyka – zawiera przebieg oceny analizy ryzyka,
- ocenę skutków dla ochrony danych – przeprowadza się ją przy wysokim poziomie ryzyka, kiedy prawdopodobne jest wystąpienie skutków wobec osób, których dane są przetwarzane,
- politykę ochrony danych osobowych – zestaw procedur wprowadzanych w celu wykazania przestrzegania zasad.Są to:
- wykaz środków zabezpieczeń,
- procedura wynoszenia dokumentacji,
- procedura realizacji obowiązku informacyjnego,
- procedura realizacji praw osób fizycznych,
- procedura identyfikacji osoby fizycznej,
- procedura zgłaszania i oceny naruszeń,
- ewidencja naruszeń,
- polityka kluczy,
- polityka czystego biurka,
- polityka czystego ekranu,
- procedura realizacji prawa dostępu do informacji o stanie zdrowia pacjenta,
- procedura realizacji prawa dostępu do dokumentacji medycznej pacjenta,
- dokumentacja monitoringu w zakładzie pracy,
- procedura dotycząca zasad postępowania z dokumentacją medyczną,
- procedura zawierania umów powierzenia,
- procedura udostępniania danych.
Kontrola UODO w placówce medycznej – o czym trzeba pamiętać?
W przypadku kontroli w podmiocie medycznym należy ułatwić współpracę pomiędzy poszczególnymi komórkami organizacyjnymi placówki a Inspektorem Ochrony Danych Osobowych. Może on potrzebować dostępu do działów takich, jak kadry czy IT bądź podmioty zewnętrzne, świadczące usługi na zlecenie administratora.
Należy więc poinformować zarówno personel, jak i usługodawców o uprawnieniach, którymi dysponuje IOD (do jakich kwestii może on mieć wgląd) i celu jego działań. Warto też zaznaczyć, że podlega on bezpośrednio najwyższemu kierownictwu, by uniknąć nieporozumień i usprawnić komunikację.
Ważne kwestie podczas kontroli UODO
Przygotowując się do kontroli UODO, warto upewnić się, czy placówka spełnia wszystkie wymogi, do których zobowiązują ją przepisy.
Przede wszystkim należy zweryfikować, czy:
- placówka dysponuje odpowiednimi zgodami na wszystkie dane przetwarzane w ramach jej działalności,
- do przetwarzania tych danych upoważniają ją odpowiednie przepisy (czy ich przetwarzanie jest zgodne z Kodeksem pracy w przypadku pracowników, czy przepisami prawa medycznego w przypadku pacjentów – kartoteki i dokumentacji),
- do przetwarzania tych danych upoważniają ją odpowiednie umowy,
- placówka spełnia wymogi przetwarzania danych wymienione w artykule 6 oraz 9 RODO (dotyczące m.in. spełniania żywotnych interesów osoby, której dane dotyczą, wykonania umowy, której stroną jest osoba, której dane dotyczą, czy wypełniania obowiązku prawnego ciążącego na administratorze),
- są wdrożone środki techniczne i organizacyjne służące bezpieczeństwu przetwarzania danych, o których mowa w art. 32 RODO oraz czy funkcjonują one w należyty sposób.
Trzeba też pamiętać, że przepisy zobowiązują nie tylko do przestrzegania i dopasowywania procedur do wymogów, ale też wykazywania spełniania tych obowiązków. To oznacza, że podczas kontroli UODO w placówce medycznej podmiot musi nie tylko odpowiednio funkcjonować, ale też móc udowodnić, że tak właśnie się dzieje.