Pełny artykuł dostępny dla abonentów!

Administrator

10.12.2018, , Źródło: Wydawnictwo Verlag Dashofer Sp. z o.o.

Administratorem jest osoba fizyczna lub prawna, a także organ publiczny, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego.

Pomimo przetwarzania danych pacjentów w celach zdrowotnych, placówka medyczna może nie być zakwalifikowana jako administrator danych tych pacjentów, jeżeli nie jest prawnie obowiązana do prowadzenia przechowania i udostępniania dokumentacji medycznej, a także zapewnienia ochrony danych zawartych w tej dokumentacji. W szczególności administratorem danych osobowych pacjentów nie jest osoba wykonująca zawód medyczny, prowadząca jednoosobową działalność gospodarczą, pozostająca w stosunku prawnym z innym zakładem, w zakresie którego wykonuje swoje zadania w ramach działalności leczniczej prowadzonej przez ten zakład w miejscu pobytu pacjenta, w tym:

  • indywidualna praktyka lekarska lub pielęgniarska na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład;

  • działalność medyczna w formie indywidualnej praktyki lekarskiej lub pielęgniarskiej, w odniesieniu do danych pacjentów przetwarzanych w związku z prowadzeniem działalności leczniczej w zakładzie innego podmiotu leczniczego.

Administrator powinien wyznaczyć osobę, która będzie pomagać mu w monitorowaniu wewnętrznego przestrzegania przepisów. Osoba ta:

  • powinna pomagać administratorowi i pracownikom przetwarzającym dane osobowe;

  • dostarczać pracownikom przetwarzającym dane osobowe informację i porad na temat przestrzegania spoczywających na nich obowiązków w zakresie ochrony danych.

Osoba ta może być członkiem dotychczasowego personelu administratora po odbyciu specjalnego szkolenia z prawa i praktyki ochrony danych w celu uzyskania wiedzy fachowej w tej dziedzinie. Kilku administratorów może, uwzględniając swoją strukturę organizacyjną i wielkość, wspólnie wyznaczyć jednego inspektora ochrony danych, na przykład w przypadku dzielonych zasobów w jednostkach centralnych.

Zgodnie z ustawą administrator, ma obowiązać dokumentowania wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu na weryfikowanie przestrzegania ustawowych zasad.

Stąd administrator w placówce służby zdrowia powinien wypracować odpowiednie dla siebie podejście do zarządzania ryzykiem naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych uwzględniające swoje środowisko, specyfikę prowadzonej działalności oraz posiadane doświadczenie a w szczególności charakter, zakres oraz cele i sposób przetwarzania danych osobowych.

Administrator ma obowiązek podjęcia odpowiednich środków, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem prowadzić z pacjentem wszelką komunikację w sprawie przetwarzania. Informacji udziela na piśmie lub w inny sposób, w tym w stosownych przypadkach także elektronicznie. Jeżeli pacjent, tego zażąda, informacji można udzielić ustnie, o ile innymi sposobami potwierdzi się tożsamość osoby, której dane dotyczą. Z kolei jeżeli cele, w których administrator przetwarza dane osobowe, nie wymagają lub już nie wymagają zidentyfikowania przez niego tej osoby, administrator nie ma obowiązku zachowania, uzyskania ani przetworzenia dodatkowych informacji w celu zidentyfikowania osoby, wyłącznie po to, by zastosować się do rozporządzenia.

Administrator danych ma obowiązek poinformować zainteresowanych:

  • w jakim celu przetwarzane są dane i jaka jest podstawa prawna ich przetwarzania;

  • informacji dotyczących swoich danych kontaktowych;

  • danych inspektora danych osobowych;

  • czy podanie danych osobowych jest wymogiem ustawowym lub umownym, lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest musi je podać i jakie są ewentualne konsekwencje niepodania danych;

  • do jakich kategoriach odbiorców będą przekazywane;

  • w przypadków przekazywania danych do państwa trzeciego albo organizacji międzynarodowej, należy podać jakie zabezpieczenia zostały zastosowane;

  • jak długo będą przechowywane dane osobowe;

  • o prawie wniesienia skargi do organu nadzorczego – w Polsce obecnie Generalny Inspektor Ochrony Danych Osobowych, zgodnie z projektem ustawy o ochronie danych osobowych – Prezes Urzędu Ochrony Danych Osobowych.

Administrator w placówce służby zdrowia musi przetwarzać dane osobowe zgodnie z podstawowymi zasadami określonymi ustawie. W związku z tym jednym z zadań, jakie należy określić będzie określenie celów przetwarzania danych w odniesieniu do poszczególnych kategorii osób oraz kategorii przetwarzanych danych w związku z realizacją poszczególnych celów.

Dane osobowe muszą być:

  • przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla pacjenta;

  • zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;

  • przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnym celem „ograniczenie celu“;

  • należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;

  • przechowywane w formie umożliwiającej identyfikację pacjenta, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane;

  • dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;

  • przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z n rozporządzeniem. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

W działalności większości placówek służby zdrowia dochodzi do powierzenia przetwarzania danych osobowych przykładowo dla celów realizacji usług z zakresu:

  • księgowości,

  • obsługi informatycznej,

  • placówek naukowych,

  • niszczenia dokumentów zawierających dane osobowe,

  • archiwizacji dokumentów zawierających dane osobowe.

Jednostka przetwarzająca dane powinna zawrzeć z administratorem danych odpowiednią umowę na przetwarzanie, w której określone zostaną zasady przetwarzania danych określając zadania, że:

  • przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora, co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej ;

  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

  • podejmuje wszelkie środki wymagane dla bezpieczeństwa przetwarzania;

  • przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, czy podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora;

  • biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania pacjenta, którego dane dotyczą;

  • po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych powyżej oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, lub inspekcji.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób,

 

Używamy plików cookie, żeby ciągle poprawiać jakość witryny.
Dowiedz się więcej.