Chat with us, powered by LiveChat

Ochrona danych osobowych (RODO) w gabinecie dietetycznym. Co dietetyk powinien wiedzie─ç?

Konferencja „┼Ül─ůska Jesie┼ä Dietoterapii 2017ÔÇŁ – relacja, wnioski, najwa┼╝niejsze doniesienia
Listopad 20, 2017
Nowy pacjent w gabinecie dietetycznym. Jak prze┼éama─ç ÔÇ×pierwsze lodyÔÇŁ, aby odnie┼Ť─ç sukces? 7 wa┼╝nych wskaz├│wek dla dietetyka.
Marzec 1, 2018

Rozporz─ůdzenie o ochronie danych osobowych dotyczy wszystkich podmiot├│w, kt├│re przetwarzaj─ů dane osobowe, niezale┼╝nie, jakie us┼éugi czy produkty sprzedaj─ů. Dotyczy to r├│wnie┼╝ dietetyk├│w, poniewa┼╝ przetwarzaj─ů oni dane osobowe swoich pacjent├│w ÔÇô zar├│wno w poradni dietetycznej, jak i prowadz─ůc gabinet online.

Rozporz─ůdzenie o ochronie danych osobowych zosta┼éo uchwalone w maju 2016 roku. Ustawodawca unijny da┼é 2 lata na przygotowanie si─Ö do nowych przepis├│w. Czas ten up┼éywa 24 maja 2018 roku.

Nie ma zatem na co czeka─ç. Trzeba wdra┼╝a─ç RODO.

 

 

Od czego dietetyk ma zacz─ů─ç wdra┼╝anie RODO w swoim gabinecie dietetycznym?

 

Od kartki papieru i d┼éugopisu Ôś║ ┬áPierwszym zadaniem jest przeanalizowanie i spisanie nast─Öpuj─ůcych kwestii:

  • w jaki spos├│b przetwarzane s─ů dane (np. wysy┼éanie maili do pacjent├│w, przygotowywanie dla nich jad┼éospis├│w, rozmowa telefoniczna)
  • za pomoc─ů jakich ┼Ťrodk├│w (np. za pomoc─ů programu dietetycznego, do kt├│rego si─Ö loguj─ů)
  • jakie dane s─ů przetwarzane (imi─Ö, nazwisko, adres, telefon, adres email, stan zdrowia itp.)
  • jaki jest cel przetwarzania (porada dietetyczna, przygotowanie jad┼éospisu, sprzeda┼╝ jakiego┼Ť produktu)
  • na jakiej podstawie prawnej przetwarzane s─ů dane (np. zgoda pacjenta, kt├│ry udost─Öpnia swoje dane, u┼éo┼╝enie i przekazanie jad┼éospisu, podpisana umowa)

Zgodnie z RODO trzeba posiada─ç zgod─Ö na przetwarzanie danych osobowych od pacjenta podpisan─ů w formie papierowej lub elektronicznej.

  • czy s─ů udost─Öpniane dane klient├│w do przetwarzania innym podmiotom (np. firmy udost─Öpniaj─ůce system mailingowy)
  • czy inne osoby pracuj─ůce w poradni (np. pracownicy rejestracji lub inni dietetycy, kt├│rzy pracuj─ů w gabinecie dietetycznym) maj─ů upowa┼╝nienie do przetwarzania danych

W przypadku udost─Öpnienia innym danych do przetwarzania, nale┼╝y wprowadzi─ç rejestr takich upowa┼╝nie┼ä. Na szcz─Ö┼Ťcie nie trzeba, jak by┼éo to dotychczas, zbiera─ç upowa┼╝nienia i o┼Ťwiadczenia os├│b, kt├│re przetwarzaj─ů. Jednak na wypadek kontroli lub ewentualnego wycieku danych wa┼╝ne jest, aby wiedzie─ç, kto ma dost─Öp do danych. Taki rejestr mo┼╝e by─ç prowadzony w wersji elektronicznej (np. Excel) lub papierowej (wydrukowana tabelka).

W przypadku korzystania z podmiotu zewn─Ötrznego do przetwarzania danych, jak na przyk┼éad serwis mailingowy, warto wybra─ç tak─ů firm─Ö, kt├│ra daje gwarancj─Ö wysokiego bezpiecze┼ästwa danych. Nale┼╝y z ni─ů podpisa─ç umow─Ö powierzenia danych (mo┼╝e by─ç w wersji elektronicznej).

  • jaki jest stosowany system bezpiecze┼ästwa, np. has┼éa dost─Öpu, upowa┼╝nienia, szafy pancerne, i czy takie zabezpieczenia s─ů konieczne dla ochrony danych?

Je┼Ťli dane osobowe pacjent├│w s─ů przechowywane w formie papierowej ÔÇô mo┼╝e to by─ç szafka zamkni─Öta na klucz, je┼Ťli natomiast w folderze na komputerze ÔÇô wystarczy has┼éo do komputera.

  • jakie jest ryzyko wycieku danych, jak mo┼╝na si─Ö przed tym zabezpieczy─ç?

Przyk┼éadem takiego ryzyka jest, mo┼╝liwo┼Ť─ç zabrania przez przypadkow─ů osob─Ö kalendarza, w kt├│rym umawiane s─ů wizyty pacjent├│w i zapoznania si─Ö przez ni─ů z danymi pacjent├│w (imi─Ö i nazwisko, telefon). Przewiduj─ůc tak─ů sytuacj─Ö, warto wprowadzi─ç procedur─Ö, ┼╝eby przyk┼éadowy kalendarz le┼╝a┼é poza zasi─Ögiem oczekuj─ůcych w poczekalni os├│b.

  • czy robiona jest kopia zapasowa danych, gdzie przetrzymywane s─ů dane i jak d┼éugo?

RODO nie nakazuje robienia kopii i nie rozstrzyga gdzie i jak d┼éugo j─ů trzyma─ç. To zadanie dla administratora (w tym przypadku ÔÇô dietetyka/w┼éa┼Ťciciela poradni). Administrator musi wiedzie─ç, czy to on ma robi─ç kopi─Ö zapasow─ů danych, czy robi to firma zewn─Ötrzna (np. hostingodawca), przez jaki czas trzyma dane i w jaki os├│b. Na pewno przy uwzgl─Ödnieniu czasu musi wzi─ů─ç pod uwag─Ö fakt, czy przepisy prawa nie nak┼éadaj─ů na niego okre┼Ťlonego obowi─ůzku (jak na przyk┼éad przy dokumentacji p┼éacowej pracownik├│w) oraz charakter i czas realizacji umowy lub us┼éugi. Dokumentacja elektroniczna mo┼╝e by─ç archiwizowana codziennie na serwerze.

  • czy podpisana jest umowa powierzenia przetwarzania danych osobowych z innym podmiotem, np. firm─ů udost─Öpniaj─ůc─ů system mailingowy

W tej kwestii nie rezygnuje si─Ö z podpisywania um├│w powierzenia. Wr─Öcz przeciwnie, nak┼éada pewne obowi─ůzkowe elementy um├│w. Chocia┼╝ du┼╝ym u┼éatwieniem b─Ödzie podpisywanie um├│w w wersji elektronicznej.

  • w jaki spos├│b zbierana jest zgoda na przetwarzanie danych wra┼╝liwych (o stanie zdrowia pacjent├│w)

Co do zasady RODO zabrania przetwarzania danych wra┼╝liwych z wyj─ůtkiem mi─Ödzy innymi sytuacji, gdy osoba wyrazi┼éa wyra┼║n─ů zgod─Ö na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach. Wykazanie, czy by┼éa to zgoda wyra┼║na, obci─ů┼╝a administratora. Procedurami lub mechanizmami dobrze nadaj─ůcymi si─Ö do uzyskiwania zgody s─ů wyra┼║ne o┼Ťwiadczenia wyra┼╝aj─ůce przyzwolenie, takie jak podpisana umowa lub pisemne o┼Ťwiadczenia o ch─Öci wyra┼╝enia przyzwolenia. Jednocze┼Ťnie dostarczaj─ů one administratorowi danych dowodu, ┼╝e uzyskano zgod─Ö.

Rozporz─ůdzenie umo┼╝liwia pa┼ästwom cz┼éonkowskim doprecyzowanie jego przepis├│w, w tym w odniesieniu do przetwarzania szczeg├│lnych kategorii danych osobowych (danych wra┼╝liwych). W tej sprawie rozporz─ůdzenie nie wyklucza mo┼╝liwo┼Ťci okre┼Ťlenia w prawie pa┼ästwa cz┼éonkowskiego okoliczno┼Ťci dotycz─ůcych konkretnych sytuacji zwi─ůzanych z przetwarzaniem danych, w tym dookre┼Ťlenia warunk├│w, kt├│re decyduj─ů o zgodno┼Ťci przetwarzania z prawem. Obecnie nowa krajowa ustawa o ochronie danych nie zosta┼éa jeszcze uchwalona.

Kolejnym etapem wdra┼╝ania RODO jest analiza, jak brzmi─ů klauzule informacyjne, czyli te kwestie, kiedy pacjent jest informowany o przetwarzaniu danych osobowych. Nale┼╝y dostosowa─ç je do obowi─ůzk├│w wynikaj─ůcych z RODO.

 

 

Jak dietetyk powinien zbiera─ç i gromadzi─ç dane osobowe swoich pacjent├│w?┬áGdzie przechowywa─ç zgody pacjent├│w na przetwarzanie danych?

Je┼Ťli dietetyk przyjmuje w poradni, pacjenci powinni podpisa─ç zgod─Ö na przetwarzanie danych osobowych w formie papierowej. Natomiast prowadz─ůc pacjent├│w online, wystarczy zgoda w formie elektronicznej (np. poprzez wype┼énienie formularza przez pacjenta). Nie mo┼╝na wykluczy─ç, ┼╝e dietetyk b─Ödzie mia┼é zar├│wno klient├│w online, jak i przyjmowa┼é w poradni. W├│wczas potrzebne jest rozr├│┼╝nienie zbioru danych oraz zastosowanych zabezpiecze┼ä.

Dane osobowe mog─ů by─ç gromadzone w wersji papierowej. Do tego wystarczy dokumentacja papierowa (np. teczka pacjenta). Dietetyk mo┼╝e je r├│wnie┼╝ przechowywa─ç w folderze na swoim komputerze. ┬á

RODO nie wymusza, aby dane by┼éy przechowywane w wersji elektronicznej lub papierowej. Jednak od sposobu gromadzenia danych b─Ödzie zale┼╝a┼é dob├│r adekwatnego ich zabezpieczenia. Szafa pancerna czy zamykana na klucz b─Ödzie mia┼éa znaczenie dla dokumentacji papierowej, ale dla danych przechowywanych na serwerze zewn─Ötrznym ju┼╝ niekoniecznie.

 

 

Jak d┼éugo nale┼╝y przechowywa─ç dokumentacj─Ö z danymi osobowymi pacjent├│w w gabinecie dietetycznym?

Dane osobowe oraz dokumentacja pacjent├│w poradni, powinna by─ç przechowywana przez okres nie d┼éu┼╝szy, ni┼╝ wynika to z obowi─ůzuj─ůcych przepis├│w i jest niezb─Ödne do funkcjonowania poradni lub wykonania umowy z pacjentami. Po tym okresie dane powinny zosta─ç usuni─Öte.\

 

Jakie dane osobowe dietetyk mo┼╝e zbiera─ç od swoich pacjent├│w?

RODO wprowadza Minimalizacj─Ö danych. To znaczy, ┼╝e dietetycy nie mog─ů ┼╝─ůda─ç od swoich pacjent├│w danych, kt├│re nie s─ů koniecznie do ┼Ťwiadczonej us┼éugi (porady dietetycznej czy przygotowania planu ┼╝ywieniowego). Dietetyk potrzebuje jedynie nast─Öpuj─ůcych informacji:

  • imi─Ö i nazwisko pacjenta
  • adres email
  • numer telefonu w celu um├│wienia terminu wizyty
  • stan zdrowia, przebyte choroby, alergie, leki, masa cia┼éa, wzrost, tryb ┼╝ycia, p┼ée─ç, stan fizjologiczny itp. (dane wra┼╝liwe).

Je┼╝eli dietetyk b─Ödzie potrzebowa┼é dodatkowych danych, mo┼╝e o nie pacjenta poprosi─ç, ale w przypadku kontroli musi udowodni─ç, ┼╝e by┼éy niezb─Ödne dla wykonania us┼éugi (umowy z pacjentem).

 

 

Jak zabezpiecza─ç dane osobowe swoich pacjent├│w?

Na to pytanie ci─Ö┼╝ko jednoznacznie odpowiedzie─ç. Szacowanie ryzyka powinno da─ç odpowied┼║, jaki spos├│b zabezpiecze┼ä jest najbardziej adekwatny i skuteczny.

Mo┼╝na pos┼éu┼╝y─ç si─Ö dotychczasow─ů list─ů zabezpiecze┼ä, kt├│re proponowa┼éo GIODO we wniosku o zarejestrowanie zbioru danych (pole 16. ┼Ürodki ochrony fizycznej). Na przyk┼éad, je┼╝eli wynajmowany jest lokal na gabinet, w kt├│rym jest ochrona, to w├│wczas zabezpieczeniem b─Ödzie fakt, ┼╝e dost─Öp do pomieszcze┼ä, w kt├│rych przetwarzany jest zbi├│r danych osobowych, przez ca┼é─ů dob─Ö jest nadzorowany przez s┼éu┼╝b─Ö ochrony.

Innym zabezpieczeniem mo┼╝e by─ç alarm, kraty w oknach, czy chocia┼╝by zamkni─Öta metalowa szafa.

RODO nie wskazuje, ┼╝e administrator powinien u┼╝y─ç takich, a nie innych zabezpiecze┼ä. Pozostawia to w gestii administratora.

W sytuacji, kiedy dietetyk przechowuje dane na komputerze, np. w folderze i z tym komputerem wsz─Ödzie si─Ö porusza pracuj─ůc mobilnie, mo┼╝e je zabezpieczy─ç has┼éem dost─Öpu do komputera lub dodatkowym has┼éem dost─Öpu do tego konkretnego folderu.

RODO wprowadza wym├│g powo┼éania inspektora ochrony danych, w przypadku przetwarzania danych osobowych szczeg├│lnie chronionych (dane wra┼╝liwe), a do takich nale┼╝─ů dane pacjent├│w przetwarzane przez dietetyka.┬áJednak┼╝e w przypadku przetwarzania danych wra┼╝liwych, kt├│rych skala przetwarzania nie jest du┼╝a, np. w przypadku indywidualnej praktyki lekarskiej, czy dietetycznej, takiego obowi─ůzku powo┼éania inspektora ochrony danych nie b─Ödzie.

Warto ┼Ťledzi─ç, co si─Ö b─Ödzie dzia┼éo w┼Ťr├│d profesjonalist├│w ┼Ťwiadcz─ůcych us┼éugi dietetyczne, gdy┼╝ wydaje si─Ö, i┼╝ z biegiem czasu wytworz─ů si─Ö tzw. kodeksy bran┼╝owe zawieraj─ůce schematy przetwarzania rekord├│w, zawieraj─ůcych dane szczeg├│lnie chronione.

 

 

Czy prowadz─ůc bloga, mo┼╝na wysy┼éa─ç newsletter, korzystaj─ůc z us┼éug firmy udost─Öpniaj─ůcej system mailingowy (np. Mailerlite), jakie ewentualnie zmiany trzeba wprowadzi─ç?

Prowadzenie newslettera jest oczywi┼Ťcie dopuszczalne i RODO nie zabrania ani prowadzenia bloga, ani tym bardziej rozsy┼éania newslettera.

Dotychczas osoby decyduj─ůce si─Ö na przetwarzanie danych subskrybent├│w mia┼éy obowi─ůzek sporz─ůdzenia dokumentacji, tj. o polityce bezpiecze┼ästwa informacji, instrukcj─Ö zarz─ůdzania oraz zg┼éoszenia zbioru danych do GIODO. ┬á

Nowe przepisy od tego odchodz─ů. Niestety RODO nie wprowadza tak szczeg├│┼éowo opisanych obowi─ůzk├│w, jak wcze┼Ťniejsze przepisy. Z jednej strony daje to wi─Öksz─ů swobod─Ö administratorowi, aby dostosowa─ç system przetwarzania danych do indywidualnej sytuacji przedsi─Öbiorcy. ┬á

Z drugiej strony natomiast wymaga od administratora wi─Ökszego zaanga┼╝owania, przemy┼Ťlenia procesu przetwarzania danych, co w konsekwencji sprowadza si─Ö do stwierdzenia, ┼╝e nie mo┼╝na tego zrobi─ç na przys┼éowiowym kolanie.

 

Dostosowanie dokumentacji do RODO

Je┼╝eli dotychczas gabinet prowadzi┼é dokumentacj─Ö zgodnie z ustaw─ů o ochronie danych osobowych i dyrektyw─ů o ochronie danych (kt├│ra zosta┼éa uchylona przez RODO), to powinien j─ů dostosowa─ç do wymog├│w RODO. Dla przyk┼éadu: RODO nie wymaga ju┼╝ polityki bezpiecze┼ästwa informacji. Je┼Ťli dietetyk takowy dokument posiada, jest on podstaw─ů do przeanalizowania procedur i ┼Ťrodk├│w bezpiecze┼ästwa, jakie podj─ů┼é, jak i stworzenia rejestru przetwarzania danych.

Dlatego dietetyk powinien wdro┼╝y─ç RODO i przeanalizowa─ç punkty wskazane na pocz─ůtku artyku┼éu.

 

Czy pacjent korzystaj─ůcy z us┼éug kilku dietetyk├│w w jednej poradni powinien podpisa─ç zgod─Ö na przetwarzanie z ka┼╝dym z dietetyk├│w oddzielnie?

Gdy w poradni pracuje kilku dietetyk├│w, ┬ánp. jeden konsultuje, inny pisze jad┼éospisy, administratorem danych jest osoba odpowiedzialna za poradni─Ö (w┼éa┼Ťciciel poradni). W├│wczas poradnia, podpisuj─ůc umow─Ö z dietetykiem (jak i innym personelem), zawiera kwestie powierzenia przetwarzania danych.

 

Artyku┼é zosta┼é przygotowany przez wsp├│┼épracuj─ůc─ů z nami Kancelari─Ö Prawna Bli┼╝ej Prawa

Logowanie