PARTNER PORTALU
partner portalu

Stomatolog na straży danych osobowych (cz. II)

13-06-2013, 00:01
Karol Cieniak: w gabinecie stomatologicznym musisz chronić także dane osobowe
Karol Cieniak: w gabinecie stomatologicznym musisz chronić także dane osobowe
Prezentujemy II część wywiadu z Karolem Cieniakiem, prawnikiem, specjalistą ds. ochrony danych osobowych, związanym ze  specjalistycznym serwisem www.rbdo.pl. Wyjaśniamy w niej m.in. w jakiej formie trzeba prowadzić dokumentację przetwarzania danych osobowych, czy sposób prowadzenia tej dokumentacji uzależniony jest od formy prawnej w jakiej funkcjonuje praktyka stomatologiczna, czy zbiór danych osobowych trzeba zgłaszać do GIODO?

W części I wywiadu pisaliśmy m.in. o Polityce Bezpieczeństwa, o Instrukcji Zarządzania Systemem Informatycznym oraz o ewidencji osób upoważnionych do przetwarzania danych.

Mirosław Stańczyk infoDENT24.pl: Czy można prowadzić dokumentację przetwarzania danych osobowych tylko w formie elektronicznej?

Karol Cieniak: Dokumentację przetwarzania danych należy prowadzić w formie pisemnej, zatem takie dokumenty jak Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym oraz wszelkie inne załączniki i ewidencje, zgodnie par. 3 ust. 2 rozporządzenia do art. 39a ustawy o ochronie danych osobowych, powinny być prowadzone w formie papierowej.

Należy przy tym rozróżnić dokumentację medyczną od dokumentacji przetwarzania danych. O ile ta pierwsza może być prowadzona w formie jedynie elektronicznej (zgodnie z par. 1 rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania), to już dokumentację przetwarzania danych osobowych, określającą w jakich formach dane osobowe (zawarte między innymi w dokumentacji medycznej) są przetwarzane i zabezpieczone należy bezwarunkowo prowadzić w formie pisemnej.

infoDENT24.pl: Czy, a jeżeli tak, to w jakim stopniu zmienia się zakres obowiązków w zakresie przetwarzania danych osobowych, o ile stomatolog świadczy usługi w ramach spółki?

Karol Cieniak: W przypadku, gdy usługi medyczne świadczone są w ramach spółki administratorem danych osobowych pacjentów jest właśnie ta spółka. W takiej sytuacji konieczne jest wyznaczenie konkretnej osoby pełniącej funkcję administratora bezpieczeństwa informacji (ABI) . Ustawa zwalnia z obowiązku wyznaczenia ABI jedynie w przypadku, gdy administrator danych osobowych osobiście nadzoruje przestrzeganie zasad ochrony danych osobowych. Oczywiście jest to możliwe tylko w przypadku, gdy administratorem danych osobowych jest konkretna osoba fizyczna (np. lekarz prowadzący działalność w ramach indywidualnej praktyki medycznej).

infoDENT24.pl: Czy przepisy związane z ochroną danych osobowych wymagają, aby w umowie z pacjentem lub np. w ogólnodostępnym regulaminie zawarte były specjalne klauzule dotyczące zgody pacjenta na taką a nie inną formę przetwarzania jego danych?

Karol Cieniak: Przetwarzanie danych osobowych pacjenta nie odbywa się na podstawie zgody w rozumieniu ustawy o ochronie danych osobowych, a w oparciu o brzmienie art. 23 ust. 1 pkt 3 tej ustawy (konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną). Nie ma zatem potrzeby uzyskiwania odrębnego oświadczenia woli (np. jako podpis pod zgodą na przetwarzanie danych).

POLECAMY W SERWISACH