PARTNERZY PORTALU
partner portalu partner portalu

Stomatolog na straży danych osobowych (cz. II)

13-06-2013, 00:01
Karol Cieniak: w gabinecie stomatologicznym musisz chronić także dane osobowe
Karol Cieniak: w gabinecie stomatologicznym musisz chronić także dane osobowe
Prezentujemy II część wywiadu z Karolem Cieniakiem, prawnikiem, specjalistą ds. ochrony danych osobowych, związanym ze  specjalistycznym serwisem www.rbdo.pl. Wyjaśniamy w niej m.in. w jakiej formie trzeba prowadzić dokumentację przetwarzania danych osobowych, czy sposób prowadzenia tej dokumentacji uzależniony jest od formy prawnej w jakiej funkcjonuje praktyka stomatologiczna, czy zbiór danych osobowych trzeba zgłaszać do GIODO?

W części I wywiadu pisaliśmy m.in. o Polityce Bezpieczeństwa, o Instrukcji Zarządzania Systemem Informatycznym oraz o ewidencji osób upoważnionych do przetwarzania danych.

Mirosław Stańczyk infoDENT24.pl: Czy można prowadzić dokumentację przetwarzania danych osobowych tylko w formie elektronicznej?

Karol Cieniak: Dokumentację przetwarzania danych należy prowadzić w formie pisemnej, zatem takie dokumenty jak Polityka Bezpieczeństwa, Instrukcja Zarządzania Systemem Informatycznym oraz wszelkie inne załączniki i ewidencje, zgodnie par. 3 ust. 2 rozporządzenia do art. 39a ustawy o ochronie danych osobowych, powinny być prowadzone w formie papierowej.

Należy przy tym rozróżnić dokumentację medyczną od dokumentacji przetwarzania danych. O ile ta pierwsza może być prowadzona w formie jedynie elektronicznej (zgodnie z par. 1 rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania), to już dokumentację przetwarzania danych osobowych, określającą w jakich formach dane osobowe (zawarte między innymi w dokumentacji medycznej) są przetwarzane i zabezpieczone należy bezwarunkowo prowadzić w formie pisemnej.

infoDENT24.pl: Czy, a jeżeli tak, to w jakim stopniu zmienia się zakres obowiązków w zakresie przetwarzania danych osobowych, o ile stomatolog świadczy usługi w ramach spółki?

Karol Cieniak: W przypadku, gdy usługi medyczne świadczone są w ramach spółki administratorem danych osobowych pacjentów jest właśnie ta spółka. W takiej sytuacji konieczne jest wyznaczenie konkretnej osoby pełniącej funkcję administratora bezpieczeństwa informacji (ABI) . Ustawa zwalnia z obowiązku wyznaczenia ABI jedynie w przypadku, gdy administrator danych osobowych osobiście nadzoruje przestrzeganie zasad ochrony danych osobowych. Oczywiście jest to możliwe tylko w przypadku, gdy administratorem danych osobowych jest konkretna osoba fizyczna (np. lekarz prowadzący działalność w ramach indywidualnej praktyki medycznej).

infoDENT24.pl: Czy przepisy związane z ochroną danych osobowych wymagają, aby w umowie z pacjentem lub np. w ogólnodostępnym regulaminie zawarte były specjalne klauzule dotyczące zgody pacjenta na taką a nie inną formę przetwarzania jego danych?

Karol Cieniak: Przetwarzanie danych osobowych pacjenta nie odbywa się na podstawie zgody w rozumieniu ustawy o ochronie danych osobowych, a w oparciu o brzmienie art. 23 ust. 1 pkt 3 tej ustawy (konieczność realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną). Nie ma zatem potrzeby uzyskiwania odrębnego oświadczenia woli (np. jako podpis pod zgodą na przetwarzanie danych).

POLECAMY W SERWISACH

Drodzy Użytkownicy!

W związku z odwiedzaniem naszych serwisów internetowych przetwarzamy Twój adres IP, pliki cookies i podobne dane nt. aktywności lub urządzeń użytkownika. Jeżeli dane te pozwalają zidentyfikować Twoją tożsamość, wówczas będą traktowane jako dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady 2016/679 (RODO).

Administratora tych danych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz w Polityce Prywatności pod tym linkiem.

Jeżeli korzystasz także z innych usług dostępnych za pośrednictwem naszych serwisów, przetwarzamy też Twoje dane osobowe podane przy zakładaniu konta, rejestracji na eventy, zamawianiu prenumeraty, newslettera, alertów oraz usług online (w tym Strefy Premium, raportów, rankingów lub licencji na przedruki).

Administratorów tych danych osobowych, cele i podstawy przetwarzania oraz inne informacje wymagane przez RODO znajdziesz również w Polityce Prywatności pod tym linkiem. Dane zbierane na potrzeby różnych usług mogą być przetwarzane w różnych celach, na różnych podstawach oraz przez różnych administratorów danych.

Pamiętaj, że w związku z przetwarzaniem danych osobowych przysługuje Ci szereg gwarancji i praw, a przede wszystkim prawo do sprzeciwu wobec przetwarzania Twoich danych. Prawa te będą przez nas bezwzględnie przestrzegane. Jeżeli więc nie zgadzasz się z naszą oceną niezbędności przetwarzania Twoich danych lub masz inne zastrzeżenia w tym zakresie, koniecznie zgłoś sprzeciw lub prześlij nam swoje zastrzeżenia pod adres odo@ptwp.pl.

Zarząd PTWP-ONLINE Sp. z o.o.