Dostęp do tej strony jest ograniczony.



Jeżeli posiadasz już konto, zaloguj się:
Nie posiadasz jeszcze konta?

78 Comments

  1. Uczestnik Szkolenia

    Odpowiedz

    Witam
    czy dokumenty do pobrania są również dostępne z wersji edytowanej, najlepiej word? Chodzi mi tutaj o formularze i zestawienia. Nie mamy możliwości edytowania dokumentów pdf na naszych komputerach. Dziękuję i pozdrawiam
    Anna Soja, FU Poddent

  2. Leszek Zając

    Odpowiedz

    Przypominam, iż na szkoleniu powiedziałem, że dwa załączniki są puste: regulamin przetwarzania oraz podstawowy wzór powierzenia – pracujemy nad nimi i powinny ukazać się do 25 marca 2018 r.
    Pozdrawiam

  3. Uczestnik Szkolenia

    Odpowiedz

    Czy “Ocena ryzyka naruszenia praw lub wolności osób, których dane dotyczą” to to samo co “DPIA”?

  4. Uczestnik Szkolenia

    Odpowiedz

    witam
    w pliku Zestaw Rodo edytowalny – ewidencja osób upoważnionych do przetwarzania danych osobowych -to załącznik nr 8 – rejestr upoważnień (tak mi się wydaje).
    Natomiast w polityce bezpieczeństwa pisze że to załącznik nr 11a – a takiego załącznika nie ma.

    Natomiast w polityce pisze, że rejestr umów powierzenia – to Załącznik nr 8 – natomiast ja nie widzę w tych plikach takiego załącznika (bo jak pisałem załącznik nr 8 – to rejestr upoważnień).
    Wszystko reszta się zgadza 🙂 i ogólnie dokumenty to kawał dobrej roboty.
    pozdrawiam po szkoleniu

    • Leszek Zając

      Odpowiedz

      Skrót DPIA czyli Data Protection Impact Assessment oznacza ocenę skutków dla ochrony danych. Załącznik Ocena ryzyka dotyczy nie DPIA ale oceny ryzyka.
      Wzór DPIA będzie dodany w przeciągu 2 tyg.
      Leszek Zając

  5. Uczestnik Szkolenia

    Odpowiedz

    Witam Panie Leszku
    Mam pytania:
    Z kim podpisuję umowę powierzenia: na pewno z labolatorium,
    a
    1. czy z kimś kto świadczy transport POZ również? bo nie przekazuję mu żadnych danych osobowych.
    2. czy ze śmieciami z odpadami medycznymi? chyba też nie.
    3. czy muszę z biurem rachunkowym jeżeli nie daję mu żadnych danych osobowych pacjenta. Dostaje np. tylko ilości wykonanych badań krwi moczu itp. ?
    4. czy z RTG? bo tam też pacjent przychodzi sam ze skierowaniem, a rozliczamy się tylko ile sztuk było wykonanych badań RTG, bez danych pacjentów.
    5. Jak to jest z rejestracją telefoniczną, tzn. dzwoni pacjent czy mam prawo pytać go o imię i nazwisko? Tylko, że bez tych danych go nie zarejestruję.
    6. a Jak dzwoni Pani z apteki z nieczytelną receptą? np. podaje mi pesel pacjenta telefonicznie i pyta się o dane pacjenta żeby zweryfikować, tak zdarza się przy receptach wypisywanych ręcznie przez lekarzy. To jak mam w tym przypadku postąpić, jak z tego wybrnąć?

    Wiem, że mam dużo pytań, ale jeżeli Pan może to proszę o pomoc w tych sprawach.
    Pozdrawiam Dawid Myśliwiec

    • Leszek Zając

      Odpowiedz

      ad. 1 jeśli nie przekazuje Pan żadnych danych do transportu to nie ma powierzenia, jednak mam wątpliwość, czy rzeczywiście nie przekazuje Pan rzadnych danych.
      ad. 2 nie
      ad. 3 z biurem koniecznie, przekazuje Pan np. listę płac pracowników.
      ad. 4 z rtg za które “płaci” placówka nie pacjent – podpisujemy powierzenie
      ad. 5 oczywiście, że ma Pan prawo pytać o imię i nazwisko, a pacjent ma prawo się rejestrować przez telefon, ale np. przez osobę trzecią przez telefon.

  6. Uczestnik Szkolenia

    Odpowiedz

    witam ja mam kilka pytań odnośnie rejestru czynności przetwarzania:

    1. jeżeli w przychodni mam np poradnie lekarza poz, specjalistykę np ginekologię , poradnię rehabilitacyjną, stomatologiczną.
    To jak rozumiem muszę rozpisać osobne te czynności związane z wizytą lekarską w każdej z tych poradni, bo w każdej poradni mogą zachodzić inne procesy, mogą być tam inne podmioty przetwarzające, inne zabezpieczenia i chyba nie da się w rejestrze ogólnie napisać jedną czynność jak – wizyta lekarska, bo to jest zbyt ogólne.

    2. A co odnośnie wykonywania badań usg, rtg, ekg, wykonanie badania laboratoryjnego -gdzie w przychodni mam pkt pobrań.
    Wydaje mi się że to też będą osobne czynności przetwarzania.
    Jeżeli nawet sami nie wykonujemy badania RTG to jeżeli mamy umowę z podwykonawcą to on na skierowaniu ma podane dane osobowe pacjenta i przetwarza te dane w ramach umowy podwykonawstwa – wiec tutaj na pewno umowa powierzenia musi być.

    A jeżeli w przychodni gdzie tych komórek jest dużo, np kilka gabinetów lekarza poz, stm itd., to robiąc audyt zgodności jak myślę muszę je osobno rozpisać, bo przecież w każdej komórce, gabinecie mogą być inne zabezpieczenia fizyczne, informatyczne itp.
    A jeżeli w audycie rozpiszę to osobno – to czy potem w rejestrze czynności też rozpisać te czynności dla każdej komórki osobno.
    Bo tak sobie myślę, że w takiej przychodni jak tak wszystko będziemy rozpisywać to tych czynności w rejestrze będzie delikatnie mówiąc dużo.

    3. nawiązując do pytania kolegi z posta wyżej, akurat jak chodzi o transport to moim zdaniem trzeba to rozpisać jako osobną czynność – czyli np transport POZ – i są tam przetwarzane dane, bo przecież lekarz zlecający transport daje skierowanie gdzie są podane dane pacjenta (imię, nazwisko, pesel) i z transportem też powinna być zawarta umowa powierzenia tak mi się wydaje.

    4. Jeszcze pytanie o zgody, wiem że powinien być prowadzony rejestr zgód, to czy teraz np chcąc wykonać badanie EKG pacjenta czy pobrać krew do badań to za każdym razem trzeba mieć zgodę pacjenta. I np rozpisując w rejestrze czynności przetwarzania np czynność wykonanie badania laboratoryjnego to np w podstawie prawnej oprócz ustawy o prawach pacjenta i rzeczniku to można dopisać – zgoda pacjenta na badanie.

    wiem, że dużo pytań
    pozdrawiam
    Grzegorz Iwaniec

  7. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry. Właśnie znalazłam informację, że względem dokumentacji medycznej sprzed 5.06.2009 roku stosuje się stare zasady dot. przechowywania, czyli można ją usunąć po upływie 10 lat licząc od końca roku ostatniego wpisu. Czy RODO znosi te przepisy? Wydaje mi się, że nadal mają zastosowanie te stare, niektórzy prawnicy też tak twierdzą.

  8. Uczestnik Szkolenia

    Odpowiedz

    Witam,

    proszę o informację, czy w najblizszym czasie zostana udostepnione dokumenty, które na dzień dzisiajszy mają status – w opracowaniu:
    – Wzór ogólnej umowy powierzenia – w opracowaniu
    – Regulamin ochrony danych osobowych – materiał szkoleniowy – w opracowaniu
    – Przykłady czynności przetwarzania danych w placówkach medycznych – w opracowaniu
    – Wzór przykładowej zgody marketingowej – w opracowaniu

    pozdrawiam
    Michał Ferdyn

    • Leszek Zając

      Odpowiedz

      Tak jak zapowiadaliśmy na szkoleniach proponowane przez nas wzory dokumentów będą stale uzupełniane oraz modyfikowane. Aktualny zestaw dokumentów znajdziecie Państwo w pliku: zestaw_rodo_edytowalny_wer_xx.zip
      Zachęcam do pobierania aktualnej wersji i sprawdzania zmian. W zestawie są te wzory umieszczone.
      Leszek Zając

  9. Uczestnik Szkolenia

    Odpowiedz

    Ja mam pytanie o wzór upoważnienia i rejestr upoważnień.
    Tam są takie pozycje jak Czynność przetwarzania oraz zakres przetwarzania.
    Czynności przetwarzania danych to rozumiem , ale mam pytanie bo w RCPD mam opisane czynności przetwarzania ,
    ale tam też jest drugi wiersz – Opis czynności przetwarzania – zakres przetwarzania.

    Moje pytanie jest takie, czy w upoważnieniach oprócz tego że napiszę że upoważniam daną osobę do takich i takich czynności przetwarzania,
    a może być tak że jedna osoba może mieć tego dużo.
    To czy Zakres przetwarzania mam pisać te wszystkie opisy czynności przetwarzania tego całego procesu, etapów.
    Bo to zrobi się jakaś epopeja straszna.
    Jak mam np. czynność: Rejestracja pacjenta w Poradni POZ
    to zakres przetwarzania – w takim upoważnieniu to co mam napisać? Chyba nie cały opis który mam procesu Rejestracji?
    Chyba że ja czegoś nie rozumiem z tym Zakresem przetwarzania.
    pozdrawiam
    Grzegorz

    • Uczestnik Szkolenia

      Odpowiedz

      Chyba że w polu Zakres przetwarzania – takie opcje sobie wpiszę: do wyboru (bez ograniczeń, podgląd danych, zmiana danych, usuwanie danych)

    • Leszek Zając

      Odpowiedz

      Witam, Panie Grzegorzu w wersji dokumentacji 1.7 został zaproponowany nowy wzór upoważnienia. Proponujemy w nim upoważnić osobę do konkretnych stanowisk służbowych, oraz stworzenie dokumentu, w którym zostaną przyporządkowane czynności przetwarzania do konkretnych stanowisk oraz obowiązków służbowych. Na podstawie tego dokumentu należy następnie przygotować spis grup uprawnień funkcjonalnych w aplikacjach komputerowych powiązanych z określonym stanowiskiem i obowiązkiem służbowym.

  11. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry.
    Mam pytanie. Szpital prowadzi analitykę 24 h.
    Dużo prywatnych przynosi materiał do badania.
    Czy mamy obowiązek pozyskiwania od nich zgody na przetwarzanie danych ?

  12. Uczestnik Szkolenia

    Odpowiedz

    Jakieś przykłady czynności przetwarzania danych w placówkach medycznych by się przydały 🙂
    Ale czy się doczekamy , ciężko powiedzieć.

  13. Uczestnik Szkolenia

    Odpowiedz

    Raport z audytu zgodności pkt. 5 Analiza sposobu realizacji praw osób, których dane dotyczą:
    – mam tu coś wspomniane o rejestrze obowiązków.
    W dokumentach nie ma takiego pliku, ale w polityce jest wspomniane, że
    Spółka dokumentuje obsługę obowiązków informacyjnych, zawiadomień i żądań osób – Załącznik nr 4 do Polityki.
    U mnie zał. 4 to rejestr obsługi zgłoszeń.

    • Leszek Zając

      Odpowiedz

      Witam, realizację praw osób, których dane dotyczą realizujemy właśnie poprzez rejestr obsługi zgłoszeń – załącznik nr 4 do polityki. Proszę przeanalizować jeszcze raz załącznik nr 4, pozwala on obsłużyć ten obowiązek.

  14. Uczestnik Szkolenia

    Odpowiedz

    Zastanawia mnie co z udostępnianiem kart szczepień.
    Jak to będzie w świetle RODO. Teraz jest tak że podmioty przekazują między sobą taką kartę szczepień.
    A mi się wydaje, że to też musi być albo na wniosek pacjenta, albo osoby upoważnionej i nie oryginał tylko kopia.

  15. Uczestnik Szkolenia

    Odpowiedz

    Ja mam pytanie czy ktoś wie, czy jest może jakiś gotowy formularz zgłoszenia IOD do organu nadzorczego (giodo)?

  16. Uczestnik Szkolenia

    Odpowiedz

    Mam pytanie w związku z ostatnim szkoleniem w Warszawie. Pytałem o to, ale nie jestem pewien, czy się zrozumieliśmy. Czy personel pomocniczy, nawet nie posiadający wykształcenia medycznego, może wypisywać wszelkiego rodzaju recepty i zanosić je do podpisu lekarzowi? Czy jest jakaś norma prawna, która by, choć częściowo, kwestionowała to? Zrozumiałem, że może i nie ma żadnych ograniczeń.

    Pozdrawiam,

    Karol Korczak

    • Uczestnik Szkolenia

      Odpowiedz

      Wydaje mi się, że recepty może wystawiać tylko osoba uprawniona tj. lekarz, ewentualnie pielęgniarka posiadająca takie uprawnienia,
      Moim zdaniem personel pomocniczy nie ma takich uprawnień.
      Ale zobaczymy co powie Pan Leszek.

      pozdrawiam
      Uczestnik z innego szkolenia

      • Leszek Zając

        Odpowiedz

        Witam
        Jeżeli wypełnienie druku recepty następuje na wniosek personelu uprawnionego do wystawiania recept (np. lekarza), to personel pomocniczy może wspomagać jego pracę. Pamiętajmy jednak, że ostatecznie to lekarz się podpisuje pod receptą autoryzując ją, również oczywiście to lekarz dokonuje wpisu do dokumentacji indywidualnej pacjenta o wystawieniu recepty podczas np. tzw. wizyty recepturowej.

        • Uczestnik Szkolenia

          Odpowiedz

          Wobec tego, czy jest sens, aby, tak jak to robimy do tej pory, personel pomocniczy logował się w systemie na konto lekarza aby wykonywać jego polecenia? Czy raczej powinno się dążyć do tego, żeby każdy pracownik miał na swoim własnym koncie uprawnienia do wypisywania recept, a lekarz potem ze swojego konta dopisywał tylko rozpoznanie i zatwierdzał wizytę?

      • Uczestnik Szkolenia

        Odpowiedz

        Pisze, że podmiot zawiadamia prezesa w terminie 14 dni od wyznaczenia inspektora ,
        oraz że zgłoszenie dokonuje elektronicznie podpisując podpisem elektronicznym lub epuap.
        Ale nie ma żadnych szczegółów, czy urząd będzie miał taką funkcjonalność na swojej stronie? Chyba obecnie trzeba jeszcze poczekać.

  17. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    a ja mam takie pytanie.
    Jedną z czynności przetwarzania jaką mam – to Obsługa serwera bazy danych mMedica.
    Tam mam opisany cały proces (wykonywanie kopii itd.) , cel przetwarzania , podstawę prawną dałem usatwę z 28 kwietnia 2011 i rozporządzenie z dnia 21 grudnia 2010.
    Ale jedną rzecz nie wiem jak ustawić.
    Chodzi o sposób spełnienia obowiązku informacyjnego

    Tutaj w tej czynności chodzi głownie o wykazanie jak jest zabezpieczona baza mmedica,
    że są procedury tworzenia kopii, jest wysyłka na chmurę Asseco itd.
    No ale co napisać przy tym spełnieniu obowiązku informacyjnego ?
    pozdrawiam

  18. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry Panie Leszku,
    mam dwie sprawy:
    1. we wzorze RCPD brak jest wymaganej wg GIODO informacji “Transfer do kraju trzeciego lub org. międzynarodowej”
    2. gabinety stomatologiczne podpisują każdorazowo z technikiem dentystycznym umowę o wykonanie pracy protetycznej. Technikowi przekazują dane identyfikacyjne oraz zdjęcie pacjenta. Jak w takim przypadku rozwiązać kwestię umowy powierzenia danych? Czy trzeba każdorazowo do każdej pojedynczej umowy o wykonanie pracy protetycznej sporządzać umowę powierzenia czy wystarczy napisać jakąś jedną ogólną umowę powierzenia?
    Z góry dziękuję za odpowiedź.

  19. Uczestnik Szkolenia

    Odpowiedz

    Apteka X zawarła z nami umowę powierzenia (przekazuje do nas zlecenia w celu rozliczenia z NFZ), a my dalej przekazujemy dane do firmy Y, która rozlicza wnioski w naszym imieniu. Jak powinna wyglądać umowa podpowierzenia?

  20. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    Jeśli mogę mam pytanko: otóż wspominał Pan, iż jeśli firma posiada certyfikat ISO to niekonieczne są wszystkie procedury tylko część dokumentów. Może mi Pan podpowiedzieć czego muszę tylko dopilnować??
    Pozdrawiam

    • Leszek Zając

      Odpowiedz

      Nie powiedziałem, że wymagana jest tylko część dokumentów, natomiast można skorzystać z iso 9001 w którym procesy przetwarzania są w dużej części już opisane.

  21. Uczestnik Szkolenia

    Odpowiedz

    Bardzo proszę o odpowiedź na moje pytanie. Czy powinienem domagać się od dostawcy mojego systemu informatycznego, dr Eryka, aby nadał mi uprawnienia do samodzielnego wypisywania recept na polecenie lekarza? W przeszłości firma twierdziła, że jest to niezgodne z prawem i w ramach “kompromisu” dała specjalną licencję pozwalającą na dodanie możliwości równoległego logowania na konto lekarza na drugim komputerze, czy takie rozwiązanie ma sens prawny teraz i czy będzie miało po 25 maja? Mi się wydaje, że nie, ale muszę jakoś przekonać szefa.

    Pozdrawiam,

    Karol Korczak

    • Leszek Zając

      Odpowiedz

      Przypominam, iż na dane konto może logować się tylko właściciel loginu – osoba z którą dany login został powiązany. Praca na nie swoim użytkowniku jest nielegalna.

  22. Uczestnik Szkolenia

    Odpowiedz

    Witam!!! W trakcie szkolenia pracowników w firmie pojawiło się jeszcze kilka pytań, na które chciałabym uzyskać odpowiedz za co z góry bardzo dziękuje. Te pytania to:
    1) Czy każdy pracownik powinien mieć własny, pracowy e-mail? Czy może wysyłać rzeczy dotyczące pracy z prywatnego konta?

    2) Czy po godzinach pracy można – zgodnie z RODO – przesłać listę wykonanych porad (w formie listy udzielonych świadczeń – danych pacjentów i ich rozpoznań)? Z domu? Z prywatnego konta? A gdyby ktoś miał konto „pracowe”?

    3) Psychiatra ma pod opieką Dom Pomocy Społecznej z pacjentami, którzy nie są w stanie udzielić świadomej, poinformowanej zgody (upośledzeni/otępiali):
    – kto udziela zgody na leczenie (kto podpisuje druki zgody), na przekazywanie informacji itp.? Czy przedstawiciel ustawowy? Opiekun faktyczny? (co w sytuacji, gdy nie są ubezwłasnowolnieni?)
    – komu daje lekarz recepty do ręki? Czy zalecenia można wpisywać w specjalny zeszyt, który pozostaje w DPS’ie, aby personel (w tym pielęgniarki) wiedziały jak podawać leki?
    – czy w tym DPS’ie można przechowywać historie choroby pacjentów (żeby ich nie wozić i nie narażać na ryzyko zgubienia/kradzieży)? Jeśli jest ich kilkadziesiąt? A jeśli byłyby w zamkniętych szafkach?

    4) Psychiatra ma pod opieką opieki – PRYWATNY – z pacjentami, którzy nie są w stanie udzielić świadomej, poinformowanej zgody (otępiali, starsze osoby z demencją):
    – kto udziela zgody na leczenie (kto podpisuje druki zgody), na przekazywanie informacji itp.? Czy przedstawiciel ustawowy? Opiekun faktyczny? (co w sytuacji, gdy nie są ubezwłasnowolnieni?)
    – komu daje lekarz recepty do ręki? Czy zalecenia można wpisywać w specjalny zeszyt, który pozostaje w tym domu opieki, aby personel (w tym pielęgniarki) wiedziały jak podawać leki? A co w sytuacji, gdy nie ma pielęgniarek tylko opiekunki (bo dom opieki nie zatrudnia pielęgniarek)?
    – czy w tym domu opieki można przechowywać historie choroby pacjentów (żeby ich nie wozić i nie narażać na ryzyko zgubienia/kradzieży)? Jeśli jest ich kilkadziesiąt? A jeśli byłyby w zamkniętych szafkach?

    5) Jak bezpiecznie zgodnie z RODO przewozić (pojedyncze) papierowe historie choroby pacjenta na wizyty domowe?

    6) Zgodnie z ustawą o świadczeniach finansowanych odrębnie lekarz psychiatra może dać pacjentowi skierowanie na tomografię komputerową/rezonans magnetyczny głowy – a pacjent ma prawo wybrać sobie dowolną placówkę mająca kontrakt z NFZ do wykonania tych badań. Co z umową powierzenia? Klauzulą poufności? Otrzymaniem listy osób wykonujących umowę podpowierzenia?? Nie jesteśmy przecież w stanie zawrzeć umów powierzenia ze wszystkimi placówkami, które wykonują te badania ?

    7) W psychiatrii istnieje pojęcie opieki czynnej – oznacza ono, że pacjent chory psychicznie (= z rozpoznaniem choroby psychicznej) może być objęty opieką czynną, czyli jeśli nie zgłosi się do poradni na wyznaczoną wizytę to poradnia aktywnie szuka kontaktu z nim lub jego rodziną aby móc sprawować nad nim opiekę, udzielać świadczeń, w razie czego kierować do szpitala. Co w sytuacji, gdy pacjent nie wyraża zgody na używanie jego nr telefonu? Pacjent nie wyraża zgody na informowanie rodziny o jego chorobie, a wiadomo, że tylko stała współpraca z rodziną np. gwarantuje ciągłość leczenia. Co w takiej sytuacji? Wolno nam się z nim kontaktować czy nie? Ustawa o Ochronie zdrowia psychicznego jasno określa kogo można leczyć bez jego zgody, tu jednak chodzi o monitorowanie, czy nie nastąpi sytuacja, która mogłaby skutkować leczeniem bez zgody. Czy wolno nam się „aktywnie” kontaktować się z pacjentem i jego rodziną?

    8) Zgodnie z RODO jeśli chodzi o systemy informatyczne w pracy i sprzęt komputerowy – nie wolno wkładać prywatnych pendrivów do pracowych komputerów/laptopów. Lekarz ma pendriva z certyfikatem do wystawiania zwolnień ZUS, jest to jego prywatny pendrive (bo na „osobiste” pendrivy ZUS „załadowuje” te certyfikaty, co wynika z faktu, że uprawnienie do wystawiania zwolnień jest umową między konkretnym lekarzem, a ZUSem, nie jest to nigdy umowa miedzy ZUS, a placówką medyczną), mało tego pracuje w kilku miejscach, kilku przychodniach – czy może go używać we wszystkich pracach? Jak inaczej ma „podpisywać” elektroniczne zwolnienia ZUS? Czy wystarczy zobowiązanie lekarza, że nie wykorzystuje tego pendriva do innych celów??

  23. Uczestnik Szkolenia

    Odpowiedz

    Niestety załączona wersja materiałów 1.8 jest po rozpakowaniu dotychczasową wersją 1.7

  24. Uczestnik Szkolenia

    Odpowiedz

    Mam pytanie dotyczące pkt 3 proponowanego wzoru klauzuli informacyjnej.
    Dane pacjentów powierzamy pracowniom diagnostycznym (laobr. RTG itp.), technikom protetycznym, ale także np. firmie serwisującej sprzęt (USG, UKG) lub firmie informatycznej, która opiekuje się całym naszym systemem. Jak to ująć (jeżeli podanie tych wszystkich informacji jest konieczne), żeby nie rozpisywać się na całą stronę?

  25. Uczestnik Szkolenia

    Odpowiedz

    Ja mam pytanie czym się różni – Rejestr Czynności Przetwarzania Danych Podmiotu Przetwarzającego od Rejestru Kategorii Czynności Przetwarzania ?

    Myślałem własnie że ten Rejestr Czynności Przetwarzania Danych Podmiotu Przetwarzającego to jest właśnie inaczej mówiąc ten rejestr kategorii czynności.
    Wiem, że jako podwykonawca oprócz własnego rejestru czynności przetwarzania danych – gdzie mam czynności przetwarzania , których jestem administratorem ,
    prowadzę własnie też rejestr kategorii czynności przetwarzania – gdzie mam zawarte czynności gdzie jestem podmiotem przetwarzającym dane innych administratorów.

    • Leszek Zając

      Odpowiedz

      Zgadza się, jeżeli jesteście Państwo zarówno administratorem jak i podmiotem przetwarzającym prowadzicie dwa rejestry. Obydwa wzory umieszczone są w plikach do pobrania.

  26. Uczestnik Szkolenia

    Odpowiedz

    Witam, proszę o odpowiedź:
    – czy pracownikom medycznym – umowa zlecenie, nie pracującym w systemie informatycznym, daję upoważnienie czy tylko oświadczenie? A cywilnoprawnym – umowa powierzenia czy upoważnieni?
    Dziękuję
    Ewelina

    • Leszek Zając

      Odpowiedz

      Witam, również to zagadnienie było szczegółowo omawiane na szkoleniu.
      Całemu Państwa personelowi wydajecie upoważnienie do przetwarzania danych osobowych, dodatkowo w umowach cywilno-prawnych (umowa zlecenie też jest umową cywilno-prawną) zawieracie Państwa klauzulę, iż dana osoba zobowiązuje się do przestrzegania Państwa polityki ochrony danych osobowych.
      Oczywiście zakładając, iż personel zatrudniony na umowy cywilno-prawne pracuje u Państwa w ramach systemu i obszaru placówki.

  27. Uczestnik Szkolenia

    Odpowiedz

    witam jeśli jestem podwykonawca wykonującym świadczenie medyczne dla innego podmiotu ale to ja pobieram dane od pacjentów to ja jestem administratorem czy podmiot, z którym mam umowę i który rozlicza się z nfz

  28. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    nawiązując szkolenia dotyczącego tematyki RODO w placówkach medycznych, które odbyło się w marcu w Łodzi i pewnego problematycznego pytania które w trakcie niego padło, przesyłam do rozważenia problematyczną kwestie dowodu osobistego.
    Prowadzimy zakład pielęgnacyjno-opiekuńczy dla osób przewlekle chorych. Ze względu na problemy zdrowotne naszych pacjentów – demencje i otępienia – nie możemy sobie pozwolić na to żeby każdy pacjent miał przy sobie dowód osobisty. Czasami nasi pacjenci umierają, a do stwierdzenia zgonu przez lekarza potrzebny jest dowód osobisty. Nie ma problemu jeśli stanie się to w ciągu dnia i rodzina mieszka gdzieś blisko, wówczas dowód zostanie niezwłocznie dowieziony. Ale co w sytuacji kiedy do zgonu dojdzie w środku nocy, a rodzina mieszka 400km dalej? Z tego względu jesteśmy zmuszenie posiadać w indywidualnej dokumentacji medycznej kserokopię dowodu osobistego.
    Wobec tego nasuwa się pytanie – jak odnieść się do tego zgodnie z wytycznymi RODO???
    Dla urozmaicenia dodam, że miejscowy szpital zażądał, żeby były to kopie potwierdzone notarialnie, gdyż na podstawie zwykłej kopii nie stwierdzą zgonu.

    Bardzo proszę o Pańską wypowiedź w tej kwestii.

  29. AgnieszkaSK

    Odpowiedz

    Witam

    Mam pytanie odnośnie kopii zapasowych baz danych pacjentów. Obecnie musimy tworzyć kopie zapasowe baz danych, jednakże jak długo możemy obecnie je przechowywać? W Instrukcji Zarządzania Systemem Informatycznym mieliśmy ustalony okres usuwania kopii po upływie dwóch lat od momentu jej zapisania. Rozumiem jednak, że obecnie ten czas powinien być znacznie krótszy.

    Z góry dziękuję za odpowiedź
    Agnieszka Kotynia

  30. Uczestnik Szkolenia

    Odpowiedz

    Witam
    Czy zgoda na przetwarzanie danych jest wymagana przy zakładaniu kartoteki u lekarza tak samo przy wykonywaniu badań np. laboratoryjnych w gazecie pisali że nie jest wymagana np . przy sklepie internetowym sprzedającym książki i wysyłającym do klienta.

    • Leszek Zając

      Odpowiedz

      Na to zagadnienie specjalnie zwracaliśmy uwagę podczas szkolenia, jak również już na naszym chacie padła odpowiedź. NIE POZYSKUJEMY ZGODY OD PACJENTA NA PRZETWARZANIE DANYCH W CELU STWORZENIA MU DOKUMENTACJI MEDYCZNEJ – DANE TE PRZETWARZAMY NA PODSTAWIE PRZESŁANKI PRAWA.

  31. Uczestnik Szkolenia

    Odpowiedz

    Witam mam następujące pytania:

    1. odbiór badań laboratoryjnych – czy można zapytać o imię i nazwisko Pacjenta na głos (nawet po cichu) podciągając to pod dobre wykonanie usługi

    2. rejestracja Pacjenta ale innego niż osoba przy rejestracji (fizyczni, czyli np. dziecko Pacjenta) – czy można podać dane osobowe inne osoby , jak nie to w jaki sposób

    3. co zrobić kiedy podczas rejestracji Pacjentów, Pacjencie słyszą swoje dane osobowe . Ciasna i mała rejestracja i nie ma możliwości przebudowy tak jak na dworcu PKP

    4. czy Pacjent może dodstać swoją kartę do reki jeżeli jest to karta Pusta tylko imie nazwisko i pesel Pacjenta

  32. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    Mamy pytanie odnośnie stopki mailowej. Jakie dane, informacje powinny się tam znaleźć?
    Pozdrawiam i uprzejmie proszę o podpowiedź.

    • Leszek Zając

      Odpowiedz

      RODO nie określa jakie dane powinny się znaleźć w stopce mailowej.
      Na szkoleniu natomiast mówiliśmy o spełnieniu obowiązku informacyjnego dla osób z którymi korespondujemy.
      I tutaj podpowiedziałem, iż nie jest koniecznym umieszczenie całej klauzuli informacyjnej w stopce emaila, można dodać informację, iż wszystkie informacje o administratorze można znaleźć na Państwa stronie www i umieścić link do strony z klauzulą informacyjną.

  33. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    Jakie oświadczenia powinni podpisywać pacjenci w placówce medycznej. Z tego co wiem to w placówce medycznej nie ma obowiązku wprowadzania oświadczeń o wyrażeniu zgody na przetwarzanie danych ale czy są inne oświadczenia, które pacjenci powinni podpisywać?

    • Leszek Zając

      Odpowiedz

      Witam
      Na naszych szkoleniach omawialiśmy tzw. zasadę legalności, wskazaliśmy, iż nie pozyskujemy od pacjentów zgody na przetwarzanie danych osobowych w celu tworzenia dokumentacji medycznej, dokumentację przetwarzamy na podstawie przesłanki prawa.
      Można od pacjenta pozyskać zgodę np. marketing usług.
      Od każdego pacjenta dodatkowo powinniśmy pozyskać oświadczenia dotyczące:
      1. upoważnienia do informacji o stanie zdrowia dla konkretnej osoby
      2. upoważnienia do pozyskiwania dokumentacji medycznej dla konkretnej osoby.

      Można, ale nie jest koniecznym pozyskania od pacjenta upoważnienia do odbioru recept dla wskazanej osoby, albo każdej osoby trzeciej.

  34. Uczestnik Szkolenia

    Odpowiedz

    Witam,
    Jeżeli korzystaliśmy z przesyłania faxem do Sanepidu formularzy zgołszeń chorób zakażnych czy teraz możemy dalej tak wysyłać czy musimy droga elektoniczną w zaszyfrowanych plikach?

    Jeżeli korzystamy z tel. stacjonarnych i faxu to musimy tez z operatorem mieć umowę powierzenia danych?

    • Leszek Zając

      Odpowiedz

      ad. 1 sugeruje przesyłanie danych do sanepidu drogą pocztową lub za pomocą zaszyfrowanej wiadomości e-mail.

      ad. 2 Nie podpisujemy umowy powierzenia z operatorem.

  35. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry,mam pytanie Rejestr Przetwarzania Czynności prowadzi się w dwóch wersjach. chciałam dopytać czy tę wersję elektroniczna trzeba tez przekazywać do UODO??, czy tylko mieć dwie wersje w razie kontroli???. Bardzo prosze o odpowiedź

  38. Uczestnik Szkolenia

    Odpowiedz

    Witam
    Pytanie dotyczy umowy powierzenia. Czy jeśli trzymamy kopię zapasową z danymi osobowymi w chmurze, zaszyfrowaną i ze zmienioną nazwą na ciąg znaków nie wskazujący w ogóle co to może być to czy potrzebujemy mieć umowę powierzenia z usługodawcą?

    pozdrawiam

  39. Uczestnik Szkolenia

    Odpowiedz

    Czy mógłby Pan zaproponować wzór umowy cywilno-prawnej (umowy-zlecenia) pomiędzy placówką medyczną a osobą, która ma wykonywać funkcję IOD?
    Dziekuję

  40. Uczestnik Szkolenia

    Odpowiedz

    Jeśli jest Stomatolog który zatrudnia asystentkę na umowę o pracę to też musi mieć IODO ? wiem, było na szkoleniu ale nie mogę sobie przypomnieć 😉

  41. Uczestnik Szkolenia

    Odpowiedz

    Witam Panie Leszku.
    Proszę napisać jaki jest adres strony z: zestaw_rodo_edytowalny_wer_xx.zip

  42. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry,
    chciałabym zapytać o oświadczenia o upoważnieniu do uzyskiwania informacji o stanie zdrowia oraz udostępniania dokumentacji.
    1. Czy oświadczenia złożone przed 25 maja 2018 r. (pojawia się na nich nr pesel osoby upoważnionej) są nadal aktualne czy musimy zbierać nowe?
    2. Czy jeżeli mamy oświadczenie osoby o upoważnieniu do uzyskiwania dokumentacji to czy trzeba brać jeszcze upoważnienie do odbioru recept, jeżeli ma robić to ta sama osoba?
    Z góry dziękuję za odpowiedź.
    Pozdrawiam

  43. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry,
    Mam pytanie dotyczące monitoringu. Czy w sytuacji kiedy kamera monitoringu obejmuje parking przylegający do przychodni, na którym ktoś uszkodził samochód, to osoba która jest właścicielem uszkodzonego samochodu może zwrócić się do przychodni z prośbą o udostępnienie zapisu monitoringu z dnia zdarzenia? Czy nie powinna zgłosić uszkodzenia np. na policję, aby to oni zwrócili się do nas o udostępnienie materiału zapisu? Kto jest uprawniony do uzyskiwania zapisów monitoringu – policja, sąd, ubezpieczyciel? Z góry dziękuję za odpowiedź. Pozdrawiam

  44. Uczestnik Szkolenia

    Odpowiedz

    Witam
    Mam dwa pytania;
    – czy muszę prowadzić rejestr korespondencji w odniesieniu do wyników, które niektórzy pacjenci chcą od nad otrzymać pocztą?
    – czy wysłanie powyższego listu ( jak również skanu kartoteki/badania i wysłanie mailem) mam traktować jako udostępnianie dokumentacji medycznej?
    Badania są przeprowadzane poza naszą placówką, wyniki pacjenci z reguły odbierają osobiście.
    Mamy zgody na wysyłanie korespondencji drogą elektroniczną i za pośrednictwem poczty.
    Z góry dziękuję za odpowiedź.
    Pozdrawiam

  45. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry,
    Proszę o pilną odpowiedź na następujące pytanie: kto jest administratorem, a kto powierzającym w sytuacji, gdy firma A ma zawartą umowę z NFZ na rozliczanie refundacji i rozlicza tą refundację dla aptek, z którymi zawarła umowę na usługę rozliczania? Apteki przesyłają do firmy A wnioski swoich pacjentów do rozliczenia. Kilku farmaceutów uważa, że administratorem jest firma A bo to ona ma umowę z NFZ, a nie apteka ponieważ ona zbiera tylko dane dla firmy A. Naszym zdaniem administratorem jest apteka ponieważ to ona realizując wniosek staje się “właścicielem” danych, a firmie A powierza te dane w celu rozliczenia. Kto ma rację?

    Pozdrawiam

  46. Uczestnik Szkolenia

    Odpowiedz

    Chciałbym zapytać jedną rzecz, która mnie nurtuje. W przypadku, gdy mamy email dostarczany przez Office 365, podpisujemy w licencji umowę powierzenia przetwarzania danych. Jednak Microsoft jest wtedy odbiorcą, czy procesorem danych?
    Informacja o tej usłudze musi być zawarta w klauzuli informacyjnej?

  47. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry,
    Czy na pisemny wniosek Policji można udostępnić dokumentację medyczną o doznanych obrażeniach ciała w związku z prowadzonym postępowaniem w sprawie wypadku drogowego?

    • Uczestnik Szkolenia

      Odpowiedz

      Nie. Zgodnie z art. 1 ustawy z 6.04.1990 r. o Policji (Dz.U. z 2017 r. 2067 ze zm.) – dalej u.p. policja jest umundurowaną i uzbrojoną formację służącą społeczeństwu i przeznaczoną do ochrony bezpieczeństwa ludzi oraz do utrzymywania bezpieczeństwa i porządku publicznego.

      Żaden przepis nie przyznaje jej przymiotu organu władzy publicznej. Nie ma ona uprawnień do dostępu do dokumentacji medycznej na podstawie art. 26 ust. 3 ustawy z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta – dalej u.p.p., w tym również do żądania wydania jej oryginału w trybie art. 27 ust. 1 pkt 3 u.p.p.
      Zgodnie z art. 1 ustawy z dnia 6 kwietnia 1990 r. o Policji policja jest umundurowaną i uzbrojoną formację służącą społeczeństwu i przeznaczoną do ochrony bezpieczeństwa ludzi oraz do utrzymywania bezpieczeństwa i porządku publicznego. Żaden przepis nie przyznaje jej przymiotu organu władzy publicznej.

  48. Uczestnik Szkolenia

    Odpowiedz

    Dzień dobry.
    Czy wysyłając do Sanepidu zgłoszenia choroby zakaźnej trzeba mieć podpisaną z Sanepidem Umowę na przetwarzanie danych.

  49. Uczestnik Szkolenia

    Odpowiedz

    Przetwarzamy dane z wielu aptek (około 400) i mamy z nimi podpisane umowy powierzenia. Czy przygotowując Rejestr Czynności Przetwarzania Danych Podmiotu Przetwarzającego należy wymienić wszystkich Administratorów (apteki) cz można zapisać to w inny sposób (ogólnie)?
    Pozdrawiam

  50. Uczestnik Szkolenia

    Odpowiedz

    witam serdecznie chciałabym zapytać o identyfikatory medyczne. Czy na identyfikatorach może widnieć imię i nazwisko pracownika. czy tylko samo imie

Leave Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *