Mini Audyt RODO

1
Czy placówka medyczna przeprowadziła audyt wewnętrzny w zakresie przetwarzania danych osobowych w celu właściwego określenia niezbędnych środków bezpieczeństwa oraz obszarów ryzyka?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 32 RODO

Placówka medyczna przed przystąpieniem do opracowywania dokumentacji oraz wprowadzania określonych zmian w ramach działalności placówki powinna przeprowadzić audyt wewnętrzny w celu określenia statusu placówki w zakresie przetwarzania danych osobowych w sposób zgodny z prawem.
2
Czy placówka przetwarza dane sensytywne/medyczne na dużą skalę?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 35 i 37 RODO

Fakt przetwarzania danych medyczynych na dużą skalę ma znaczenie kluczowe z punktu widzenia oceny czy placówka ma obowiązek przygotowania dokumentu oceny skutków dla ochrony danych oraz czy obowiązkowe jest powołanie Inspektora Ochrony Danych (IOD) . Aby zweryfikować status IOD można posłużyć listą kontrolną - "Status Inspektora Ochrony Danych Osobowych". Dzięki temu zyskamy pewność, że IOD w naszej organizacji w pełni realizauje swoje obowiązki.
3
Czy placówka medyczna powołała Inspektora Ochrony Danych (IOD)?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 37 RODO

Każda placówka medyczna, która przetwarza dane medyczne na dużą skalę ma obowiązek powołania IOD, który będzie odpowiedzialny za czynności związane z ochroną danych osobowych w placówce.
4
Czy placówka opracowała wewnętrzną politykę ochrony danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 24 RODO

Dokument polityki ochrony danych osobowych powinien być podstawowym wewnętrznym dokumentem, który został opracowany w placówce. Ma on charakter dokumentu wewnętrznego i w założeniu powinien zawierać wszelkie uregulowania dotyczące praktycznej realizacji przepisów RODO w placówce. Moduł List kontrolnych zawartych w ProgMedice Premium pozwoli na stworzenie własnych list pytań kontrolnych np. do polityki ochrony danych. Dzięki temu możemy zweryfikować czy postanowienia polityki są respektowane i wykonywane.
5
Czy polityka ochrony zawiera procedurę dotyczącą udostępniania kopii danych osobowych na rzecz pacjentów?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 12 RODO

Jednym z podstawowych uprawnień pacjentów w związku z RODO jest bezpłatny dostęp do pierwszej kopii danych osobowych przetwarzanych przez placówkę. W praktyce, pierwsza kopia danych osobowych może oznaczać pierwszą kopię dokumentacji medycznej. RODO stanowi o możliwości pobrania rozsądnej opłaty w przypadku ewidentnej niezasadności lub nadmierności żądania. W przypadku dokumentacji medycznej będą to opłaty pobierane w ramach udostępnienia dokumentacji medycznej, zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta. Jeśli chcesz mieć pewność, że procedury są prestrzegane, przeprowadź odpowiednie badania zgodności za pomocą listy pytań kontrolnych - własnych lub dostarczanych przez ekspertów Wolters Kluwer.
6
Czy polityka ochrony zawiera procedurę dotyczącą realizacji prawa dostępu?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 15 RODO

Pacjent ma prawo dostępu do swoich danych osobowych. Placówka powinna posiadać procedurę obejmująca przekazywanie pacjentowi informacji w tym zakresie zgodnie z RODO.
7
Czy polityka ochrony zawiera procedurę dotyczącą realizacji prawa sprostowania?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 16 RODO

Pacjent ma prawo żądania od administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Placówka winna wdrożyć odpowiednią procedurę realizująca powyższe uprawnienie.
8
Czy polityka ochrony zawiera procedurę dotyczącą realizacji prawa do bycia zapomnianym?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 17 RODO

Pacjent ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe. Powyższe prawo nie obejmuje danych dotyczących zdrowia. W praktyce prawo to obejmować będzie najczęściej sytuacje, w których dane osobowe pacjentów wykorzystywane będą dla celów marketingowych.
9
Czy polityka ochrony zawiera procedurę dotyczącą realizacji praw żądania ograniczenia przetwarzania?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 18 RODO

Pacjent ma prawo żądania od administratora ograniczenia przetwarzania. Wdrożona w placówce medycznej polityka powinna zawierać procedurę również w tym zakresie.
10
Czy polityka ochrony zawiera procedurę dotyczącą realizacji prawa do przenoszenia danych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 20 RODO

Pacjent ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie maszynowym dane osobowe jej dotyczące, które dostarczyła administratorowi, oraz ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony administratora, któremu dostarczono te dane osobowe. Pod pojęciem formatu maszynowego należy rozumieć otwarte formaty elektroniczne, takie jak: XML czy CSV.
11
Czy polityka ochrony zawiera procedurę dotyczącą postępowania placówki w przypadku wniesienia przez pacjenta sprzeciwu wobec przetwarzania?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 21 RODO

Pacjent ma prawo złożyć sprzeciw wobec przetwarzania jego danych osobowych w przypadkach jeżeli: przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi albo przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią. Polityka ochrony danych winna określać zasady działania placówki medycznej w przypadku otrzymania takiego sprzeciwu.
12
Czy placówka opracowała klauzulę informacyjną skierowaną do pacjentów?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 13 RODO

Jednym z podstawowych obowiązków administratora danych jest tzw. obowiązek informacyjny dotyczący zbieranych danych osobowych osób fizycznych. Placówka medyczna winna opracować klauzulę informacyjną stanowiącą praktyczny sposób realizacji powyższego obowiązku, z którą musi miec możliwość zapoznania każdy pacjent. Treść klauzuli informacyjnej może być zamieszczona na tablicy ogłoszeń, na www placówki medycznej lub w regulaminie organizacyjnym. Możliwe jest również przekazywanie jej treści każdemu nowoprzyjmowanemu pacjentowi. System ProgMedica Premium wśród list kontrolnych posiada również listę dotyczącą obowiązków informacyjnych. Dzięki przeprowadzonemu badaniu zgodności będziesz wiedzieć czy dobrze wykonujesz obowiązek informacyjny.
13
Czy placówka opracowała klauzulę informacyjną skierowaną do pracowników i współpracowników?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 13 RODO

Realizacja obowiązku informacyjnego nie dotyczy wyłącznie pacjentów. Placówka medyczna przetwarza również dane osobowe swoich pracowników i współpracowników, którzy również powinni mieć możliwość zapoznania z kluazulą informacyjną?
14
Czy placówka medyczna zawarła niezbędne umowy powierzenia przetwarzania danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 28 RODO

Każda sytuacja powierzenia przetwarzania danych osobowych przez administratora winna być poprzedzona zawarciem odpowiedniej umowy na piśmie, zawierającej zwłaszcza elementy przewidziane w treści RODO. Placówka medyczna zawiera takie umowy zwłaszcza z podmiotami świadczącymi określone usługi np. księgowe, kadrowe, doradcze, prawne itp.
15
Czy placówka medyczna przygotowała dla swoich pracowników i współpracowników niezbędne upoważnienia do przetwarzania danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 29 RODO

Jeżeli nie jest konieczne zawarcie umowy powierzenia przetwarzania, a określone osoby podejmują czynności, które wiążą się z przetwarzaniem danych osobowych, administrator danych powinien przygotować dla takich osób pisemne upoważnienia do przetwarzania. W przypadku placówki medycznej upoważnienia takie otrzymują zarówno pracownicy zatrudnieni na podstawie umów o pracę jak i współpracownicy np. lekarze czy pielęgniarki na kontraktach.
16
Czy placówka medyczna prowadzi rejestr czynności przetwarzania?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 30 RODO

Każda placówka medyczna, z racji przetwarzania danych sensytywnych, zobowiązana jest do prowadzenia rejestru czynności przetwarzania w formie pisemnej (jako administrator danych) lub rejestru kategorii czynności (jako podmiot przetwarzający - procesor). System ProgMedica Premium umożliwia prowadzenie takiego rejestru w formie elektronicznej, za pomocą formularza przygotowanego przez ekspertów.
17
Czy placówka ma opracowaną procedurę zgłaszania naruszeń ochrony danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 33 RODO

RODO wprowadza obowiązek informowania organu nadzorczego o każdym przypadku naruszenia zasad ochrony danych osobowych w ciągu 72 godzin od stwierdzenia naruszenia. Placówka medyczna winna mieć opracowaną szczegółową procedurę w powyższym zakresie, obejmująca również prowadzenie niezbędnej dokumentacji naruszeń. ProgMedica Premium zawiera możliwość zgłoszenia naruszeń ochrony danych. Każdy z pracowników, ma możliwość poprzez sytem poinformować o naruszeniu IOD lub inną wyznaczoną osobę, który dzięki szybkiej komunikacji może wykonać obowiązki wynikające z RODO.
18
Czy placówką ma opracowany dokument oceny skutków dla ochrony danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 35 RODO

Każda placówka medyczna, która przetwarza dane medyczne na dużą skalę ma obowiązek opracowania dokumentu oceny dla ochrony danych, który stanowi ocene ryzyka naruszenia zasad ochrony danych w ramach poszczególnych czynności przetwarzania oraz określa środki techniczne i organizacyjne służące ograniczeniu tego ryzyka. W tym równiez pomoże Ci ProgMedica Premium, dzięki modułowi Rejestry RODO zawierającemu rejestr Ocen skutków wpływu na prywatność oraz listom kontrolnym wskazującym jak taka ocena skutków powinna zostać przeprowadzona.
19
Czy placówka medyczna przeszkoliła personel w zakresie zasad przetwarzania danych osobowych?

Zaznacz co najmniej jedną odpowiedź

Podstawa prawna: art. 32 RODO

Placówka medyczna ma obowiązek zadbać o to, aby cały personel znał zasady przetwarzania danych osobowych w sposób zgodny z RODO oraz był zapoznany ze stosowanymi środkami bezpieczeństwa wewnętrznego. W tym celu placówka prowadzi cykliczne szkolenia dla personelu. Za pomocą modułu ankiet, możemy sprawdzić czy prowadzone przez nas szkolenia dla pracowników są efektywne.