Przetwarzanie danych osobowych w dokumentacji medycznej, zarówno papierowej jak i elektronicznej, obarczone jest szczególnym reżimem prawnym ze względu na dostęp do informacji dotyczących stanu zdrowia, czyli szczególnej kategorii danych. Sytuację dodatkowo skomplikowało RODO, a raczej nadgorliwa w wielu przypadkach interpretacja tych generalnych zasad opisanych w rozporządzeniu ogólnym o ochronie danych osobowych.

• Jakie tak naprawdę obowiązki, zadania i odpowiedzialność są związane z przetwarzaniem danych medycznych, aby pozostać w zgodzie z RODO?
• Jak kwestie przetwarzania i ochrony danych osobowych w placówkach medycznych regulują obecne przepisy?

Te i inne tematy, ze szczególnym uwzględnieniem praktycznych aspektów ochrony danych medycznych, wyjaśnia proponowane szkolenie.

Celem szkolenia jest zaznajomienie uczestników z nowymi przepisami – pod kątem prawnym, ale i organizacyjno-technicznym.

Program

1. Podstawowe pojęcia z zakresu prawa ochrony danych osobowych, zakres zastosowania europejskich przepisów. Nowe ujęcie podstaw prawnych przetwarzania danych:

• stan prawny po 25 maja 2018 r.,
• RODO a przepisy ustaw medycznych – wpływ RODO na działalność placówek medycznych,
• znowelizowana ustawa o prawach pacjenta i Rzeczniku praw pacjenta,
• wymogi bezpieczeństwa z rozporządzenia MZ w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.

2. Obowiązki Zakładów opieki zdrowotnej, jako administratorów danych.

3. Zasady ochrony danych osobowych, wymagania fizyczne i programowe dla systemów informatycznych służących do elektronicznej dokumentacji medycznej (EDM). Zabezpieczanie fizyczne pomieszczeń dla przechowywania danych elektronicznych i papierowych.
   

4. Udostępnianie danych wrażliwych na zewnątrz. Odnotowywanie udostępnienia danych na zewnątrz.  Rozporządzenie MZ w sprawie informacji udzielanych zakładom ubezpieczeń przez podmioty wykonujące działalność leczniczą oraz Narodowy Fundusz Zdrowia.
   

5. Nowe ujęcie danych osobowych w rozporządzeniu unijnym:

• nowa definicja danych „zwykłych” oraz szczególnie chronionych – „wrażliwych”
• definicje administratora danych oraz podmiotu przetwarzającego dane.
• powierzenie przetwarzania danych osobowych w dokumentacji medycznej – dlaczego podmiot wykonujący działalność leczniczą z innym takim podmiotem nie powinien zawierać umowy powierzenia przetwarzania danych w rozumieniu art. 28 RODO.

6. Praktyczne omówienie obowiązków i środków bezpieczeństwa wymaganych przepisami prawa dotyczących służby zdrowia, a w szczególności:

• zasady przechowywania danych przetwarzanych w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach  ewidencyjnych,
• mechanizmy kontroli dostępu do danych przetwarzanych w systemach informatycznych
• stosowane zabezpieczenia przed zagrożeniami pochodzącymi z sieci publicznej
• funkcjonalności stosowane w systemach informatycznych w zakresie realizacji wymogów wynikających z przepisów o ochronie danych osobowych,
• zasady czystego biurka i czystego ekranu.

7. Zakresy uprawnień użytkowników, nadawanie upoważnień do przetwarzania danych osobowych i odpowiednie prowadzenie ewidencji osób upoważnionych. Możliwość dostępu do dokumentacji medycznej dla personelu pomocniczego, dla osób nie wykonujących zawodu medycznego.
   

8. Zasady przetwarzania danych osobowych i danych medycznych. Kiedy i jaka klauzula informacyjna, a kiedy klauzula zgody.
   

9. Prawa pacjenta, jako osoby, której dane dotyczą.

10. Skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna.
    

11. Przykłady wykradania danych, największych „wycieków”. Metody przeciwdziałania.
    

12. Inspektor Ochrony Danych (obecnie ABI)

• Wyznaczenie Inspektora ochrony danych (Data Protection Officer „DPO”).
• Czy i dla kogo wyznaczenie Inspektora ochrony danych osobowych jest obowiązkowe?
• Wyznaczenie Inspektora ochrony danych osobowych dla podmiotów przetwarzających szczególne kategorie danych, w tym informacji dotyczących stanu zdrowia.
• Zadania Inspektora ochrony danych.
• Podstawy zatrudnienia Inspektora ochrony danych osobowych i gwarancje trwałości stosunku prawnego. Status Inspektora ochrony danych.

13. Mity i absurdy dotyczące stosowania RODO w placówkach leczniczych.
14. Przekazanie i omówienie wzorów dokumentów i procedur składających się na politykę bezpieczeństwa informacji.

Prelegent 

PIOTR GLEN – Ekspert ds. ochrony danych osobowych. Praktyk, mający wieloletnie doświadczenie w stosowaniu prawa ochrony danych osobowych oraz wdrażaniu polityki bezpieczeństwa informacji w setkach różnego rodzaju instytucjach, również w placówkach ochrony zdrowia. Członek Stowarzyszenia Inspektorów Ochrony Danych SABI. Doświadczony Inspektor Ochrony Danych pełniący tę funkcję dla wielu firm i instytucji, również dla podmiotów medycznych. Audytor systemów zarządzania bezpieczeństwem informacji. Autor wielu publikacji w zakresie ochrony danych osobowych. Wykładowca, prelegent na licznych konferencjach, ceniony za praktyczne podejście do zagadnień ochrony informacji i stosowania przepisów prawa w tym zakresie.