Kilka dni temu zrobiłam na moim Instagramie (KLIK) quiz z wiedzy o RODO. Pytania były oczywiście związane ze stosowaniem RODO w gabinecie fizjoterapeuty (zgoda RODO też się pojawiła 😉 ). Okazało się, że moja społeczność wie naprawdę dużo o RODO. Na większość pytań wszyscy odpowiedzieli prawidłowo.
Jednak jedno pytanie sprawiło sporo problemów i wywołało małe zamieszanie (dostałam sporo wiadomości prywatnych). Jeśli chcesz dowiedzieć się jakie, zapraszam do przeczytania wpisu 😉
Gdybyś jednak chciał pogłębić swoją wiedzę o RODO, to zachęcam Cię do przeczytania następujących wpisów:
JESTEM FIZJOTERAPEUTĄ CZY RODO MNIE DOTYCZY?
JAK POWINNA WYGLĄDAĆ KLAUZULA RODO W GABINECIE FIZJOTERAPEUTY?
CZY FIZJOTERAPEUTA MUSI MIEĆ INSPEKTORA OCHRONY DANYCH OSOBOWYCH?
Dlaczego zgoda RODO to za mało?
Jakie pytanie wywołało taką konsternację? Zapytałam moich obserwujących, czy wystarczy, że swoim gabinecie będą mieć tylko wzór zgody RODO dla pacjenta. Większość osób odpowiedziała, że tak. Jeśli Ty również tak uważasz, to niestety nie mam dla Ciebie dobrych wieści. Klauzula (zgoda) RODO to za mało.
Zgoda RODO jest oczywiście bardzo ważna ponieważ informujesz w niej pacjenta o tym, co robisz z jego danymi osobowymi. Przepisy RODO nakładają jednak na Ciebie obowiązek udokumentowania wielu kwestii związanych z przetwarzaniem danych osobowych.
Udokumentowanie ogranicza się do posiadania w Twoim gabinecie kilku dokumentów wymaganych przez RODO. W dalszej części wpisu opowiem Ci trochę o tym, jakie dokumenty związane z RODO musisz mieć w swoim gabinecie.
Czy, to co mam w programie do dokumentacji medycznej wystarczy?
Po quizie w wiadomościach prywatnych dostałam kilka pytań o dokumenty związane z RODO, które są do pobrania w programie do dokumentacji medycznej. Większość osób pytała, czy one wystaczą.
W programie do dokumentacji medycznej będziesz mieć najprawdopodobniej tylko wzór klauzuli RODO.
Czyli dokumentu, który powinieneś dać pacjentowi do podpisania przed udzieleniem świadczenia zdrowotnego.
Nie będzie tam innych dokumentów takich jak rejestr czynności przetwarzania, czy klauzula dla pracownika lub zleceniobiorcy (jeśli współpracujesz z takimi osobami). Dlatego też odpowiadając na pytanie, to co masz w programie do dokumentacji medycznej najprawdopodobniej nie wystarczy.
Jaką dokumenty związane z RODO powinienem mieć w swoim gabinecie?
Na szczęście jeśli prowadzisz indywidualną praktykę fizjoterapeutyczną (stacjonarną lub w miejscu wezwania), tych dokumentów nie ma aż tak dużo. Takim absolutnym minimum, którego wymaga od Ciebie RODO jest posiadanie następujących czterech dokumentów:
- Klauzuli informacyjnej dla pacjenta.
- Rejestru czynności przetwarzania.
- Rejestru naruszeń.
- Wzoru zgłoszenia naruszeń.
Jeśli w swoim gabinecie wykorzystujesz monitoring wizyjny dodatkowo powinieneś mieć klauzulę monitoringu wizyjnego. Jest to dokument, w którym przede wszystkim informujesz pacjentów o stosowaniu monitoringu, wskazujesz, gdzie jest monitoring i jak długo przechowujesz wizerunek pacjenta.
W przypadku, gdy zatrudniasz pracowników (na umowę o pracę lub zlecenie) powinieneś mieć dodatkowe następujące dokumenty:
- Klauzulę informacyjną dla pracownika.
- Upoważnienie do przetwarzania danych osobowych.
- Ewidencję upoważnień.
Zasada rozliczalności, czyli po co mieć politykę ochrony danych osobowych?
Ja ze swojej strony jednak namawiam Cię gorąco do posiadania oprócz powyższych dokumentów jeszcze Polityki ochrony danych osobowych. Ten dokument powinieneś mieć także wtedy, gdy nie masz monitoringu i nie zatrudniasz pracowników.
Co prawda RODO wprost nie wskazuje, że powinieneś mieć taki dokument. Jednakże formułuje ono zasadę, którą my prawnicy nazywamy zasadą rozliczalności.
Nakłada ona na Ciebie odpowiedzialność za przestrzeganie przepisów związanych przetwarzaniem danych osobowych. Wymaga również abyś w każdym momencie był w stanie to wykazać.
Najprościej będzie Ci wykazać, że stosujesz zasadę rozliczalności, pokazując że masz opracowaną procedurę przetwarzania danych osobowych. Polityka ochrony danych osobowych z pewnością Ci to ułatwi.
Po co mi to wszystko, przecież i tak nikt tego nie sprawdzi?
Teraz na pewno sobie myślisz przecież i tak nikt tego nie sprawdzi, więc po co Ci to wszystko? Niestety znowu nie mam dla Ciebie dobrych wieści.
Może się okazać, że przyjdzie do Ciebie z wizytą kontrola z Urzędu Ochrony Danych Osobowych. Po prostu przyjdą do Twojego gabinetu i poproszą Cię o określone dokumenty. Czasami taka kontrola może być niezapowiedziana. Może się również zdarzyć, że dostaniesz pismo od Prezesa Urzędu Ochrony Danych Osobowych wzywające Cię do udokumentowania prawidłowego procesu przetwarzania danych osobowych. Najczęściej na odpowiedź będziesz mieć 7. dni.
Naprawdę chcesz wtedy w biegu i stresie tworzyć dokumentację RODO? Denerwować się, czy zdążysz wszystko ogarnąć w ciągu kilku dni?
Mam nadzieję, że już teraz wiesz, dlaczego zgoda RODO to za mało? 😉
***
A, Ty masz wszystkie dokumenty, których wymaga od Ciebie RODO? Daj mi koniecznie znać w komentarzu. Jeśli nie masz, możesz zajrzeć do mojego sklepu internetowego, gdzie czeka na Ciebie kilka pakietów zawierających wzory dokumentacji RODO dla indywidualnej praktyki fizjoterapeutycznej (KLIK).
***
Pozdrawiam i tradycyjnie mam nadzieję, że do następnego kliknięcia 
{ 4 komentarze… przeczytaj je poniżej albo dodaj swój }
Dzień dobry,
Czy poniższe artykuły z ustawy RODO nie powodują że nie trzeba zbierać zgody na przetwarzanie danych oczywiście jeżeli zbieramy je tylko w celu wykonania usługi fizjoterapeutycznej.
Zakładając prowadzenie JDG.
ART.6 pkt 1 b,c
Przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:
b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;
c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
Art. 9 pkt 2 h
przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
Dodatkowo w definicji zgody w RODO jest zapisane:
11) „zgoda” osoby, której dane dotyczą oznacza dobrowolne, konkretne,
świadome i jednoznaczne okazanie woli, którym osoba, której dane
dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;
Pozdrawiam
Panie Miłoszu, cytowane przez Pana przepisy stanowią podstawę prawną do przetwarzania. Bez niej nie można by było w ogóle zbierać danych osobowych od pacjenta. Czym innym jest jednak podstawa prawna, a czym innym obowiązek informacyjny. Podpis pod klauzulą RODO zbiera się po to, żeby wykazać wypełnienie obowiązku informacyjnego względem pacjenta ?
Ok, Dziękuję,
A w którym paragrafie jest zapis że musi to być podpis?
Czy wedle definicji „zgody ” nie wystarczy umieścić klauzuli informacyjnej w formie np. plakatu w miejscu ogólnie dostępnym np. tablica ogłoszeń w poczekalni?
Panie Miłoszu, odpowiedź znajdzie Pan w tym wpisie: https://prawowgabineciefizjoterapeuty.pl/jak-powinna-wygladac-klauzula-rodo-w-gabinecie-fizjoterapeuty/