MENU
Nasze ceny
Przeczytaj fragment on-line
Odpowiedzialność placówek leczniczych z tytułu RODO - ebook
Odpowiedzialność placówek leczniczych z tytułu RODO - ebook
Przepisy dotyczące ochrony danych osobowych wskazują, iż istnieją trzy rodzaje odpowiedzialności za incydenty w zakresie ODO: administracyjna, cywilna i karna. Każdą taką odpowiedzialność z jednego tytułu można ponieść niezależnie od siebie. Z e-booka dowiesz się kto odpowie w przypadku naruszeń ochrony danych wykrytych w placówkach leczniczych, jakie kary finansowe grożą za wykrycie incydentów przez Urząd Ochrony Danych Osobowych i kiedy szpital musi zapłacić odszkodowanie za utarte danych pacjentów.
| Kategoria: | Zarządzanie i marketing |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-8344-002-6 |
| Rozmiar pliku: | 226 KB |
FRAGMENT KSIĄŻKI
Odpowiedzialność administracyjna w placówkach publicznych
MACIEJ LIPKA
specjalista w zakresie ochrony danych osobowych
Z przepisów o ochronie danych osobowych wynika możliwość ponoszenia trzech rodzajów odpowiedzialności: administracyjnej, cywilnej i karnej. Każdą taką odpowiedzialność z jednego tytułu można ponieść niezależnie od siebie. Kto zatem odpowie w przypadku nieprawidłowości wykrytych w placówkach publicznych, np. szpitalach?
PROBLEM
Wskutek niedopatrzeń ze strony inspektora ochrony danych ze szpitala wyciekły informacje dotyczące obywateli, m.in. ich imiona i nazwiska, numery PESEL oraz historia chorób. Czy w związku z zaniedbaniami inspektora ochrony danych urząd może zwolnić się z odpowiedzialności, a kary finansowe przewidziane w RODO obciążą właśnie inspektora?
ROZWIĄZANIE
Z ogólnego rozporządzenia o ochronie danych (RODO) wynika m.in. możliwość nakładania kar finansowych za naruszenie jego przepisów. Odpowiedzialność finansowa obciąża zawsze administratorów danych osobowych (ADO) lub podmioty przetwarzające te dane w ich imieniu (nie zaliczają się do nich inspektorzy ochrony danych). Inspektorzy ochrony danych działający na zlecenie tych podmiotów nie poniosą tej odpowiedzialności, nawet gdy niedopatrzenia wynikały z ich winy.
Artykuł 5 ust. 2 RODO wyznacza tzw. zasadę rozliczalności. Na jej podstawie to ADO odpowiada za przestrzeganie ogólnych zasad przetwarzania i musi być w stanie to przestrzeganie wykazać. Zatem wszelkie błędy inspektora ochrony danych czy też innego personelu, który ADO upoważnił do przetwarzania, a także działania osób trzecich, obciążają ADO. Z kolei z art. 58 i 83 RODO wynika, że odpowiedzialność finansową ponoszą ADO i podmioty przetwarzające.
Uprawnienia Prezesa UODO
Z art. 58 RODO wynikają uprawnienia, jakie w stosunku do ADO i podmiotu przetwarzającego ma Prezes Urzędu Ochrony Danych Osobowych (dalej: UODO). Do takich uprawnień należą m.in.:
•wydawanie ostrzeżeń ADO lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
•udzielanie upomnień ADO lub podmiotowi przetwarzającemu w przypadku naruszenia RODO przez operacje przetwarzania;
•nakazanie ADO lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO;
•nakazanie ADO lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu dostosowania;
•wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
•nakazanie sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono, oraz
•zastosowanie – oprócz lub zamiast wspomnianych środków – administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy.
Tym samym odpowiedzialność administracyjna na podstawie RODO to nie tylko kary finansowe, ale również konieczność wykonania poleceń Prezesa UODO, takich jak np. ograniczenie przetwarzania danych osobowych.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
•Uwaga
RODO przewiduje możliwość nałożenia kary pieniężnej. Można nią obciążyć ADO lub podmiot przetwarzający, choć nie każde naruszenie może oznaczać poniesienie odpowiedzialności finansowej. Jednocześnie z RODO nie wynika możliwość obciążenia przewidzianą arą finansową innych osób i podmiotów niż ADO i podmioty przetwarzające.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Kary finansowe
Podmioty publiczne oraz podmioty przetwarzające dane w ich imieniu mogą ponieść odpowiedzialność finansową na zasadach opisanych w:
•art. 83 RODO oraz
•ustawie o ochronie danych osobowych (uodo).
Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, Prezes UODO powinien w każdym indywidualnym przypadku brać pod uwagę:
•charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody;
•umyślny lub nieumyślny charakter naruszenia;
•działania podjęte przez ADO lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
•stopień odpowiedzialności ADO lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych zapewniających legalność i bezpieczeństwo przetwarzania;
•wszelkie wcześniejsze naruszenia ze strony ADO lub podmiotu przetwarzającego;
•stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
•kategorie danych osobowych, których dotyczyło naruszenie;
•sposób, w jaki Prezes UODO dowiedział się o naruszeniu (w szczególności, czy i w jakim zakresie ADO lub podmiot przetwarzający zgłosili naruszenie);
•przestrzeganie środków, o których mowa w art. 58 ust. 2 RODO (np. nakazu ograniczenia przetwarzania danych) – jeżeli wobec ADO lub podmiotu przetwarzającego, których sprawa dotyczy, wcześniej zastosowano w tej samej sprawie takie środki;
•fakt stosowania zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz
•wszelkie inne obciążające lub łagodzące czynniki właściwe dla okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Przykład
Inspektor ochrony danych nieumyślnie przyczynił się do ich wycieku, ponieważ przekazał na szkoleniu dla personelu przychodni dwuznaczne informacje. W takiej sytuacji Prezes UODO może – przy obliczaniu kary finansowej – wziąć pod uwagę nieumyślne działanie inspektora ochrony danych.
Więcej znajdziesz w wersji pełnej publikacji
Tematy publikacji w pełnej wersji
Odpowiedzialność administracyjna w placówkach publicznych
Jak kształtuje się odpowiedzialność cywilna i karna
Odpowiedzialność przed administratorem danych osobowych
W jakich przypadkach administrator może żądać odszkodowania od procesora
Pełnomocnik ochrony danych osobowych – kiedy jest potrzebny
Jeżeli placówka nie współpracuje z Prezesem UODO, może otrzymać karę
Wzór pełnomocnictwa na potrzeby postępowania w sprawie naruszenia ochrony danych
Lista kontrolna: Sprawdź potencjalnego procesora
Wzór pozwu o odszkodowanie – sprawdź przykład pisma procesowego
Skarga na decyzję Prezesa Urzędu Ochrony Danych Osobowych
Lista kontrolna: Czy właściwie wywiązujesz się z obowiązków związanych z prowadzeniem dokumentacji medycznej
Co oznaczają pojęcia: „współadministrator”, „procesor” oraz „odbiorca danych”
Czy lekarz odpowiada za nienależyte wypełnienie dokumentacji medycznej
Procedura zarządzania skargami i wnioskami – poznaj przykładowy wzór
Lista kontrolna: Czy przestrzegasz najważniejszych zasad ochrony danych pacjenta
Lista kontrolna: Czy respektujesz reguły wydawania dokumentacji medycznej pacjentowi
Pomyłka na skierowaniu to naruszenie ochrony danych skutkujące karą
Jaką dokumentację należy sprawdzić przed kwalifikacją do znieczulenia
Przygotowanie do wersji elektronicznej: RASTER studio, 603 59 59 71
MACIEJ LIPKA
specjalista w zakresie ochrony danych osobowych
Z przepisów o ochronie danych osobowych wynika możliwość ponoszenia trzech rodzajów odpowiedzialności: administracyjnej, cywilnej i karnej. Każdą taką odpowiedzialność z jednego tytułu można ponieść niezależnie od siebie. Kto zatem odpowie w przypadku nieprawidłowości wykrytych w placówkach publicznych, np. szpitalach?
PROBLEM
Wskutek niedopatrzeń ze strony inspektora ochrony danych ze szpitala wyciekły informacje dotyczące obywateli, m.in. ich imiona i nazwiska, numery PESEL oraz historia chorób. Czy w związku z zaniedbaniami inspektora ochrony danych urząd może zwolnić się z odpowiedzialności, a kary finansowe przewidziane w RODO obciążą właśnie inspektora?
ROZWIĄZANIE
Z ogólnego rozporządzenia o ochronie danych (RODO) wynika m.in. możliwość nakładania kar finansowych za naruszenie jego przepisów. Odpowiedzialność finansowa obciąża zawsze administratorów danych osobowych (ADO) lub podmioty przetwarzające te dane w ich imieniu (nie zaliczają się do nich inspektorzy ochrony danych). Inspektorzy ochrony danych działający na zlecenie tych podmiotów nie poniosą tej odpowiedzialności, nawet gdy niedopatrzenia wynikały z ich winy.
Artykuł 5 ust. 2 RODO wyznacza tzw. zasadę rozliczalności. Na jej podstawie to ADO odpowiada za przestrzeganie ogólnych zasad przetwarzania i musi być w stanie to przestrzeganie wykazać. Zatem wszelkie błędy inspektora ochrony danych czy też innego personelu, który ADO upoważnił do przetwarzania, a także działania osób trzecich, obciążają ADO. Z kolei z art. 58 i 83 RODO wynika, że odpowiedzialność finansową ponoszą ADO i podmioty przetwarzające.
Uprawnienia Prezesa UODO
Z art. 58 RODO wynikają uprawnienia, jakie w stosunku do ADO i podmiotu przetwarzającego ma Prezes Urzędu Ochrony Danych Osobowych (dalej: UODO). Do takich uprawnień należą m.in.:
•wydawanie ostrzeżeń ADO lub podmiotowi przetwarzającemu dotyczących możliwości naruszenia przepisów RODO poprzez planowane operacje przetwarzania;
•udzielanie upomnień ADO lub podmiotowi przetwarzającemu w przypadku naruszenia RODO przez operacje przetwarzania;
•nakazanie ADO lub podmiotowi przetwarzającemu spełnienia żądania osoby, której dane dotyczą, wynikającego z praw przysługujących jej na mocy RODO;
•nakazanie ADO lub podmiotowi przetwarzającemu dostosowania operacji przetwarzania do przepisów RODO, a w stosownych przypadkach wskazanie sposobu i terminu dostosowania;
•wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania;
•nakazanie sprostowania lub usunięcia danych osobowych, lub ograniczenia ich przetwarzania oraz nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono, oraz
•zastosowanie – oprócz lub zamiast wspomnianych środków – administracyjnej kary pieniężnej, zależnie od okoliczności konkretnej sprawy.
Tym samym odpowiedzialność administracyjna na podstawie RODO to nie tylko kary finansowe, ale również konieczność wykonania poleceń Prezesa UODO, takich jak np. ograniczenie przetwarzania danych osobowych.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
•Uwaga
RODO przewiduje możliwość nałożenia kary pieniężnej. Można nią obciążyć ADO lub podmiot przetwarzający, choć nie każde naruszenie może oznaczać poniesienie odpowiedzialności finansowej. Jednocześnie z RODO nie wynika możliwość obciążenia przewidzianą arą finansową innych osób i podmiotów niż ADO i podmioty przetwarzające.
-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Kary finansowe
Podmioty publiczne oraz podmioty przetwarzające dane w ich imieniu mogą ponieść odpowiedzialność finansową na zasadach opisanych w:
•art. 83 RODO oraz
•ustawie o ochronie danych osobowych (uodo).
Decydując, czy nałożyć administracyjną karę pieniężną oraz ustalając jej wysokość, Prezes UODO powinien w każdym indywidualnym przypadku brać pod uwagę:
•charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczbę poszkodowanych osób, których dane dotyczą, oraz rozmiar poniesionej przez nie szkody;
•umyślny lub nieumyślny charakter naruszenia;
•działania podjęte przez ADO lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
•stopień odpowiedzialności ADO lub podmiotu przetwarzającego z uwzględnieniem wdrożonych przez nich środków technicznych i organizacyjnych zapewniających legalność i bezpieczeństwo przetwarzania;
•wszelkie wcześniejsze naruszenia ze strony ADO lub podmiotu przetwarzającego;
•stopień współpracy z Prezesem UODO w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
•kategorie danych osobowych, których dotyczyło naruszenie;
•sposób, w jaki Prezes UODO dowiedział się o naruszeniu (w szczególności, czy i w jakim zakresie ADO lub podmiot przetwarzający zgłosili naruszenie);
•przestrzeganie środków, o których mowa w art. 58 ust. 2 RODO (np. nakazu ograniczenia przetwarzania danych) – jeżeli wobec ADO lub podmiotu przetwarzającego, których sprawa dotyczy, wcześniej zastosowano w tej samej sprawie takie środki;
•fakt stosowania zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji oraz
•wszelkie inne obciążające lub łagodzące czynniki właściwe dla okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Przykład
Inspektor ochrony danych nieumyślnie przyczynił się do ich wycieku, ponieważ przekazał na szkoleniu dla personelu przychodni dwuznaczne informacje. W takiej sytuacji Prezes UODO może – przy obliczaniu kary finansowej – wziąć pod uwagę nieumyślne działanie inspektora ochrony danych.
Więcej znajdziesz w wersji pełnej publikacji
Tematy publikacji w pełnej wersji
Odpowiedzialność administracyjna w placówkach publicznych
Jak kształtuje się odpowiedzialność cywilna i karna
Odpowiedzialność przed administratorem danych osobowych
W jakich przypadkach administrator może żądać odszkodowania od procesora
Pełnomocnik ochrony danych osobowych – kiedy jest potrzebny
Jeżeli placówka nie współpracuje z Prezesem UODO, może otrzymać karę
Wzór pełnomocnictwa na potrzeby postępowania w sprawie naruszenia ochrony danych
Lista kontrolna: Sprawdź potencjalnego procesora
Wzór pozwu o odszkodowanie – sprawdź przykład pisma procesowego
Skarga na decyzję Prezesa Urzędu Ochrony Danych Osobowych
Lista kontrolna: Czy właściwie wywiązujesz się z obowiązków związanych z prowadzeniem dokumentacji medycznej
Co oznaczają pojęcia: „współadministrator”, „procesor” oraz „odbiorca danych”
Czy lekarz odpowiada za nienależyte wypełnienie dokumentacji medycznej
Procedura zarządzania skargami i wnioskami – poznaj przykładowy wzór
Lista kontrolna: Czy przestrzegasz najważniejszych zasad ochrony danych pacjenta
Lista kontrolna: Czy respektujesz reguły wydawania dokumentacji medycznej pacjentowi
Pomyłka na skierowaniu to naruszenie ochrony danych skutkujące karą
Jaką dokumentację należy sprawdzić przed kwalifikacją do znieczulenia
Przygotowanie do wersji elektronicznej: RASTER studio, 603 59 59 71
więcej..
