Ochrona danych osobowych w gabinecie dietetyka
Kiedy przyjmujemy pacjenta w gabinecie, chcemy wiedzieć o nim jak najwięcej. Oczywiście nie wynika to ze wścibstwa, ale jest warunkiem właściwego zdiagnozowania problemu, z jakim pacjent do nas przychodzi. Pytamy więc go nie tylko o imię i nazwisko, wiek, ale również o stan zdrowia. Tworzymy bazę pacjentów, gdzie zamieszczamy poufne informacje na ich temat, jak na przykład wyniki badań. Bez takich danych nie bylibyśmy w stanie przygotować odpowiedniego planu żywieniowego czy zaleceń, które uwzględniałyby stan zdrowia pacjenta. Jednym słowem prowadzimy dokumentację medyczną, a to nakłada na nas obowiązek przestrzegania przepisów dotyczących ochrony danych osobowych.
Kto nad tym czuwa?
Instytucją nadzorującą przestrzeganie przepisów związanych z ochroną danych osobowych w Polsce jest Generalny Inspektor Ochrony Danych Osobowych. Na stronie internetowej GIODO znajdziemy wszystkie akty prawne, do których mamy obowiązek się stosować. Najważniejszy z nich to Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 roku wraz z późniejszymi zmianami. Warto zaglądać też regularnie na stronę GIODO, gdzie publikowane są wszystkie aktualności, na przykład te związane ze zmianą przepisów.
Warto skorzystać z porad fachowców
Gabinet dietetyczny, gromadząc dokumentację medyczną, zobowiązany jest do zastosowania odpowiednich środków technicznych i administracyjnych zapewniających zgodną z przepisami ochronę danych pacjentów. Procedurę postępowania z danymi regulować powinien wewnętrzny dokument zwany „Polityką bezpieczeństwa informacji”, a jeśli przetwarzamy dane w formie elektronicznej, powinniśmy przygotować także „Instrukcję zarządzania systemem informatycznym”. Oba dokumenty muszą opisywać rzeczywiście stosowane w gabinecie sposoby zabezpieczania danych, dlatego warto nie korzystać z gotowych dokumentów, lecz przygotować je indywidualnie. Można zwrócić się z tym do fachowców. W każdym mieście znajdziemy kancelarię prawną zajmującą się zagadnieniami ochrony danych osobowych, więc żeby mieć pewność, że dokumenty są prawidłowo przygotowane, warto skorzystać z wiedzy jej pracowników. Jeśli zatrudniamy osoby, które będą miały dostęp do bazy, powinniśmy także prowadzić „Ewidencję osób uprawnionych do przetwarzania danych osobowych”. Ale to nie koniec. Za bezpieczeństwo danych pacjentów musi być odpowiedzialna konkretna osoba. Ustawodawca dopuszcza tu dwie możliwości: albo sami zarządzamy posiadaną bazą danych jako właściciel firmy i zgłaszamy ją do GIODO, albo powołujemy kogoś na stanowisko ABI (Administratora Bezpieczeństwa Informacji) i jemu zlecamy opiekę nad danymi pacjentów. Przy czym wariant pierwszy jest dużo prostszy i nie wymaga wypełniania dodatkowych obowiązków związanych z powołaniem ABI.
Procedura zgłoszenia
Zarządzana przez nas baza pacjentów musi być zgłoszona do GIODO. Można to zrobić pocztą, przesyłając odpowiedni formularz dostępny na stronie GIODO, lub za pośrednictwem strony internetowej www.giodo.gov.pl. Przy czym nie podajemy tutaj wszystkich danych osobowych, które mamy w bazie, a jedynie informację o posiadaniu takiego zbioru. Niedostosowanie się do przepisów ustawy może mieć przykre konsekwencje – w przypadku kontroli kara grzywny dla przedsiębiorcy może wynieść nawet 50 tysięcy złotych. Powyższe informacje dotyczą obecnie obowiązujących przepisów, natomiast 28 maja 2018 roku wchodzi w życie rozporządzenie, które ujednolica przepisy o ochronie danych osobowych państw członkowskich. Nie unikniemy obowiązku ustawowego, dlatego warto śledzić informacje na stronie GIODO i przygotować się dobrze, żeby w razie kontroli uniknąć niepotrzebnych niespodzianek.
