24 stycznia 2019 r. na stronie internetowej Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/pl/138/679) opublikowano plan kontroli sektorowych. Na liście podmiotów, które mogą być poddawane takim kontrolom, znalazły się między innymi podmioty udzielające świadczeń zdrowotnych.
UODO planuje sprawdzać w placówkach medycznych sposób wykorzystania danych osobowych w związku z udostępnianiem dokumentacji medycznej. Chodzi w szczególności o:
- treść wniosków, jakie składają osoby zainteresowane dokumentacją medyczną (jak wiele danych osobowych zbiera się od wnioskodawców i czy wszystkie są uzasadnione),
- sposób prowadzenia rejestru wydanej dokumentacji medycznej (czy dane zbierane są zgodnie z zakresem z art. 28 ust. 4 ustawy o prawach pacjenta, czy zakres ten jest inny),
- ewentualne sytuacje, w których placówki medyczne znacznie przekraczają swoje uprawnienia przy wydawaniu dokumentacji medycznej (np. skanują dowody osobiste wnioskodawców).
Kontrole UODO w placówkach medycznych są prowadzone zgodnie z przepisami rozdziału 9 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Jakie kwestie są tu najistotniejsze?
- kontrole UODO powinny poprzedzać informacje na piśmie,
- kontroler upoważniony przez UODO powinien okazać legitymację służbową z hologramem oraz imienne upoważnienie do przeprowadzenia kontroli (w razie wątpliwości do tożsamości kontrolera należy skontaktować się z UODO pod numerem 22 531-09-13),
- kontroler ma prawo:
- wglądu do dokumentów ściśle związanych z przedmiotem kontroli,
- przeprowadzania oględzin miejsc, urządzeń lub systemów informatycznych oraz
- żądania ustnych lub pisemnych wyjaśnień,
- po zakończeniu czynności kontroler sporządza protokół – kontrolowany ma 7 dni na jego zaakceptowanie lub zgłoszenie zastrzeżeń.
O zamiarze prowadzenia przez UODO kontroli należy niezwłocznie poinformować swojego inspektora ochrony danych (IOD).