Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Raport NIK o RODO w szpitalach – 3 wnioski

Mikołaj Otmianowski14 listopada 2019Komentarze (0)

Witajcie,

Pozwoliłem sobie na ten krótki komentarz do raportu NIK pt. “wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych”. Od razu rzuciło mi się kilka wniosków, którymi chcę się z wami podzielić.

Raport właściwie zaczyna się od skonstatowania obserwacji o braku przeprowadzenia w sektorze usług zdrowotnych analizy ryzyka pod kątem RODO.

NIK stwierdził, że analiza ryzyka to początek wdrożenia RODO

Tak właśnie mi się zawsze wydawało, a teraz jest potwierdzenie. Każde wdrożenie RODO powinno się zacząć od przeprowadzania analizy ryzyka, aby ustalić i zastosować odpowiednie środki techniczne i organizacyjne właściwe dla danej organizacji.

W dziewięciu szpitalach analiza ryzyka procesów przetwarzania danych
osobowych, która powinna poprzedzić przyjęcie właściwych środków
do ochrony danych osobowych, została przeprowadzona po upływie
od 35 do 201 dni od dnia wejścia w życie RODO, a w dwóch kolejnych wykonano
ją dopiero w trakcie kontroli NIK.

My się zgadzamy z tym wnioskiem w 100 %. Co więcej postawiliśmy właśnie na analizę ryzyka RODO. To jest kierunek naszego rozwoju i specjalizacji: doradzamy klientom jak przeprowadzić analizę ryzyka, dając narzędzie (aplikacja) oraz doradztwo eksperckie w zakresie IT, procesów i prawa.

DPIA – kto ma?

A właściwie “kto nie ma”?”. Ogólny wniosek z raportu:

Brak ocen skutków dla ochrony danych

Na szczęście nie jest aż tak dramatycznie.  Z raportu wynika, że połowa skontrolowanych szpitali ma analizę DPIA przeprowadzoną, choć trzeba zwrócić uwagę, że nawet jak mają to NIK zauważył błędy metodologiczne oraz istotne opóźnienia. O konieczności przeprowadzenia DPIA (czego wymaga unijny ustawodawca zgodnie z art. 35 RODO) wszyscy wiedzą, natomiast nie wszyscy wiedzą jak ją przeprowadzić. Dlatego zapraszam na nasze szkolenie na którym wyjaśniamy krok po kroku jak przeprowadzić analizę ryzyka z uwzględnieniem oceny skutków dla ochrony danych (tzw. DPIA).

Szkolenia kluczem do sukcesu

NIK w raporcie stwierdził, że tam gdzie personel został przeszkolony stwierdzono najmniej nieprawidłowości. Czyli każdy administrator powinien rozważyć inwestycje w skuteczne szkolenia personelu.

Jedną z głównych przyczyn wymienionych nieprawidłowości była nieznajomość
zagadnień bezpieczeństwa danych osobowych. Tylko w dziewięciu szpitalach
szkoleniami w tym zakresie objęto prawie cały personel (co najmniej
95%). W rezultacie w podmiotach tych stwierdzono najmniej istotnych nieprawidłowości
dotyczących ochrony danych osobowych pacjentów.

Szkolenia powinny być przygotowane i realizowane pod kątem konkretnej organizacji. Szkolenia ogólne raczej nie dadzą oczekiwanego efektu. Dlatego do realizacji usługi szkolenia najlepiej wybrać dostawcę znającego branżę i dodatkowo obeznanego z procedurami obowiązującymi w danej organizacji.

Raport NIK znajdziesz tutaj.

O korzyściach z aplikacji pisałem tutaj.

A jeśli chcesz porozmawiać to kontakt do mniej jest tutaj. Zapraszam serdecznie!

Mikołaj

{ 0 komentarze… dodaj teraz swój }

Dodaj komentarz

Wyrażając swoją opinię w powyższym formularzu wyrażasz zgodę na przetwarzanie przez DAPR sp. z o.o. Twoich danych osobowych w celach ekspozycji treści komentarza zgodnie z zasadami ochrony danych osobowych wyrażonymi w Polityce Prywatności

Administratorem danych osobowych jest DAPR sp. z o.o. z siedzibą w Warszawie.

Kontakt z Administratorem jest możliwy pod adresem m.otmianowski@dapr.pl.

Pozostałe informacje dotyczące ochrony Twoich danych osobowych w tym w szczególności prawo dostępu, aktualizacji tych danych, ograniczenia przetwarzania, przenoszenia danych oraz wniesienia sprzeciwu na dalsze ich przetwarzanie znajdują się w tutejszej Polityce Prywatności. W sprawach spornych przysługuje Tobie prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Poprzedni wpis:

Następny wpis: