GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení

Podobné dokumenty
GDPR A KRAJSKÉ ÚŘADY. Mgr. Jana Pattynová, LL.M

ICT ve školství ročník konference. Mgr. Jana Pattynová, LL.M

Kybernetická bezpečnost

ÚVOD DO GDPR. Mgr. Jana Pattynová, LL.M

GDPR & Cloud. Mgr. Jana Pattynová, LL.M

Mgr. Jana Pattynová, LL.M. 1. února Ochrana osobních údajů a bezpečnost dat novinky v GDPR

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

GDPR & CLOUD. Mgr. Jana Pattynová, LL.M

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

GDPR Obecný metodický pokyn pro školství

Očekávané dopady GDPR do pojišťovnictví

JAK SE PŘIPRAVIT NA GDPR?

Projekt GDPR-CZ. innogy Přístup k projektu. Agenda. 12/09/2017 Page 1. Praha 13. září Úvod a cíle projektu. Kontext GDPR.

GDPR Modelová Situace z pohledu IT

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

Systémová analýza a opatření v rámci GDPR

GDPR v kostce 12 kroků k implementaci pro oblast cestovního ruchu

Seznam vzorů, které naleznete v publikaci:

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

GDPR a veřejná správa

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Praktická implementace obecného nařízení o ochraně osobních údajů (GDPR) v resortu zdravotnictví Mgr. JUDr. Vladimíra Těšitelová 1.

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Představení služeb Konica Minolta GDPR

S GDPR nepřijde konec světa

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Ochrana dat v pojišťovnictví

Zdravotnické laboratoře. MUDr. Marcela Šimečková

GDPR Aneb co se nedá stihnout včas

Školení GDPR pro Cosmetics Atok International

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

GDPR compliance v Cloudu. Jiří Černý CELA

HODNOCENÍ KVALITY A BEZPEČÍ ZDRAVOTNÍCH SLUŽEB 4. ČERVNA 2016

GDPR v sociálních službách

Déle než rok se účastníme diskusí s předními odborníky v oboru a poskytujeme našim partnerům poradenství s přípravami na GDPR.

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ SPOLEČNOST RADIUM S.R.O.

Zkušenosti z implementace GDPR. Tomáš Nielsen NIELSEN MEINL, advokátní kancelář, s.r.o.

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Obecné nařízení o ochraně osobních údajů

Ochrana osobních údajů nová legislativa

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

DMS - řízená dokumentace, archiv a co dále? ICT ve zdravotnictví 2014

GDPR evoluce v ochraně osobních údajů.

Záznam o zpracování osobních údajů

GDPR - příklad z praxe

Záznamy o činnostech zpracování

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Zásady ochrany osobních údajů pro jednotlivé subjekty

Dopady GDPR a jejich vazby

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

CZ-DRG ve Sdělení ČSÚ a právní aspekty nastupující implementace. V. Těšitelová Ústav zdravotnických informací a statistiky ČR, Praha

2. Konference o.s. Lékaři pro reformu. Standardizace odborné zdravotní péče v České republice. Dnešní stav v oblasti standardizace

V Praze 4. dubna 2018

Implementace GDPR ve zdravotnictví legislativní pohled praktické implementační kroky

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ FIRMOU PK62 a.s.

Záznamy o činnostech zpracování osobních údajů

Informace o zpracování a ochraně osobních údajů

Harmonogram implementace GDPR

Zásady ochrany údajů v evropském regionu

Obecné nařízení o ochraně osobních údajů. JUDr. Jakub Morávek, Ph.D.

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Politika ochrany osobních údajů

Jak chránit osobní data v elektronickém a digitalizovaném účetnictví? Stanislav Klika

Informace o zpracování osobních údajů v souvislosti s příměstským táborem se SPORT PARKEM LIBEREC

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Metodické nástroje pro přípravu na obecné nařízení o ochraně osobních údajů. Školení pro zástupce obcí duben 2018

SKUPINA 1. Lektor: Mgr. Ing. Bc. Jan Tomíšek ROWAN LEGAL Téma: GDPR a audit v oblasti ochrany osobních údajů

Příprava na GDPR. Metodická podpora, pracovní skupiny, systémové analýzy. Petr Vokáč Oddělení civilně-správní legislativy Ministerstvo vnitra

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Aktuálně o stavu příprav na účinnost GDPR v resortu Ministerstva vnitra. Konference samospráv Olomouckého kraje 14. března 2018

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

Městská nemocnice Ostrava, příspěvková organizace

Ochrana osobních údajů

Právní výzvy v oblasti kybernetické bezpečnosti. Mgr. Petra Vrábliková advokát

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Máte právo požadovat od správce přístup k osobním údajům, které se ho týkají, podle článku 15 GDPR:

Co obce mohou udělat pro GDPR už nyní. Medlov, Mgr. Miroslava Sobková

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Příloha č. 1 Kontrolní seznam o připravenosti na nařízení GDPR Checklist

Pověřence na ochranu osobních údajů pro správce společnost LINDSTRÖM s.r.o. je možné kdykoli kontaktovat na adrese

SPISOVÁ SLUŽBA A GDPR

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR v podmínkách statutárního města Karviné

Informatický pondělek FIT ČVUT. Jak pracovat s osobními daty od roku 2018?

Prohlášení o ochraně osobních údajů ve společnosti ZPS MECHANIKA, a. s.

Informace o zpracování osobních údajů

Workshop GDPR a farmacie, aneb co se ještě musí stihnout do

Jaké představy má o rozvoji. Ministerstvo zdravotnictví? září 2012 Ing. Petr Nosek

Transkript:

GDPR ve zdravotnictví - dopad nových pravidel ochrany soukromí na zdravotnická zařízení ICT ve zdravotnictví Mgr. Lenka Suchánková, LL.M. 26. 4. 2018

ÚVOD Témata prezentace Aktuální stav legislativy Zpracování údajů ve zdravotnictví Proces implementace GDPR Případové studie

STAV LEGISLATIVY

ÚVOD DO GDPR Cílový stav legislativního vývoje (2018) PRÁVO EU GDPR eprivacy NIS ČESKÉ PRÁVO Implementační zákon o ochraně osobních údajů Novela ZEK a ZIS Novela zákona o kybernetické bezpečnosti Vertikální regulace Vertikální regulace Finanční instituce Telekomunikační operátoři Poskytovatelé zdr. sluţeb Veřejný sektor Energetika X Poskytovatelé cloudu X Poskytovatelé sluţeb X X Výrobní společnosti X X Maloobchodní řetězce X X

ÚVOD DO GDPR Související předpisy v České republice Návrh zákona o zpracování osobních údajů Metodiky Ministerstva zdravotnictví Nový zákon nahrazující zákon č. 101/2000 Sb., o ochraně osobních údajů Implementuje i směrnici (EU) 2016/680 Nevyuţívá derogace, pouze upřesňuje Souhlas mladistvého min. 15 let DPO mlčenlivost Definice subjektu veřejné správy Pro veřejné subjekty pokuta jen do 10.000.000 Kč Vymáhání občanskoprávních nároků jako samostatný právní titul Metodika implementace GDPR Metodika implementace GDPR v ambulantní sféře

Metodika MZ konkrétní závěry ÚVOD DO GDPR DPIA Činnosti, v rámci kterých jsou údaje zpracovávány na základě zákona nepodléhají povinnosti provést DPIA (adaptační zákon) Časové hledisko Zdravotnická dokumentace Zdravotnické zařízení Právo na informace Přímé ohroţení ţivota X akutní/plánovaná péče Rozlišovat tituly Rozsah dle zákona o zdravotních sluţbách Doba uchování 5 let, výjimky stanoveny v příloze 3 k vyhlášce č. 98/2012 Sb. k zákonu o zdr. sluţbách Poskytovatel zdravotních sluţeb dle zákona o zdravotních sluţbách, povolení Ostatní zařízení není titul zákona (př. zubní hygiena) Výjimka v případě záchrany ţivota (ţivotně důleţité zájmy) Marketing Marketing vůči pacientům jen na základě souhlasu Veřejné subjekty Veřejnými subjekty jsou orgány ochrany veřejného zdraví (krajské hygienické stanice) a zdravotní pojišťovny DPO Poskytovatelé zdravotních sluţeb budou mít vţdy povinnost jmenovat DPO zpracovávání zvláštních kategorií údajů

ZPRACOVÁNÍ ÚDAJŮ VE ZDRAVOTNICTVÍ

ZDRAVOTNICKÉ ZAŘÍZENÍ LÉKAŘSKÁ PÉČE VĚDA & VÝZKUM SDÍLENÍ S DALŠÍMI SUBJEKTY INTERNÍ SPRÁVA (HR, FINANCE, AUDIT) PR A EXTERNÍ KOMUNIKACE, MARKETING Zákon, Záchrana ţivota Preventivní lékařství Smlouva Souhlas Vědecký výzkum (+ zákon) Souhlas Zákon Souhlas Zákon Smlouva Oprávněný zájem Souhlas Souhlas Mapování je zaloţeno především na analýze legislativy, mapují se odchylky od zák. postupů Mapování a ţivotní cyklus údajů dle skutečného stavu ZŘIZOVÁNÍ DALŠÍCH ORGANIZACÍ LÉKARNY LABORATOŘE ÚSTAVY ŠKOLÍCÍ CENTRA

Schéma datových toků dle Metodiky MZ

ÚVOD DO GDPR Ţivotní cyklus údajů Požádat Vytvořit Aktualizovat Odstranit Archivovat Bez souhlasu nebo zákonného titulu a splnění informační povinnosti technická nemoţnost postoupit k dalšímu kroku Spojit údaje se: subjektem, účelem, časovým rámcem, nastaveno dle zákona nebo testu přiměřenosti Implementace námitek vůči zpracování, zpřístupnění údaj subjektu údajů Po vypršení časového rámce Na ţádost subjektu, u údajů získaných na základě souhlasu, pokud není oprávněný zájem si ponechat Ponechat si nezbytné údaje k doloţení souladu s GDPR?

IMPLEMENTACE GDPR

IMPLEMENTACE GDPR Fáze implementace GDPR Rozdílová analýza (2 4 měsíce) Implementace poţadavků, včetně dodatečného mapování (4 měsíce aţ 1 rok) Reziduální rizika? Turnover based sanctions under GDPR Analýza rizik, DPIA, zajištění udrţitelnosti v čase, certifikace (1 měsíc)

IMPLEMENTACE GDPR Stav implementace GDPR na českém trhu Většina velkých a nadnárodních společností ukončila nebo ukončuje fázi mapování a zahajuje implementaci SMEs a veřejná správa a samospráva (včetně škol a nemocnic) zahajují mapování

Doporučený postup efektivní implementace GDPR IMPLEMENTACE GDPR Implementace zjevných poţadavků (3měsíce) Mapování nutné pro implementaci zjevných poţadavků (3 měsíce, paralelně) Rozdílová analýza (6 aţ 8 měsíců, podle disponibility interních zdrojů) Turnover based sanctions under GDPR Zajištění udrţitelnost v čase

IMPLEMENTACE GDPR Oblasti implementace GDPR Změny v IT systémech Dokumentace Změny v procesech Nastavení dob zpracování a správa údajů Zabezpečení Interní (záznamy zpracování, dokumentace interních procesů) Externí: (informační povinnost, práva subjektů údajů, dokumentace vztahů s dodavateli, marketing se souhlasem) Začlenění DPO do interních procesů Zavedení nových procesů (vyřizování ţádostí subjektů, hlášení incidentů) Omezení rozsahu zpracování nebo typů operací Změny vztahů s dodavateli a partnery

Implementace zjevných poţadavků IMPLEMENTACE GDPR DPO Vyřizování ţádostí subjektů údajů Pacienti Zaměstnanci Záznamy zpracování Zabezpečení Dodavatelé Projektový plán dalšího mapování Ustanovení DPO a jeho ukotvení do interních procesů Stanovení kontaktního místa a kompetencí Definice procesu, včetně nutných IT nástrojů Příprava vzorových dokumentů Zásady zpracování osobních údajů pacientů, Zásady zpracování osobních údajů návštěvníků areálu Revize a zrušení souhlasů Zásady zpracování osobních údajů zaměstnanců Souhlasy a zásady zpracování pro náborový proces Školící program pro vedoucí i řadové zaměstnance Příprava efektivního nástroje pro katalog údajů a záznamy zpracování, včetně právních základů, účelů a dob zpracování Revize přístupových práv Revize zranitelnosti koncových zařízení a aplikací instalovaných bez souhlasu nemocnice Úprava smluvních vztahů s klíčovými dodavateli Zaměřeno zejména na minimalizaci zpracování, zpřesnění záznamů zpracování a stanovení dob zpracování Automatizace vyřizování práv subjektů údajů

IMPLEMENTACE GDPR Gap analýza vs. Okamţitá implementace Gap analýza Okamţitá implementace, omez. mapování Okamžitá implementace = zajištění 80 % souladu s GDPR

DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Vytvořte záznamy zpracování osobních údajů včetně mechanismu jejich aktualizace přehled jaké údaje zpracováváte (rozsah), na základě jakého právního titulu, pro jaký účel a po jak dlouhou dobu. Nastavte vhodný vnitřní proces monitorování zabezpečení osobních údajů a stanovte postup hlášení úniku dat. Zaveďte agendu přístupu k osobním údajům vymezte okruh osob, které mají k osobním údajům přístup. 1 2 3

DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Proškolte osoby pracující s osobními údaji a uchovejte doklad o tomto proškolení. Proveďte posouzení vlivu zpracování na ochranu osobních údajů inventuru jednotlivých procesů, jejich bezpečnost a potenciální dopad na subjekty údajů. Analyzujte a vyhodnoťte rizika spojené se zpracováním zjištěné rizika se pokuste pomocí přijatých technických a organizačních opatření minimalizovat nebo eliminovat. 4 5 6

DESATERO IMPLEMENTACE GDPR Desatero ve zdravotnictví Zajistěte, aby subjekty (např. pacienti nebo jejich zákonní zástupci) údajů mohly uplatnit právo na přístup a další práva. Vyţádejte si od IT dodavatelů prohlášení o souladu jejich systémů s GDPR a uzavřete s nimi zpracovatelskou smlouvu. Připravte transparentní zásady ochrany osobních údajů pro zaměstnance a pacienty a zajistěte, ţe s nimi budou seznámeni. Připravte informovaný souhlas se zpracováním osobních údajů pro účely zpracování kdy není k dispozici jiný právní titul. 7 8 9 10

PŘÍPADOVÉ STUDIE

PŘÍPADOVÉ STUDIE V zájmu zajištění poskytování navazujících zdravotních služeb jsou poskytovateli ZS předány osobní údaje pacienta (jiným poskytovatelem ZS). Má nový poskytovatel ZS informační povinnosti vůči pacientovi ve smyslu čl. 14 GDPR?

PŘÍPADOVÉ STUDIE Hospitalizovaný pacient je v ohrožení života a vyžaduje poskytnutí neodkladní zdravotní péče. Jak se tato skutečnost promítne do informační povinnosti poskytovatele?

PŘÍPADOVÉ STUDIE Poskytovatel zdravotních služeb využívá k rozboru biologických vzorků služby externí laboratoře, které zpřístupňuje osobní údaje pacientů. Jaké má v této souvislosti povinnosti vůči pacientům, případně vůči laboratoři?

PŘÍPADOVÉ STUDIE Poskytovatel ZS má podezření, že jeho dodavatel IT služeb (včetně případného poskytovatele cloudu) porušuje uzavřenou zpracovatelskou smlouvu. Jak může postupovat? Jaké má porušení zpracovatelské smlouvy důsledky?

PŘÍPADOVÉ STUDIE Pacient poskytovateli ZS oznámí, že si nepřeje aby dále zpracovával jeho osobní údaj a požaduje jejich výmaz. Jak má poskytovatel postupovat?

PŘÍPADOVÉ STUDIE Pacient dobrovolně souhlasil se svou účastí na klinickém výzkumu. Co musí poskytovatel ZS udělat, pokud chce pro účely tohoto výzkumu zpracovávat pacientovy osobní údaje?

Spolu s kancelářemi v Londýně, Bruselu a Moskvě jeden z největších specializovaných právních týmů zaměřených na právo technologií, médií a komunikací Hlavní oblasti praxe: Ochrana osobních údajů IT smlouvy, včetně smluv na cloudové produkty IoT M&A transakce v technologickém sektoru Podpora start-upů při vstupu na zahraniční trhy Pracovní právo (včetně technologických aspektů smluv zaměstnanců, BYOD) IP právo Média Telekomunikační právo Více informací: www.pierstone.com Partneři odpovědní za GDPR projekty : Jana Pattynová jana.pattynova@pierstone.com +420 777 738 040 12 let nejvyšší nezávislá hodnocení pro oblast technologie Lenka Suchánková lenka.suchankova@pierstone.com +420 777 738 046

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář