Jaka jest właściwa forma realizacji obowiązku informacyjnego wobec pacjenta – odebranie podpisu pacjenta na formularzu czy umieszczenie obowiązku informacyjnego na tablicy informacyjnej?
minut
wyświetleń
Administrator posiada dowolność w zakresie formy realizacji obowiązku informacyjnego. W związku z powyższym zarówno opracowanie formularza z obowiązkiem informacyjnym jak i umieszczenie obowiązku informacyjnego na tablicy informacyjnej należy uznać za prawidłową formę realizacji obowiązku informacyjnego.
Uzasadnienie:
Administrator zobowiązany jest do zrealizowania obowiązku informacyjnego zgodnego z artykułem 13 rozporządzenia Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). Należy pamiętać, aby w obowiązku informacyjnym zawrzeć następujące informacje:
- tożsamość administratora i dane kontaktowe oraz gdy ma to zastosowanie, tożsamość i dane kontaktowe przedstawiciela administratora;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych oraz podstawę prawną przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.
Dodatkowo w celu zapewnienia rzetelności i przejrzystości przetwarzania danych osobowych, obowiązek informacyjny powinien zawierać poniższe informacje:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego;
- informacje czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.