Autor: Agnieszka Sztuwe
Dodano: 23 listopada 2020
Pytanie:
Jaka dokumentacja związana z RODO jest zalecana dla przychodni?
Odpowiedź: Zakres dokumentów niezbędnych w celu udokumentowania wypełniania obowiązków wynikających z RODO jest uzależniona od działalności danego podmiotu i zakresu jego usług. Prezes UODO wskazał jednak minimalny zakres dokumentów, który każdy administrator niezależnie od przedmiotu działalności powinien przygotować i wdrożyć.
Zestawienie dokumentów dla przychodni
Zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych oprócz polityki i instrukcji (które zgodnie z obowiązującymi przepisami nie są wymagane, jednak bardzo pomocne przy organizacji procesu przetwarzania danych osobowych w Przychodni - każdy pracownik bowiem zobowiązany jest znać takie dokumenty i w łatwy sposób można ustalić obowiązki pracowników jak i odpowiednie kroki w przypadku np. zaistniałego incydentu) do dokumentów, które powinny zostać wdrożone należą:
- rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
- wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
- procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- raport z przeprowadzonej, ogólnej analizy ryzyka;
- raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy (dopisek autora – Zgodnie z Komunikatem Prezesa UODO takiej analizy powinno się dokonać w przypadku przetwarzania danych osobowych zawartych w dokumentacji medycznej, dodatkowo zalecałoby się dokonanie takiej oceny w przypadku korzystania z monitoringu wizyjnego)
- procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
- plan ciągłości działania – art. 32 ust 1 pkt b RODO;
- procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
UwagaUpoważnienia powinny być stosowane, jeśli takie rozwiązane jest przewidziane w procedurach wewnętrznych w Przychodni. Pracownicy powinni również zobowiązać się do zachowania tajemnicy.
Niezbędne będzie również dokumentowanie przeprowadzanie szkoleń wstępnych i okresowych z zakresu ochrony danych osobowych. Nie należy zapominać także o klauzulach informacyjnych z art. 13 i 14 RODO.
To tylko minimum
Powyższy zakres dokumentów zawiera tak naprawdę minimalny wykaz. W zależności od sytuacji czy sposobu przetwarzania danych zakres ten może być szerszy.
Autor: Agnieszka Sztuwe
Radca prawny w Kancelarii Adwokatów Naworska Marszałek sp.k. w Toruniu. W praktyce zawodowej zajmuje się obsługą przedsiębiorców, przede wszystkim w zakresie ochrony danych osobowych (z uwzględnieniem RODO). Interesuje się ponadto prawem autorskim, prawem własności przemysłowej. Obsługuje Rolnicze Grupy Producenckie przed organami administracji państwowej. Jest absolwentką Wydziału Prawa i Administracji Uniwersytetu Mikołaja Kopernika w Toruniu (2013). Podczas studiów odbywała praktyki w renomowanych, międzynarodowych kancelariach w Warszawie.
