Dokumentacja RODO w placówkach medycznych

• Prawidłowe stosowanie przepisów o ochronie danych osobowych jest szczególnie istotne w jednostkach, które przetwarzają dane wrażliwe, tj. dane medyczne. Każda placówka udzielająca świadczeń zdrowotnych powinna być wyposażona w dokumentację ochrony danych osobowych, która zapewni bezpieczeństwo placówce, personelowi oraz pacjentom, korzystającym z jej usług. Atutem poradnika jest m.in. szczegółowe przedstawienie zasad zabezpieczenia danych medycznych, poparte praktycznymi przykładami.
• W publikacji omówiono m.in. obowiązek informacyjny placówki medycznej wobec pacjentów, polityki wewnętrzne ochrony danych osobowych w podmiocie medycznym, ze szczególnym uwzględnieniem analizy ryzyka czy oceny skutków dla oceny ryzyka, poparte przykładami; status i zadania inspektora ochrony danych, zakres upoważnień do przetwarzania danych, praktyczne sposoby zabezpieczania i przetwarzania danych osobowych medycznych, a także proces zgłaszania naruszeń i system kar nakładanych przez PUODO.
• Omówienie aktualnych przepisów w kontekście dokumentacji ochrony danych osobowych w placówkach medycznych to doskonała baza wiedzy dla osób zajmujących się tą tematyką zawodowo.


Fragment tekstu z poradnika:

2. Zasada rozliczalności danych osobowych a dokumentacja ochrony danych

Zasada rozliczalności to całkowicie nowe rozwiązanie wprowadzone do systemu prawa przez przepisy RODO. Zasada ta, wyrażona w art. 5 ust. 2 RODO, nakłada na administratorów i podmioty przetwarzające dane osobowe odpowiedzialność za przestrzeganie przepisów dotyczących przetwarzania danych oraz wymaga, aby podmioty te były w stanie to wykazać.

Zgodnie z opinią Grupy Roboczej Art. 29 w sprawie zasady rozliczalności (WP 173), obowiązek zapewnienia rozliczalności oznacza:1) wdrożenie środków (w tym wewnętrznych procedur) gwarantujących przestrzeganie przepisów o ochronie danych w związku z operacjami ich przetwarzania oraz2) sporządzenie dokumentacji, która wskazuje osobom, których dane dotyczą, oraz organom nadzorczym, jakie środki podjęto, aby zapewnić przestrzeganie przepisów o ochronie danych osobowych.

Również w literaturze przedmiotu podkreśla się, że konsekwencją zasady rozliczalności jest, iż w razie sporu z osobą, której dane dotyczą, albo z organem nadzorczym, administrator danych powinien być w stanie przedstawić dowody na to, że przestrzega przepisów o ochronie danych osobowych. Dowodami takimi mogą być przede wszystkim dokumenty opisujące zasady przetwarzania i ochrony danych osobowych. Dlatego też, pomimo braku wyraźnego wymogu wynikającego z przepisów RODO, zasadne i rekomendowane jest prowadzenie dokumentacji przetwarzania danych osobowych. Pozostaje to w zgodzie z motywem 78 RODO, w którym podkreśla się, że celem przyjęcia i wdrożenia przez administratora wewnętrznych polityk oraz wdrożenia odpowiednich środków jest ułatwienie realizacji zasady rozliczalności, a zatem umożliwienia wykazania zgodności z RODO.

Dokumentacja ochrony danych osobowych wdrażana na podstawie RODO, po pierwsze, będzie stanowiła dowód na wdrożenie rozwiązań zapewniających praktyczną realizację zasady rozliczalności. Po drugie, dokumentacja będzie stanowiła środek dowodowy w razie sporu na okoliczność przyjęcia i wdrożenia konkretnych rozwiązań opisanych w dokumentacji. Po trzecie wreszcie, dokumentacja stanowić może doskonały instrument umożliwiający podejmowanie działań edukacyjnych wśród pracowników administratora danych.

Mimo braku wprost sformułowanego prawnego obowiązku posługiwania się dokumentacją ochrony danych osobowych, względy czysto praktyczne wskazują na to, że posługiwanie się nią jest bardzo użyteczne, a często wręcz zalecane, jako praktyczny sposób realizacji zasady rozliczalności danych osobowych. Nie jest więc zalecane, by wraz z rozpoczęciem stosowania RODO kończyć posługiwanie się dokumentacją ochrony danych osobowych opracowaną i wdrożoną pod rządami OchrDanychU97 – wręcz przeciwnie, rekomendowanym rozwiązaniem jest dostosowanie treści dokumentacji do wymagań RODO i zapewnienie ciągłości jej stosowania w organizacji.

3. Dokumentacja ochrony danych osobowych a przepisy RODO

Ponieważ w przepisach RODO brak jest obowiązku posługiwania się dokumentacją ochrony danych osobowych w znaczeniu, jakie temu pojęciu nadawała OchrDanychU97, a jednocześnie zasada rozliczalności wskazuje, że wdrożenie takiej dokumentacji jest bardzo pożądane, podstawowe pytanie, na jakie należy znaleźć odpowiedź, to pytanie o zawartość dokumentacji ochrony danych osobowych funkcjonującej zgodnie z przepisami RODO.

W celu udzielenia odpowiedzi na to pytanie należy podkreślić, że RODO – choć nie nakazuje wdrożenia dokumentacji ochrony danych osobowych w znaczeniu znanym z OchrDanychU16 – nakazuje wykonać wiele czynności, które zgodnie z zasadą rozliczalności powinny zostać odpowiednio udokumentowane. Są to:1) rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, o których mowa w art. 30 RODO,2) raport z przeprowadzonej ogólnej analizy ryzyka – art. 32 RODO,3) raport z oceny skutków dla ochrony danych – art. 35 ust. 7 RODO, jeżeli została przeprowadzona.

Co najmniej więc w tym zakresie każdy administrator danych lub podmiot przetwarzający powinni sporządzić odpowiednią dokumentację. Ale to nie wszystko – uwzględniając kolejne obowiązki wynikające z przepisów RODO, w praktyce zaleca się sporządzenie i wdrożenie dokumentacji obejmującej:
1) wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszania naruszenia ochrony danych do organu nadzorczego – art. 33 ust. 3 RODO,
2) procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowania o działaniach, jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO,
3) procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust. 5 RODO,
4) procedury związane z pseudonimizacją i szyfrowaniem, jeżeli zostały wdrożone takie rozwiązania,
5) plan ciągłości działania – art. 32 ust. 1 lit. b RODO,
6) procedury odtwarzania systemu po awarii oraz ich testowania – art. 32 ust. 1 lit. c i d RODO.

Dodatkowo, jak wskazała Grupa Robocza Art. 29 w wytycznych WP 2488, polityka wewnętrzna administratora danych, może rozszerzyć zakres dokumentacji poza zakres wynikający z przepisów RODO.
Zobacz także:

Udzielenie informacji publicznej przez SPZOZ
Przekazywanie danych osobowych przy korzystaniu z usług zewnętrznego podmiotu świadczącego usługi medyczne
Przetwarzanie danych przez personel podmiotu leczniczego
RODO a branża medyczna: przetwarzanie danych szczególnych

Więcej o ochronie danych osobowych w placówkach medycznych znajdziesz na

w module Ochrona zdrowia




 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw nam swój numer telefonu
i adres e-mail, a skontaktujemy się z Tobą:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Zasady przetwarzania danych osobowych