Dokumentacja RODO w placówkach medycznych

Przychodnie, gabinety, szpitale i kliniki to miejsca, w których przetwarza i przechowuje się szczególnie wrażliwe dane związane z newralgicznymi obszarami życia pacjentów. Dokumentacja RODO w placówkach medycznych musi podlegać ochronie, ponieważ informacje o stanie zdrowia mogą być wykorzystane przeciw osobom, których dotyczą, np. w sytuacjach związanych z zatrudnieniem czy procesami sądowymi. Poza przypadkami obowiązku dostarczania zaświadczeń o stanie zdrowia każdy obywatel ma prawo do poufności takich danych.

Przepisy Rozporządzenia RODO nie definiują jakie dokumenty mają składać się na dokumentację RODO w placówkach medycznych. W art. 5 Rozporządzenia RODO ujęte zostały zasady dotyczące przetwarzania danych osobowych. Jedną z nich jest zasada rozliczalności, która stanowi, iż Administrator danych osobowych musi być w stanie wykazać przestrzeganie tych zasad.

Tym samym, możemy wnioskować, iż posiadanie dokumentów, rejestrów może być jedną z form wykazania przestrzegania przez Administratora zasad ochrony danych osobowych.

Audyt danych osobowych – analiza ryzyka

Po pierwsze powinniśmy przeprowadzić audyt danych osobowych – audyt zgodności RODO. Na jego podstawie będziemy w stanie podjąć określone działania, opracować dokumentację RODO. Wyniki audyty są także dobrą bazą do przeprowadzenia analizy ryzyka w placówce medycznej.

Analiza ryzyka powinna uwzględniać:

  • charakter przetwarzania,
  • zakres przetwarzania,
  • kontekst przetwarzania,
  • cel przetwarzania.

Dokumentacja RODO – co wynika z Rozporządzenia?

Mimo, iż Rozporządzenie RODO nie wskazuje nam wprost listy dokumentacji, jaką mamy obowiązek wdrożyć, wskazuje nam zakres czynności, jakie musimy spełnić będą Administratorem danych osobowych jak i Podmiotem przetwarzającym.

I. Obowiązek informacyjny

W art. 12-14 Rozporządzenia RODO, przetwarzając dane osobowe mamy obowiązek poinformować osoby, których dane dotyczą o tym w jaki sposób przetwarzamy ich dane osobowe. Możemy to uczynić m.in. poprzez przygotowanie takich dokumentów jak:

  • klauzula informacyjnej RODO, klauzula ochrony danych osobowych, klauzula przetwarzania danych osobowych;
  • polityka prywatności.

II. Rejestry / raporty

Zgodnie z art. 30 Rozporządzenia RODO w ściśle określonych sytuacjach należy przygotować oraz prowadzić takie rejestry jak:

  • rejestr czynności przetwarzania danych osobowych;
  • rejestr kategorii czynności przetwarzania.

Dodatkowo powinniśmy prowadzić takie rejestry/raporty jak:

  • rejestr naruszeń ochrony danych osobowych;
  • raport z oceny skutków dla ochrony danych.

III. Powierzenie danych osobowych

Powierzenie danych zgodnie z Rozporządzeniem RODO po pierwsze musi odbywać się na podstawie umowy albo innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego, po drugie administrator korzysta „wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”(art. 28 ust. 1 Rozporządzenia RODO). W praktyce zaleca się opracowanie:

  • procedury weryfikacji podmiotów przetwarzających dane osobowe (procesorów);
  • wzoru umowy powierzenia przetwarzania danych osobowych.

IV. Naruszenie ochrony danych osobowych

Jaką dokumentację należy przygotować?

  • procedurę postępowania w przypadku naruszeń ochrony danych;
  • ocenę skutków naruszenia np. wg. wytycznych ENISA.

V. Środki techniczne i organizacyjne – art. 32 Rozporządzenia RODO

Jeżeli Administrator danych osobowych wdrożył określone środki, wskazane w art. 32 Rozporządzenia RODO, zaleca się opracowanie oraz wdrożenie:

  • plan ciągłości działania w tym odtworzenie systemów po awarii;
  • procedury opisujące pseudonimującej oraz szyfrowanie.

VI. Polityka ochrony danych osobowych

Dokumentem opisującym zasady ochrony danych osobowych obowiązujące w danej placówce medycznej może być:

  • Polityka ochrony danych osobowych

Leave a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *