Certyfikat ISO 27001 nie zwalnia podmiotu leczniczego z obowiązku przestrzegania RODO

Należy stwierdzić, że posiadając certyfikat ISO 27001 szpital jest przygotowany w zakresie ochrony danych. Niemniej jednak poza spełnieniem wymogów, które były niezbędne do uzyskania certyfikatu ISO 27001, należy też:

• zawrzeć odpowiedniej treści umowy o powierzenie z podmiotami przetwarzającymi, a jeśli szpital sam jest podmiotem przetwarzającym - zawrzeć taką umowę z administratorem (art. 28 RODO),
• spełnić obowiązki informacyjne (zgodnie z art. 12, 13 i 14 RODO),
• jeżeli dane osobowe są przetwarzane na podstawie zgód podmiotów danych - zadbać, aby zgody odpowiadały wymogom art. 7 i 8 RODO,
• przestrzegać praw osób fizycznych, które dane przetwarzają (art. 15 - art. 22 RODO), jeśli dane są przetwarzane z innymi administratorami i określić zasady współadministrowania (art. 26 RODO),
• prowadzić rejestr czynności przetwarzania i rejestr kategorii czynności przetwarzania, za wyjątkami wskazanymi w art. 30 ust. 5 RODO,
• zgłaszać naruszenia zgodnie z art. 33 RODO do Prezesa Urzędu Ochrony Danych osobowych elektronicznie zgodnie z formularzem zamieszczonym na stronie Urzędu,
• dokumentować wszelkie naruszenia - rejestr naruszeń z elementami wskazanymi w RODO (art. 33 ust. 5 RODO), w przypadku powstania naruszenia należy zawiadomić o tym osoby fizyczne, których dane naruszenie dotyczą (art. 34 RODO),
• wykonywać ocenę skutków dla ochrony danych (art. 35 RODO),
• powołać Inspektora Ochrony Danych zgodnie z przepisami art. 37 RODO oraz ustawą o ochronie danych osobowych,
• stosować kodeksy branżowe w zakresie ochrony danych osobowych (art. 40 i 41 RODO).