Dokumentacja ODO w przychodni
Zakres dokumentów niezbędnych w celu udokumentowania wypełniania obowiązków wynikających z RODO jest uzależniona od działalności danego podmiotu i zakresu jego usług. Prezes UODO wskazał jednak minimalny zakres dokumentów, który każdy administrator niezależnie od przedmiotu działalności powinien przygotować i wdrożyć.
Zestawienie dokumentów dla przychodni
Zgodnie z wytycznymi Prezesa Urzędu Ochrony Danych Osobowych oprócz polityki i instrukcji (które zgodnie z obowiązującymi przepisami nie są wymagane, jednak bardzo pomocne przy organizacji procesu przetwarzania danych osobowych w Przychodni - każdy pracownik bowiem zobowiązany jest znać takie dokumenty i w łatwy sposób można ustalić obowiązki pracowników jak i odpowiednie kroki w przypadku np. zaistniałego incydentu) do dokumentów, które powinny zostać wdrożone należą:
- rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
- wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
- procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- raport z przeprowadzonej, ogólnej analizy ryzyka;
- raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy (dopisek autora – Zgodnie z Komunikatem Prezesa UODO takiej analizy powinno się dokonać w przypadku przetwarzania danych osobowych zawartych w dokumentacji medycznej, dodatkowo zalecałoby się dokonanie takiej oceny w przypadku korzystania z monitoringu wizyjnego)
- procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
- plan ciągłości działania – art. 32 ust 1 pkt b RODO;
- procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
Upoważnienia powinny być stosowane, jeśli takie rozwiązane jest przewidziane w procedurach wewnętrznych w Przychodni. Pracownicy powinni również zobowiązać się do zachowania tajemnicy.
Niezbędne będzie również dokumentowanie przeprowadzanie szkoleń wstępnych i okresowych z zakresu ochrony danych osobowych. Nie należy zapominać także o klauzulach informacyjnych z art. 13 i 14 RODO.
To tylko minimum
Powyższy zakres dokumentów zawiera tak naprawdę minimalny wykaz. W zależności od sytuacji czy sposobu przetwarzania danych zakres ten może być szerszy.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 13, art. 14, art. 32 – 35.
- Udostępnianie dokumentacji medycznej bezdomnego
- E-doręczenia – czy konieczna nowa dokumentacja ochrony danych osobowych
- Ewidencja napraw systemu informatycznego – czy jest obowiązkowa
- Staż z urzędu pracy – czy urząd pracy i pracodawca to współadministratorzy
- Udostępnienie dokumentacji medycznej – dodatkowa opłata za anonimizację
- Jakiej dokumentacji ODO można żądać od procesora
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
