Rejestry RODO w szpitalu – czy musi je prowadzić każda komórka organizacyjna?
Nie ma takiego obowiązku, niemniej jednak administrator może zobligować komórki do wsparcia merytorycznego przy prowadzeniu rejestrów.
Kilka zdań o obowiązkowych rejestrach
Zgodnie z motywem 82 preambuły RODO administrator danych osobowych lub podmiot przetwarzający (dalej: procesor) powinni prowadzić rejestry czynności przetwarzania, za które są odpowiedzialni. Ponadto art. 30 ust. 1 i 2 RODO wskazuje, że:
- rejestr czynności przetwarzania prowadzi każdy ADO oraz - gdy ma to zastosowanie – jego przedstawiciel, a podmioty te są odpowiedzialne za prowadzenie tego rejestru;
- rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO prowadzi każdy procesor oraz - gdy ma to zastosowanie – jego przedstawiciel.
- Rejestry wymienione w RODO prowadzą ADO, procesor lub ich przedstawiciele, i to oni są odpowiedzialni za wykonanie tego obowiązku;
- Przepisy RODO nie wskazują, komu konkretnie można powierzyć prowadzenie tych rejestrów, tj. nie ma w przepisach żadnych wymogów dotyczących wymaganych kwalifikacji do ich prowadzenia.
Jakkolwiek ADO, procesor lub ich przedstawiciele odpowiadają za prowadzenie ww. rejestrów, należy mieć na uwadze, że w rzeczywistości mogą oni zlecić ich prowadzenie innym osobom. Dodatkowo, ponieważ nie każdy podmiot ma obowiązek powołania IOD, z przepisów RODO należy wnioskować, że prowadzenie rejestrów nie jest czynnością zarezerwowaną wyłącznie dla IOD. Dlatego też ADO może teoretycznie zlecić prowadzenie rejestrów wybranym przez siebie osobom, np. pracownikom działu prawnego.
Praktyczne rozwiązanie dla szpitala
W praktyce można wskazać rozwiązanie, zgodnie z którym,:
- za prowadzenie rejestrów, tj. posiadanie oficjalnych dokumentów, może być odpowiedzialny IOD działający przy wsparciu poszczególnych komórek organizacyjnych;
- IOD powinien uprzednio przeszkolić w zakresie rejestrowania czynności przetwarzania danych te osoby, które zostaną włączone w prowadzenie rejestru;
- wszystkie te osoby powinny posiadać stosowne upoważnienia do przetwarzania danych osobowych;
- z uwagi na szeroki zakres danych osobowych przetwarzanych przez szpital (np. dane pacjentów, dane pracowników) to pracownicy poszczególnych komórek organizacyjnych szpitala powinni (po uprzednim przeszkoleniu) zapewnić wkład merytoryczny do rejestrów tj. przede wszystkim wskazać cele przetwarzania i kategorie danych osobowych przetwarzanych przez te komórki; informacje te powinny być na bieżąco aktualizowane i przekazywane do IOD;
- IOD powinien być na bieżąco punktem kontaktowym dla personelu przekazującego te informacje w celu wyjaśniania ewentualnych wątpliwości;
- poszczególne komórki organizacyjne szpitala powinny umożliwić IOD dostęp do informacji o dokonywanych przez nie czynnościach przetwarzania (np. poprzez zabezpieczony intranet);
- IOD powinien na bieżąco te informacje wstawiać do rejestrów;
- IOD powinien monitorować poprawność formalną rejestrów.
- IOD szkoli z przepisów o ochronie danych osobowych m.in. pracowników działu kadr. Pracownicy po szkoleniu wiedzą, że muszą zebrać i przekazać do IOD w roboczym pliku np.: opis celu przetwarzania (np. „czynność prowadzenia ewidencji pracowników zgodnie z Kodeksem pracy”); opis kategorii osób, których dane dotyczą (np. „lekarze, pracownicy administracyjni, personel sprzątający”); opis kategorii danych osobowych (np. „dane identyfikacyjne, dane adresowe, dane o wykształcenie”).
- Tego typu hasła mogą być przekazane do IOD np. w formie tabeli w pliku arkusza kalkulacyjnego.
- W razie wątpliwości dział kadr wyjaśnia je z IOD.
- IOD zbiera te informacje (oraz podobne informacje od innych komórek organizacyjnych szpitala), a następnie zamieszcza je w prowadzonym przez siebie rejestrze.
- Poszczególne komórki na bieżąco aktualizują te informacje (np. gdy pojawi się nowy cel przetwarzania) i przekazują je do IOD, który aktualizuje dokumentację rejestrową.
- Czy spółdzielnia mieszkaniowa udostępnia dane osobowe do założenia księgi wieczystej dla lokalu
- Dane osób zmarłych w wezwaniu do odbioru depozytu – podstawa przetwarzania
- Standardy ochrony małoletnich – weryfikacja w Rejestrze Sprawców Przestępstw na tle Seksualnym tylko przed zatrudnieniem
- Okres przechowywania rejestru czynności przetwarzania danych
- Ewidencja napraw systemu informatycznego – czy jest obowiązkowa
- Zgłoszenie danych wrażliwych do Urzędu Ochrony Danych Osobowych – czy konieczne
Wideo: Przegląd orzecznictwa (sierpień – listopad 2022 r.) – cz. III – decyzje zagranicznych organów nadzorczych
Poznaj najważniejsze orzeczenia zagranicznych organów nadzorczych. W podsumowaniu poruszamy zagadnienia związane m.in. z geolokalizacją, prawem dostępem do danych, cyberatakiem na gminę czy rozpoznawaniem twarzy.
