Artykuł:
RODO w małej przychodni
Napisany przez link, dnia 2019-02-05 18:40:41
Obowiązek prowadzenia dokumentacji RODO mają także najmniejsze podmioty medyczne. Sprawdź, jakich obowiązków z zakresu ochrony danych osobowych powinny one dopełnić.
Minimum dokumentacji w podmiocie medycznym
Każdy podmiot – administrator oraz podmiot przetwarzający, który przetwarza dane osobowe i podlega RODO powinien wdrożyć odpowiednie środki i procedury, w tym dokumenty, aby móc w razie kontroli wykazać wprowadzone rozwiązania dotyczące bezpieczeństwa. Prezes UODO wskazał w specjalnym komunikacie na stronie internetowej, jakie jest minimum w zakresie dokumentacji dla każdego administratora i procesora, który przetwarza dane osobowe (obok dokumentacji obowiązującej dotychczas, np. upoważnienia). Wskazano na:
- rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
- wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
- procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
- procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
- raport z przeprowadzonej, ogólnej analizy ryzyka;
- raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
- procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
- plan ciągłości działania – art. 32 ust 1 pkt b RODO;
- procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.
Lekarz jako odrębny administrator?
Warto też rozważyć, że lekarze w podmiocie medycznym są administratorami albo podmiotami przetwarzającymi w rozumieniu art. 4 RODO. Jeśli pracują na rzecz podmiotu medycznego, to nie są administratorami nawet jeśli pracują na podstawie cywilnoprawnej (tak zgodnie z projektem kodeksu branżowego dla podmiotów medycznych: www.rodowzdrowiu.pl punkt 4.6). Więc to na przychodni spoczywa obowiązek przygotowania odpowiedniej dokumentacji w zakresie RODO, bo to przychodnia jest administratorem, a nie na lekarzach. Do przychodni należy również obowiązek przekazania informacji wskazanych w art. 13 i 14 RODO. Lekarze nie muszą również w takiej sytuacji powoływać IOD. Z lekarzami nie ma również potrzeby podpisywania umowy powierzenia (tak zgodnie z projektem kodeksu branżowego dla podmiotów medycznych: www.rodowzdrowiu.pl punkt 4.6).
Jeśli Ci sami lekarze prowadzą indywidualną praktykę lekarską, to muszą w zakresie swoich indywidualnych pacjentów, tj. ich danych, prowadzić odpowiednią dokumentację w zakresie przetwarzania danych osobowych dostosowaną do ich działalności, tj. rodzaju oraz ilości przetwarzania danych osobowych. W przypadku prowadzenia indywidualnej praktyki lekarskiej nie ma obowiązku powoływania IOD (zgodnie z wytycznymi Grupy Roboczej art. 29).
Jeśli chodzi o sposób przetwarzania danych, to jak wspomniano wcześniej – przychodnia jako administrator powinna zadbać o zabezpieczenia i dokumentację. Jeśli chodzi o IOD, to w przypadku przychodni należy kierować się wytycznymi w zakresie powołania IOD przygotowanymi przez Grupę Roboczą art. 29. Nie ma w tym zakresie znaczenia w jaki sposób przetwarzanie są dane (wersja elektroniczna, papierowa, sieć LAN czy dostęp do sieci Internet).
Przeczytaj też:
- Branża medyczna z RODO w pytaniach i odpowiedziach
- Przetwarzanie danych osobowych w branży medycznej
Podstawa prawna
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 4, 29, 30, 32, 33, 34, 35.
Agnieszka Sztuwe
Radca prawny,
Ekspert portalu PoradyODO.pl
Użyte tagi: RODO, przychodnie
