Ile rejestrów przetwarzania danych musisz prowadzić w placówce medycznej
Ogólne rozporządzenie unijne o ochronie danych osobowych (RODO) mówi o obowiązku opracowywania rejestrów czynności przetwarzania oraz rejestrów wszystkich kategorii czynności przetwarzania. Czy wystarczy jeden rejestr dla całej placówki medycznej, czy trzeba je prowadzić oddzielnie dla każdej komórki?
Rejestr czynności przetwarzania prowadzi każdy administrator danych osobowych (ADO) oraz – gdy ma to zastosowanie – jego przedstawiciel, a podmioty te są odpowiedzialne za prowadzenie tego rejestru. Natomiast rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO prowadzi każdy procesor oraz – gdy ma to zastosowanie – jego przedstawiciel.
Przepisy RODO nie wskazują, komu konkretnie można powierzyć prowadzenie rejestrów, tj. nie ma w przepisach żadnych wymogów dotyczących wymaganych kwalifikacji do ich prowadzenia.
Co zrobić – krok po kroku
W praktyce można wskazać rozwiązanie, zgodnie z którym:
- za prowadzenie rejestrów, tj. posiadanie oficjalnych dokumentów, może być odpowiedzialny IOD działający przy wsparciu poszczególnych komórek organizacyjnych;
- IOD powinien uprzednio przeszkolić w zakresie rejestrowania czynności przetwarzania danych te osoby, które zostaną włączone w prowadzenie rejestru;
- wszystkie te osoby powinny mieć stosowne upoważnienia do przetwarzania danych osobowych;
- ze względu na szeroki zakres danych osobowych przetwarzanych przez placówkę (np. dane pacjentów, dane pracowników) to pracownicy poszczególnych komórek organizacyjnych powinni (po uprzednim przeszkoleniu) zapewnić wkład merytoryczny do rejestrów, tj. przede wszystkim wskazać cele przetwarzania i kategorie danych osobowych przetwarzanych przez te komórki; informacje te powinny być na bieżąco aktualizowane i przekazywane do IOD;
- IOD powinien być na bieżąco punktem kontaktowym dla personelu przekazującego te informacje w celu wyjaśniania ewentualnych wątpliwości;
- poszczególne komórki organizacyjne placówki powinny umożliwić IOD dostęp do informacji o dokonywanych przez nie czynnościach przetwarzania (np. przez zabezpieczony intranet);
- IOD powinien na bieżąco te informacje wstawiać do rejestrów;
- IOD powinien monitorować poprawność formalną rejestrów.
Uzyskaj nieograniczony dostęp do SerwisZOZ.pl
- Aktualne informacje o zmianach prawnych
- Indywidualne konsultacje e-mail z ekspertem (odpowiedź w 48 h)
- Bazę 3500 porad ekspertów, gotowych wzory dokumentów i procedur
- Przywileje z uczestnictwa w Klubie Menedżera Ochrony Zdrowia - rabaty, konferencje, webinary live, e-szkolenia, prezenty
Jeśli masz już konto
Uzyskaj bezpłatny 24-godzinny dostęp do SerwisZOZ.pl
aktywuj dostęp testowyJeżeli nie jesteś zarejestrowanym użytkownikiem portalu, możesz wykupić jednorazowy dostęp do wybranego dokumentu.
Podobne artykuły
Zobacz również
Konferencje i szkolenia
Zapisz się na bezpłatny newsletter
/WiedzaiPraktyka
/wip