Ile rejestrów przetwarzania danych musisz prowadzić w placówce medycznej
Ogólne rozporządzenie unijne o ochronie danych osobowych (RODO) mówi o obowiązku opracowywania rejestrów czynności przetwarzania oraz rejestrów wszystkich kategorii czynności przetwarzania. Czy wystarczy jeden rejestr dla całej placówki medycznej, czy trzeba je prowadzić oddzielnie dla każdej komórki?
Rejestr czynności przetwarzania prowadzi każdy administrator danych osobowych (ADO) oraz – gdy ma to zastosowanie – jego przedstawiciel, a podmioty te są odpowiedzialne za prowadzenie tego rejestru. Natomiast rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu ADO prowadzi każdy procesor oraz – gdy ma to zastosowanie – jego przedstawiciel.
Przepisy RODO nie wskazują, komu konkretnie można powierzyć prowadzenie rejestrów, tj. nie ma w przepisach żadnych wymogów dotyczących wymaganych kwalifikacji do ich prowadzenia.
Co zrobić – krok po kroku
W praktyce można wskazać rozwiązanie, zgodnie z którym:
- za prowadzenie rejestrów, tj. posiadanie oficjalnych dokumentów, może być odpowiedzialny IOD działający przy wsparciu poszczególnych komórek organizacyjnych;
- IOD powinien uprzednio przeszkolić w zakresie rejestrowania czynności przetwarzania danych te osoby, które zostaną włączone w prowadzenie rejestru;
- wszystkie te osoby powinny mieć stosowne upoważnienia do przetwarzania danych osobowych;
- ze względu na szeroki zakres danych osobowych przetwarzanych przez placówkę (np. dane pacjentów, dane pracowników) to pracownicy poszczególnych komórek organizacyjnych powinni (po uprzednim przeszkoleniu) zapewnić wkład merytoryczny do rejestrów, tj. przede wszystkim wskazać cele przetwarzania i kategorie danych osobowych przetwarzanych przez te komórki; informacje te powinny być na bieżąco aktualizowane i przekazywane do IOD;
- IOD powinien być na bieżąco punktem kontaktowym dla personelu przekazującego te informacje w celu wyjaśniania ewentualnych wątpliwości;
- poszczególne komórki organizacyjne placówki powinny umożliwić IOD dostęp do informacji o dokonywanych przez nie czynnościach przetwarzania (np. przez zabezpieczony intranet);
- IOD powinien na bieżąco te informacje wstawiać do rejestrów;
- IOD powinien monitorować poprawność formalną rejestrów.
Zyskaj pełny dostęp do SerwisZOZ.pl
- Bądź na bieżąco - natychmiastowe informacje o zmianach w przepisach
- Skorzystaj z pomocy ekspertów - odpowiedź na Twoje pytanie maksymalnie w 48 h
- Zyskaj dostęp do ponad 3500 gotowych porad, wzorów i procedur
- Dołącz do Klubu Menedżera - zyskaj zniżki, webinary, e-szkolenia i zaproszenia na konferencje
Jeśli masz już konto,
zaloguj się:
Nie masz konta?
Kup dostęp jednorazowy do tego materiału.
Wyślij SMS o treści: WPR na numer 92568.
Otrzymasz kod dostępu - wpisz go poniżej.
Koszt: 30.75 zł brutto (25 zł netto)
Regulamin usługi SMS.
Podobne artykuły
Zobacz również
Zapisz się na bezpłatny newsletter
/Zarządzanie w Ochronie Zdrowia
/Zarządzanie w Ochronie Zdrowia