Ta witryna wykorzystuje pliki cookies by zarządzać sesją użytkownika. Cookies używane są także do monitorowania statystyk strony, oraz zarządzania reklamami.
W kazdej chwili możesz wyłączyć cookies. Wyłączenie ciasteczek może spowodować nieprawidłowe działanie witryny. Więcej w naszej polityce prywatności.

Artykuł:

RODO w małej przychodni

Napisany przez link, dnia 2019-02-05 18:40:41

Obowiązek prowadzenia dokumentacji RODO mają także najmniejsze podmioty medyczne. Sprawdź, jakich obowiązków z zakresu ochrony danych osobowych powinny one dopełnić.

 

 

Minimum dokumentacji w podmiocie medycznym

Każdy podmiot – administrator oraz podmiot przetwarzający, który przetwarza dane osobowe i podlega RODO powinien wdrożyć odpowiednie środki i procedury, w tym dokumenty, aby móc w razie kontroli wykazać wprowadzone rozwiązania dotyczące bezpieczeństwa. Prezes UODO wskazał w specjalnym komunikacie na stronie internetowej, jakie jest minimum w zakresie dokumentacji dla każdego administratora i procesora, który przetwarza dane osobowe (obok dokumentacji obowiązującej dotychczas, np. upoważnienia). Wskazano na:

  • rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
  • wytyczne dotyczące klasyfikacji naruszeń i procedurę zgłaszanie naruszenie ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
  • procedurę na wypadek wystąpienia naruszeń mogących powodować wysokie ryzyko naruszenia praw i wolności osób, w zakresie ich informowaniu o działaniach jakie powinni wykonać, aby ryzyko to ograniczyć – art. 34 RODO
  • procedurę prowadzenia wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
  • raport z przeprowadzonej, ogólnej analizy ryzyka;
  • raport z ocen skutków dla ochrony danych – art. 35 ust. 7. – jeśli dotyczy;
  • procedury związane z pseudonimizacją i szyfrowaniem – jeśli dotyczy;
  • plan ciągłości działania – art. 32 ust 1 pkt b RODO;
  • procedury odtwarzania systemu po awarii, oraz ich testowania – art. 32 ust 1 pkt c i d RODO.

 

Lekarz jako odrębny administrator?

Warto też rozważyć, że lekarze w podmiocie medycznym są administratorami albo podmiotami przetwarzającymi w rozumieniu art. 4 RODO. Jeśli pracują na rzecz podmiotu medycznego, to nie są administratorami nawet jeśli pracują na podstawie cywilnoprawnej (tak zgodnie z projektem kodeksu branżowego dla podmiotów medycznych: www.rodowzdrowiu.pl punkt 4.6). Więc to na przychodni spoczywa obowiązek przygotowania odpowiedniej dokumentacji w zakresie RODO, bo to przychodnia jest administratorem, a nie na lekarzach. Do przychodni należy również obowiązek przekazania informacji wskazanych w art. 13 i 14 RODO. Lekarze nie muszą również w takiej sytuacji powoływać IOD. Z lekarzami nie ma również potrzeby podpisywania umowy powierzenia (tak zgodnie z projektem kodeksu branżowego dla podmiotów medycznych: www.rodowzdrowiu.pl punkt 4.6).

Jeśli Ci sami lekarze prowadzą indywidualną praktykę lekarską, to muszą w zakresie swoich indywidualnych pacjentów, tj. ich danych, prowadzić odpowiednią dokumentację w zakresie przetwarzania danych osobowych dostosowaną do ich działalności, tj. rodzaju oraz ilości przetwarzania danych osobowych. W przypadku prowadzenia indywidualnej praktyki lekarskiej nie ma obowiązku powoływania IOD (zgodnie z wytycznymi Grupy Roboczej art. 29).

Jeśli chodzi o sposób przetwarzania danych, to jak wspomniano wcześniej – przychodnia jako administrator powinna zadbać o zabezpieczenia i dokumentację. Jeśli chodzi o IOD, to w przypadku przychodni należy kierować się wytycznymi w zakresie powołania IOD przygotowanymi przez Grupę Roboczą art. 29. Nie ma w tym zakresie znaczenia w jaki sposób przetwarzanie są dane (wersja elektroniczna, papierowa, sieć LAN czy dostęp do sieci Internet).

 

Przeczytaj też:

Podstawa prawna

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) - art. 4, 29, 30, 32, 33, 34, 35.

 

Agnieszka Sztuwe
Radca prawny,
Ekspert portalu PoradyODO.pl

Użyte tagi: RODO, przychodnie

Zobacz także:

Komentuj:

Centra i gabinety | Artykuły i Poradniki | Dodaj Klinikę/Centrum/Gabinet | Reklama | Newsletter | Regulamin | Partnerzy | O nas / Kontakt

© 2012 - 2019 Aplit Wszelkie prawa zastrzeżone.