Często Klienci zadają nam pytania (zwłaszcza małe i średnie podmioty prowadzące działalność w sektorze usług medycznych) dotyczące wymogu prowadzenia przez nie rejestru czynności przetwarzania danych osobowych. A jeszcze częściej “jak się do tego zabrać?”

Podmioty te powinny przygotować dokument zwany rejestrem czynności przetwarzania danych osobowych w placówce.

PRZYGOTOWANIE SIĘ DO SPORZĄDZENIA REJESTRU

W pierwszej kolejności należy zidentyfikować jakie kategorie danych osobowych są przetwarzane w placówce. Następnie należy określić podstawę prawną ich przetwarzania. Sugerujemy również kompleksową weryfikację sposobów ich zabezpieczenia. Kolejnym krokiem jest sprawdzenie komu te dane są przekazywane i czy będzie to miało miejsce w państwach spoza obszaru Unii Europejskiej lub do/z organizacji międzynarodowych.

Dopiero po zidentyfikowaniu danych osobowych przetwarzanych w placówce należy przygotować oraz wdrożyć dokumentację przetwarzania danych osobowych począwszy od dokumentu tzw. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym po  ewidencję osób upoważnionych, wzorów upoważnień i umów powierzenia przetwarzania danych osobowych.

PRZYGOTOWANIE REJESTRU

Obowiązek prowadzenia tzw. Rejestru czynności przetwarzania danych osobowych (dalej: „Rejestr”) spoczywa na ściśle określonych w RODO podmiotach, m.in. zatrudniających ponad 250 pracowników, ale także takich, które przetwarzają dane osobowe szczególnej kategorii, a takimi są przetwarzane w placówkach medycznych dane osobowe (wrażliwe) dotyczące stanu zdrowia pacjentów.

Rejestr służy do udowodnienia zachowania zgodności przetwarzania danych osobowych z wytycznymi RODO. Umożliwia również inwentaryzację zasobów przetwarzanych danych, a także ułatwia weryfikację realizacji obowiązków wynikających z przepisów o ochronie danych osobowych. Rejestr może być prowadzony w formie pisemnej lub elektronicznej, np. arkuszu programu Excel.

Obowiązujące przepisy wskazują tylko minimalny zakres informacji, jakie powinny zostać zawarte w Rejestrze. W przypadku administratorów danych, a takim jest Państwa placówka, w rejestrze muszą się znaleźć:

1) informacje pozwalające na identyfikację i nawiązanie kontaktu: imię i nazwisko/ nazwa oraz dane kontaktowe, a także wszelkich współadministratorów, a także, gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

2) cele przetwarzania;

3) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

4) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

5) gdy ma to zastosowanie, informacje dotyczące przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

6) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

7) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa (m.in. dotyczących pseudonimizacji i szyfrowania danych, zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych).

Jednak nic nie stoi na przeszkodzie, aby szerzej opisać czynności przetwarzania w Rejestrze. Jeśli pozwoli to kompleksowo sklasyfikować operacje przetwarzania danych i ułatwi pracę inspektorowi ochrony danych, np. w rubryce inne można wskazać czy placówka dostosowała się do obowiązujących kodeksów branżowych albo czy posiada certyfikat zgodności z RODO.

Zasygnalizować należy, że na żądanie Prezesa Urzędu Ochrony Danych Osobowych (dalej: „PUODO”) placówki (administratorzy danych osobowych) mają obowiązek przedstawić kontrolnie ten dokument do wglądu. Najistotniejsze jest, aby byli Państwo w stanie udowodnić przestrzeganie poszczególnych wymogów z RODO oraz  dołożenie należytej staranności w celu zapewnienia ochrony danych, które są przetwarzane w placówce. Zwracamy bowiem uwagę, że niedopełnienie obowiązku prowadzenia Rejestru może pociągać za sobą negatywne konsekwencje w postaci nałożenia przez PUODO administracyjnej kary pieniężnej.

Podstawa prawna:

Motyw 82 preambuły; art. 30; art. 36 ust. 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Autorzy:

Sławomir Molęda, Partner, Kancelaria KONDRAT i Partnerzy

Natalia Dyda, Radca prawny, Kancelaria KONDRAT i Partnerzy

Kancelaria KONDRAT i Partnerzy biuro@kondrat.pl

Źródło zdjęcia: www.pixabay.com