Dokumentacja ochrony danych osobowych zgodna z RODO

Elastyczność. Tym jednym słowem można określić możliwości, jakie daje nam RODO w stosunku
do dokumentacji ochrony danych osobowych w placówkach medycznych. Od 25 maja 2018 r.
nie będzie już bowiem obowiązku opracowania i wdrożenia dotychczas wymaganej dokumentacji,
tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym.

Formalizm UODO

Dotychczasowe przepisy ustawy o ochronie danych osobowych oraz rozporządzeń wykonawczych
do tych przepisów, bardzo szczegółowo określały niezbędny zakres wspomnianej dokumentacji. Wskazywały m.in. na konieczność posiadania ewidencji upoważnień do przetwarzania danych osobowych, wykazu budynków lub części pomieszczeń tworzących obszar, w którym są przetwarzane dane osobowe, jak również wykazu zbiorów danych osobowych. Tak restrykcyjne obowiązki były dla wielu małych placówek medycznych dużym wyzwaniem. Nie miało bowiem znaczenia, czy administratorem danych jest duży szpital przetwarzający dane tysięcy pacjentów, czy też mała gminna przychodnia – obydwie placówki musiały wdrożyć powyższą dokumentację w tym samym zakresie.

Elastyczność RODO

Przepisy RODO nie wskazują w zasadzie na żadne wymagania dotyczące wewnętrznej dokumentacji ochrony danych, którą zobowiązany jest wdrożyć i stosować administrator danych (poza rejestrem czynności przetwarzania, o czym powiemy dalej). Wobec faktu, że RODO zastąpi w maju br. polską ustawę o ochronie danych osobowych i jej przepisy wykonawcze, administratorzy danych w Polsce zadają sobie pytania – czy trzeba stosować jakąkolwiek dokumentację i co należy zrobić z obecnie wdrożoną? Najprostszą odpowiedzią byłoby, że nie trzeba jej stosować. Taka odpowiedź stanowiłaby jednak znaczne uproszczenie. RODO nie przewiduje co prawda obowiązkowej polityki ochrony danych, nie mniej jednak wymaga od każdego administratora, by należycie dbał o wszystkie procesy przetwarzania danych i wykazywał zgodność operacji przetwarzania danych z RODO (rozliczalność).

Bycie „rozliczalnym” w rozumieniu RODO oznacza więc potrzebę dokumentowania czynności przetwarzania danych. Jak bowiem można inaczej wykazać, że to, co placówka medyczna robi z danymi osobowymi, jest zgodne z RODO? Najprostszym sposobem jest właśnie stosowanie wewnętrznych procedur i zasad dotyczących m.in. stosowanych zabezpieczeń, sposobów realizacji uprawnień osób, których dane dotyczą, czy też zasad dostępu do dokumentacji zawierającej dane osobowe. Zalecanym rozwiązaniem będzie zatem stosowanie wybranej przez administratora i dostosowanej do jego potrzeb dokumentacji, określającej wewnętrzne procedury i zasady przetwarzania danych, dostosowanej RODO. Może to być również dotychczas stosowana dokumentacja, zaktualizowana pod kątem RODO.

Taka dokumentacja powinna obejmować m.in. procedurę działania w sytuacji naruszenia ochrony danych, szacowanie ryzyka dla ochrony danych (jak również ocenę skutków dla ochrony danych, jeśli będzie to konieczne), umowy powierzenia przetwarzania danych osobowych czy zasady realizacji obowiązków (np. obowiązku informacyjnego).

Rejestr czynności przetwarzania danych osobowych

Zasadą określoną w RODO jest wszakże prowadzenie rejestru czynności, który ma być formą inwentaryzowania danych osobowych przetwarzanych przez administratora danych. Rejestrowanie czynności przetwarzania oznacza klasyfikowanie przetwarzanych danych ze względu m.in. na: zakres przetwarzanych danych, cele przetwarzania, kategorie osób, których dane dotyczą oraz jeżeli jest to możliwe – środki bezpieczeństwa. Jak widać, rejestr będzie zatem bardzo podobny do dotychczas prowadzonych rejestrów zbiorów danych osobowych.

W założeniu, taki rejestr ma stanowić podstawowy element rozliczalności, pokazując jakie dane przetwarza administrator danych. Wydaje się, że może on być także bardzo ważnym elementem porządkującym proces przetwarzania danych w placówkach medycznych.

Dokumentacja medyczna po staremu

Stosowanie RODO w żaden sposób nie wpływa na zakres gromadzonej dokumentacji medycznej na podstawie obowiązujących przepisów regulujących świadczenie usług medycznych (jak np. ustawę o Rzeczniku Praw Pacjenta i prawach pacjenta). Przepisy te będą nadal obowiązywać, placówki medyczne będą zatem nadal zobowiązane stosować zasady przyjęte w polskich przepisach, które określają sposób postępowania z dokumentacją pacjentów.

 

Chcesz dowiedzieć się więcej o RODO? Porozmawiaj z naszymi ekspertami: +48 570 926 788