Minimalna lista dokumentów koniecznych po wejściu w życie RODO

Maj 1, 2018 0

W załączeniu na powtarzaną wielokrotnie – podczas szkoleń, spotkań i audytów – prośbę poniżej przedstawiono minimalny wykaz dokumentów, które każda osoba wykonująca działalność leczniczą powinna posiadać po wejściu w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwanego dalej RODO). Już w tym miejscu należy podkreślić, że nie jest to pełna lista, gdyż każda placówka i każdy gabinet ma inną sytuację i musi ją samodzielnie ocenić w kontekście wchodzącego w dniu 25 maja 2018r. RODO.

  1. dokument dot. zasad ochrony danych osobowych w placówce

– obowiązek taki nie został wyrażony wprost ale wskazuje na niego art. 25 ust. 1 i 2 RODO

(1. Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania -wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą.

  1. Administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.

 

  1. ewidencja upoważnień

– obecnie obowiązek ustawowy art. 39 ustawy o ochronie danych osobowych (zakres ewidencji i treść samych upoważnień)

– w art. 5 ust. RODO nie ma wprost obowiązku, ale ADO ma obowiązek m.in. wykazać, że panuje się nad tym kogo i w jakim zakresie i na jaki czas upoważnia (zasada rozliczalności)

– art. 24 ust. RODO (Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane).

– art. 32 ust. 4 RODO (Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego)

 

  1. umowa o powierzenie przetwarzania danych

– obowiązek z art. 29 RODO (Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego).

 

 

  1. rejestr czynności przetwarzania

– obowiązek z art. 30 ust. 1 RODO

Każdy administrator oraz – gdy ma to zastosowanie – przedstawiciel administratora prowadzą rejestr czynności przetwarzania danych osobowych, za które odpowiadają. W rejestrze tym zamieszcza się wszystkie następujące informacje:

a) imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz inspektora ochrony danych;

b) cele przetwarzania;

c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;

e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi, dokumentacja odpowiednich zabezpieczeń;

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

 

  1. dokument oceny skutków / ryzyk dla ochrony danych

– obowiązek z art. 35 ust. 1 RODO (Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę)

– obowiązek z art. 35 ust. 3b RODO (Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10).

– od kiedy i w jakim zakresie będzie obowiązywać ustali Prezes UODO na mocy art. 35 ust. 4 (Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych na mocy ust. 1).

– zakres z art. 35 ust. 7 RODO (Ocena zawiera co najmniej:

a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;

b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz

d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy).

 

  1. procedura postępowania w przypadku stwierdzenia naruszenia ochrony danych
    + Rejestr incydentów naruszeń/ Rejestr zgłoszeń

– nie ma wprost obowiązku ale art. 33 RODO wskazuje jakie czynności należy podjąć i jak to wykazać (1. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia.

  1. Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych bez zbędnej zwłoki zgłasza je administratorowi.
  2. Zgłoszenie, o którym mowa w ust. 1, musi co najmniej:

a) opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie;

b) zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;

c) opisywać możliwe konsekwencje naruszenia ochrony danych osobowych;

d) opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

  1. Jeżeli – i w zakresie, w jakim – informacji nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki
  2. Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu).

 

  1. Rejestr udostępnień dokumentacji

– obowiązek z ustawy i prawach pacjenta i RPP – art. 27. ust. 4 (Podmiot udzielający świadczeń zdrowotnych prowadzi wykaz zawierający następujące informacje dotyczące udostępnianej dokumentacji medycznej:

1) imię (imiona) i nazwisko pacjenta, którego dotyczy dokumentacja medyczna;

2) sposób udostępnienia dokumentacji medycznej;

3) zakres udostępnionej dokumentacji medycznej;

4) imię (imiona) i nazwisko osoby innej niż pacjent, której została udostępniona dokumentacja medyczna, a w przypadkach, o których mowa w art. 26 ust. 3 i 4, także nazwę uprawnionego organu lub podmiotu;

5) imię (imiona) i nazwisko oraz podpis osoby, która udostępniła dokumentację medyczną;

6) datę udostępnienia dokumentacji medycznej).

 

  1. Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą

– obowiązek z art. 13 ust. 1 i 2 RODO

  1. Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są od tej osoby, administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

a) swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

b) gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;

c) cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

d) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;

e) informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

f) gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46, art. 47 lub art. 49 ust. 1 akapit drugi, wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych.

Poza informacjami, o których mowa w ust. 1, podczas pozyskiwania danych osobowych administrator podaje osobie, której dane dotyczą, następujące inne informacje niezbędne do zapewnienia rzetelności i przejrzystości przetwarzania:

a) okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

b) informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

c) jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

d) informacje o prawie wniesienia skargi do organu nadzorczego;

e) informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

f) informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4, oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Jeżeli administrator planuje dalej przetwarzać dane osobowe w celu innym niż cel, w którym dane osobowe zostały zebrane, przed takim dalszym przetwarzaniem informuje on osobę, której dane dotyczą, o tym innym celu oraz udziela jej wszelkich innych stosownych informacji, o których mowa w ust. 2.

Przedstawiony powyżej spis dokumentów nie powinien prowadzić do mylnego wniosku, że samo posiadanie czy stworzenie ww. dokumentów będzie wystarczające po wejściu w życie RODO. Konieczna jest zmiana filozofii ochrony danych u każdego przedsiębiorcy, w tym oczywiście także u lekarzy, lekarzy dentystów, czy innych zawodów w ochronie zdrowia. RODO  stanowi, że każdy administrator danych osobowych (ADO) samodzielnie ocenia ryzyko i wdraża u siebie odpowiednie zabezpieczenia i bezpieczny model postępowania.

     Konieczne jest moim zdaniem – jeszcze przed sporządzaniem ww. dokumentów przeprowadzenie audytu. Celem audytu jest poznanie przez konkretną osobę zasad funkcjonowania danej placówki i ryzyk. Dopiero po takim audycie – w tym wizycie na miejscu – można myśleć o zaproponowaniu konkretnych dedykowanych konkretnej osobie dodatkowych innych rozwiązań- ponad to, co umieściłem i spisałem w załączonym pliku. Nie istnieje jeden ogólny wzór rozwiązania, choć rozwiązania mogą być – i w wielu przypadkach zapewne będą – zbliżone do siebie przy podobnej skali działania danej placówki czy danego lekarza.

            Na koniec należy podkreślić, że zapewnienie zgodności działania z zasadami RODO jest i będzie działaniem ciągłym – samo sporządzenie dokumentacji jest dobrym początkiem, zaś ewentualne ustanowienie Inspektora Ochrony Danych Osobowych (IODO) finałem wdrożenia RODO. Nieodzowne wydaje się także przeszkolenie pracowników w każdym podmiocie podczas wdrożenia, a później – już po wejściu w życie RODO- konieczny będzie stałe monitorowanie zagrożeń.

Gdańsk, dnia 01 maja 2018r.

 

Karol Kolankiewicz – Lider Fundacji Instytut Specjaliści Prawa Ochrony Zdrowia, adwokat,  specjalista prawa ochrony zdrowia


ISPOZ 2017. Wszystkie prawa zastrzeżone.