Rejestr czynności przetwarzania danych osobowych – czy trzeba go prowadzić?

Często Klienci zadają nam pytania (zwłaszcza małe i średnie podmioty prowadzące działalność w sektorze usług medycznych) dotyczące wymogu prowadzenia przez nie rejestru czynności przetwarzania danych osobowych. A jeszcze częściej “jak się do tego zabrać?”

Podmioty te powinny przygotować dokument zwany rejestrem czynności przetwarzania danych osobowych w placówce.

PRZYGOTOWANIE SIĘ DO SPORZĄDZENIA REJESTRU

W pierwszej kolejności należy zidentyfikować jakie kategorie danych osobowych są przetwarzane w placówce. Następnie należy określić podstawę prawną ich przetwarzania. Sugerujemy również kompleksową weryfikację sposobów ich zabezpieczenia. Kolejnym krokiem jest sprawdzenie komu te dane są przekazywane i czy będzie to miało miejsce w państwach spoza obszaru Unii Europejskiej lub do/z organizacji międzynarodowych.

Dopiero po zidentyfikowaniu danych osobowych przetwarzanych w placówce należy przygotować oraz wdrożyć dokumentację przetwarzania danych osobowych począwszy od dokumentu tzw. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym po ewidencję osób upoważnionych, wzorów upoważnień i umów powierzenia przetwarzania danych osobowych.

Całość artykułu dostępna na blogu prawo-medyczne.info.


Autorzy: Sławomir Molęda – partner, Natalia Dyda – radca prawny

Kancelaria KONDRAT i Partnerzy – biuro@kondrat.pl


Źródło zdjęcia: www.pixabay.com