Rejestr czynności przetwarzania danych dla placówek medycznych

Rejestr czynności przetwarzania danych jest dokumentem, w którym zapisywane są informacje dotyczące wszystkich czynności przetwarzania danych osobowych przeprowadzanych przez danego podmiot, w tym przypadku placówkę medyczną. Jest to dokument, który jest wymagany przez rozporządzenie o ochronie danych osobowych (RODO).

Rejestr czynności przetwarzania danych dla placówek medycznych powinien zawierać wszystkie wymagane prawem informacje dotyczące:

• nazwy czynności przetwarzania,
• osoby / jednostki organizacyjnej odpowiedzialnej za czynność przetwarzania danych,
• celów przetwarzania danych osobowych, w tym podstawa prawna przetwarzania,
• opisów kategorii osób, których dane dotyczą, w tym pacjentów, pracowników, kontrahentów itp.,
• opisów kategorii danych osobowych, które są przetwarzane, w tym dane medyczne, dane kontaktowe, dane dotyczące zdrowia, historii choroby itp.,
• opisów kategorii osób, którym dane są udostępniane, w tym lekarzom, pielęgniarkom, laborantom, dostawcom usług medycznych itp.,
• opisów źródeł danych, z których pochodzą dane osobowe, tym pacjentów, pracowników, kontrahentów itp.,
• opisów okresów przechowywania danych, w tym okresów przechowywania danych medycznych zgodnie z przepisami prawnymi,
• opisów procedur bezpieczeństwa, jakie zostały wprowadzone, w tym zabezpieczeń technicznych i organizacyjnych,
  
• wykazów podmiotów przetwarzających,
• wykazów odbiorców danych osobowych, którym zostały lub zostaną ujawnione,
• wykazów odbiorcy w państwach trzecich,
• opisów systemu informatycznego służącego do przetwarzania danych,
• opisów odpowiedzialności za przestrzeganie przepisów o ochronie danych osobowych, w tym odpowiedzialności za naruszenie przepisów,
• opisów procedur nadzoru i kontroli nad przetwarzaniem danych oraz ewentualnej kontroli zewnętrznej, w tym wewnętrznych audytów, kontroli zewnętrznych, instytucji odpowiedzialnej za ochronę danych itp.

Rejestr czynności przetwarzania danych powinien być aktualizowany i uzupełniany w momencie wprowadzania zmian w sposobie przetwarzania danych, a także powinien być dostępny dla odpowiednich organów nadzoru, kiedy tego wymagają.