Czy Zespół Opieki Zdrowotnej, dysponujący bazą danych osobowych pacjentów ma obowiązek prowadzenia dokumentacji o której mowa w art. 36 ust. 2 ustawy?

TAK.
Artykuł 36 ust. 2 ustawy o ochronie danych osobowych zobowiązuje administratora danych do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Na podstawie art. 39a ustawy Minister Spraw Wewnętrznych i Administracji wydał zarządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Na dokumentację tę składa się:

•  polityka bezpieczeństwa
•  instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

Dokumentację tę prowadzi się w formie pisemnej.