Dobrý deň,
vo Vašich podmienkach je vhodné postupovať podľa ust. § 5 ods. 5 novelizovanej vykonávacej vyhlášky
"
Ak prevádzkovateľ spracúva osobné údaje vo viacerých informačných systémoch, z ktorých aspoň jeden vyžaduje vypracovanie bezpečnostného projektu, môže vypracovať jeden bezpečnostný projekt pre všetky informačné systémy, v ktorom zreteľne označí časti týkajúce sa jednotlivých informačných systémov"
o to viac, že vo viacerých informačných systémoch spracúvate osobné údaje osobitnej kategórie - nielen bežný PaM, ale hlavne IS pre zdravotnú dokumentáciu podľa zákona o zdravotnej starostlivosti.
Ako nemocnica potrebujete smernicu alebo internú normu na ochranu osobných údajov tak či tak, aj keď Vám zákon neprikazuje, aby bola súčasťou projektu. Čo sa týka "záverov", odporúčam využiť ustanovenie § 2 ods. 2 vykonávacej vyhlášky
"Dokumentácia podľa § 3, 4 a 5 môže obsahovať presné odkazy na iné dokumenty prevádzkovateľa alebo na ich časti, kde sú prijaté bezpečnostné opatrenia už zdokumentované; v uvedenom prípade sa iné dokumenty prevádzkovateľa alebo ich časti považujú za dokumentáciu podľa § 3, 4 a 5."
a "závery" formulovať ako skutočné závery (=rekapituláciu dôežitých faktov a ich dôsledkov) s odkazmi na dokumenty s podrobnými informáciami.
PS - Valika, ospravedlňujem sa za "vykradnutie" príspevku