Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Ochrona danych osobowych w hospicjum

681 views

Published on

Wykład mgr inż. Anny Predko-Maliszewskiej zaprezentowany na konferencji "Prawne i bioetyczne aspekty końca życia" VI edycji Podlaskiej Szkoły Medycyny Paliatywnej zorganizowanej przez Fundację PHO. (http://www.hospicjum.podlasie.pl/blog/konferencja-vi-edycji-podlaskiej-szkoy-medycyny-paliatywnej/)

* Prosimy uszanować prawa autorskie i dobre obyczaje w nauce przy wykorzystaniu informacji zawartych w prezentacji.

Published in: Health & Medicine
  • Be the first to comment

  • Be the first to like this

Ochrona danych osobowych w hospicjum

  1. 1. OCHRONA DANYCH OSOBOWYCH W HOSPICJUM mgr inż. Anna Predko-Maliszewska
  2. 2. Ochrona danych osobowych  Ustawa z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. Nr 2014, poz. 1182)  Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)  Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz. U. z 2015, poz. 719)  Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015, poz. 745) Kogo obowiązuje? PRAKTYCZNIE 99,9% podmiotów w Polsce Sfera budżetowa, biznes, własna działalność gospodarcza
  3. 3. Pojęcia  Dane osobowe - dane osoby, której tożsamość można określić bezpośrednio lub pośrednio (jednoznacznie).  Dane osobowe wrażliwe - dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań i innych orzeczeń
  4. 4. Pojęcia  Administrator Danych Osobowych (ADO) - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych (firma, organizacja reprezentowana przez Prezesa, Dyrektora, itp.)  Administrator Bezpieczeństwa Informacji (ABI) – osoba wyznaczona przez Administratora Danych, nadzorująca przestrzeganie zasad ochrony danych osobowych (firma zewnętrzna)  Administrator Systemu Informatycznego (ASI) – informatyk, lub zespół informatyków wyznaczony przez ADO, odpowiedzialny za prawidłowe funkcjonowanie systemów informatycznych, sprzętu, oprogramowania i jego konserwację
  5. 5. Obowiązki ADO Administrator Danych powinien zadbać, aby dane były:  przetwarzane zgodnie z prawem  zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami  merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane  przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą  nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania
  6. 6. Czas przechowywania dokumentacji medycznej Czas przechowywania dokumentacji medycznej 20 lat od końca roku kalendarzoweg o w którym dokonano ostatniego wpisu 30 lat jeżeli zgon pacjenta nastąpił na skutek uszkodzenia ciała lub zatrucia 10 lat jeżeli dotyczy to zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną. 5 lat jeżeli dotyczy to skierowań na badania lub zleceń lekarza 22 lata jeżeli dotyczy dzieci do ukończenia 2 roku życia
  7. 7. Obowiązki ADO  Zapewnienie legalności przetwarzania danych osobowych  Obowiązek informacyjny  Rejestracja zbiorów danych  Prowadzenie ewidencji osób upoważnionych do przetwarzania D.O.  Opracowanie polityki bezpieczeństwa  Opracowanie instrukcji ochrony danych osobowych  Prowadzenie rejestru powierzeń D.O.
  8. 8. Zapewnienie legalności przetwarzania  Zgoda na przetwarzanie danych osobowych w celach świadczenia usług medycznych??? NIE
  9. 9. Obowiązek informacyjny  Wykonywany przy zbieraniu danych Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych informuję, iż: 1) Administratorem danych osobowych jest ABC Sp. z o.o. z siedzibą w Białymstoku (15-555), ul. Przyjazna 5, 2) Dane osobowe przetwarzane będą w celu (podać cel) i (będą/nie będą*) udostępniane innym odbiorcom, 3) Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania, 4) Podanie danych osobowych jest (dobrowolne/obowiązkowe*) na podstawie (podać przepis prawa). * - niepotrzebne skreślić
  10. 10. Zgłaszanie zbiorów do GIODO ADO nie musi rejestrować zbiorów w GIODO, jeśli zbiory są przetwarzane m.in:  w ramach świadczenia usług medycznych, adwokackich, prawnych, notarialnych, doradztwa podatkowego  w związku z zatrudnianiem lub świadczeniem usług na podstawie umów cywilnoprawnych, zrzeszaniem się lub nauczaniem osób
  11. 11. Ewidencja upoważnień do przetwarzania D.O. Lista zawierająca wykaz osób uprawnionych do przetwarzania D.O. W niektórych szpitalach, dla odmiany, „na wszelki wypadek” zadbano o upoważnienia dla osób sprzątających, które de facto nie przetwarzają danych osobowych! - dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych.
  12. 12. Polityka bezpieczeństwa Dokument opisujący procedury bezpieczeństwa środki techniczne i o organizacyjne stosowane w danym podmiocie.  Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi  Sposób przepływu danych pomiędzy poszczególnymi systemami
  13. 13. Wymagania dotyczące oprogramowania  Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024)
  14. 14.  1) data pierwszego wprowadzenia danych do systemu;  2) identyfikator użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;  3) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą  4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;  5) sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy
  15. 15. Powierzenie danych Procedura dostępu podmiotów zewnętrznych Umowa / Klauzula poufności – sporządzana dla podmiotów zewnętrznych posiadających dostęp do danych osobowych na terenie firmy / organizacji. Przykłady zastosowania: zewnętrzna obsługa BHP, firma serwisująca sprzęt komputerowy Umowa powierzenia przetwarzania danych – podpisywana z podmiotami, które przetwarzają dane osobowe „na zewnątrz” w formie outsourcingu. Przykładami takich podmiotów są firmy świadczące usługi: hostingu sklepu internetowego, zewnętrznej obsługi księgowej, organizacji programów lojalnościowych, call center
  16. 16. Instrukcja zarządzania ODO 1. Wstęp 2. Definicje 3. Polityka kluczy 4. Zabezpieczenia infrastruktury informatycznej i telekomunikacyjnej 5. Zabezpieczenia baz danych i oprogramowania przetwarzających dane osobowe 6. Procedura dostępu podmiotów zewnętrznych 7. Procedura korzystania z Internetu 8. Procedura korzystania z poczty elektronicznej
  17. 17. Instrukcja zarządzania ODO 9. Procedura nadawania uprawnień do przetwarzania danych osobowych 10. Metody i środki uwierzytelnienia 11. Procedura rozpoczęcia, zawieszenia i zakończenia pracy 12. Procedura tworzenia kopii zapasowych 13. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i wydruków 14. Procedura zabezpieczenia systemu informatycznego, w tym przed wirusami komputerowymi 15. Zasady i sposób odnotowywania w systemie informacji o udostępnieniu danych osobowych 16. Procedura wykonywania przeglądów i konserwacji
  18. 18. Administrator bezpieczeństwa informacji ABI  Administrator danych osobowych (ADO) może wyznaczyć administratora bezpieczeństwa informacji (ABI) lub samodzielnie wykonywać te czynności  Administrator bezpieczeństwa informacji powinien być zgłoszony w GIODO
  19. 19. ABI – obowiązki  zapewnienie zgodności z wymogami U.O.D.O.  opracowanie i wdrożenie polityki bezpieczeństwa i instrukcji  wydawanie i anulowanie upoważnień do zbiorów D.O.  prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych  prowadzenie postępowań po wystąpieniu incydentów bezpieczeństwa  kontrola wewnętrzna stanu ODO  definiowanie działań poprawiających stan ODO
  20. 20. ABI – uprawnienia  wyznaczanie i egzekwowanie zadań związanych z ochroną danych osobowych w całej organizacji  wstęp do obiektów i pomieszczeń w których przetwarzane są dane osobowe  dostęp do dokumentów i wszelkich danych mających bezpośredni związek z danymi osobowymi  kontrola urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych  przyjmowanie pisemnych lub ustnych wyjaśnień w zakresie niezbędnym do ustalenia stanu faktycznego
  21. 21. ABI – wymagania Art. 36a ust. 5 znowelizowanej u.o.d.o. określono, iż funkcję ABI może pełnić osoba, która:  ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych,  posiada odpowiednią wiedzę w zakresie ochrony danych osobowych,  nie była karana za umyślne przestępstwo
  22. 22. ABI – inspektorem GIODO?  Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji wpisanego do rejestru o dokonanie sprawdzenia zgodności przetwarzania DO z przepisami, u administratora danych, który go powołał, wskazując zakres i termin sprawdzenia.
  23. 23. Porównanie  Wymagane jest zgłoszenie ABI do rejestru GIODO  ABI raz w roku przeprowadza kontrolę planową  -  ADO przeprowadza kontrolę planową ABI został powołany ABI nie został powołany
  24. 24. Porównanie  ABI przeprowadza kontrole na zlecenie GIODO  ABI opracowuje sprawozdanie dotyczące stanu ochrony danych  -  - ABI został powołany ABI nie został powołany
  25. 25. Porównanie  Weryfikacja polityki i instrukcji oraz ich wdrożenia leży w obowiązkach ABI  ABI zapewnianie zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.  Weryfikacja polityki i instrukcji oraz ich wdrożenia leży w obowiązkach ADO  ADO odpowiada za zapoznanie personelu z obowiązującymi przepisami ABI został powołany ABI nie został powołany
  26. 26. Utrata danych - kradzież latopa Lekarzowi z Centrum Zdrowia Dziecka skradziono w Szczyrku laptop. Skradzione dane są ważne dla życia kilkudziesięciu ciężko chorych dzieci na epilepsję! Dlatego błagam! Złodzieju, nim sformatujesz dysk laptopa, oddaj mi dane. Ze stratą sprzętu już się pogodziłem, ale zawarte tam informacje są naprawdę bezcenne - apeluje dr Zwoliński.
  27. 27. Incydent w Białymstoku Archiwalne karty pacjentów właściwie wcale nie były zabezpieczone. Podczas przeprowadzki, w kartonach zostały ustawione przy wnęce w ścianie przy wejściu do przychodni i zasłonięte parawanem. Ktoś szybko się nimi zainteresował i do pacjentów placówki zaczęły wydzwaniać telefony.
  28. 28. Udostępnienie danych medycznych  Pacjentka leczyła się w poradni zdrowia psychicznego. Mąż, bez zgody żony, wszedł w posiadanie dokumentacji medycznej, którą następnie wykorzystał w procesie rozwodowym.
  29. 29. Udostępnienie danych medycznych  Do jednej ze szkół uczęszczało dziecko chore na epilepsję. Dyrekcja szkoły, na prośbę rodziców, umieściła w pokoju nauczycielskim zdjęcie dziecka wraz informacją o chorobie. Po jakimś czasie rodzice oskarżyli szkołę o udostępnienie danych medycznych
  30. 30. DZIĘKUJĘ ZA UWAGĘ

×