Wykład mgr inż. Anny Predko-Maliszewskiej zaprezentowany na konferencji "Prawne i bioetyczne aspekty końca życia" VI edycji Podlaskiej Szkoły Medycyny Paliatywnej zorganizowanej przez Fundację PHO. (http://www.hospicjum.podlasie.pl/blog/konferencja-vi-edycji-podlaskiej-szkoy-medycyny-paliatywnej/)
* Prosimy uszanować prawa autorskie i dobre obyczaje w nauce przy wykorzystaniu informacji zawartych w prezentacji.
2. Ochrona danych osobowych
Ustawa z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. Nr 2014, poz.
1182)
Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie
sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru
zbiorów danych (Dz. U. z 2015, poz. 719)
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o
ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U.
z 2015, poz. 745)
Kogo obowiązuje?
PRAKTYCZNIE 99,9% podmiotów w Polsce
Sfera budżetowa, biznes, własna działalność gospodarcza
3. Pojęcia
Dane osobowe - dane osoby, której
tożsamość można określić bezpośrednio
lub pośrednio (jednoznacznie).
Dane osobowe wrażliwe - dane ujawniające
pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub
filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również dane o
stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym oraz dane
dotyczące skazań i innych orzeczeń
4. Pojęcia
Administrator Danych Osobowych (ADO) - organ,
jednostka organizacyjna, podmiot lub osoba, decydujące o
celach i środkach przetwarzania danych osobowych (firma,
organizacja reprezentowana przez Prezesa, Dyrektora, itp.)
Administrator Bezpieczeństwa Informacji (ABI) – osoba
wyznaczona przez Administratora Danych, nadzorująca
przestrzeganie zasad ochrony danych osobowych (firma
zewnętrzna)
Administrator Systemu Informatycznego (ASI) –
informatyk, lub zespół informatyków wyznaczony przez ADO,
odpowiedzialny za prawidłowe funkcjonowanie systemów
informatycznych, sprzętu, oprogramowania i jego
konserwację
5. Obowiązki ADO
Administrator Danych powinien zadbać, aby dane były:
przetwarzane zgodnie z prawem
zbierane dla oznaczonych, zgodnych z prawem celów i nie
poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami
merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane
przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą
nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania
6. Czas przechowywania
dokumentacji medycznej
Czas przechowywania dokumentacji medycznej
20 lat
od końca roku
kalendarzoweg
o w którym
dokonano
ostatniego
wpisu
30 lat
jeżeli zgon
pacjenta nastąpił
na skutek
uszkodzenia
ciała lub zatrucia
10 lat
jeżeli dotyczy
to zdjęć
rentgenowskich
przechowywanych
poza dokumentacją
medyczną.
5 lat
jeżeli dotyczy
to skierowań na
badania lub
zleceń lekarza
22 lata
jeżeli dotyczy
dzieci do
ukończenia 2
roku życia
7. Obowiązki ADO
Zapewnienie legalności przetwarzania danych
osobowych
Obowiązek informacyjny
Rejestracja zbiorów danych
Prowadzenie ewidencji osób upoważnionych do
przetwarzania D.O.
Opracowanie polityki bezpieczeństwa
Opracowanie instrukcji ochrony danych
osobowych
Prowadzenie rejestru powierzeń D.O.
9. Obowiązek informacyjny
Wykonywany przy zbieraniu danych
Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych informuję, iż:
1) Administratorem danych osobowych jest ABC Sp. z o.o. z siedzibą w
Białymstoku (15-555), ul. Przyjazna 5,
2) Dane osobowe przetwarzane będą w celu (podać cel) i (będą/nie będą*)
udostępniane innym odbiorcom,
3) Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich
poprawiania,
4) Podanie danych osobowych jest (dobrowolne/obowiązkowe*) na podstawie
(podać przepis prawa).
* - niepotrzebne skreślić
10. Zgłaszanie zbiorów do GIODO
ADO nie musi rejestrować zbiorów
w GIODO, jeśli zbiory są przetwarzane m.in:
w ramach świadczenia usług medycznych,
adwokackich, prawnych, notarialnych,
doradztwa podatkowego
w związku z zatrudnianiem lub świadczeniem
usług na podstawie umów cywilnoprawnych,
zrzeszaniem się lub nauczaniem osób
11. Ewidencja upoważnień do
przetwarzania D.O.
Lista zawierająca wykaz osób uprawnionych do
przetwarzania D.O.
W niektórych szpitalach, dla odmiany, „na
wszelki wypadek” zadbano o upoważnienia dla
osób sprzątających, które de facto nie
przetwarzają danych osobowych! - dr Wojciech
Rafał Wiewiórowski, Generalny Inspektor
Ochrony Danych Osobowych.
12. Polityka bezpieczeństwa
Dokument opisujący procedury bezpieczeństwa środki
techniczne i o organizacyjne stosowane w danym podmiocie.
Wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych
Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi
Sposób przepływu danych pomiędzy poszczególnymi
systemami
13. Wymagania dotyczące
oprogramowania
Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. Nr
100, poz. 1024)
14. 1) data pierwszego wprowadzenia danych do systemu;
2) identyfikator użytkownika wprowadzającego dane osobowe
do systemu, chyba że dostęp do systemu informatycznego i
przetwarzanych w nim danych posiada wyłącznie jedna
osoba;
3) źródła danych, w przypadku zbierania danych, nie od
osoby, której one dotyczą
4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy,
którym dane osobowe zostały udostępnione, dacie i zakresie
tego udostępnienia, chyba że system informatyczny używany
jest do przetwarzania danych zawartych w zbiorach jawnych;
5) sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy
15. Powierzenie danych
Procedura dostępu podmiotów zewnętrznych
Umowa / Klauzula poufności – sporządzana dla podmiotów
zewnętrznych posiadających dostęp do danych osobowych
na terenie firmy / organizacji.
Przykłady zastosowania: zewnętrzna obsługa BHP, firma
serwisująca sprzęt komputerowy
Umowa powierzenia przetwarzania danych – podpisywana z
podmiotami, które przetwarzają dane osobowe „na zewnątrz”
w formie outsourcingu.
Przykładami takich podmiotów są firmy świadczące usługi:
hostingu sklepu internetowego, zewnętrznej obsługi
księgowej, organizacji programów lojalnościowych, call center
16. Instrukcja zarządzania ODO
1. Wstęp
2. Definicje
3. Polityka kluczy
4. Zabezpieczenia infrastruktury informatycznej i
telekomunikacyjnej
5. Zabezpieczenia baz danych i oprogramowania
przetwarzających dane osobowe
6. Procedura dostępu podmiotów zewnętrznych
7. Procedura korzystania z Internetu
8. Procedura korzystania z poczty elektronicznej
17. Instrukcja zarządzania ODO
9. Procedura nadawania uprawnień do przetwarzania danych
osobowych
10. Metody i środki uwierzytelnienia
11. Procedura rozpoczęcia, zawieszenia i zakończenia pracy
12. Procedura tworzenia kopii zapasowych
13. Sposób, miejsce i okres przechowywania elektronicznych
nośników informacji i wydruków
14. Procedura zabezpieczenia systemu informatycznego, w tym
przed wirusami komputerowymi
15. Zasady i sposób odnotowywania w systemie informacji o
udostępnieniu danych osobowych
16. Procedura wykonywania przeglądów i konserwacji
18. Administrator bezpieczeństwa
informacji ABI
Administrator danych osobowych (ADO) może
wyznaczyć administratora bezpieczeństwa
informacji (ABI) lub samodzielnie wykonywać te
czynności
Administrator bezpieczeństwa informacji
powinien być zgłoszony w GIODO
19. ABI – obowiązki
zapewnienie zgodności z wymogami U.O.D.O.
opracowanie i wdrożenie polityki bezpieczeństwa i
instrukcji
wydawanie i anulowanie upoważnień do zbiorów D.O.
prowadzenie ewidencji osób upoważnionych do
przetwarzania danych osobowych
prowadzenie postępowań po wystąpieniu incydentów
bezpieczeństwa
kontrola wewnętrzna stanu ODO
definiowanie działań poprawiających stan ODO
20. ABI – uprawnienia
wyznaczanie i egzekwowanie zadań związanych z
ochroną danych osobowych w całej organizacji
wstęp do obiektów i pomieszczeń w których
przetwarzane są dane osobowe
dostęp do dokumentów i wszelkich danych mających
bezpośredni związek z danymi osobowymi
kontrola urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych
przyjmowanie pisemnych lub ustnych wyjaśnień w
zakresie niezbędnym do ustalenia stanu faktycznego
21. ABI – wymagania
Art. 36a ust. 5 znowelizowanej u.o.d.o.
określono, iż funkcję ABI może pełnić osoba,
która:
ma pełną zdolność do czynności prawnych
oraz korzysta z pełni praw publicznych,
posiada odpowiednią wiedzę w zakresie
ochrony danych osobowych,
nie była karana za umyślne przestępstwo
22. ABI – inspektorem GIODO?
Generalny Inspektor może zwrócić się do
administratora bezpieczeństwa informacji
wpisanego do rejestru o dokonanie
sprawdzenia zgodności przetwarzania DO z
przepisami, u administratora danych, który go
powołał, wskazując zakres i termin
sprawdzenia.
23. Porównanie
Wymagane jest
zgłoszenie ABI do
rejestru GIODO
ABI raz w roku
przeprowadza
kontrolę planową
-
ADO przeprowadza
kontrolę planową
ABI został powołany ABI nie został powołany
24. Porównanie
ABI przeprowadza
kontrole na zlecenie
GIODO
ABI opracowuje
sprawozdanie
dotyczące stanu
ochrony danych
-
-
ABI został powołany ABI nie został powołany
25. Porównanie
Weryfikacja polityki i
instrukcji oraz ich
wdrożenia leży w
obowiązkach ABI
ABI zapewnianie
zapoznanie osób
upoważnionych do
przetwarzania danych
osobowych z
przepisami o ochronie
danych osobowych.
Weryfikacja polityki i
instrukcji oraz ich
wdrożenia leży w
obowiązkach ADO
ADO odpowiada za
zapoznanie personelu z
obowiązującymi
przepisami
ABI został powołany ABI nie został powołany
26. Utrata danych - kradzież latopa
Lekarzowi z Centrum Zdrowia Dziecka
skradziono w Szczyrku laptop. Skradzione
dane są ważne dla życia kilkudziesięciu
ciężko chorych dzieci na epilepsję!
Dlatego błagam! Złodzieju, nim
sformatujesz dysk laptopa, oddaj mi dane.
Ze stratą sprzętu już się pogodziłem, ale
zawarte tam informacje są naprawdę
bezcenne - apeluje dr Zwoliński.
27. Incydent w Białymstoku
Archiwalne karty pacjentów właściwie wcale nie
były zabezpieczone. Podczas przeprowadzki, w
kartonach zostały ustawione przy wnęce w
ścianie przy wejściu do przychodni i zasłonięte
parawanem. Ktoś szybko się nimi zainteresował
i do pacjentów placówki zaczęły wydzwaniać
telefony.
28. Udostępnienie danych
medycznych
Pacjentka leczyła się w poradni zdrowia
psychicznego. Mąż, bez zgody żony, wszedł w
posiadanie dokumentacji medycznej, którą
następnie wykorzystał w procesie
rozwodowym.
29. Udostępnienie danych
medycznych
Do jednej ze szkół uczęszczało dziecko chore
na epilepsję. Dyrekcja szkoły, na prośbę
rodziców, umieściła w pokoju nauczycielskim
zdjęcie dziecka wraz informacją o chorobie.
Po jakimś czasie rodzice oskarżyli szkołę o
udostępnienie danych medycznych