Wykład mgr inż. Anny Predko-Maliszewskiej zaprezentowany na konferencji "Prawne i bioetyczne aspekty końca życia" VI edycji Podlaskiej Szkoły Medycyny Paliatywnej zorganizowanej przez Fundację PHO. (http://www.hospicjum.podlasie.pl/blog/konferencja-vi-edycji-podlaskiej-szkoy-medycyny-paliatywnej/) * Prosimy uszanować prawa autorskie i dobre obyczaje w nauce przy wykorzystaniu informacji zawartych w prezentacji.

1. OCHRONA DANYCH OSOBOWYCH
W HOSPICJUM
mgr inż. Anna Predko-Maliszewska

2. Ochrona danych osobowych
 Ustawa z dnia 29 sierpnia 1997 r. ochronie danych osobowych (Dz. U. Nr 2014, poz.
1182)
 Rozporządzenie MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024)
 Rozporządzenie Ministra Administracji i Cyfryzacji z 11 maja 2015 r. w sprawie
sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru
zbiorów danych (Dz. U. z 2015, poz. 719)
 Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie
trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o
ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U.
z 2015, poz. 745)
Kogo obowiązuje?
PRAKTYCZNIE 99,9% podmiotów w Polsce
Sfera budżetowa, biznes, własna działalność gospodarcza

3. Pojęcia
 Dane osobowe - dane osoby, której
tożsamość można określić bezpośrednio
lub pośrednio (jednoznacznie).
 Dane osobowe wrażliwe - dane ujawniające
pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub
filozoficzne, przynależność wyznaniową,
partyjną lub związkową, jak również dane o
stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym oraz dane
dotyczące skazań i innych orzeczeń

4. Pojęcia
 Administrator Danych Osobowych (ADO) - organ,
jednostka organizacyjna, podmiot lub osoba, decydujące o
celach i środkach przetwarzania danych osobowych (firma,
organizacja reprezentowana przez Prezesa, Dyrektora, itp.)
 Administrator Bezpieczeństwa Informacji (ABI) – osoba
wyznaczona przez Administratora Danych, nadzorująca
przestrzeganie zasad ochrony danych osobowych (firma
zewnętrzna)
 Administrator Systemu Informatycznego (ASI) –
informatyk, lub zespół informatyków wyznaczony przez ADO,
odpowiedzialny za prawidłowe funkcjonowanie systemów
informatycznych, sprzętu, oprogramowania i jego
konserwację

5. Obowiązki ADO
Administrator Danych powinien zadbać, aby dane były:
 przetwarzane zgodnie z prawem
 zbierane dla oznaczonych, zgodnych z prawem celów i nie
poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami
 merytorycznie poprawne i adekwatne w stosunku do celów, w jakich
są przetwarzane
 przechowywane w postaci umożliwiającej identyfikację osób,
których dotyczą
 nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania

6. Czas przechowywania
dokumentacji medycznej
Czas przechowywania dokumentacji medycznej
20 lat
od końca roku
kalendarzoweg
o w którym
dokonano
ostatniego
wpisu
30 lat
jeżeli zgon
pacjenta nastąpił
na skutek
uszkodzenia
ciała lub zatrucia
10 lat
jeżeli dotyczy
to zdjęć
rentgenowskich
przechowywanych
poza dokumentacją
medyczną.
5 lat
jeżeli dotyczy
to skierowań na
badania lub
zleceń lekarza
22 lata
jeżeli dotyczy
dzieci do
ukończenia 2
roku życia

7. Obowiązki ADO
 Zapewnienie legalności przetwarzania danych
osobowych
 Obowiązek informacyjny
 Rejestracja zbiorów danych
 Prowadzenie ewidencji osób upoważnionych do
przetwarzania D.O.
 Opracowanie polityki bezpieczeństwa
 Opracowanie instrukcji ochrony danych
osobowych
 Prowadzenie rejestru powierzeń D.O.

8. Zapewnienie legalności
przetwarzania
 Zgoda na przetwarzanie danych osobowych w
celach świadczenia usług medycznych???
NIE

9. Obowiązek informacyjny
 Wykonywany przy zbieraniu danych
Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych
osobowych informuję, iż:
1) Administratorem danych osobowych jest ABC Sp. z o.o. z siedzibą w
Białymstoku (15-555), ul. Przyjazna 5,
2) Dane osobowe przetwarzane będą w celu (podać cel) i (będą/nie będą*)
udostępniane innym odbiorcom,
3) Posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich
poprawiania,
4) Podanie danych osobowych jest (dobrowolne/obowiązkowe*) na podstawie
(podać przepis prawa).
* - niepotrzebne skreślić

10. Zgłaszanie zbiorów do GIODO
ADO nie musi rejestrować zbiorów
w GIODO, jeśli zbiory są przetwarzane m.in:
 w ramach świadczenia usług medycznych,
adwokackich, prawnych, notarialnych,
doradztwa podatkowego
 w związku z zatrudnianiem lub świadczeniem
usług na podstawie umów cywilnoprawnych,
zrzeszaniem się lub nauczaniem osób

11. Ewidencja upoważnień do
przetwarzania D.O.
Lista zawierająca wykaz osób uprawnionych do
przetwarzania D.O.
W niektórych szpitalach, dla odmiany, „na
wszelki wypadek” zadbano o upoważnienia dla
osób sprzątających, które de facto nie
przetwarzają danych osobowych! - dr Wojciech
Rafał Wiewiórowski, Generalny Inspektor
Ochrony Danych Osobowych.

12. Polityka bezpieczeństwa
Dokument opisujący procedury bezpieczeństwa środki
techniczne i o organizacyjne stosowane w danym podmiocie.
 Wykaz zbiorów danych osobowych wraz ze wskazaniem
programów zastosowanych do przetwarzania tych danych
 Opis struktury zbiorów danych wskazujący zawartość
poszczególnych pól informacyjnych i powiązania między nimi
 Sposób przepływu danych pomiędzy poszczególnymi
systemami

13. Wymagania dotyczące
oprogramowania
 Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. Nr
100, poz. 1024)

14.  1) data pierwszego wprowadzenia danych do systemu;
 2) identyfikator użytkownika wprowadzającego dane osobowe
do systemu, chyba że dostęp do systemu informatycznego i
przetwarzanych w nim danych posiada wyłącznie jedna
osoba;
 3) źródła danych, w przypadku zbierania danych, nie od
osoby, której one dotyczą
 4) informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy,
którym dane osobowe zostały udostępnione, dacie i zakresie
tego udostępnienia, chyba że system informatyczny używany
jest do przetwarzania danych zawartych w zbiorach jawnych;
 5) sprzeciw, o którym mowa w art. 32 ust. 1 pkt 8 ustawy

15. Powierzenie danych
Procedura dostępu podmiotów zewnętrznych
Umowa / Klauzula poufności – sporządzana dla podmiotów
zewnętrznych posiadających dostęp do danych osobowych
na terenie firmy / organizacji.
Przykłady zastosowania: zewnętrzna obsługa BHP, firma
serwisująca sprzęt komputerowy
Umowa powierzenia przetwarzania danych – podpisywana z
podmiotami, które przetwarzają dane osobowe „na zewnątrz”
w formie outsourcingu.
Przykładami takich podmiotów są firmy świadczące usługi:
hostingu sklepu internetowego, zewnętrznej obsługi
księgowej, organizacji programów lojalnościowych, call center

16. Instrukcja zarządzania ODO
1. Wstęp
2. Definicje
3. Polityka kluczy
4. Zabezpieczenia infrastruktury informatycznej i
telekomunikacyjnej
5. Zabezpieczenia baz danych i oprogramowania
przetwarzających dane osobowe
6. Procedura dostępu podmiotów zewnętrznych
7. Procedura korzystania z Internetu
8. Procedura korzystania z poczty elektronicznej

17. Instrukcja zarządzania ODO
9. Procedura nadawania uprawnień do przetwarzania danych
osobowych
10. Metody i środki uwierzytelnienia
11. Procedura rozpoczęcia, zawieszenia i zakończenia pracy
12. Procedura tworzenia kopii zapasowych
13. Sposób, miejsce i okres przechowywania elektronicznych
nośników informacji i wydruków
14. Procedura zabezpieczenia systemu informatycznego, w tym
przed wirusami komputerowymi
15. Zasady i sposób odnotowywania w systemie informacji o
udostępnieniu danych osobowych
16. Procedura wykonywania przeglądów i konserwacji

18. Administrator bezpieczeństwa
informacji ABI
 Administrator danych osobowych (ADO) może
wyznaczyć administratora bezpieczeństwa
informacji (ABI) lub samodzielnie wykonywać te
czynności
 Administrator bezpieczeństwa informacji
powinien być zgłoszony w GIODO

19. ABI – obowiązki
 zapewnienie zgodności z wymogami U.O.D.O.
 opracowanie i wdrożenie polityki bezpieczeństwa i
instrukcji
 wydawanie i anulowanie upoważnień do zbiorów D.O.
 prowadzenie ewidencji osób upoważnionych do
przetwarzania danych osobowych
 prowadzenie postępowań po wystąpieniu incydentów
bezpieczeństwa
 kontrola wewnętrzna stanu ODO
 definiowanie działań poprawiających stan ODO

20. ABI – uprawnienia
 wyznaczanie i egzekwowanie zadań związanych z
ochroną danych osobowych w całej organizacji
 wstęp do obiektów i pomieszczeń w których
przetwarzane są dane osobowe
 dostęp do dokumentów i wszelkich danych mających
bezpośredni związek z danymi osobowymi
 kontrola urządzeń, nośników oraz systemów
informatycznych służących do przetwarzania danych
 przyjmowanie pisemnych lub ustnych wyjaśnień w
zakresie niezbędnym do ustalenia stanu faktycznego

21. ABI – wymagania
Art. 36a ust. 5 znowelizowanej u.o.d.o.
określono, iż funkcję ABI może pełnić osoba,
która:
 ma pełną zdolność do czynności prawnych
oraz korzysta z pełni praw publicznych,
 posiada odpowiednią wiedzę w zakresie
ochrony danych osobowych,
 nie była karana za umyślne przestępstwo

22. ABI – inspektorem GIODO?
 Generalny Inspektor może zwrócić się do
administratora bezpieczeństwa informacji
wpisanego do rejestru o dokonanie
sprawdzenia zgodności przetwarzania DO z
przepisami, u administratora danych, który go
powołał, wskazując zakres i termin
sprawdzenia.

23. Porównanie
 Wymagane jest
zgłoszenie ABI do
rejestru GIODO
 ABI raz w roku
przeprowadza
kontrolę planową
 -
 ADO przeprowadza
kontrolę planową
ABI został powołany ABI nie został powołany

24. Porównanie
 ABI przeprowadza
kontrole na zlecenie
GIODO
 ABI opracowuje
sprawozdanie
dotyczące stanu
ochrony danych
 -
 -
ABI został powołany ABI nie został powołany

25. Porównanie
 Weryfikacja polityki i
instrukcji oraz ich
wdrożenia leży w
obowiązkach ABI
 ABI zapewnianie
zapoznanie osób
upoważnionych do
przetwarzania danych
osobowych z
przepisami o ochronie
danych osobowych.
 Weryfikacja polityki i
instrukcji oraz ich
wdrożenia leży w
obowiązkach ADO
 ADO odpowiada za
zapoznanie personelu z
obowiązującymi
przepisami
ABI został powołany ABI nie został powołany

26. Utrata danych - kradzież latopa
Lekarzowi z Centrum Zdrowia Dziecka
skradziono w Szczyrku laptop. Skradzione
dane są ważne dla życia kilkudziesięciu
ciężko chorych dzieci na epilepsję!
Dlatego błagam! Złodzieju, nim
sformatujesz dysk laptopa, oddaj mi dane.
Ze stratą sprzętu już się pogodziłem, ale
zawarte tam informacje są naprawdę
bezcenne - apeluje dr Zwoliński.

27. Incydent w Białymstoku
Archiwalne karty pacjentów właściwie wcale nie
były zabezpieczone. Podczas przeprowadzki, w
kartonach zostały ustawione przy wnęce w
ścianie przy wejściu do przychodni i zasłonięte
parawanem. Ktoś szybko się nimi zainteresował
i do pacjentów placówki zaczęły wydzwaniać
telefony.

28. Udostępnienie danych
medycznych
 Pacjentka leczyła się w poradni zdrowia
psychicznego. Mąż, bez zgody żony, wszedł w
posiadanie dokumentacji medycznej, którą
następnie wykorzystał w procesie
rozwodowym.

29. Udostępnienie danych
medycznych
 Do jednej ze szkół uczęszczało dziecko chore
na epilepsję. Dyrekcja szkoły, na prośbę
rodziców, umieściła w pokoju nauczycielskim
zdjęcie dziecka wraz informacją o chorobie.
Po jakimś czasie rodzice oskarżyli szkołę o
udostępnienie danych medycznych

30. DZIĘKUJĘ ZA UWAGĘ