Bezpieczeństwo
danych
osobowych

Dokumentacja

Elektr.Dokumentacja

Strona poświęcona jednej z bardziej strategicznych polityk UE
Akty prawne:
Czy prowadzenie dokumentacji medycznej , na której nie dokonujemy żadnych operacji (ot, zapisane na kartach dane o pacjentach i wykonanych świadczeniach) jest przetwarzaniem danych osobowych?
art.7 ustawy o ochronie danych osobowych
Art.7.Ilekroć w ustawie jest mowa o:
1)[…]
2)przetwarzaniu danych – rozumie się przez to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych;

Ustawa-Ochrona Danych

Rozp.UE-RODO

Stan obecny


I.Kontrola sprawowana przez GIODO- przepisy ustawy o ochronie danych osobowych</font color>
1. Art. 14-19 ustawy

Art.14.W celu wykonania zadań, o których mowa w art. 12 pkt 1 i 2, Generalny Inspektor, zastępca Generalnego Inspektora lub upoważnieni przez niego pracownicy Biura, zwani dalej „inspektorami”, mają prawo:

1)wstępu, w godzinach od 600do 2200, za okazaniem imiennego upoważnienia i legitymacji służbowej, do pomieszczenia, w którym zlokalizowany jest zbiór danych, oraz pomieszczenia, w którym przetwarzane są dane poza zbiorem danych, i przeprowadzenia niezbędnych badań lub innych czynności kontrolnych w celu oceny zgodności przetwarzania danych z ustawą;
2)żądać złożenia pisemnych lub ustnych wyjaśnień oraz wzywać i przesłuchiwać osoby w zakresie niezbędnym do ustalenia stanu faktycznego;
3)wglądu do wszelkich dokumentów i wszelkich danych mających bezpośredni związek z przedmiotem kontroli oraz sporządzania ich kopii;
4)przeprowadzania oględzin urządzeń, nośników oraz systemów informatycznych służących do przetwarzania danych;
5)zlecać sporządzanie ekspertyz i opinii.

Art.15.1.Kierownik kontrolowanej jednostki organizacyjnej oraz kontrolowana osoba fizyczna będąca administratorem danych osobowych są obowiązani umożliwić inspektorowi przeprowadzenie kontroli, a w szczególności umożliwić przeprowadzenie czynności oraz spełnić żądania, o których mowa w art. 14 pkt 1-4.
2.W toku kontroli zbiorów, o których mowa w art. 43 ust. 1 pkt 1a, inspektor przeprowadzający kontrolę ma prawo wglądu do zbioru zawierającego dane osobowe jedynie za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej.
3.Kontrolę przeprowadza się po okazaniu imiennego upoważnienia wraz z legitymacją służbową.
4.Imienne upoważnienie powinno zawierać:

1)wskazanie podstawy prawnej przeprowadzenia kontroli;
2)oznaczenie organu kontroli;
3)imię i nazwisko, stanowisko służbowe osoby upoważnionej do przeprowadzenia kontroli oraz numer jej legitymacji służbowej;
4)określenie zakresu przedmiotowego kontroli;
5)oznaczenie podmiotu objętego kontrolą albo zbioru danych, albo miejsca poddawanego kontroli;
6)wskazanie daty rozpoczęcia i przewidywanego terminu zakończenia kontroli;
7)podpis Generalnego Inspektora;
8)pouczenie kontrolowanego podmiotu o jego prawach i obowiązkach;
9)datę i miejsce wystawienia imiennego upoważnienia.

Art.16.1.Z czynności kontrolnych inspektor sporządza protokół, którego jeden egzemplarz doręcza kontrolowanemu administratorowi danych.
1a.Protokół kontroli powinien zawierać:

1)nazwę podmiotu kontrolowanego w pełnym brzmieniu i jego adres;
2)imię i nazwisko, stanowisko służbowe, numer legitymacji służbowej oraz numer upoważnienia inspektora;
3)imię i nazwisko osoby reprezentującej podmiot kontrolowany oraz nazwę organu reprezentującego ten podmiot;
4)datę rozpoczęcia i zakończenia czynności kontrolnych, z wymienieniem dni przerw w kontroli;
5)określenie przedmiotu i zakresu kontroli;
6)opis stanu faktycznego stwierdzonego w toku kontroli oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
7)wyszczególnienie załączników stanowiących składową część protokołu;
8)omówienie dokonanych w protokole poprawek, skreśleń i uzupełnień;
9)parafy inspektora i osoby reprezentującej podmiot kontrolowany na każdej stronie protokołu;
10)wzmiankę o doręczeniu egzemplarza protokołu osobie reprezentującej podmiot kontrolowany;
11)wzmiankę o wniesieniu lub niewniesieniu zastrzeżeń i uwag do protokołu;
12)datę i miejsce podpisania protokołu przez inspektora oraz przez osobę lub organ reprezentujący podmiot kontrolowany.

2.Protokół podpisują inspektor i kontrolowany administrator danych, który może wnieść do protokołu umotywowane zastrzeżenia i uwagi.
3.W razie odmowy podpisania protokołu przez kontrolowanego administratora danych, inspektor czyni o tym wzmiankę w protokole, a odmawiający podpisu może, w terminie 7 dni, przedstawić swoje stanowisko na piśmie Generalnemu Inspektorowi.
Art.17.1.Jeżeli na podstawie wyników kontroli inspektor stwierdzi naruszenie przepisów o ochronie danych osobowych, występuje do Generalnego Inspektora o zastosowanie środków, o których mowa w art. 18.
2.Na podstawie ustaleń kontroli inspektor może żądać wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom winnym dopuszczenia do uchybień i poinformowania go, w określonym terminie, o wynikach tego postępowania i podjętych działaniach.
Art.18.1.W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej, w drodze decyzji administracyjnej, nakazuje przywrócenie stanu zgodnego z prawem, a w szczególności:

1)usunięcie uchybień;
2)uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych;
3)zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe;
4)wstrzymanie przekazywania danych osobowych do państwa trzeciego;
5)zabezpieczenie danych lub przekazanie ich innym podmiotom;
6)usunięcie danych osobowych.

2.Decyzje Generalnego Inspektora, o których mowa w ust. 1, nie mogą ograniczać swobody działania podmiotów zgłaszających kandydatów lub listy kandydatów w wyborach na urząd Prezydenta Rzeczypospolitej Polskiej, do Sejmu, do Senatu i do organów samorządu terytorialnego, a także w wyborach do Parlamentu Europejskiego, pomiędzy dniem zarządzenia wyborów a dniem głosowania.
2a.Decyzje Generalnego Inspektora, o których mowa w ust. 1, w odniesieniu do zbiorów określonych w art. 43 ust. 1 pkt 1a, nie mogą nakazywać usunięcia danych osobowych zebranych w toku czynności operacyjno-rozpoznawczych prowadzonych na podstawie przepisów prawa.
3.W przypadku gdy przepisy innych ustaw regulują odrębnie wykonywanie czynności, o których mowa w ust. 1, stosuje się przepisy tych ustaw.
Art.19.W razie stwierdzenia, że działanie lub zaniechanie kierownika jednostki organizacyjnej, jej pracownika lub innej osoby fizycznej będącej administratorem danych wyczerpuje znamiona przestępstwa określonego w ustawie, Generalny Inspektor kieruje do organu powołanego do ścigania przestępstw zawiadomienie o popełnieniu przestępstwa, dołączając dowody dokumentujące podejrzenie.


2. Udaremnianie kontroli

Art.54a.

Kto inspektorowi udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.


3. Przeprowadzanie kontroli w jednostkach ochrony zdrowia

Rozporządzenie Ministra Zdrowia z dnia 11 grudnia 2012 r.w sprawie sposobu i trybu przeprowadzania kontroli podmiotów prowadzących bazy danych w zakresie ochrony zdrowia


II. Bezpieczeństwo danych </font color>

kto jest administratorem danych?

Art.7.Ilekroć w ustawie jest mowa o:
[…]
4)administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych;

z art 3:
Art.3.1.Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2.Ustawę stosuje się również do:

1)podmiotów niepublicznych realizujących zadania publiczne,
2)osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych
– które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

art 36-39 ustawy

Art.36.1.Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2.Administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.
3.Administrator danych wyznacza administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, o których mowa w ust. 1, chyba że sam wykonuje te czynności.
Art.37.Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych.
Art.38.Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.
Art.39.1.Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:
1)imię i nazwisko osoby upoważnionej;
2)datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych;
3)identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
2.Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia.

art 39a

Art.39a. Minister właściwy do spraw administracji publicznej w porozumieniu z ministrem właściwym do spraw informatyzacji określi, w drodze rozporządzenia, sposób prowadzenia i zakres dokumentacji, o której mowa w art. 36 ust. 2, oraz podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, uwzględniając zapewnienie ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną, a także wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzanych danych. o tym rozporządzeniu w pkt.III

IIa. Administrator Bezpieczeństwa Informacji </font color>

Zmiana w ustawie obowązująca od 1.01.2015r

Zmiana polega na przekazaniu Administratorowi Bezpieczeństwa Inf (ABI) kompetencji prowadzenia rejestru zbiorów danych w przedsiębiorstwie i braku w tym momencie obowiązku zgłaszania tych baz do GIODO. Branży medycznej niewiele to daje, gdyż dane medyczne wyłaczone są spod obowiązku zgłaszania do GIODO.
Jesli jednak nie powołujemy ABI, inne jego zadania, określone w art 36 a (dodanym) wykonujemy sami (jako administratorzy danych). Powstało w związku z tym również rozporządzenie określające tryb wykonywania tych zadań. Szczegóły w serwisie Autonomia-dent.pl

Polityka ochr.danych

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
</font color>
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
1.Co określa rozporządzenie?

§ 1.Rozporządzenie określa:

1)sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
2)podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3)wymagania w zakresie odnotowywania udostępniania danych osobowych i bezpieczeństwa przetwarzania danych osobowych.


2. Z czego skałda się dokumentacja opisująca sposób przetwarzania danych osobowych?

§ 3.1.Na dokumentację, o której mowa w § 1 pkt 1, składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”.

2.Dokumentację, o której mowa w § 1 pkt 1, prowadzi się w formie pisemnej.

3.Dokumentację, o której mowa w § 1 pkt 1, wdraża administrator danych.


3.Co zawiera polityka bezpieczeństwa?

§ 4.Polityka bezpieczeństwa, o której mowa w § 3 ust. 1, zawiera w szczególności:
1)wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe;

2)wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;
3)opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi;
4)sposób przepływu danych pomiędzy poszczególnymi systemami;

5)określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.


4. Co zawiera instrukcja zarządzania systemem informatycznym?

§ 5.Instrukcja, o której mowa w § 3 ust. 1, zawiera w szczególności:
1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;
2)stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem;
3)procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu;
4)procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania;
5)sposób, miejsce i okres przechowywania:

  • a)elektronicznych nośników informacji zawierających dane osobowe,

b)kopii zapasowych, o których mowa w pkt 4,
6)sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, o którym mowa w pkt III ppkt 1 załącznika do rozporządzenia
7)sposób realizacji wymogów, o których mowa w § 7 ust. 1 pkt 4; [system ma zapewniac odnotowywanie danych o odbiorcach]
8)procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.


5.Ważne-Poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym

§ 6.1.Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym:

1)podstawowy;
2)podwyższony;
3)wysoki.
2.Poziom co najmniej podstawowy stosuje się, gdy:
1)w systemie informatycznym nie są przetwarzane dane, o których mowa w art. 27 ustawy, oraz
2)żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
dane dotyczące stanu zdrowia znajdują się w wykazie art 27 ustawy , więc poziom zabezpieczenia dok.medycznej musi byc „na starcie” podwyższony
3.Poziom co najmniej podwyższony stosuje się, gdy:1)w systemie informatycznym przetwarzane są dane osobowe, o których mowa w art. 27 ustawy, oraz
2)żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną.
4.Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną.
Poziom automatycznie musi być wysoki, jeśli komputer, na którym jest program do prowadzenia dokumentacji ma połączenie z internetem

5.Opis środków bezpieczeństwa stosowany na poziomach, o których mowa w ust. 1, określa załącznik do rozporządzenia.

6. Odnotowanie jakich informacji musi zapewnić system informatyczny w odniesieniu do każdej osoby , której dane są przetwarzane?

§ 7.1.Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym – z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie – system ten zapewnia odnotowanie:

1)daty pierwszego wprowadzenia danych do systemu;
2)identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba;
3)źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą;
4)informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych;
5)sprzeciwu, o którym mowa w art. 32 ust. 1 pkt 8 ustawy.[nie dotyczy dokumentacji medycznej]

R O D O

Na głównej stronie WIL zamieszczone zostało podsumowanie wiedzy o tym akcie prawnym.

Informacje tam zawarte będą aktualizowane w miarę postępu prac nad całym kompleksem aktów prawnych związanych z RODO.

Zobacz serwis nt.RODO

Kodeks branżowy

w opracowaniu

Cyberbezpieczeństwo

Projekt ustawy o cyberbezpieczeństwie . Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej Opracowanie „Cyberbezpieczeństwo w sektorze ochrony zdrowia” sporządzone przez Kancelarię DZP oraz firmę Microsoft

Powierzenie danych osobowych</font color>

OPRACOWANIE

Art.31.1.Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.2.Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.3.Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4.W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

5.Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Przepis może w przypadku dokumentacji medycznej dotyczyć dwu przypadków:
1/powierzenie komumolwiek spoza pracowników podmiotu np czynności związanych ze sporządzeniem zestawienia do NFZ- wysyłamy np dane informatykowi , który sporządza za nas raport statystyczny , rozliczeniowy itd.
2/ oferowane już przez wiele firm tworzących oprogramowanie dok.med. rozwiązanie przechowywania danych „w chmurze obliczeniowej” czyli na zewnętrznych serwerach

Indeks zmian

data zakładka zmiana
04.11.2014 opublikowanie strony
2014-styczeń2018 strona funkcjonowała w ramach innego skryptu
21.01.2018 RODO,Cyberbezpieczeństwo,Kodeks branżowy dodanie zakładek