Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych
01.10.2013
Witold Fendrych

1. Spełnienie obowiązku informacyjnego: Przygotowanie dokumentu informującego pacjenta o:
- pełnej nazwie, adresie administratora danych osobowych, który przetwarza dane (np. placówki udzielającej usług medycznych, lekarza prowadzącego gabinet lekarski itp.),
- zakresie i sposobie przetwarzania danych (np. wyłącznie w formie elektronicznej danych teleadresowych i dokumentacji medycznej),
- dacie, od kiedy dane są przetwarzane,
- treści przetwarzanych danych (np. imię, nazwisko, adres zameldowania, adres zamieszkania, adres e-mail, numer telefonu, PESEL, dokumentacja medyczna),
- ewentualnych odbiorcach (kategoriach odbiorców), którym dane są udostępniane (np. placówce nadrzędnej, laboratorium itp.),
- sposobie przekazywania danych odbiorcom (np. wyłącznie przez e-mail),
- prawach przysługujących pacjentowi w związku z przetwarzaniem jego danych osobowych (prawo do poprawiania swoich danych oraz prawo sprzeciwu do przetwarzania w celach marketingowych i przekazywania innym podmiotom).

2. Wyznaczenie Administratora Bezpieczeństwa Informacji
Nie jest konieczne, jeśli administrator danych osobowych wykonuje obowiązki ABI (np. lekarz prowadzący własny gabinet).

3. Sporządzenie pisemnego dokumentu pod nazwą:
Polityka bezpieczeństwa” zatwierdzonego przez administratora danych osobowych i zawierającego:
- analizę zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych,
- informacje o sposobie przetwarzania danych (przechowywania, modyfikacji, udostępniania),
- informacje o miejscu (budynkach, pomieszczeniach, części pomieszczeń), w których przetwarza się dane osobowe (miejsca, gdzie składowane są dokumenty, gdzie znajdują się komputery, serwery, kopie bezpieczeństwa itp.),
- informacje o zbiorach danych (bazy pacjentów, personelu itp.),
- informacje o programach, które służą do przetwarzania danych,
- opis struktur zbiorów (baz) danych z opisem poszczególnych pól informacyjnych oraz powiązaniami między nimi,
- opis sposobu przepływu informacji (danych osobowych) pomiędzy systemami (ze wskazaniem zakresu i sposobu tego przepływu – np. internet, kurier),
- opis środków technicznych i organizacyjnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych – czyli rozumianego bezpieczeństwa (w tym środków ochrony fizycznej danych, opis sprzętu, narzędzi itp.) na tzw. „podwyższonym” lub „wysokim” poziomie zabezpieczeń,
- opis środków zapewniających fizyczną kontrolę obszaru, w którym przetwarzane są dane osobowe (dostęp przez drzwi z odpowiednimi zamkami, system alarmowy, wartownik) oraz logiczną kontrolę (dostęp do programów po odpowiednim uwierzytelnieniu – polityka identyfikatorów i haseł, program antywirusowy, systemy podtrzymywania napięcia, wykonywanie kopii bezpieczeństwa, ochrona kryptograficzna danych).

4. Sporządzenie pisemnego dokumentu pod nazwą:
Instrukcja zarządzania systemem informatycznym” zatwierdzonego przez administratora danych osobowych i zawierającego:
- ogólne informacje o systemie informatycznym i zbiorach danych, które są z ich użyciem przetwarzane,
- informacje o osobach odpowiedzialnych za bezpieczeństwo danych i osobach zatrudnionych przy przetwarzaniu danych osobowych,
- procedury nadawania uprawnień do przetwarzania danych,
- rejestr takich uprawnień,
- stosowane metody uwierzytelniania osób uprawnionych do przetwarzania,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przy przetwarzaniu danych,
- procedury związane z zarządzaniem stosowanymi metodami uwierzytelniania osób, - procedury tworzenia kopii zapasowych,
- informacje o miejscu, sposobie i okresie przechowywania kopii nośników elektronicznych z danymi osobowymi,
- opis sposobów zabezpieczania systemu informatycznego przed wirusami i złośliwym oprogramowaniem,
- procedury przeglądów i konserwacji systemów oraz nośników elektronicznych z danymi osobowymi,
- opis innych środków bezpieczeństwa (np. mechanicznych, elektronicznych, programowych).

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych
Zobacz także

Dodaj swoją opinię

Dodawanie komentarzy tylko dla zalogowanych osób zawodowo związanych z ochroną zdrowia i uprawnionych do wystawiania recept lub osób prowadzących obrót produktami leczniczymi oraz studentów medycyny.

Napisz do nas

Zadaj pytanie ekspertowi, przyślij ciekawy przypadek, zgłoś absurd, zaproponuj temat dziennikarzom.
Pomóż redagować portal.
Pomóż usprawnić system ochrony zdrowia.

Zdaniem eksperta