Szanowni Państwo,

Medycyna Praktyczna wykorzystuje w swoich serwisach pliki cookies i inne pokrewne technologie. Używamy cookies w celu dostosowania naszych serwisów do Państwa potrzeb oraz do celów analitycznych i marketingowych. Korzystamy z cookies własnych oraz innych podmiotów – naszych partnerów biznesowych.

Ustawienia dotyczące cookies mogą Państwo zmienić samodzielnie, modyfikując ustawienia przeglądarki internetowej. Informacje dotyczące zmiany ustawień oraz szczegóły dotyczące wykorzystania wspomnianych technologii zawarte są w naszej Polityce Prywatności.

Korzystając z naszych serwisów bez zmiany ustawień przeglądarki internetowej wyrażacie Państwo zgodę na stosowanie plików cookies i podobnych technologii, opisanych w Polityce Prywatności.

Państwa zgoda jest dobrowolna, jednak jej brak może wpłynąć na komfort korzystania z naszych serwisów. Udzieloną zgodę mogą Państwo wycofać w każdej chwili, co jednak pozostanie bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej na podstawie tej zgody.

Klikając przycisk Potwierdzam, wyrażacie Państwo zgodę na stosowanie wyżej wymienionych technologii oraz potwierdzacie, że ustawienia przeglądarki są zgodne z Państwa preferencjami.

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych
01.10.2013
Witold Fendrych

1. Spełnienie obowiązku informacyjnego: Przygotowanie dokumentu informującego pacjenta o:
- pełnej nazwie, adresie administratora danych osobowych, który przetwarza dane (np. placówki udzielającej usług medycznych, lekarza prowadzącego gabinet lekarski itp.),
- zakresie i sposobie przetwarzania danych (np. wyłącznie w formie elektronicznej danych teleadresowych i dokumentacji medycznej),
- dacie, od kiedy dane są przetwarzane,
- treści przetwarzanych danych (np. imię, nazwisko, adres zameldowania, adres zamieszkania, adres e-mail, numer telefonu, PESEL, dokumentacja medyczna),
- ewentualnych odbiorcach (kategoriach odbiorców), którym dane są udostępniane (np. placówce nadrzędnej, laboratorium itp.),
- sposobie przekazywania danych odbiorcom (np. wyłącznie przez e-mail),
- prawach przysługujących pacjentowi w związku z przetwarzaniem jego danych osobowych (prawo do poprawiania swoich danych oraz prawo sprzeciwu do przetwarzania w celach marketingowych i przekazywania innym podmiotom).

2. Wyznaczenie Administratora Bezpieczeństwa Informacji
Nie jest konieczne, jeśli administrator danych osobowych wykonuje obowiązki ABI (np. lekarz prowadzący własny gabinet).

3. Sporządzenie pisemnego dokumentu pod nazwą:
Polityka bezpieczeństwa” zatwierdzonego przez administratora danych osobowych i zawierającego:
- analizę zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych,
- informacje o sposobie przetwarzania danych (przechowywania, modyfikacji, udostępniania),
- informacje o miejscu (budynkach, pomieszczeniach, części pomieszczeń), w których przetwarza się dane osobowe (miejsca, gdzie składowane są dokumenty, gdzie znajdują się komputery, serwery, kopie bezpieczeństwa itp.),
- informacje o zbiorach danych (bazy pacjentów, personelu itp.),
- informacje o programach, które służą do przetwarzania danych,
- opis struktur zbiorów (baz) danych z opisem poszczególnych pól informacyjnych oraz powiązaniami między nimi,
- opis sposobu przepływu informacji (danych osobowych) pomiędzy systemami (ze wskazaniem zakresu i sposobu tego przepływu – np. internet, kurier),
- opis środków technicznych i organizacyjnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych – czyli rozumianego bezpieczeństwa (w tym środków ochrony fizycznej danych, opis sprzętu, narzędzi itp.) na tzw. „podwyższonym” lub „wysokim” poziomie zabezpieczeń,
- opis środków zapewniających fizyczną kontrolę obszaru, w którym przetwarzane są dane osobowe (dostęp przez drzwi z odpowiednimi zamkami, system alarmowy, wartownik) oraz logiczną kontrolę (dostęp do programów po odpowiednim uwierzytelnieniu – polityka identyfikatorów i haseł, program antywirusowy, systemy podtrzymywania napięcia, wykonywanie kopii bezpieczeństwa, ochrona kryptograficzna danych).

4. Sporządzenie pisemnego dokumentu pod nazwą:
Instrukcja zarządzania systemem informatycznym” zatwierdzonego przez administratora danych osobowych i zawierającego:
- ogólne informacje o systemie informatycznym i zbiorach danych, które są z ich użyciem przetwarzane,
- informacje o osobach odpowiedzialnych za bezpieczeństwo danych i osobach zatrudnionych przy przetwarzaniu danych osobowych,
- procedury nadawania uprawnień do przetwarzania danych,
- rejestr takich uprawnień,
- stosowane metody uwierzytelniania osób uprawnionych do przetwarzania,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przy przetwarzaniu danych,
- procedury związane z zarządzaniem stosowanymi metodami uwierzytelniania osób, - procedury tworzenia kopii zapasowych,
- informacje o miejscu, sposobie i okresie przechowywania kopii nośników elektronicznych z danymi osobowymi,
- opis sposobów zabezpieczania systemu informatycznego przed wirusami i złośliwym oprogramowaniem,
- procedury przeglądów i konserwacji systemów oraz nośników elektronicznych z danymi osobowymi,
- opis innych środków bezpieczeństwa (np. mechanicznych, elektronicznych, programowych).

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych
Zobacz także

Napisz do nas

Zadaj pytanie ekspertowi, przyślij ciekawy przypadek, zgłoś absurd, zaproponuj temat dziennikarzom.
Pomóż redagować portal.
Pomóż usprawnić system ochrony zdrowia.

Zdaniem eksperta