Szanowni Państwo,

Medycyna Praktyczna wykorzystuje w swoich serwisach pliki cookies i inne pokrewne technologie. Używamy cookies w celu dostosowania naszych serwisów do Państwa potrzeb oraz do celów analitycznych i marketingowych. Korzystamy z cookies własnych oraz innych podmiotów – naszych partnerów biznesowych.

Ustawienia dotyczące cookies mogą Państwo zmienić samodzielnie, modyfikując ustawienia przeglądarki internetowej. Informacje dotyczące zmiany ustawień oraz szczegóły dotyczące wykorzystania wspomnianych technologii zawarte są w naszej Polityce Prywatności.

Korzystając z naszych serwisów bez zmiany ustawień przeglądarki internetowej wyrażacie Państwo zgodę na stosowanie plików cookies i podobnych technologii, opisanych w Polityce Prywatności.

Państwa zgoda jest dobrowolna, jednak jej brak może wpłynąć na komfort korzystania z naszych serwisów. Udzieloną zgodę mogą Państwo wycofać w każdej chwili, co jednak pozostanie bez wpływu na zgodność z prawem przetwarzania dokonanego wcześniej na podstawie tej zgody.

Klikając przycisk Potwierdzam, wyrażacie Państwo zgodę na stosowanie wyżej wymienionych technologii oraz potwierdzacie, że ustawienia przeglądarki są zgodne z Państwa preferencjami.

Dostosowanie prowadzonej działalności do wymogów ustawy o ochronie danych osobowych

01.10.2013
Witold Fendrych

1. Spełnienie obowiązku informacyjnego: Przygotowanie dokumentu informującego pacjenta o:
- pełnej nazwie, adresie administratora danych osobowych, który przetwarza dane (np. placówki udzielającej usług medycznych, lekarza prowadzącego gabinet lekarski itp.),
- zakresie i sposobie przetwarzania danych (np. wyłącznie w formie elektronicznej danych teleadresowych i dokumentacji medycznej),
- dacie, od kiedy dane są przetwarzane,
- treści przetwarzanych danych (np. imię, nazwisko, adres zameldowania, adres zamieszkania, adres e-mail, numer telefonu, PESEL, dokumentacja medyczna),
- ewentualnych odbiorcach (kategoriach odbiorców), którym dane są udostępniane (np. placówce nadrzędnej, laboratorium itp.),
- sposobie przekazywania danych odbiorcom (np. wyłącznie przez e-mail),
- prawach przysługujących pacjentowi w związku z przetwarzaniem jego danych osobowych (prawo do poprawiania swoich danych oraz prawo sprzeciwu do przetwarzania w celach marketingowych i przekazywania innym podmiotom).

2. Wyznaczenie Administratora Bezpieczeństwa Informacji
Nie jest konieczne, jeśli administrator danych osobowych wykonuje obowiązki ABI (np. lekarz prowadzący własny gabinet).

3. Sporządzenie pisemnego dokumentu pod nazwą:
Polityka bezpieczeństwa” zatwierdzonego przez administratora danych osobowych i zawierającego:
- analizę zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych,
- informacje o sposobie przetwarzania danych (przechowywania, modyfikacji, udostępniania),
- informacje o miejscu (budynkach, pomieszczeniach, części pomieszczeń), w których przetwarza się dane osobowe (miejsca, gdzie składowane są dokumenty, gdzie znajdują się komputery, serwery, kopie bezpieczeństwa itp.),
- informacje o zbiorach danych (bazy pacjentów, personelu itp.),
- informacje o programach, które służą do przetwarzania danych,
- opis struktur zbiorów (baz) danych z opisem poszczególnych pól informacyjnych oraz powiązaniami między nimi,
- opis sposobu przepływu informacji (danych osobowych) pomiędzy systemami (ze wskazaniem zakresu i sposobu tego przepływu – np. internet, kurier),
- opis środków technicznych i organizacyjnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych – czyli rozumianego bezpieczeństwa (w tym środków ochrony fizycznej danych, opis sprzętu, narzędzi itp.) na tzw. „podwyższonym” lub „wysokim” poziomie zabezpieczeń,
- opis środków zapewniających fizyczną kontrolę obszaru, w którym przetwarzane są dane osobowe (dostęp przez drzwi z odpowiednimi zamkami, system alarmowy, wartownik) oraz logiczną kontrolę (dostęp do programów po odpowiednim uwierzytelnieniu – polityka identyfikatorów i haseł, program antywirusowy, systemy podtrzymywania napięcia, wykonywanie kopii bezpieczeństwa, ochrona kryptograficzna danych).

4. Sporządzenie pisemnego dokumentu pod nazwą:
Instrukcja zarządzania systemem informatycznym” zatwierdzonego przez administratora danych osobowych i zawierającego:
- ogólne informacje o systemie informatycznym i zbiorach danych, które są z ich użyciem przetwarzane,
- informacje o osobach odpowiedzialnych za bezpieczeństwo danych i osobach zatrudnionych przy przetwarzaniu danych osobowych,
- procedury nadawania uprawnień do przetwarzania danych,
- rejestr takich uprawnień,
- stosowane metody uwierzytelniania osób uprawnionych do przetwarzania,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy przy przetwarzaniu danych,
- procedury związane z zarządzaniem stosowanymi metodami uwierzytelniania osób, - procedury tworzenia kopii zapasowych,
- informacje o miejscu, sposobie i okresie przechowywania kopii nośników elektronicznych z danymi osobowymi,
- opis sposobów zabezpieczania systemu informatycznego przed wirusami i złośliwym oprogramowaniem,
- procedury przeglądów i konserwacji systemów oraz nośników elektronicznych z danymi osobowymi,
- opis innych środków bezpieczeństwa (np. mechanicznych, elektronicznych, programowych).

Zobacz także

Napisz do nas

Zadaj pytanie ekspertowi, przyślij ciekawy przypadek, zgłoś absurd, zaproponuj temat dziennikarzom.
Pomóż redagować portal.
Pomóż usprawnić system ochrony zdrowia.

Zdaniem eksperta