22-08-2017

Bezpieczeństwo danych osobowych w przychodniach

Przetwarzanie danych osobowych

Przetwarzanie danych osobowych w programach medycznych

Kto przetwarza i gromadzi dane osobowe?  aktowka

Niezależnie od tego czy dane osobowe gromadzone są w formie papierowej czy elektronicznej, podlegają obowiązkowej ochronie zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz rozporządzenia MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Znaczna cześć przedsiębiorców i pracowników administracji biur nie ma świadomości, że ich działalność jest związana z przetwarzaniem danych osobowych i są oni zobligowani do spełniania pewnych wymogów. Jednak prowadzenie większości działalności nierozerwalnie związane jest z przetwarzaniem Danych Osobowych, zaś w przypadku, gdy są to dane wrażliwe – zgodnie z ustawą podlegają one szczególnej ochronie. W świetle art. 2 ustawy 2 regulacje te dotyczą zarówno dokumentacji papierowej, jaki i elektronicznej, natomiast rozporządzenie MSWiA poddaje systemy informatyczne dodatkowym rygorom.

Aby zbieranie i przetwarzanie danych osobowych było zgodne z prawem, konieczne jest spełnienie szeregu wymogów.

Niektóre podmioty, w tym urzędy, przychodnie czy apteki zobowiązane są przez prawo do gromadzenia i przetwarzania części danych. Jeżeli prowadzimy działalność handlową lub usługową dane osobowe gromadzimy w celu wystawiania faktur, tworzenia list zamówień itd. Dane osobowe pracowników są gromadzone w każdej firmie, która zatrudnia przynajmniej jednego pracownika.

Zbiory danych osobowych Administrator przeważnie ma obowiązek rejestrować w GIODO, zaś niedopełnienie obowiązku grozi nałożeniem sankcji. Inne zbiory, bardzo dokładnie określone w ustawie, nie wymagają rejestracji, z kolei jeszcze inne wyłącza z tego obowiązku ogólne sformułowanie „przetwarzanie danych w drobnych bieżących sprawach życia codziennego”.

Administratorem Danych Osobowych w każdej firmie jest jej szef, na nim właśnie spoczywają więc ustawowe obowiązki. Niedopełnienie ich podlega odpowiedzialności zgodnie z Kodeksem Cywilnym oraz Kodeksem Karnym, w tym grzywnie, a nawet – w przypadkach rażących – karze pozbawienia wolności od roku do trzech lat.

Administrator danych Osobowych zobowiązany jest do udokumentowania sposobu zabezpieczenia i przetwarzania danych osobowych poprzez opracowanie Polityki Bezpieczeństwa i oraz Instytucji Zarządzania Systemami Informatycznymi. Główne aspekty związane z tematyką ochrony danych osobowych to: zapewnienie pełnej ochrony zbioru danych przed nieautoryzowanym dostępem, utratą danych itd., stworzenie i utrzymanie dokumentacji opisującej wdrożony system bezpieczeństwa, wdrożenia środków organizacyjnych i technicznych w celu realizacji zadań wynikających z ustawy, szkolenia personelu.

Dokumentację Polityki Bezpieczeństwa oraz Instrukcję Zarządzania Systemem Informatycznym i wszystkie załączniki należy prowadzić w formie papierowej i aktualizować. Dokumentację taką należy nie tylko stworzyć, ale także wprowadzić i stosować.

Polityka Bezpieczeństwa powinna obejmować między innymi:

  • zakres stosowania, sposób przechowywania, modyfikacji i udostępniania danych i obszar przetwarzania Danych Osobowych,
  • dokładny wykaz zbiorów wraz z programami wykorzystywanymi do ich przetwarzania oraz opis struktury zbioru Danych,
  • sposób przepływu danych między poszczególnymi systemami.


Instrukcja Zarządzania powinna zawierać:

  • wykaz osób odpowiedzialnych, procedury nadawania i odbierania uprawnień do przetwarzania danych,
  • procedury tworzenia kopii zapasowych, zabezpieczenia dostępu do danych oraz kopii, sposób przechowywania,
  • prowadzenie rejestrów wykonywania kopii, rejestrów zdarzeń i incydentów.


Organem kontrolnym jest GIODO – Główny Inspektor Ochrony Danych Osobowych.

 

Informacje i zapytania