Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej.

Transkrypt

1 Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej. Każdy lekarz i lekarz dentysta prowadzący praktykę lekarską, mimo, że nie jest zobowiązany do zgłaszania Generalnemu Inspektorowi Ochrony Danych Osobowych zbiorów danych osobowych pacjentów oraz ewentualnie zatrudnionych pracowników pracowników, winien stosować w swojej działalności przepisy ustawy z dnia z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz.U. z 2002, Nr 101, poz. 926 ze zmianami). Mając na uwadze, że za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, w ramach praktyki danymi osobowymi są dane zawarte w dokumentacji medycznej sporządzonej zarówno w wersji papierowej jak i elektronicznej oraz dane osób zatrudnionych w praktyce. Lekarz -właściciel gabinetu, jako posiadacz danych osobowych jest tzw. administratorem danych osobowych. Jako administrator danych osobowych jest zobowiązany do stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności jest zobowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany także, do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki ich ochrony. Ponadto, lekarz prowadzący praktykę jako administrator danych osobowych zobowiązany jest także, do: 1/ opracowania i wdrożenia dokumentu polityka bezpieczeństwa, 2/ opracowania i wdrożenia dokumentu instrukcja zarządzenia systemem informatycznym, (w przypadku prowadzenia zbioru danych w systemie informatycznym) 3/ wyznaczenia administratora bezpieczeństwa informacji, 4/ dopuszczenia do przetwarzania danych wyłącznie osoby posiadające upoważnienia, 5/ prowadzenia ewidencji osób upoważnionych do przetwarzania danych. Dokument, polityka bezpieczeństwa winien zawierać w szczególności : 1) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; 2) wykaz zbiorów danych osobowych wraz ze wskazaniem sposobów zastosowanych do przetwarzania tych danych; 3) opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; 4) sposób przepływu danych pomiędzy poszczególnymi systemami; 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Instrukcja przetwarzania danych powinna zawierać: 1)procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; 2)stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i

2 użytkowaniem; 3)procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; 4)procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; 5)sposób, miejsce i okres przechowywania: a)elektronicznych nośników informacji zawierających dane osobowe, b)kopii zapasowych, o których mowa w pkt 4, 6)sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, 7)sposób realizacji wskazanych wymogów, 8)procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Za naruszenie przepisów ustawy o ochronie danych osobowych grożą zarówno sankcje karne oraz administracyjne. Sankcje karne grożą między innymi za: - udostępnienie przez administratora danych osobowych, osobom nieupoważnionym - kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do lat 2. - naruszenie, choćby nieumyślnie, przez administratora obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem - kara grzywny, kara ograniczenia wolności albo pozbawienia wolności do roku. Ponadto, lekarz, który zlekceważy zalecenia GIODO będzie ukarany karą w wysokości 50 tys. zł, zaś osoba fizyczna karą 10 tys, zł. Poniżej zamieszczamy przykłady dokumentów: POLITYKA BEZPIECZEŃSTWA W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ oraz INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ I/ POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ... (nazwa praktyki) wydana w dniu... przez..... na podstawie art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 Dz.U. nr 101, poz. 926 ze zmianami.) oraz 3 i 4 Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU 2004 nr 100, poz. 1024).

3 Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przetwarzanych przez... zwaną dalej praktyką lekarską/dentystyczną przed (nazwa praktyki) zagrożeniami wewnętrznymi i zewnętrznymi. Polityka obowiązuje wszystkich pracowników praktyki lekarskiej/dentystycznej oraz dostawców, podmioty współpracujące z praktyką lekarską/dentystyczną na podstawie umowy cywilnoprawnej, mających kontakt z danymi osobowymi objętymi ochroną.(jeśli są takie osoby w praktyce) Przetwarzanie danych osobowych odbywa się w praktyce lekarskiej/dentystycznej w wersji papierowej oraz elektronicznej. (niepotrzebne skreślić). Administratorem danych w praktyce lekarskiej/dentystycznej jest.... Administrator danych pełni rolę Administratora Bezpieczeństwa Informacji/lub Administratorem Bezpieczeństwa Informacji jest... wyznaczony przez Administratora danych. POJĘCIA 1. Ustawa rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jedn.: Dz U 2002 nr 101, poz. 926 ze zm.). 2. Administrator Danych Osobowych rozumie się przez to właściciela praktyki lekarskiej/dentystycznej Administrator Bezpieczeństwa Informacji osoba, która odpowiada za bezpieczeństwo danych osobowych w systemie informatycznym oraz tradycyjnym systemie, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w których przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń. 4. Dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 5. Przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 6. Zbiór danych każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów. 7. System informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 8. Identyfikator użytkownika (login) ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym. 9. Hasło ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora

4 użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. 10. Uwierzytelnianie działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu. 11. Integralność danych funkcjonalność zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. 12. Poufność danych funkcjonalność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom. 1. Wykaz zbiorów danych przetwarzanych w praktyce lekarskiej/dentystycznej wymieniony jest w załączniku nr 1 do niniejszej polityki bezpieczeństwa, będącym jej integralną częścią. 2. Zakres danych osobowych przetwarzanych w praktyce lekarskiej/dentystycznej. A/ W praktyce lekarskiej/stomatologicznej znajdują się następujące bazy danych (informatyczne): B/ W praktyce lekarskiej/dentystycznej znajdują się następujące zbiory danych (tradycyjne): (Zakres danych osobowych przetwarzanych w praktyce lekarskiej/dentystycznej musi być związany z załącznikiem nr 1 do polityki bezpieczeństwa, a zatem nazwy zbiorów danych muszą być zgodne z nazwami wymienionymi w kolumnie nr 1 tabeli zał. nr 1.) 3. Wykaz budynków, pomieszczeń lub części pomieszczeń, w których przetwarzane są dane osobowe. A/ Przetwarzanie danych osobowych odbywa się w praktyce lekarskiej/dentystycznej w.... (dokładny adres praktyki) B/ Dane osobowe są przetwarzane w następujących pomieszczeniach:... pokój nr/adres.

5 4. Zadania Administratora Danych Osobowych 1.Zadaniem Administratora Danych Osobowych jest czuwanie nad stosowaniem i przestrzeganiem w praktyce lekarskiej/dentystyczne przepisów ustawy oraz nadzorowanie pracy Administratora Bezpieczeństwa Informacji. 2. Administrator danych osobowych nadaje i odwołuje upoważnienia do przetwarzania danych osobowych (wzór załącznik nr 2 i 3) oraz prowadzi ewidencję osób uprawnionych do przetwarzania danych osobowych (wzór załącznik nr4). 5. Zadania Administratora Bezpieczeństwa Informacji 1) Ochrona i bezpieczeństwo danych osobowych zawartych w zbiorach prowadzonych sposobem tradycyjnym oraz poprzez system informatyczny. 2) Podejmowanie stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym. 3) Niezwłoczne informowanie Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych. 4) Nadzór i kontrola systemów informatycznych służących do przetwarzania danych osobowych i osób przy nim zatrudnionych. 5) Nadzór i kontrola systemu przetwarzania danych osobowych sposobem tradycyjnym. 6. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. 1. Praktyka lekarska/dentystyczna realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza przed: -udostępnieniem ich osobom nieupoważnionym, -zabraniem przez osobę nieuprawnioną, -przetwarzaniem z naruszeniem ustawy,utratą, uszkodzeniem lub zniszczeniem. 2. Każda osoba upoważniona do przetwarzania danych osobowych przed przystąpieniem do pracy przy przetwarzaniu danych osobowych składa pisemne oświadczenie, że została zaznajomiona z przepisami ustawy z dnia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: DzU 2002 nr 101, poz. 926 ze zm.), aktami wykonawczymi do w/w ustawy oraz, że rozumie zasady dotyczące ochrony danych osobowych opisane w Polityce bezpieczeństwa, Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej oraz, że zobowiązuje się do ich przestrzegania. (wzór oświadczenia załącznik nr 5).

6 Załącznik nr 1 do Polityki bezpieczeństwa praktyki lekarskiej/dentystycznej Wykaz zbiorów danych przetwarzanych w praktyce lekarskiej/dentystycznej w.... lp. Nazwa zbioru danych (1) Forma danych/baza danych (2) Zabezpieczenie informatyczne (3) Nazwa programu służącego do przetwarzania danych osobowych Lokalizac ja/nr pokoju Zabezpie czenia inne niż informaty czne. (4) Opis: (1) nazwa zwyczajowa lub własna (2) Windows, SQL, dokumenty papierowe (3) np.: indywidualne hasło dostępu, wydzielona fizycznie sieć (4) np.: kraty w oknach, alarm, drzwi antywłamaniowe, kontrola dostępu, ochrona całodobowa. Załącznik nr 2 do Polityki bezpieczeństwa praktyki lekarskiej/dentystycznej Wzór upoważnienia imiennego do przetwarzania danych osobowych...., dnia... Upoważnienie imienne do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej... Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 roku, Dz.U. Nr 101, poz. 926 ze zmianami) upoważniam Panią/Pana... (imię i nazwisko osoby upoważnionej) zatrudnioną/niego w... (nazwa praktyki) na stanowisku... do przetwarzania od dnia... danych osobowych w zakresie:... i nadaję identyfikator...(dotyczy tylko wersji elektronicznej).... (podpis administratora danych osobowych)

7 Załącznik nr 3 do Polityki bezpieczeństwa praktyki lekarskiej/dentystycznej Wzór odwołania upoważnienia imiennego do przetwarzania danych osobowych...., dnia... Odwołanie upoważnienia imiennego do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej... Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 roku, Dz.U. Nr 101, poz. 926 ze zmianami) odwołuję upoważnienie Pani/Pana... (imię i nazwisko osoby upoważnionej) zatrudnionej/niego w... (nazwa praktyki) na stanowisku... do przetwarzania od dnia... danych osobowych w zakresie:... i cofam prawo do korzystania z identyfikatora...(dotyczy tylko wersji elektronicznej).... (podpis administratora danych osobowych) Załącznik nr 4 do Polityki bezpieczeństwa praktyki lekarskiej/dentystycznej Wzór Ewidencji osób upoważnionych do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej.... lp. Imię i nazwisko użytkownika Identyfikator użytkownika (dotyczy wersji elektronicznej) Zakres uprawnień Data nadania uprawnień Data odebrania uprawnień Przyczyna odebrania uprawnień Podpis administratora danych lub ABI 1 2 3

8 Załącznik nr 5 do Polityki bezpieczeństwa praktyki lekarskiej/dentystycznej. Wzór oświadczenia osoby upoważnionej do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej...., dnia... OŚWIADCZENIE Oświadczam, że przed przystąpieniem do pracy przy przetwarzaniu danych osobowych zostałam/em zaznajomiona z przepisami ustawy z dnia ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: DzU 2002 nr 101, poz. 926 ze zm.), aktami wykonawczymi do w/w ustawy. Zapoznałam/em się i rozumiem zasady dotyczące ochrony danych osobowych opisane w Polityce bezpieczeństwa, Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej... i zobowiązuję się do ich przestrzegania.... podpis

9 II / INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH PRAKTYKI LEKSRSKIEJ/DENTYSTYCZNEJ... (nazwa praktyki) Na podstawie 3 ust.1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024). I Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności. 1. Upoważnienia do przetwarzania danych osobowych nadawane są w związku z wykonywaniem przez upoważnioną osobę obowiązków lub zadań związanych z przetwarzaniem danych osobowych. 2. Upoważnienie nadaje i odwołuje administrator danych osobowych. 3. Upoważnienie i jego odwołanie sporządzane są na piśmie, w dwóch jednobrzmiących egzemplarzach jeden przeznaczony jest dla osoby, której nadano lub odebrano upoważnienie, drugi dla administratora danych. 4. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 1 do Instrukcji. Wzór odwołania upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 2 do Instrukcji. Upoważnienia nie sporządza się dla administratora danych. 5. Upoważnienia do przetwarzania danych osobowych rejestrowane są w rejestrze osób upoważnionych do przetwarzania danych osobowych. Wzór rejestru stanowi załącznik nr 3 do Instrukcji. Rejestr prowadzi administrator danych. II Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem 1. Środki uwierzytelniania dostępu do systemu informatycznego służącego do przetwarzania danych osobowych to identyfikator użytkownika i hasło dostępu. Każdy identyfikator użytkownika zabezpieczony jest hasłem. W praktyce lekarskiej/ dentystycznej... obowiązują następujące (nazwa praktyki) zasady tworzenia hasła:

10 - hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów, - hasło musi składać się z co najmniej 6 znaków, zawierać małe i wielkie litery oraz cyfry lub znaki specjalne, - hasło nie może składać się z identycznych znaków lub ciągu znaków z klawiatury, - hasło nie może być jednakowe z identyfikatorem użytkownika, - hasło musi być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika. 2. Hasło, w trakcie wpisywania, nie może być wyświetlane na ekranie. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności. Hasło musi być zmieniane nie rzadziej niż co 30 dni. Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie. W przypadku złamania poufności hasła, użytkownik zobowiązany jest niezwłocznie zmienić hasło i poinformować o tym fakcie administratora danych. 3. Identyfikator użytkownika nie powinien być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie powinien być przydzielany innej osobie. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło. III Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych 1. Przed rozpoczęciem przetwarzania danych osobowych użytkownik powinien sprawdzić, czy nie ma oznak fizycznego naruszenia zabezpieczeń. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić administratora danych. 2. Przystępując do pracy w systemie informatycznym służącym do przetwarzania danych osobowych, użytkownik jest zobowiązany wprowadzić swój identyfikator oraz hasło dostępu. Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika. 3. W przypadku czasowego opuszczenia stanowiska pracy, użytkownik musi wylogować się z systemu informatycznego służącego do przetwarzania danych osobowych. 4. Zakończenie pracy w systemie służącym do przetwarzania danych osobowych powinno

11 być poprzedzone sporządzeniem, w miarę potrzeb, kopii zapasowej danych oraz zabezpieczeniem przed nieuprawnionym dostępem dodatkowych nośników danych płyty CD, pendrive i inne, zawierających dane osobowe. Zakończenie pracy w systemie informatycznym służącym do przetwarzania danych osobowych następują poprzez wylogowanie się z tego systemu. IV Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania 1. Za sporządzanie kopii zapasowych zbiorów danych odpowiedzialny jest użytkownik systemu informatycznego służącego do przetwarzania danych osobowych. 2. Kopie awaryjne może tworzyć jedynie administrator danych. 3. Kopie zapasowe powinny być kontrolowane przez administratora danych, w szczególności pod kątem prawidłowości ich wykonania poprzez częściowe lub całkowite odtworzenie na wydzielonym sprzęcie komputerowym. 4. Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych są przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych. 5. W przypadku likwidacji nośników informatycznych zawierających dane osobowe lub kopie zapasowe systemów informatycznych służących do przetwarzania danych osobowych należy przed ich likwidacją usunąć dane osobowe lub uszkodzić je w sposób uniemożliwiający odczyt danych osobowych. V Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych 1. Nie należy przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe. Po upływie okresu ich użyteczności lub przechowywania, dane osobowe powinny zostać skasowane lub zniszczone tak, aby nie było możliwe ich odczytanie. 2. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe nie mogą być wynoszone poza pomieszczenia stanowiące obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa danych osobowych. 3. Elektroniczne nośniki informacji zawierające dane osobowe oraz kopie zapasowe, a także

12 wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanych szafach w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa danych osobowych, w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem i zniszczeniem. 4. W przypadku uszkodzenia lub zużycia nośnika informacji zwierających dane osobowe należy go fizycznie zniszczyć tak, aby nie było możliwe odczytanie danych osobowych. VI Sposób zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych 1. Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych stosowane jest oprogramowanie antywirusowe. 2. Każdy zbiór wczytywany do komputera, w tym także wiadomość , musi być przetestowany programem antywirusowym. 3. Na każdym stanowisku wyposażonym w dostęp do sieci Internet musi być zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania. VII Sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia 1. W systemie informatycznym służącym do przetwarzania danych osobowych odnotowywane są informacje o odbiorcach danych, a w szczególności imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. 2. W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, administrator danych odnotowuje je w rejestrze odbiorców danych osobowych. W rejestrze odnotowywane są imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. Wzór rejestru stanowi załącznik nr 4 do Instrukcji.

13 VIII Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych osobowych 1. Przeglądy i konserwacje sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, przeprowadzane są w pomieszczeniach stanowiących obszar przetwarzania danych osobowych, określony w Polityce bezpieczeństwa danych osobowych przez firmy zewnętrzne na podstawie zawartych umów. W umowie musi znajdować się zapis o powierzeniu danych osobowych. 2. W przypadku przekazywania do naprawy sprzętu komputerowego z zainstalowanym systemem informatycznym służącym do przetwarzania danych osobowych lub nośnikiem informacji służących do przetwarzania danych osobowych, powinien on zostać pozbawiony danych osobowych przez fizyczne wymontowanie dysku lub skasowanie danych lub naprawa powinna zostać przeprowadzona w obecności administratora danych. 3. Przeglądy techniczne wykonywane muszą być nie rzadziej niż raz w roku. 4. Nadzór nad przeprowadzaniem przeglądów technicznych, konserwacji i napraw sprzętu komputerowego, na którym zainstalowano system informatyczny służący do przetwarzania danych osobowych, systemu informatycznego służącego do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych pełni administrator danych. Administrator danych prowadzi dokumentację potwierdzającą wykonanie napraw, przeglądów i konserwacji. 5. Zabronione jest wykonywanie przeglądów i konserwacji systemów informatycznych służących do przetwarzania danych osobowych oraz nośników informacji służących do przetwarzania danych osobowych samodzielnie przez pracownika praktyki lekarskiej/dentystycznej. IX Pozostałe zasady ochrony systemu informatycznego służącego do przetwarzania danych osobowych 1. Administrator danych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie. 2. Należy instalować zalecane przez producentów oprogramowania poprawki i uaktualnienia systemu informatycznego służącego do przetwarzania danych osobowych celem wyeliminowania błędów w działaniu lub poprawienia wydajności działania.

14 Załącznik nr 1 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej. Wzór upoważnienia imiennego do przetwarzania danych osobowych w systemie informatycznym.. w praktyce lekarskiej/dentystycznej...., dnia... Upoważnienie imienne do przetwarzania danych osobowych w systemie informatycznym w praktyce lekarskiej/dentystycznej... Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 roku, Dz.U. Nr 101, poz. 926 ze zmianami) upoważniam Panią/Pana... (imię i nazwisko osoby upoważnionej) zatrudnioną/niego w... (nazwa praktyki) na stanowisku... do przetwarzania od dnia... danych osobowych w zakresie:... i nadaję identyfikator (podpis administratora danych osobowych) Załącznik nr 2 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej Wzór odwołania upoważnienia imiennego do przetwarzania danych osobowych w systemie informatycznym w praktyce lekarskiej/dentystycznej...., dnia... Odwołanie upoważnienia imiennego do przetwarzania danych osobowych w systemie informatycznym w praktyce lekarskiej/dentystycznej...

15 Na podstawie art. 37 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity z 2002 roku, Dz.U. Nr 101, poz. 926 ze zmianami) odwołuję upoważnienie Pani/Pana... (imię i nazwisko osoby upoważnionej) zatrudnionej/niego w... (nazwa praktyki) na stanowisku... do przetwarzania od dnia... danych osobowych w zakresie:... i cofam prawo do korzystania z identyfikatora...(dotyczy tylko wersji elektronicznej).... (podpis administratora danych osobowych) Załącznik nr 3 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej Wzór Rejestru osób upoważnionych do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej.... lp. Imię i nazwisko użytkownika Identyfikator użytkownika (dotyczy wersji elektronicznej) Zakres uprawnień Data nadania uprawnień Data odebrania uprawnień Przyczyna odebrania uprawnień Podpis administratora danych lub ABI Załącznik nr 4 do instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w praktyce lekarskiej/dentystycznej Wzór Rejestru odbiorców danych osobowych w praktyce lekarskiej/dentystycznej....

16 lp. Imię i nazwisko/nazwa odbiorcy danych osobowych Data udostępnienia danych osobowych Zakres udostępnionych danych osobowych 1 2 3