Ochrona danych osobowych w praktyce zespołu hospicyjnego. mgr inż. Anna Predko-Maliszewska

Transkrypt

1 Ochrona danych osobowych w praktyce zespołu hospicyjnego mgr inż. Anna Predko-Maliszewska

2 Źródła prawa regulujące ochronę danych osobowych Ustawa o ochronie danych osobowych Rozporządzenia Prawo o stowarzyszeniach Ustawa o rozwoju lokalnym z udziałem lokalnej społeczności Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1303/2013 z dnia 17 grudnia 2013

3 Definicje Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, której tożsamośd można określid bezpośrednio lub pośrednio umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działao.

4 Dane wrażliwe dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależnośd wyznaniową, partyjną lub związkową dane o stanie zdrowia kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazao, orzeczeo o ukaraniu i mandatów karnych, inne orzeczenia wydane w postępowaniu sądowym lub administracyjnym

5 Przetwarzanie danych osobowych gromadzenie, rejestracja, porządkowanie, przechowywanie, modyfikacja, odzyskiwanie, konsultowanie, archiwizowanie, wykorzystywanie, ujawnianie poprzez transmisję, publikowanie, rozpowszechnianie lub udostępnianie w inny sposób, układanie lub kompilowanie, blokowanie, usuwanie lub niszczenie.

6 Zbiór danych uporządkowany zestaw danych osobowych posiadający określoną strukturę, umożliwiający przeglądanie lub wyszukiwanie według określonych kryteriów (np. data urodzenia, nazwisko).

7 Administrator Danych Osobowych (ADO) instytucja (podmiot) decydująca o celach i środkach przetwarzania danych osobowych. Odpowiedzialny za przetwarzanie danych osobowych, organizację środków niezbędnych do zgodnego z prawem przetwarzania danych i za kontrolę nad przetwarzaniem.

8 Administrator Bezpieczeostwa Informacji (ABI) osoba powołana przez ADO, odpowiedzialna za nadzorowanie stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Powołanie ABI jest dobrowolne.

9 Odbiorca danych rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem: osoby, której dane dotyczą, osoby upoważnionej do przetwarzania danych, przedstawiciela, o którym mowa w art. 31a ustawy o ochronie danych osobowych (przedstawiciel wyznaczany jest przez podmioty mające siedzibę albo miejsce zamieszkania w paostwie trzecim), podmiotu, o którym mowa w art. 31 ustawy o ochronie danych osobowych (podmiot, któremu powierzono przetwarzanie danych osobowych), organów paostwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem

10 Przesłanki legalizujące przetwarzanie danych osobowych Art. 23. ust. 1 1) osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, 2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działao przed zawarciem umowy na żądanie osoby, której dane dotyczą, 4) jest niezbędne do wykonania określonych prawem zadao realizowanych dla dobra publicznego, 5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

11 Przesłanki legalizujące przetwarzanie danych wrażliwych Art. 27. ust. 2 6) przetwarzanie jest niezbędne do wykonania zadao administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie 7) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;

12 Obowiązek informacyjny Przy zbieraniu danych bezpośrednio od osoby, której dane dotyczą (Art. 24), W przypadku zbierania danych niebezpośrednio od osoby, której dane dotyczą (Art. 25)

13 Obowiązek informacyjny Poinformowanie osoby, której dane dotyczą o: nazwie administratora danych i jego siedzibie, celu zbierania danych i przewidywanych odbiorcach danych, prawie dostępu do treści danych oraz do ich poprawiania, dobrowolności albo obowiązku podania danych (w przypadku obowiązku należy podad podstawę prawną) chyba, że osoba, której dane dotyczą posiada powyższe informacje

14 Dokumentacja ochrony danych osobowych Polityka bezpieczeostwa danych osobowych 1) wykaz budynków, pomieszczeo lub części pomieszczeo, tworzących obszar, w którym przetwarzane są dane osobowe 2) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 3) opis struktury zbiorów danych wskazujący zawartośd poszczególnych pól informacyjnych i powiązania między nimi 4) sposób przepływu danych pomiędzy poszczególnymi systemami 5) określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

15 Dokumentacja ochrony danych osobowych Instrukcja obsługi systemu informatycznego 1) procedury nadawania uprawnieo do przetwarzania danych i rejestrowania tych uprawnieo w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, 2) opis stosowanych metod i środków uwierzytelnienia (logowania) oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakooczenia pracy w systemach informatycznych, 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, 5) sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

16 Dokumentacja ochrony danych osobowych Instrukcja obsługi systemu informatycznego 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania szkodliwego (wirusy, konie trojaoskie itp.) 7) sposób odnotowywania: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane osobowe do systemu, źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą, informacji o odbiorcach, sprzeciwu na przetwarzanie danych w celach marketingowych lub na przekazanie ich innemu administratorowi danych. 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

17 Rejestracja zbiorów Zwolnienia z obowiązku rejestracji (Art. 43 ust. 1) 4) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się; 5) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta; 12) przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych

18 Rejestracja zbiorów ABI został powołany Rejestracja zbiorów zwykłych w rejestrze ABI Rejestracja zbiorów wrażliwych w rejestrze GIODO ABI nie został powołany Rejestracja zbiorów zwykłych w rejestrze GIODO Rejestracja zbiorów wrażliwych w rejestrze GIODO

19 Środki techniczne i organiacyjne Administrator wyznacza ABI, lub sam wykonuje te czynności Administrator stosuje zabezpieczenia adekwatne do zagrożeo Administrator opracowuje i wdraża Politykę i Instrukcję Administrator nadaje upoważnienia do przetwarzania D.O. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania D.O. Administrator wyznacza zabezpieczenia organizacyjne, fizyczne, infrastruktury IT i programów przetwarzających D.O.

20 Art Administrator danych może powierzyd innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Powierzenie danych 2. Podmiot, o którym mowa w ust. 1, może przetwarzad dane wyłącznie w zakresie i celu przewidzianym w umowie.

21 W hospicjum

22 Identyfikacja zbiorów danych Jakie dane, w jakiej postaci gromadzimy Jakie są przesłanki legalności Gdzie dane się znajdują, w jaki sposób są zabezpieczone Bezpieczeostwo danych Potencjalne zagrożenia

23 Zbiór pacjenci Podzbiory Legalnośd Rejestracja Dokumentacja medyczna (papierowa, elektroniczna) Skierowania Kolejka Rozliczenia z NFZ Art.23, ust 1, pkt. 2 (jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) Zwolnienie z rejestracji Art. 43, ust 1, pkt. 4 (przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się)

24 Zbiór pacjenci Uwagi Obowiązek informacyjny Powierzenie danych: - Zlecanie badao - Transport medyczny pacjentów - Firma rozliczająca z NFZ - Elektroniczna dokumentacja medyczna działająca w chmurze Zbierając oświadczenia (dotyczące np. informowania osób bliskich) od pacjenta

25 Zbiór pracownicy Podzbiory Legalnośd Rejestracja Program Płatnik Program kadrowo płacowy Akta osobowe Płace (papierowe) BHP (papierowe) Art.23, ust 1, pkt. 2 (jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa) Zwolnienie z rejestracji Art. 43, ust 1, pkt. 4 (przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się)

26 Zbiór pracownicy Uwagi Obowiązek informacyjny Warto rozpatrzyd co się dzieje, przed zatrudnieniem pracownika ogłoszenie o pracę - Zgoda na CV? - Obowiązek informacyjny w ogłoszeniu o pracę Powierzenia danych BHP Medycyna pracy Zewnętrzna obsługa kadr i płac Osoba, której dane dotyczą posiada informacje

27 Zbiór szkolenia / konferencje Podzbiory Legalnośd Rejestracja Karty zgłoszeo, listy obecności Ewidencja np. w arkuszu kalkulacyjnym Art. 23. ust. 1, pkt 1 osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych Zwolnienie z rejestracji Art. 43, ust 1, pkt. 4 (przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się)

28 Zbiór szkolenia / konferencje Uwagi Zgoda Przed każdym szkoleniem należy się zastanowid nad klauzulą informacyjną oraz zgodą na przetwarzanie danych (byd może zgodę jest już na formularzu zgłoszeniowym, a może uczestnicy szkolenia to osoby biorące udział w projekcie X i zgodę już wyraziły) Zgodnie z Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych wyrażam zgodę na przetwarzanie moich danych osobowych przez Hospicjum do celów związanych z udokumentowaniem oraz rozliczeniem szkolenia.

29 Zbiór szkolenia / konferencje Obowiązek informacyjny Zgodnie z art. 24 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych informuję, iż: 1) administratorem Pani/Pana danych osobowych jest (Hospicjum) z siedzibą w (Adres Hospicjum), 2) Pani/Pana dane osobowe przetwarzane będą w celu udokumentowania oraz rozliczenia szkolenia i nie będą udostępniane innym odbiorcom, 3) posiada Pani/Pan prawo dostępu do treści swoich danych oraz ich poprawiania, 4) podanie danych osobowych jest dobrowolne.

30 Lista obecności Imię i nazwisko Zgoda na przetwarzanie danych osobowych Podpis Jan Kowalski Wyrażam zgodę na przetwarzanie moich danych osobowych w celu. przez Anna Nowak Wyrażam zgodę na przetwarzanie moich danych osobowych w celu. przez Wyrażam zgodę na przetwarzanie moich danych osobowych w celu. przez Administratorem Pani/Pana danych osobowych jest itd.

31 Podzbiory Legalnośd Rejestracja Uwagi Zgoda Zbiór marketingowy Formularz kontaktowy Newsletter, formularz kontaktowy, Art.23, ust 1, pkt. 1 (osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych) Tak SSL Dobrze byłoby alby dane przychodziły na adres poczty elektronicznej, a nie były przetwarzane w CMS Zgodnie z Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych wyrażam zgodę na przetwarzanie moich danych przez Hospicjum (nazwa) w celu prowadzenia korespondencji z Hospicjum. Zgodnie z Ustawą z dnia 29 sierpnia 1997 roku o Ochronie Danych Osobowych wyrażam zgodę na przetwarzanie moich danych przez Hospicjum w celu informowania przez Hospicjum o podejmowanych działaniach

32 Inne zbiory Darczyocy Wolontariusze Baza darczyoców (Płyta DVD) Korespondencja mailowa Baza wolontariuszy (excel) Karty wolontariuszy (papierowe) Art.23, ust 1, pkt 4 jest niezbędne do wykonania określonych prawem zadao realizowanych dla dobra publicznego Art.23, ust 1, pkt 4 jest niezbędne do wykonania określonych prawem zadao realizowanych dla dobra publicznego TAK TAK

33 Inne zbiory Konkursy Karty zgłoszeo (papierowe) Art.23, ust 1, pkt 1 NIE Zgoda osoby Kontrahenci Umowy - zlecenia (papierowe) Art.23, ust 1, pkt 3 jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działao przed zawarciem umowy na żądanie osoby, której dane dotyczą NIE

34 Inne zbiory Rejestr korespondencji Rejestr papierowy Art.23, ust 1, pkt 5 jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. Wizerunek Monitoring Art.23, ust 1, pkt 5 TAK NIE

35 Rejestracja zbiorów Nazwa zbioru danych Nazwa administratora danych adres REGON nazwa przedstawiciela ADO adres przedstawiciela nazwa podmiotu, któremu powierzono przetwarzanie danych (procesora) adres podmiotu, któremu powierzono przetwarzanie danych (procesora) podstawa prawna upoważniająca do prowadzenia zbioru cel przetwarzania danych w zbiorze; opis kategorii osób, których dane są przetwarzane w zbiorze; zakres danych przetwarzanych w zbiorze; sposób zbierania danych do zbioru, w szczególności informacja czy dane do zbioru są zbierane od osób, których dotyczą, czy z innych źródeł niż osoba, której dane dotyczą; sposób udostępniania danych ze zbioru, w szczególności informacja czy dane ze zbioru są udostępniane podmiotom innym niż upoważnione na podstawie przepisów prawa; oznaczenie odbiorcy danych lub kategorii odbiorców, którym dane mogą byd przekazywane; informacja dotycząca ewentualnego przekazywania danych do paostwa trzeciego. Wpis zbioru do rejestru Aktualizacja Wykreślenie zbioru z rejestru

36 Powierzenie danych Wymagana jest umowa powierzenia Komu dane powierzamy Medycyna pracy BHP Archiwizacja, niszczenie dokumentów Badania laboratoryjne, przewóz pacjentów Obsługa IT Hosting

37 Powierzenie danych Jeśli powierzone zbiory podlegają rejestracji należy zaktualizowad rejestr Warto W umowie wskazad konkretną osobę odpowiedzialną za raportowanie o incydentach Przed podpisaniem umowy audyt dopuszczający

38 Struktura zbiorów danych

39 Struktura zbiorów danych Instrukcja obsługi Zrzuty z ekranu Własny wykaz pól informacyjnych

40 Sposób przepływu danych

41 Upoważnienia do przetwarzania danych Pracownicy, osoby na umowie o dzieło, zlecenie Stażyści, praktykanci Przed przystąpieniem do przetwarzania danych

42 Upoważnienia do przetwarzania danych Zapoznanie Szkolenie Regulamin Oświadczenie o poufności Złożone przez pracownika Upoważnienie do przetwarzania Wprowadzenie pracownika do ewidencji Prowadzonej przez ABI lub ADO

43 Upoważnienie

44 Ewidencja upoważnieo Nr upoważnienia Imię i nazwisko Data nadania Data odebrania Login Zakres upoważnienia

45 Odejście pracownika, stażysty należy anulowad upoważnienie do przetwarzania danych osobowych oraz zaktualizowad ewidencję osób upoważnionych.

46 Inne wymagane elementy instrukcji zarządzania systemem informatycznym 2) opis stosowanych metod i środków uwierzytelnienia (logowania) oraz procedury związane z ich zarządzaniem i użytkowaniem, 3) procedury rozpoczęcia, zawieszenia i zakooczenia pracy w systemach informatycznych,

47 Inne wymagane elementy instrukcji zarządzania systemem informatycznym 4) procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, Częstotliwośd wykonywania, Sposób wykonywania, Rodzaj kopii bezpieczeostwa, Miejsce przechowywania, Osoba odpowiedzialna 5) sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych

48 Inne wymagane elementy instrukcji zarządzania systemem informatycznym 6) sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania szkodliwego (wirusy, konie trojaoskie itp.) 7) sposób odnotowywania: daty pierwszego wprowadzenia danych do systemu, identyfikatora użytkownika wprowadzającego dane osobowe do systemu, źródła danych, w przypadku zbierania danych nie od osoby, której one dotyczą, informacji o odbiorcach, sprzeciwu na przetwarzanie danych w celach marketingowych lub na przekazanie ich innemu administratorowi danych. 8) procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

49 Inne procedury Polityka kluczy Zasady korzystania z Internetu Zasady korzystania z poczty Przebywanie na obszarze przetwarzania i obsługa interesantów Serwerownie (zasady dostępu) Zasada czystego biurka i ekranu Drukowanie dokumentów Transportowanie informacji

50 Odpowiedzialnośd przetwarzanie danych osobowych w zbiorze bez prawa przetwarzania tych danych (art. 49 ust. 1 ustawy) odpowiedzialny: administrator danych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2

51 Odpowiedzialnośd przetwarzanie danych wrażliwych, o którym mowa w art. 27 ust 1 ustawy bez prawa przetwarzania tych danych (art. 49 ust. 2 ustawy) odpowiedzialny: administrator danych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 3

52 Odpowiedzialnośd przetwarzanie danych osobowych w zbiorze niezgodnie z celem utworzenia zbioru (art. 50 ustawy) odpowiedzialny: administrator danych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku

53 Odpowiedzialnośd udostępnianie danych osobowych lub umożliwianie dostępu do nich osobom nieupoważnionym (art. 51 ust. 1 ustawy) odpowiedzialny: administrator danych, osoba zobowiązana do ochrony danych osobowych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do lat 2 (nieumyślnie do 1 roku)

54 Odpowiedzialnośd naruszenie chodby nieumyślne obowiązku zabezpieczenia danych osobowych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem (art. 52 ustawy) odpowiedzialny: administrator danych, osoba zobowiązana do ochrony danych osobowych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku

55 Odpowiedzialnośd nie zgłoszenie do rejestracji zbioru danych będąc do tego zobowiązanym (art. 53 ustawy) odpowiedzialny: administrator danych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku

56 Odpowiedzialnośd nie dopełnienie obowiązku poinformowania osoby, której dane dotyczą, o ich przetwarzaniu i o jej prawach (art. 54 ustawy) odpowiedzialny: administrator danych zagrożenie karą: grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku

57 Odpowiedzialnośd W przypadku naruszenia przepisów o ochronie danych osobowych Generalny Inspektor może wszcząd postępowanie w trybie KPA nakazujące przywrócenie stanu zgodnego z prawem W razie niewykonania decyzji administracyjnej stosowana jest kara przymuszenia: PLN x 4 dla osób fizycznych, dla instytucji i firm PLN x 4

58 Dziękuję za uwagę mgr inż. Anna Predko Maliszewska Kontakt: Tel