Co powinna zawierać instrukcja ochrony danych osobowych w ZOZ Praktyczne wskazówki z gotowym wzorem instrukcji dla ZOZ
Co powinna zawierać instrukcja ochrony danych osobowych w ZOZ Praktyczne wskazówki z gotowym wzorem instrukcji dla ZOZ
Co powinna zawieraç instrukcja ochrony danych osobowych w ZOZ Autor Paulina Wójcik-Lulka Wydawca Alina Sulgostowska Redaktor Anna Rubinkowska Koordynator produkcji Mariusz Jezierski Projekt graficzny okładki Dariusz Ziach Korekta Zespół BBP 0905 ISBN 978-83-269-0785-2 Copyright by Wydawnictwo Wiedza i Praktyka Sp. z o.o. Warszawa 2011 Wydawnictwo Wiedza i Praktyka Sp. z o.o. 03-918 Warszawa, ul. Łotewska 9a, tel. 22 518 29 29, faks 22 617 60 10 E-book jest chroniony prawem autorskim. Przedruk materiałów bez zgody wydawcy jest zabroniony. Zakaz nie dotyczy cytowania publikacji z powołaniem się na źródło. Zaproponowane w niniejszym e-booku wskazówki, porady i interpretacje dotyczą sytuacji typowych. Ich zastosowanie w konkretnym przypadku może wymagać dodatkowych pogłębionych konsultacji. Publikowane rozwiązania nie mogą być traktowane jako oficjalne stanowisko organów i urzędów państwowych. W związku z tym redakcja nie może ponosić odpowiedzialności prawnej za zastosowanie zawartych w e-booku wskazówek, przykładów, informacji itp. do konkretnych przypadków.
Co powinna zawieraç instrukcja ochrony danych osobowych w ZOZ Co powinna zawierać instrukcja ochrony danych osobowych w ZOZ Odpowiada: Paulina Wójcik-Lulka, radca prawny Na jakie obligatoryjne elementy w instrukcji ochrony danych osobowych powinien zwrócić uwagę administrator danych podczas jej opracowywania? W instrukcji ochrony danych osobowych trzeba wskazać systemy informatyczne, których ona dotyczy, ich lokalizacje, stosowane metody dostępu. Powinna ona także zawierać zagadnienia dotyczące zapewnienia bezpieczeństwa informacji. W związku z przetwarzaniem danych osobowych oraz tworzeniem zbiorów danych osobowych pacjentów związanymi ze świadczeniem usług medycznych w ZOZ konieczne jest opracowanie instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Obowiązek opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, wynika z 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Opracowana instrukcja powinna być zatwierdzona przez administratora danych i stosowana przez użytkowników systemu informatycznego jako obowiązujący dokument. Zawarte w niej wytyczne i procedury powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację, stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Zawartość instrukcji W treści instrukcji powinny być zawarte: ogólne informacje o systemie informatycznym i zbiorach danych osobowych, które są przy ich użyciu przetwarzane, informacje o zastosowanych rozwiązaniach technicznych, procedury eksploatacji i zasady użytkowania, jakie zastosowano w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych. Większe wymogi przepisy stawiają administratorowi danych, który do przetwarzania danych wykorzystuje nie jeden, lecz kilka systemów informatycznych. W takiej sytuacji powinien on opracować jedną, ogólną instrukcję zarządzania, wykorzystując pewne podobieństwa zastosowanych rozwiązań lub w przypadku niedających się pogodzić odrębności powinien on opracować oddzielne instrukcje dla każdego z użytkowanych systemów. Zatem, w zależności od przyjętego rozwiązania, różny będzie zakres opracowanych zagadnień w zależności od wielkości danego podmiotu i wykorzystanej liczby danych: inny w małych podmiotach świadczących usługi medyczne, w których dane osobowe przetwarzane są za pomocą jednego stanowiska komputerowego i inny w dużych podmiotach, w których stworzono rozbudowane lokalne sieci komputerowe z dużą liczbą dedykowanych serwerów lub stacji roboczych działających przy użyciu różnorodnych systemów informatycznych. Konieczne wskazanie systemów informatycznych W instrukcji powinny być wskazane systemy informatyczne, których ona dotyczy, ich lokalizacje, stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej czy też poprzez sieć telekomunikacyjną, np. łącze dzierżawione, Internet). Instrukcja ta powinna obejmować zagadnienia dotyczące zapewnienia bezpieczeństwa informacji, a przede wszystkim elementy wymienione w 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. Wi cej porad na www.serwiszoz.pl 1
Niedostępne w wersji demonstracyjnej. Zapraszamy do zakupu pełnej wersji książki w serwisie