Tytuł dokumentu nr wewn. 28/05/2015 Zleceniodawca Sporządzający RAPORT Z PRZEPROWADZONEGO ZGODNOŚCI PRZETWARZANIA DANYCH OSBOWYCH Z OBOWIĄZUJĄCYMI PRZEPISAMI Dolnośląski Wojewódzki Specjalistyczny Szpital Kliniczny Paulina Podsiadła Data dokumentu 2015-05-12 Dodatkowe informacje Audyt przeprowadzony w dniu 2015-05-07 I. Podsumowanie raportu 1. Stwierdzone uchybienia Szpital przetwarza dane osobowe niezgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz.U. z 2014r., poz. 1182 ze zm.). Główne uchybienia dotyczą następujących obszarów: 1) nieaktualna dokumentacja dotycząca przetwarzania danych osobowych, 2) braku ustalonych procedur związanych z bezpieczeństwem danych, 3) niewypełnieniu obowiązków związanych z dopuszczeniem pracowników i zleceniobiorców do przetwarzania danych osobowych. 2. Konsekwencje uchybień W przypadku kontroli PIP lub GIODO (przeprowadzonej zgodnie z obowiązującymi przepisami) szacujemy, że z uwagi na stwierdzone braki dokumentacji i charakter przetwarzanych danych osobowych Szpital może otrzymać karę grzywny administracyjnej w kwocie od 30 tys. do 40 tys. zł. 3. Rekomendacje Z uwagi na charakter stwierdzonych uchybień, Biuro zaleca w szczególności: 1) aktualizację dokumentacji dotyczącej przetwarzania danych osobowych, 2) opracowanie procedury postępowania w razie zaistnienia naruszenia bądź ryzyka naruszenia bezpieczeństwa danych osobowych, 3) uporządkowanie dokumentacji pracowniczej w zakresie przetwarzania danych (upoważnienia do przetwarzania danych osobowych), 4) przeprowadzenie szkoleń pracowników i zleceniobiorców z zakresu bezpieczeństwa danych osobowych, 5) zawarcie umów powierzenia przetwarzania danych osobowych. II. Informacja na temat przeprowadzonego audytu 1. Cel przeprowadzenia audytu Celem audytu jest weryfikacja zgodności przetwarzania danych osobowych w Szpitalu oraz jego dostosowanie do wymogów prawa polskiego. 2. Podstawowe akty prawne OchrDOU - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz.U. z 2014r., poz. 1182 ze zm.),
Rozporządzenie w sprawie dokumentacji - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r., Nr 100, poz. 1024), Rozporządzenie w sprawie prowadzenia rejestru zbiorów danych osobowych - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015r., poz. 719), Rozporządzenie w sprawie realizacji zadań ABI - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015r., poz. 745). 3. Efekt przeprowadzonego audytu Skutkiem przeprowadzonego audytu są: 1) wykrycie uchybień w obszarze przetwarzania danych osobowych, 2) wskazanie sposobu usunięcia stwierdzonych uchybień. III. Ustalone warunki przetwarzania danych osobowych 1. Działalność Zleceniodawcy Jak wynika z przeprowadzonego wywiadu, Szpital prowadzi działalność w zakresie diagnostyki i leczenia chorób na oddziałach: neurologicznym, onkologicznym i ortopedycznym. Szpital prowadzi wyłącznie działalność stacjonarną. 2. Siedziba Zleceniodawcy Siedziba oraz centrum prowadzenia działalności szpitala mieści się we Wrocławiu, w województwie dolnośląskim. Można zatem przyjąć, że przetwarzanie danych osobowych przez Szpital podlega przepisom OchrDOU. 3. Ustalone zbiory danych osobowych Zgodnie z ustaleniami Biura, Szpital przetwarza następujące zbiory danych osobowych: 1) dane osobowe pracowników (w oparciu o art. 22 1 KP) oraz dane osobowe współpracowników na podstawie umów cywilnoprawnych, 2) dane osobowe kandydatów do pracy, 3) dane osobowe kontrahentów, 4) dane osobowe pacjentów szpitala. 4. Przetwarzanie danych wrażliwych Jak udało się ustalić, Szpital przetwarza dane wrażliwe (dane dotyczące stanu zdrowia pacjentów, o których mowa w art. 27 OchrDOU). 5. Powołanie Administratora Bezpieczeństwa Informacji
W Szpitalu wyznaczono Administratora Bezpieczeństwa Informacji (ABI) w osobie specjalisty informatyka pana Jana Nowaka, który jednak nie realizuje wszelkich obowiązków ciążących na ABI (por. pkt IV.2). 6. Zastosowane organizacyjne środki ochrony danych Szpital posiada dokumentację dotyczącą przetwarzania danych osobowych, wymaganą przez OchrDOU i Rozporządzenie w sprawie dokumentacji, jednak dokumentacja ta nie jest aktualna (dostosowana do obecnie obowiązujących przepisów). Pracownicy i zleceniobiorcy nie otrzymują odrębnych upoważnień do przetwarzania danych osobowych ani nie podpisują oświadczeń o wiedzy na temat konsekwencji prawnych i służbowych przetwarzania danych niezgodnie z ustawą. Nie są prowadzone szkolenia pracowników i zleceniobiorców w powyższym zakresie. 7. Zastosowane fizyczne środki ochrony danych Szpital stosuje fizyczne środki zabezpieczenia przetwarzania danych osobowych zasadniczo zgodne z obowiązującymi przepisami, przy czym w trakcie audytu odnotowano poważne, jednostkowe naruszenia (por. pkt IV.4). Stosowane środki zabezpieczeń fizycznych powinny być adekwatne do zagrożeń i dostosowane do konkretnych miejsc, w których może dojść do naruszenia bezpieczeństwa przetwarzania danych. 8. Zastosowane informatyczne środki ochrony danych Szpital stosuje informatyczne środki zabezpieczenia przetwarzania danych częściowo zgodne z obowiązującymi przepisami, stwierdziliśmy jednak uchybienia w tym zakresie, które omawiamy szczegółowo w punkcie IV.5 poniżej. 9. Powierzenie przetwarzania danych osobowych podmiotom zewnętrznym Jak wynika z ustaleń Biura, Szpital powierza przetwarzanie danych osobowych: 1) Poczcie Polskiej (dane pacjentów szpitala, którym na ich życzenie wysyłane są wyniki badań i inna dokumentacja medyczna), oraz 2) kancelarii prowadzącej obsługę prawną szpitala. Podmioty, którym Szpital powierza przetwarzanie danych osobowych, nie zawarły ze Szpitalem umów powierzenia przetwarzania danych. IV. Stwierdzone uchybienia oraz sposoby ich usunięcia 1. Nieaktualna dokumentacja dotycząca przetwarzania danych osobowych Po zapoznaniu się z treścią istniejącej dokumentacji dotyczącej przetwarzania danych osobowych specjaliści Biura stwierdzili, że dokumentacja ta jest nieaktualna (sporządzona w 2001 roku i niezmieniana od tamtej pory). Koniecznie należy zatem dostosować dokumentację nie tylko do wymogów istniejącego prawa, ale też do istniejących procedur i stwierdzonych zagrożeń bezpieczeństwa danych. 2. Obowiązki wobec pracowników (zleceniobiorców) Audyt wykazał, że nie są realizowane jedne z podstawowych obowiązków Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, to jest:
1) pracownicy i zleceniobiorcy nie otrzymują odrębnych upoważnień do przetwarzania danych osobowych, 2) pracownicy i zleceniobiorcy nie podpisują oświadczeń o wiedzy na temat konsekwencji prawnych i służbowych przetwarzania danych niezgodnie z ustawą, 3) nie jest prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych, 4) pracownicy i zleceniobiorcy nie zostali przeszkoleni z podstaw bezpiecznego przetwarzania danych osobowych, 5) brak jest nadzoru nad prawidłowym przetwarzaniem danych osobowych. Powyższe zdarzenia stanowią naruszenie podstawowych obowiązków Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, które należy jak najszybciej wyeliminować. Biuro może podjąć się przygotowania i wdrożenia wymaganych dokumentów, przeprowadzenia szkoleń oraz dopilnowania przestrzegania zasad bezpiecznego przetwarzania danych. 3. Brak umów o powierzenie przetwarzania danych osobowych Należy zawrzeć umowy powierzenia przetwarzania danych z podmiotami, od których Szpital pozyskuje dane osobowe lub którym takie dane powierza. Projekt umowy powierzenia przetwarzania danych, do stosowania w działalności Szpitala, przygotowujemy dla naszych klientów w ramach świadczonych przez nas usług. Alternatywnie, doradzamy naszym klientom wprowadzanie przygotowanych przez nas klauzul przetwarzania danych do już istniejących umów o współpracę, zwartych przez klienta (Szpital) z firmami zewnętrznymi. 4. Uchybienia w zakresie fizycznych zabezpieczeń danych osobowych W trakcie wykonywania audytu stwierdzono istotne braki fizycznych zabezpieczeń danych osobowych przetwarzanych w Szpitalu. Dotyczy to zwłaszcza: 1) niezamykanych na klucz archiwum (pokój 2.02), do którego dostęp mogą mieć osoby niepowołane, 2) pozostawiania przez pracowników Szpitala dokumentacji medycznej pacjentów w przypadkowych miejscach bez uwagi przez okres czasu wynoszący nawet pół godziny. Jak wykazał audyt, Szpital nie dysponuje procedurą którą należy wdrożyć w razie powstania podobnych zagrożeń lub naruszeń bezpieczeństwa danych osobowych. 5. Uchybienia w zakresie informatycznych zabezpieczeń danych osobowych Należy zapewnić zabezpieczenia informatyczne danych osobowych określone Rozporządzeniem w sprawie dokumentacji, które standardowo powinny być zawarte w Polityce Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym. Administrator systemu powinien wprowadzić następujące zasady użytkowania systemu IT: 1) na wszystkich komputerach należy zainstalować wygaszacze ekranu aktywujące proces uwierzytelnienia za pomocą hasła po krótkim czasie nieaktywności użytkownika, 2) identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie, 3) każdy użytkownik powinien posiadać indywidualny identyfikator (login) i hasło, 4) dane osobowe przetwarzane w systemie informatycznym należy zabezpieczyć przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych; kopie zapasowe przechowuje się w miejscach
zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się niezwłocznie po ustaniu ich użyteczności. 6. Informacje dodatkowe Raport wykazuje uchybienia w zakresie sposobów ochrony danych osobowych w Szpitalu, które dotyczą przede wszystkim kwestii proceduralnych, które są głównym przedmiotem kontroli GIODO. Dysponują Państwo zabezpieczeniami danych, jednak są one niepełne oraz mają one charakter incydentalny, nie podlegający żadnej procedurze, a to właśnie na nią OchrDOU i Rozporządzenia kładą szczególny nacisk. V. Prawne konsekwencje stwierdzonych uchybień Poniżej przedstawiamy Państwu możliwe konsekwencje prawne, jakie mogą powstać dla Szpitala w przypadku skarg pacjentów, kontroli GIODO lub PIP: 1) Nieaktualna dokumentacja oraz przetwarzanie danych osobowych niezgodnie z OchrDOU może narazić zarządzającego Szpitalem na odpowiedzialność cywilnoprawną (pozwy pacjentów), administracyjną (grzywna w znacznej wysokości), oraz w skrajnych przypadkach karną (kara ograniczenia lub pozbawienia wolności do lat 3), 2) Ryzyko kontroli przetwarzania danych osobowych znacząco wzrosło w 2013r. Na mocy porozumienia o współpracy z dnia 14 grudnia 2012 r. pomiędzy Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) a Państwową Inspekcją Pracy (PIP), prawidłowość przetwarzania danych osobowych weryfikują nie tylko Inspektorzy GIODO, ale również Inspektorzy PIP. Łącznie dokonywanych jest blisko aż 90 000 kontroli rocznie. 3) W przypadku Szpitala, na podstawie przeprowadzonego audytu i analizy prawnej oceniamy, że w razie kontroli GIODO lub PIP wysokość potencjalnej kary grzywny administracyjnej w Państwa przypadku oscyluje w granicach 30-40 tys. zł. VI. Dokumentacja dotycząca przetwarzania danych osobowych Na podstawie przeprowadzonego audytu możemy przygotować bądź zaktualizować dla Państwa dokumentację wymaganą przez przepisy prawa. Na dokumentację tę składają się: 1) Polityka Bezpieczeństwa Informacji, 2) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 3) Ewidencja osób upoważnionych do przetwarzania danych osobowych, 4) Wzór umowy powierzenia przetwarzania danych, 5) klauzule realizujące obowiązek informacyjny administratora danych oraz klauzule zgody na przetwarzanie danych osobowych. Z uwagi na fakt, że Szpital nie aktualizował na bieżąco wyżej wymienionych dokumentów, usługa objęłaby dostosowanie dokumentacji do faktycznie stosowanych środków bezpieczeństwa danych oraz obowiązujących przepisów prawa. VII. Rejestracja zbiorów danych w Rejestrze GIODO Spośród zbiorów danych osobowych przetwarzanych przez Szpital, rejestracji w rejestrze GIODO podlega wyłącznie zbiór danych pacjentów Szpitala (dane wrażliwe) i zbiór ten został zarejestrowany w rejestrze GIODO. Pozostałe przetwarzane zbiory danych
osobowych (zbiór danych osobowych pracowników, współpracowników oraz kandydatów do pracy i zbiór danych osobowych kontrahentów Szpitala) są wyłączone od rejestracji na podstawie zwolnienia z art. 43 ust. 2 OchrDOU. Biuro zauważa jednak, że zbiór danych osobowych pacjentów Szpitala został zgłoszony jeszcze przed zmianą struktury Szpitala, w związku z czym jako Administrator Danych Osobowych podany jest poprzednik prawny Szpitala. W związku z tym należy dokonać zgłoszenia aktualizującego dane w rejestrze. Biuro może przygotować stosowne wnioski, a następnie z powołaniem się na pełnomocnictwo udzielone przez Szpital dokonać zmiany wpisu w rejestrze GIODO. VIII. Powołanie Administratora Bezpieczeństwa Informacji Jak ustalono w trakcie wykonywanego audytu, w Szpitalu powołano ABI w osobie pana Jana Nowaka. O ile ABI dba o informatyczne zabezpieczenie przetwarzanych danych osobowych, o tyle nie realizuje on wszystkich obowiązków ciążących na nim na mocy OCHRDOU, Rozporządzenia w sprawie prowadzenia rejestru zbiorów danych osobowych oraz Rozporządzenia w sprawie ABI. Ustalono także, że ABI nie został zarejestrowany w stosownym rejestrze GIODO. Koniecznym jest zatem dopełnienie także tej procedury.