Informacja na temat przeprowadzonego audytu



Podobne dokumenty
Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZAŁĄCZNIK NR 7 DO UMOWY NR [***] O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

PROJEKT UMOWY W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Wnioski i perspektywy dla przedsiębiorstw po najnowszych zmianach w polskiej ustawie o ochronie danych osobowych

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

PARTNER.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

II Lubelski Konwent Informatyków i Administracji r.

UMOWA Nr PO /15 o powierzenie przetwarzania danych osobowych

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w sklepie internetowym prowadzonym przez firmę STORK Szymon Małachowski

ECK EUREKA tel fax

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Zmiana obowiązków zabezpieczania danych osobowych

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

REGULAMIN. organizacji i przetwarzania danych osobowych.

Zabezpieczanie danych osobowych przetwarzanych na potrzeby kampanii wyborczej

Szkolenie otwarte 2016 r.

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Z A R Z Ą D Z E N I E Nr 187/2011. Wójta Gminy Celestynów z dnia 26 września 2011 roku

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

OCHRONA DANYCH OSOBOWYCH W ADMINISTRACJI. Nowelizacja Ustawy o ochronie danych osobowych (UODO) z 1 stycznia 2015 r. informacje wstępne:

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

UMOWA POWIERZENIA DANYCH OSOBOWYCH. Nr MOPS / /.. zawarta w dniu. w Kraśniku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Ochrona danych osobowych w praktyce szkolnej. Suwałki, 7 marca 2013r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

wraz z wzorami wymaganej prawem dokumentacją

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Uchwała wchodzi w życie z dniem uchwalenia.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

BIURO OCHRONY DANYCH OSOBOWYCH BODO24 KOMPLEKSOWA REALIZACJA RODO

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

CENTRUM CYFROWEJ ADMINISTRACJI

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Załącznik 4. Umowa o zachowaniu poufności przetwarzania danych osobowych, zwana dalej Umową

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRZETWARZANYCH PRZY UŻYCIU SYSTEMÓW INFORMATYCZNYCH

Zarządzenie 132/2015. Burmistrza Miasta i Gminy Ogrodzieniec z dnia 10 września 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

Szkolenie. Ochrona danych osobowych

PolGuard Consulting Sp.z o.o. 1

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Wdrożenie systemu ochrony danych osobowych

:00 17:00. Organizator szkolenia: Związek Pracodawców Ziemi Jaworskiej

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

weryfikację prawidłowości zapisów dokumentacji zgodnie z ustawą o ochronie danych osobowych (t.j. Dz. U. z 2014 r. poz z późn.zm.

Zadania administratora bezpieczeństwa informacji w krajowych przepisach o ochronie danych osobowych aktualny stan prawny

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

Białystok, 11 stycznia 2012r.

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Dane osobowe w data center

Polityka Bezpieczeństwa i Ochrony Danych Osobowych przetwarzanych przez Instytut Filozofii i Socjologii Polskiej Akademii Nauk. z siedzibą w Warszawie

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

SYSTEM OCHRONY DANYCH OSOBOWYCH W PRZEDSIĘBIORSTWIE INFORMACJE OGÓLNE

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

Umowa powierzenia przetwarzania danych osobowych

2. Cele i polityka zabezpieczania systemów informatycznych, w których przetwarzane są dane osobowe

ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

Nowe przepisy i zasady ochrony danych osobowych

Ochrona danych osobowych w praktyce

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Instrukcja Zarządzania Systemem Informatycznym Urzędu Miejskiego w Zdzieszowicach

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Transkrypt:

Tytuł dokumentu nr wewn. 28/05/2015 Zleceniodawca Sporządzający RAPORT Z PRZEPROWADZONEGO ZGODNOŚCI PRZETWARZANIA DANYCH OSBOWYCH Z OBOWIĄZUJĄCYMI PRZEPISAMI Dolnośląski Wojewódzki Specjalistyczny Szpital Kliniczny Paulina Podsiadła Data dokumentu 2015-05-12 Dodatkowe informacje Audyt przeprowadzony w dniu 2015-05-07 I. Podsumowanie raportu 1. Stwierdzone uchybienia Szpital przetwarza dane osobowe niezgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz.U. z 2014r., poz. 1182 ze zm.). Główne uchybienia dotyczą następujących obszarów: 1) nieaktualna dokumentacja dotycząca przetwarzania danych osobowych, 2) braku ustalonych procedur związanych z bezpieczeństwem danych, 3) niewypełnieniu obowiązków związanych z dopuszczeniem pracowników i zleceniobiorców do przetwarzania danych osobowych. 2. Konsekwencje uchybień W przypadku kontroli PIP lub GIODO (przeprowadzonej zgodnie z obowiązującymi przepisami) szacujemy, że z uwagi na stwierdzone braki dokumentacji i charakter przetwarzanych danych osobowych Szpital może otrzymać karę grzywny administracyjnej w kwocie od 30 tys. do 40 tys. zł. 3. Rekomendacje Z uwagi na charakter stwierdzonych uchybień, Biuro zaleca w szczególności: 1) aktualizację dokumentacji dotyczącej przetwarzania danych osobowych, 2) opracowanie procedury postępowania w razie zaistnienia naruszenia bądź ryzyka naruszenia bezpieczeństwa danych osobowych, 3) uporządkowanie dokumentacji pracowniczej w zakresie przetwarzania danych (upoważnienia do przetwarzania danych osobowych), 4) przeprowadzenie szkoleń pracowników i zleceniobiorców z zakresu bezpieczeństwa danych osobowych, 5) zawarcie umów powierzenia przetwarzania danych osobowych. II. Informacja na temat przeprowadzonego audytu 1. Cel przeprowadzenia audytu Celem audytu jest weryfikacja zgodności przetwarzania danych osobowych w Szpitalu oraz jego dostosowanie do wymogów prawa polskiego. 2. Podstawowe akty prawne OchrDOU - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. jedn. Dz.U. z 2014r., poz. 1182 ze zm.),

Rozporządzenie w sprawie dokumentacji - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004r., Nr 100, poz. 1024), Rozporządzenie w sprawie prowadzenia rejestru zbiorów danych osobowych - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych (Dz.U. z 2015r., poz. 719), Rozporządzenie w sprawie realizacji zadań ABI - rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. z 2015r., poz. 745). 3. Efekt przeprowadzonego audytu Skutkiem przeprowadzonego audytu są: 1) wykrycie uchybień w obszarze przetwarzania danych osobowych, 2) wskazanie sposobu usunięcia stwierdzonych uchybień. III. Ustalone warunki przetwarzania danych osobowych 1. Działalność Zleceniodawcy Jak wynika z przeprowadzonego wywiadu, Szpital prowadzi działalność w zakresie diagnostyki i leczenia chorób na oddziałach: neurologicznym, onkologicznym i ortopedycznym. Szpital prowadzi wyłącznie działalność stacjonarną. 2. Siedziba Zleceniodawcy Siedziba oraz centrum prowadzenia działalności szpitala mieści się we Wrocławiu, w województwie dolnośląskim. Można zatem przyjąć, że przetwarzanie danych osobowych przez Szpital podlega przepisom OchrDOU. 3. Ustalone zbiory danych osobowych Zgodnie z ustaleniami Biura, Szpital przetwarza następujące zbiory danych osobowych: 1) dane osobowe pracowników (w oparciu o art. 22 1 KP) oraz dane osobowe współpracowników na podstawie umów cywilnoprawnych, 2) dane osobowe kandydatów do pracy, 3) dane osobowe kontrahentów, 4) dane osobowe pacjentów szpitala. 4. Przetwarzanie danych wrażliwych Jak udało się ustalić, Szpital przetwarza dane wrażliwe (dane dotyczące stanu zdrowia pacjentów, o których mowa w art. 27 OchrDOU). 5. Powołanie Administratora Bezpieczeństwa Informacji

W Szpitalu wyznaczono Administratora Bezpieczeństwa Informacji (ABI) w osobie specjalisty informatyka pana Jana Nowaka, który jednak nie realizuje wszelkich obowiązków ciążących na ABI (por. pkt IV.2). 6. Zastosowane organizacyjne środki ochrony danych Szpital posiada dokumentację dotyczącą przetwarzania danych osobowych, wymaganą przez OchrDOU i Rozporządzenie w sprawie dokumentacji, jednak dokumentacja ta nie jest aktualna (dostosowana do obecnie obowiązujących przepisów). Pracownicy i zleceniobiorcy nie otrzymują odrębnych upoważnień do przetwarzania danych osobowych ani nie podpisują oświadczeń o wiedzy na temat konsekwencji prawnych i służbowych przetwarzania danych niezgodnie z ustawą. Nie są prowadzone szkolenia pracowników i zleceniobiorców w powyższym zakresie. 7. Zastosowane fizyczne środki ochrony danych Szpital stosuje fizyczne środki zabezpieczenia przetwarzania danych osobowych zasadniczo zgodne z obowiązującymi przepisami, przy czym w trakcie audytu odnotowano poważne, jednostkowe naruszenia (por. pkt IV.4). Stosowane środki zabezpieczeń fizycznych powinny być adekwatne do zagrożeń i dostosowane do konkretnych miejsc, w których może dojść do naruszenia bezpieczeństwa przetwarzania danych. 8. Zastosowane informatyczne środki ochrony danych Szpital stosuje informatyczne środki zabezpieczenia przetwarzania danych częściowo zgodne z obowiązującymi przepisami, stwierdziliśmy jednak uchybienia w tym zakresie, które omawiamy szczegółowo w punkcie IV.5 poniżej. 9. Powierzenie przetwarzania danych osobowych podmiotom zewnętrznym Jak wynika z ustaleń Biura, Szpital powierza przetwarzanie danych osobowych: 1) Poczcie Polskiej (dane pacjentów szpitala, którym na ich życzenie wysyłane są wyniki badań i inna dokumentacja medyczna), oraz 2) kancelarii prowadzącej obsługę prawną szpitala. Podmioty, którym Szpital powierza przetwarzanie danych osobowych, nie zawarły ze Szpitalem umów powierzenia przetwarzania danych. IV. Stwierdzone uchybienia oraz sposoby ich usunięcia 1. Nieaktualna dokumentacja dotycząca przetwarzania danych osobowych Po zapoznaniu się z treścią istniejącej dokumentacji dotyczącej przetwarzania danych osobowych specjaliści Biura stwierdzili, że dokumentacja ta jest nieaktualna (sporządzona w 2001 roku i niezmieniana od tamtej pory). Koniecznie należy zatem dostosować dokumentację nie tylko do wymogów istniejącego prawa, ale też do istniejących procedur i stwierdzonych zagrożeń bezpieczeństwa danych. 2. Obowiązki wobec pracowników (zleceniobiorców) Audyt wykazał, że nie są realizowane jedne z podstawowych obowiązków Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, to jest:

1) pracownicy i zleceniobiorcy nie otrzymują odrębnych upoważnień do przetwarzania danych osobowych, 2) pracownicy i zleceniobiorcy nie podpisują oświadczeń o wiedzy na temat konsekwencji prawnych i służbowych przetwarzania danych niezgodnie z ustawą, 3) nie jest prowadzona ewidencja osób upoważnionych do przetwarzania danych osobowych, 4) pracownicy i zleceniobiorcy nie zostali przeszkoleni z podstaw bezpiecznego przetwarzania danych osobowych, 5) brak jest nadzoru nad prawidłowym przetwarzaniem danych osobowych. Powyższe zdarzenia stanowią naruszenie podstawowych obowiązków Administratora Danych Osobowych oraz Administratora Bezpieczeństwa Informacji, które należy jak najszybciej wyeliminować. Biuro może podjąć się przygotowania i wdrożenia wymaganych dokumentów, przeprowadzenia szkoleń oraz dopilnowania przestrzegania zasad bezpiecznego przetwarzania danych. 3. Brak umów o powierzenie przetwarzania danych osobowych Należy zawrzeć umowy powierzenia przetwarzania danych z podmiotami, od których Szpital pozyskuje dane osobowe lub którym takie dane powierza. Projekt umowy powierzenia przetwarzania danych, do stosowania w działalności Szpitala, przygotowujemy dla naszych klientów w ramach świadczonych przez nas usług. Alternatywnie, doradzamy naszym klientom wprowadzanie przygotowanych przez nas klauzul przetwarzania danych do już istniejących umów o współpracę, zwartych przez klienta (Szpital) z firmami zewnętrznymi. 4. Uchybienia w zakresie fizycznych zabezpieczeń danych osobowych W trakcie wykonywania audytu stwierdzono istotne braki fizycznych zabezpieczeń danych osobowych przetwarzanych w Szpitalu. Dotyczy to zwłaszcza: 1) niezamykanych na klucz archiwum (pokój 2.02), do którego dostęp mogą mieć osoby niepowołane, 2) pozostawiania przez pracowników Szpitala dokumentacji medycznej pacjentów w przypadkowych miejscach bez uwagi przez okres czasu wynoszący nawet pół godziny. Jak wykazał audyt, Szpital nie dysponuje procedurą którą należy wdrożyć w razie powstania podobnych zagrożeń lub naruszeń bezpieczeństwa danych osobowych. 5. Uchybienia w zakresie informatycznych zabezpieczeń danych osobowych Należy zapewnić zabezpieczenia informatyczne danych osobowych określone Rozporządzeniem w sprawie dokumentacji, które standardowo powinny być zawarte w Polityce Bezpieczeństwa oraz Instrukcji zarządzania systemem informatycznym. Administrator systemu powinien wprowadzić następujące zasady użytkowania systemu IT: 1) na wszystkich komputerach należy zainstalować wygaszacze ekranu aktywujące proces uwierzytelnienia za pomocą hasła po krótkim czasie nieaktywności użytkownika, 2) identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie, 3) każdy użytkownik powinien posiadać indywidualny identyfikator (login) i hasło, 4) dane osobowe przetwarzane w systemie informatycznym należy zabezpieczyć przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych; kopie zapasowe przechowuje się w miejscach

zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem oraz usuwa się niezwłocznie po ustaniu ich użyteczności. 6. Informacje dodatkowe Raport wykazuje uchybienia w zakresie sposobów ochrony danych osobowych w Szpitalu, które dotyczą przede wszystkim kwestii proceduralnych, które są głównym przedmiotem kontroli GIODO. Dysponują Państwo zabezpieczeniami danych, jednak są one niepełne oraz mają one charakter incydentalny, nie podlegający żadnej procedurze, a to właśnie na nią OchrDOU i Rozporządzenia kładą szczególny nacisk. V. Prawne konsekwencje stwierdzonych uchybień Poniżej przedstawiamy Państwu możliwe konsekwencje prawne, jakie mogą powstać dla Szpitala w przypadku skarg pacjentów, kontroli GIODO lub PIP: 1) Nieaktualna dokumentacja oraz przetwarzanie danych osobowych niezgodnie z OchrDOU może narazić zarządzającego Szpitalem na odpowiedzialność cywilnoprawną (pozwy pacjentów), administracyjną (grzywna w znacznej wysokości), oraz w skrajnych przypadkach karną (kara ograniczenia lub pozbawienia wolności do lat 3), 2) Ryzyko kontroli przetwarzania danych osobowych znacząco wzrosło w 2013r. Na mocy porozumienia o współpracy z dnia 14 grudnia 2012 r. pomiędzy Generalnym Inspektorem Ochrony Danych Osobowych (GIODO) a Państwową Inspekcją Pracy (PIP), prawidłowość przetwarzania danych osobowych weryfikują nie tylko Inspektorzy GIODO, ale również Inspektorzy PIP. Łącznie dokonywanych jest blisko aż 90 000 kontroli rocznie. 3) W przypadku Szpitala, na podstawie przeprowadzonego audytu i analizy prawnej oceniamy, że w razie kontroli GIODO lub PIP wysokość potencjalnej kary grzywny administracyjnej w Państwa przypadku oscyluje w granicach 30-40 tys. zł. VI. Dokumentacja dotycząca przetwarzania danych osobowych Na podstawie przeprowadzonego audytu możemy przygotować bądź zaktualizować dla Państwa dokumentację wymaganą przez przepisy prawa. Na dokumentację tę składają się: 1) Polityka Bezpieczeństwa Informacji, 2) Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, 3) Ewidencja osób upoważnionych do przetwarzania danych osobowych, 4) Wzór umowy powierzenia przetwarzania danych, 5) klauzule realizujące obowiązek informacyjny administratora danych oraz klauzule zgody na przetwarzanie danych osobowych. Z uwagi na fakt, że Szpital nie aktualizował na bieżąco wyżej wymienionych dokumentów, usługa objęłaby dostosowanie dokumentacji do faktycznie stosowanych środków bezpieczeństwa danych oraz obowiązujących przepisów prawa. VII. Rejestracja zbiorów danych w Rejestrze GIODO Spośród zbiorów danych osobowych przetwarzanych przez Szpital, rejestracji w rejestrze GIODO podlega wyłącznie zbiór danych pacjentów Szpitala (dane wrażliwe) i zbiór ten został zarejestrowany w rejestrze GIODO. Pozostałe przetwarzane zbiory danych

osobowych (zbiór danych osobowych pracowników, współpracowników oraz kandydatów do pracy i zbiór danych osobowych kontrahentów Szpitala) są wyłączone od rejestracji na podstawie zwolnienia z art. 43 ust. 2 OchrDOU. Biuro zauważa jednak, że zbiór danych osobowych pacjentów Szpitala został zgłoszony jeszcze przed zmianą struktury Szpitala, w związku z czym jako Administrator Danych Osobowych podany jest poprzednik prawny Szpitala. W związku z tym należy dokonać zgłoszenia aktualizującego dane w rejestrze. Biuro może przygotować stosowne wnioski, a następnie z powołaniem się na pełnomocnictwo udzielone przez Szpital dokonać zmiany wpisu w rejestrze GIODO. VIII. Powołanie Administratora Bezpieczeństwa Informacji Jak ustalono w trakcie wykonywanego audytu, w Szpitalu powołano ABI w osobie pana Jana Nowaka. O ile ABI dba o informatyczne zabezpieczenie przetwarzanych danych osobowych, o tyle nie realizuje on wszystkich obowiązków ciążących na nim na mocy OCHRDOU, Rozporządzenia w sprawie prowadzenia rejestru zbiorów danych osobowych oraz Rozporządzenia w sprawie ABI. Ustalono także, że ABI nie został zarejestrowany w stosownym rejestrze GIODO. Koniecznym jest zatem dopełnienie także tej procedury.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres