Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych



Podobne dokumenty
Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Północno-Wschodni Klaster Edukacji Cyfrowej

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Adwokat Marcin Haśko Kancelaria Adwokacka ul. Św. Mikołaja Wrocław tel/fax 071/

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Datacenter - inteligentne bezpieczne przechowywanie dokumentacji medycznej. r. pr. Radosław Kapułka

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

Ustawa o ochronie danych osobowych po zmianach

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

Bezpieczeństwo teleinformatyczne danych osobowych

Przetwarzanie danych osobowych w przedsiębiorstwie

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

Polityka bezpieczeństwa przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Zmiany w ustawie o ochronie danych osobowych

Dane osobowe w data center

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Analiza zgodności z wymogami dotyczącymi elektronicznej dokumentacji medycznej oraz gotowości na w

OCHRONA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

II Lubelski Konwent Informatyków i Administracji r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Załącznik nr 7 do SIWZ OP-IV PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

PROGRAM NAUCZANIA KURS ABI

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik nr10 do IWZ Załącznik nr 4 do Umowy

Podstawowe obowiązki administratora danych osobowych

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

Ochrona danych osobowych przy obrocie wierzytelnościami

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rozdział I Zagadnienia ogólne

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

a) po 11 dodaje się 11a 11g w brzmieniu:

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

Bezpieczeństwo danych osobowych listopada 2011 r.

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Ochrona danych osobowych w biurach rachunkowych

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

PROWADZENIE DOKUMENTACJI MEDYCZNEJ W PRAKTYCE LEKARSKIEJ W FORMIE ELEKTRONICZNEJ. Jerzy Gryko

Protokół kontroli problemowej przeprowadzonej w Urzędzie Gminy Łomża Ul. Skłodowskiej 1a, Łomża NIP , REGON

Umowa nr ADO/.../2016 powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Nowe przepisy i zasady ochrony danych osobowych

PolGuard Consulting Sp.z o.o. 1

REGULAMIN. organizacji i przetwarzania danych osobowych.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

- WZÓR- Umowa powierzenia przetwarzania danych osobowych nr./2018

Zarządzenie nr 101/2011

Regulamin w zakresie przetwarzania danych osobowych w Gimnazjum nr 2 im. Aleksandra Kamińskiego w Żarach

wraz z wzorami wymaganej prawem dokumentacją

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Transkrypt:

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, - ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, - rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, - rozporządzenie Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. 1. Administrator danych Lekarz, lekarz dentysta wykonujący działalność leczniczą w ramach praktyki zawodowej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Administrator danych jest osobą decydującą o celach i środkach przetwarzania danych osobowych. Obowiązki administratora danych: obowiązek informacyjny wypełniany przy zbieraniu danych osobowych, szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza, udzielanie informacji o zakresie przetwarzanych danych osobowych, obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora, obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,

kontrola, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane, prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (nie dotyczy zbiorów danych będących dokumentacją medyczną). 2. Gromadzenie i przetwarzanie danych w ramach prowadzenia dokumentacji medycznej Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Podmioty wykonujące działalność leczniczą są obowiązane prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.). Podmioty wykonujące działalność leczniczą zapewniają ochronę danych zawartych w tej dokumentacji. Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w przypadkach wymienionych w art. 26 ustawy prawach pacjenta i Rzeczniku Praw Pacjenta, który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją. Uwaga 1) zbiór danych osobowych gromadzony w ramach dokumentacji medycznej nie podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych; 2) nie ma obowiązku uzyskiwania zgody pacjenta na przetwarzanie danych osobowych zawartych w dokumentacji medycznej w celach świadczenia usług medycznych; 3) przetwarzanie ww. danych w innym celu wymaga zgody pacjenta. 3. Sposób zabezpieczenia danych osobowych przez lekarza, lekarza dentystę wykonującego praktykę zawodową. Lekarz, lekarz dentysta jako administrator danych osobowych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych

osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności. Ww. obowiązek obejmuje: poinformowanie pacjentów o nazwie praktyki lekarskiej, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści swoich danych, wdrożenie polityki bezpieczeństwa, wdrożenie instrukcji zarządzania systemem informatycznym ( jeśli taki jest), który służy przetwarzaniu danych pacjentów, wdrożenie środków technicznych i organizacyjnych mających na celu realizację powyższych punktów, w przypadku zatrudniania personelu pomocniczego, przygotowanie imiennych upoważnień dostępu do danych osobowych z określeniem zakresu dostępu, jak również ewidencji osób upoważnionych. Przy konstruowaniu dokumentu, polityki bezpieczeństwa należy uwzględnić w szczególności następujące elementy : wykaz budynków i pomieszczeń gdzie dane osobowe są przetwarzane, wykaz zbiorów danych osobowych, wraz ze wskazaniem narzędzi informatycznych używanych do zarządzania zbiorami, opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne wypełnia pacjent. Jeśli dodatkowo lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie elektronicznej powstaje konieczność przygotowania instrukcji przetwarzania danych: Przy redagowaniu takiej instrukcji należy uwzględnić w szczególności następujące elementy: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności;

stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; sposób, miejsce i okres przechowywania: o elektronicznych nośników informacji zawierających dane osobowe, o kopii zapasowych, o których mowa w tirecie 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego sposób odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ponadto wskazane jest wdrożenie środków technicznych polegających na : zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób nieupoważnionych, stosowanie systemów podtrzymywania napięcia lub innych metod zapobiegających nagłej utracie danych, stosowanie wieloznakowego hasła dostępu, stosowania szyfrowania danych w przypadku przesyłania ich za pomocą publicznej sieci internetowej. Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przed GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych.

Kwestie związane z zabezpieczeniem dokumentacji medycznej prowadzonej w postaci elektronicznej uregulowane są również rozporządzeniu Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Zgodnie z 86 tego rozporządzenia dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności: systematycznego dokonywania analizy zagrożeń; opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania; stosowania środków bezpieczeństwa adekwatnych do zagrożeń; bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów; przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. Zgodnie z ww. rozporządzeniem ochronę informacji prawnie chronionych zawartych w dokumentacji prowadzonej w postaci elektronicznej realizuje się z odpowiednim stosowaniem zasad określonych w odrębnych przepisach, przez które należy rozumieć m.in. wymienione na wstępie przepisy dotyczące ochrony danych osobowych. Załączniki: 1) Apel Naczelnej Rady Lekarskiej z dnia 18 maja 2012 r.

2) Link do opracowania GIODO - Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa: http://www.giodo.gov.pl/222/ Opracowały: Anna Pogorzelska - administrator bezpieczeństwa informacji Naczelnej Izby Lekarskiej Anna Miszczak - radca prawny Zespołu Radców Prawnych Naczelnej Izby Lekarskiej

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres