ul. Antoniukowska 11
15-740 Białystok

Pon: 9:00 - 14:00 tylko recepcja-zapisy
Wt, Śr: 9:00 - 12:00 16:00-19:00
Czw, Pt: 9:00 - 14:00

Telefon:
+85 651-66-45
Menu

Polityka Bezpieczeństwa Przetwarzania Danych Osobowych

w Gabinecie Ginekologicznym dr Małgorzaty Pytko

WSTĘP

Niniejsza Polityka Bezpieczeństwa Danych Osobowychstanowi zbiór procedur dotyczących standardów bezpieczeństwa oraz realizacji obowiązków Administratora danych względem podmiotów danych oraz organu nadzorczego sformułowanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Słowniczek:

  1. Polityce- należy przez to rozumieć niniejszą Politykę Bezpieczeństwa Przetwarzania Danych Osobowych.
  2. Administratorze danych– rozumie się przez to autora niniejszych procedur – dr Małgorzatę Pytko.
  3. Odbiorcy danych– rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
  4. Danych osobowych– rozumie się przez to informacje zgodne z definicją zawartą w art. 4 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WEo zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

  5. Procesorze lub Podmiocie przetwarzającym– oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
  6. Państwie trzecim– rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego (UE, Norwegia, Islandia, Liechtenstein).
  7. RODO lub rozporządzeniu– rozumie się przez torozporządzenie Parlamentu Europejskiego
    i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).
  8. Ustawie lub ustawie krajowej- należy przez to rozumieć ustawę z dnia 10 maja 2018 r.
    o ochronie danych osobowych.
  9. Procesie przetwarzania danych– należy przez to rozumieć zorganizowany
    i ustrukturyzowany w ramach Administratora proces operowania na danych osobowych w jednym wyznaczonym celu.
  10. Przetwarzaniu danych– rozumie się przez to zgodnie z art. 4 ust. 2 RODO operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
  11. Systemie informatycznym– rozumie się przez to zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej.
  12. Zabezpieczeniu danych w systemie informatycznym– rozumie się przez to wszelkie środki techniczne i organizacyjne zapewniające ochronę danych przed wystąpieniem zidentyfikowanych i niezidentyfikowanych ryzyk.
  13. Zapomnieniu– rozumie się przez trwałe usuwanie, zniszczenie danych osobowych lub ich całkowitą i nieodwracalną anonimizację.
  14. Zgodzie osoby, której dane dotyczą– oznacza to dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli podmiotu danych na przetwarzanie dotyczących go danych osobowychw oznaczonym celu.
  15. Środkach technicznych i organizacyjnych– należy przez to rozumieć wszelkie środki niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
  16. Profilowaniu– oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
  17. Pseudonimizacji– oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
  18. Naruszeniu ochrony danych osobowych– rozumie się przez to zgodnie z art. 4 pkt 12 RODO naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Rozdział I

OBOWIĄZKI ADMINISTRATOR DANYCH

  1. Administrator danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są poddawane cyklicznym przeglądom i - w razie potrzeby - uaktualnieniu.
  2. Administrator danych dokonał analizy i oceny rodzajów przetwarzanych danych w ramach wewnętrznych procesów.
  3. Administrator danych prowadzi rejestr czynności przetwarzania zgodnie z załącznikiem nr 1 do niniejszej Polityki.
  4. W ramach załącznika nr 2 do niniejszej Polityki Administrator opracował Instrukcję postępowania w przypadku incydentów ochrony danych.

Rozdział II

ZABEZPIECZENIA

  1. W celu ochrony danych spełniono wymogi, o których mowa w rozporządzeniu i ustawie krajowej, tj. wdrożono zabezpieczenia formalno-prawne w szczególności:
    • a)przeprowadzono analizę ryzyka z uwzględnieniem adekwatnych, identyfikowanych zagrożeń, kontekstu działalności Administratora, zasobów oraz zabezpieczeń, zgodnie z Załącznikiem nr 3 do niniejszej Polityki,
    • b)do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez Administratora danych. Wzór upoważnienia stanowi Załącznik nr 4 do niniejszej Polityki.
    • c)zawarto umowy powierzenia przetwarzania danych z procesorami.
  2. W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej:
    • a)dane osobowe przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi,
    • b)budynek, w którym przetwarzane są dane osobowe wyposażony jest w system alarmowy przeciwwłamaniowy,
    • c)budynek, w którym przetwarzane są dane osobowe wyposażony jest w system monitoringu,
    • d)dokumenty zawierające dane osobowe przechowywane są w zamkniętych szafach
      • a)kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w odrębnym budynku, w zamkniętym pomieszczeniu,
      • b)zamontowano gaśnicę przeciwpożarową,
      • c)dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
  3. W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
    • a)dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia
    • b)zastosowano system antywirusowy;
    • c)użyto Firewall do ochrony dostępu do sieci komputerowej;
  4. W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych:
    • a)dostęp do danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
    • b)zainstalowano wygaszacz ekranu na stanowiskach, na których przetwarzane są dane osobowe;
  5. W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
    • a)osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych i treścią niniejszej Polityki.
    • b)osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania w tajemnicy sposobów zabezpieczenia danych;
    • c)monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.

Rozdział III

ZASADY BEZPIECZEŃSTWA DANYCH

  1. Użytkownik zobowiązany jest do samodzielnej cyklicznej zmiany hasła oraz do zachowania hasła w poufności, nawet po utracie przez nie ważności.
  2. Zabrania się używania w serwisach internetowych takich samych lub podobnych haseł jak w systemie komputerowym.
  3. Zabrania się stosowania tego samego hasła jako zabezpieczenia w dostępie do różnych systemów.
  4. Pracownik jest zobligowany zgłosić zagubienie, utratę lub zniszczenie powierzonego mu sprzętu.
  5. Samowolne instalowanie, otwieranie lub demontaż urządzeń, instalowanie dodatkowych niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
  6. Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym wglądu do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu, a przed czasowym opuszczeniem stanowiska pracy użytkownik zobowiązany jest zainstalować wygaszacz ekranu (Windows + L) lub wylogować się z systemu, bądź z programu.
  7. Po zakończeniu pracy użytkownik zobowiązany jest: wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy, zabezpieczyć stanowisko pracy, w szczególności wszelkie nośniki, na których znajdują się dane osobowe.
  8. Wszyscy są zobowiązani do stosowania tzw. „Polityki czystego biurka”. Na biurku bezwzględnie nie może leżeć dokumentacja medyczna pacjentki innej niż ta aktualnie przyjmowana przez lekarza.
  9. Pracownicy gabinetu zobowiązani są do niszczenia dokumentów i wydruków w niszczarkach.
  10. Zabrania się pozostawiania dokumentów z danymi osobowymi poza zabezpieczonymi pomieszczeniami, np. w korytarzach, na kserokopiarkach, drukarkach, w pomieszczeniu poczekalni.
  11. W przypadku, gdy pracownik, przewozi dokumenty zawierające dane osobowe zobligowany jest do ich zabezpieczenia przed zagubieniem i kradzieżą.
  12. Lekarz upewnia się, czy obraz USG jest czysty przed każdorazowym zaproszeniem pacjentki na badanie. Zapis obrazu USG wraz z danymi osobowymi pacjentki poprzedniej nie może być widoczny dla Pacjentek wchodzących w drugiej kolejności.
  13. Zakazane jest wynoszenie na zewnątrz organizacji elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Pracodawcy. Do takich nośników zalicza się: zewnętrzne twarde dyski, pendrive, płyty itd.
  14. Należy zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę lub podania loginów i haseł, PIN-ów, numerów kart płatniczych.
  15. Zakazane jest wyłączanie systemu antywirusowego podczas pracy systemu informatycznego.
  16. W przypadku stwierdzenia zainfekowania systemu lub pojawienia się komunikatów „. Twój system jest zainfekowany!, zainstaluj program antywirusowy”, użytkownik obowiązany jest poinformować niezwłocznie o tym fakcie informatyka.
  17. Zabronione jest „klikanie” na hyperlinki w mailach, gdyż mogą to być odnośniki do stron z „wirusami”.
  18. Podczas wysyłania maili do wielu adresatów jednocześnie należy użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do większego grona adresatów z użyciem opcji „Do wiadomości”.
  19. Podczas rozmów telefonicznych z pacjentkami w obecności innych osób oczekujących na wizytę zabrania się wypowiadania na głos imion nazwisk lub innych elementów umożliwiających identyfikację osoby dzwoniącej w połączeniu z jej wynikami badań i informacjami o stanie zdrowia, gdyż są to szczególne kategorie danych wymagające wzmożonej ochrony. Pacjentka dzwoniąca jest zobligowana do podania swoich danych w celu rejestracji wizyty lub uwiarygodnienia swojej osoby przed przekazaniem informacji o wynikach badań.

Rozdział IV

PROCEDURA BACKUP

  1. Administrator dokonuje kopii zapasowej danych osobowych na zaszyfrowany dysk zewnętrzny cyklicznie – na koniec każdego miesiąca.
  2. Kopia zapasowa danych osobowych przechowywana jest w odrębnym budynku w pomieszczeniu zamykanym na klucz.

Rozdział V

PROCEDURA ANALIZY RYZYKA

  1. Analizę ryzyka przeprowadza Administrator danych z wykorzystaniem Załącznika nr 3.
  2. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz na dwa lata i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
  3. Na podstawie wyników przeprowadzonej analizy ryzyka Administrator danych wdraża sposoby postępowania z ryzykiem.
  4. Każdorazowo Administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.
  5. Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 6 punktów zgodnie z matrycą ryzyka stanowiącą część analizy ryzyka.
  6. W każdej sytuacji, w której Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne.

Rozdział IV

PROCEDURA WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI

  1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem Umowy powierzenia przetwarzania danych osobowych.
  2. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych Administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta.

Rozdział VII

PROCEDURA ZARZĄDZANIA INCYDENTAMI

  1. W każdym przypadku naruszenia ochrony danych osobowych Administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych ( w szczególności Pacjentek).
  2. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godzin od identyfikacji naruszenia.
  3. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
  4. Administrator danych dokumentuje każde naruszenie.

Rozdział VIII

PROCEDURA REALIZACJI PRAW OSÓB FIZYCZNYCH (PODMIOTÓW DANYCH)

  1. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą żądania skorzystania z praw przewidzianych w rozporządzeniu Administrator danych rozpatruje indywidualnie.
  2. Administrator danych niezwłocznie, nie później niż w terminie miesiąca realizuje następujące prawa osób, których dane dotyczą:
    • a)prawo dostępu do danych,
    • b)prawo do sprostowania danych,
    • c)prawo do usunięcia danych (bycia zapomnianym)
    • d)prawo do przenoszenia danych,
    • e)prawo do sprzeciwu wobec przetwarzania danych,
    • f)prawo do niepodlegania decyzjom opartym wyłącznie na profilowaniu.
  3. W przypadku realizacji praw Administrator niezwłocznie informuje podmiot danych oraz odbiorców danych, którym udostępnił on przedmiotowe dane.
  4. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów RODO, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.

Rozdział IX

PROCEDURA INFORMOWANIA PODMIOTÓW DANYCH

W każdym przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą, Administrator informuje osobę, której dane dotyczą: kto jest Administratorem danych, w jakim celu dane będą przetwarzane, przez jaki czas będą przechowywane oraz jakie prawa posiada osoba w związku z przetwarzaniem jej danych osobowych (szczegółowy katalog wynikający z art. 13 RODO).Treść klauzuli informacyjnej została zamieszczona na stronie internetowej Administratora danych.

Rozdział X

PROCEDURA NADAWANIA UPOWAŻNIEŃ DO PRZETWARZANIA DANYCH

Każdorazowo przed rozpoczęciem pracy przez pracownika lub współpracownika
(zleceniobiorcę) Administrator Danych udziela upoważnienia do przetwarzania danych adekwatnego do zakresu dostępu do kategorii danych osobowych w ramach obowiązków służbowych. Wzór upoważnienia stanowi załącznik nr 4 do niniejszej Polityki.

Rozdział XI

POSTANOWIENIA KOŃCOWE

Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.

Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez Administratora danych.