w Gabinecie Ginekologicznym dr Małgorzaty Pytko
WSTĘP
Niniejsza Polityka Bezpieczeństwa Danych Osobowychstanowi zbiór procedur dotyczących standardów bezpieczeństwa oraz realizacji obowiązków Administratora danych względem podmiotów danych oraz organu nadzorczego sformułowanych w Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Słowniczek:
- Polityce- należy przez to rozumieć niniejszą Politykę Bezpieczeństwa Przetwarzania Danych Osobowych.
- Administratorze danych– rozumie się przez to autora niniejszych procedur – dr Małgorzatę Pytko.
- Odbiorcy danych– rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią.
- Danych osobowych– rozumie się przez to informacje zgodne z definicją zawartą w art. 4 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WEo zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
- Procesorze lub Podmiocie przetwarzającym– oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
- Państwie trzecim– rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego (UE, Norwegia, Islandia, Liechtenstein).
- RODO lub rozporządzeniu– rozumie się przez torozporządzenie Parlamentu Europejskiego
i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE).
- Ustawie lub ustawie krajowej- należy przez to rozumieć ustawę z dnia 10 maja 2018 r.
o ochronie danych osobowych.
- Procesie przetwarzania danych– należy przez to rozumieć zorganizowany
i ustrukturyzowany w ramach Administratora proces operowania na danych osobowych w jednym wyznaczonym celu.
- Przetwarzaniu danych– rozumie się przez to zgodnie z art. 4 ust. 2 RODO operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
- Systemie informatycznym– rozumie się przez to zbiór powiązanych ze sobą elementów, którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej.
- Zabezpieczeniu danych w systemie informatycznym– rozumie się przez to wszelkie środki techniczne i organizacyjne zapewniające ochronę danych przed wystąpieniem zidentyfikowanych i niezidentyfikowanych ryzyk.
- Zapomnieniu– rozumie się przez trwałe usuwanie, zniszczenie danych osobowych lub ich całkowitą i nieodwracalną anonimizację.
- Zgodzie osoby, której dane dotyczą– oznacza to dobrowolne, konkretne, świadome i jednoznaczne oświadczenie woli podmiotu danych na przetwarzanie dotyczących go danych osobowychw oznaczonym celu.
- Środkach technicznych i organizacyjnych– należy przez to rozumieć wszelkie środki niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych.
- Profilowaniu– oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;
- Pseudonimizacji– oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;
- Naruszeniu ochrony danych osobowych– rozumie się przez to zgodnie z art. 4 pkt 12 RODO naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Rozdział I
OBOWIĄZKI ADMINISTRATOR DANYCH
- Administrator danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać. Środki te są poddawane cyklicznym przeglądom i - w razie potrzeby - uaktualnieniu.
- Administrator danych dokonał analizy i oceny rodzajów przetwarzanych danych w ramach wewnętrznych procesów.
- Administrator danych prowadzi rejestr czynności przetwarzania zgodnie z załącznikiem nr 1 do niniejszej Polityki.
- W ramach załącznika nr 2 do niniejszej Polityki Administrator opracował Instrukcję postępowania w przypadku incydentów ochrony danych.
Rozdział II
ZABEZPIECZENIA
- W celu ochrony danych spełniono wymogi, o których mowa w rozporządzeniu i ustawie krajowej, tj. wdrożono zabezpieczenia formalno-prawne w szczególności:
- a)przeprowadzono analizę ryzyka z uwzględnieniem adekwatnych, identyfikowanych zagrożeń, kontekstu działalności Administratora, zasobów oraz zabezpieczeń, zgodnie z Załącznikiem nr 3 do niniejszej Polityki,
- b)do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez Administratora danych. Wzór upoważnienia stanowi Załącznik nr 4 do niniejszej Polityki.
- c)zawarto umowy powierzenia przetwarzania danych z procesorami.
- W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej:
- a)dane osobowe przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi,
- b)budynek, w którym przetwarzane są dane osobowe wyposażony jest w system alarmowy przeciwwłamaniowy,
- c)budynek, w którym przetwarzane są dane osobowe wyposażony jest w system monitoringu,
- d)dokumenty zawierające dane osobowe przechowywane są w zamkniętych szafach
- a)kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w odrębnym budynku, w zamkniętym pomieszczeniu,
- b)zamontowano gaśnicę przeciwpożarową,
- c)dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek dokumentów.
- W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:
- a)dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia
- b)zastosowano system antywirusowy;
- c)użyto Firewall do ochrony dostępu do sieci komputerowej;
- W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych:
- a)dostęp do danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;
- b)zainstalowano wygaszacz ekranu na stanowiskach, na których przetwarzane są dane osobowe;
- W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:
- a)osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych i treścią niniejszej Polityki.
- b)osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania w tajemnicy sposobów zabezpieczenia danych;
- c)monitory komputerów, na których przetwarzane są dane osobowe, ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
Rozdział III
ZASADY BEZPIECZEŃSTWA DANYCH
- Użytkownik zobowiązany jest do samodzielnej cyklicznej zmiany hasła oraz do zachowania hasła w poufności, nawet po utracie przez nie ważności.
- Zabrania się używania w serwisach internetowych takich samych lub podobnych haseł jak w systemie komputerowym.
- Zabrania się stosowania tego samego hasła jako zabezpieczenia w dostępie do różnych systemów.
- Pracownik jest zobligowany zgłosić zagubienie, utratę lub zniszczenie powierzonego mu sprzętu.
- Samowolne instalowanie, otwieranie lub demontaż urządzeń, instalowanie dodatkowych niezatwierdzonych urządzeń do systemu informatycznego jest zabronione.
- Użytkownik jest zobowiązany do uniemożliwienia osobom niepowołanym wglądu do danych wyświetlanych na monitorach komputerowych – tzw. Polityka czystego ekranu, a przed czasowym opuszczeniem stanowiska pracy użytkownik zobowiązany jest zainstalować wygaszacz ekranu (Windows + L) lub wylogować się z systemu, bądź z programu.
- Po zakończeniu pracy użytkownik zobowiązany jest: wylogować się z systemu informatycznego, a następnie wyłączyć sprzęt komputerowy, zabezpieczyć stanowisko pracy, w szczególności wszelkie nośniki, na których znajdują się dane osobowe.
- Wszyscy są zobowiązani do stosowania tzw. „Polityki czystego biurka”. Na biurku bezwzględnie nie może leżeć dokumentacja medyczna pacjentki innej niż ta aktualnie przyjmowana przez lekarza.
- Pracownicy gabinetu zobowiązani są do niszczenia dokumentów i wydruków w niszczarkach.
- Zabrania się pozostawiania dokumentów z danymi osobowymi poza zabezpieczonymi pomieszczeniami, np. w korytarzach, na kserokopiarkach, drukarkach, w pomieszczeniu poczekalni.
- W przypadku, gdy pracownik, przewozi dokumenty zawierające dane osobowe zobligowany jest do ich zabezpieczenia przed zagubieniem i kradzieżą.
- Lekarz upewnia się, czy obraz USG jest czysty przed każdorazowym zaproszeniem pacjentki na badanie. Zapis obrazu USG wraz z danymi osobowymi pacjentki poprzedniej nie może być widoczny dla Pacjentek wchodzących w drugiej kolejności.
- Zakazane jest wynoszenie na zewnątrz organizacji elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Pracodawcy. Do takich nośników zalicza się: zewnętrzne twarde dyski, pendrive, płyty itd.
- Należy zachować szczególną ostrożność w przypadku podejrzanego żądania lub prośby zalogowania się na stronę lub podania loginów i haseł, PIN-ów, numerów kart płatniczych.
- Zakazane jest wyłączanie systemu antywirusowego podczas pracy systemu informatycznego.
- W przypadku stwierdzenia zainfekowania systemu lub pojawienia się komunikatów „. Twój system jest zainfekowany!, zainstaluj program antywirusowy”, użytkownik obowiązany jest poinformować niezwłocznie o tym fakcie informatyka.
- Zabronione jest „klikanie” na hyperlinki w mailach, gdyż mogą to być odnośniki do stron z „wirusami”.
- Podczas wysyłania maili do wielu adresatów jednocześnie należy użyć metody „Ukryte do wiadomości – UDW”. Zabronione jest rozsyłanie maili do większego grona adresatów z użyciem opcji „Do wiadomości”.
- Podczas rozmów telefonicznych z pacjentkami w obecności innych osób oczekujących na wizytę zabrania się wypowiadania na głos imion nazwisk lub innych elementów umożliwiających identyfikację osoby dzwoniącej w połączeniu z jej wynikami badań i informacjami o stanie zdrowia, gdyż są to szczególne kategorie danych wymagające wzmożonej ochrony. Pacjentka dzwoniąca jest zobligowana do podania swoich danych w celu rejestracji wizyty lub uwiarygodnienia swojej osoby przed przekazaniem informacji o wynikach badań.
Rozdział IV
PROCEDURA BACKUP
- Administrator dokonuje kopii zapasowej danych osobowych na zaszyfrowany dysk zewnętrzny cyklicznie – na koniec każdego miesiąca.
- Kopia zapasowa danych osobowych przechowywana jest w odrębnym budynku w pomieszczeniu zamykanym na klucz.
Rozdział V
PROCEDURA ANALIZY RYZYKA
- Analizę ryzyka przeprowadza Administrator danych z wykorzystaniem Załącznika nr 3.
- Analiza ryzyka jest przeprowadzana nie rzadziej niż raz na dwa lata i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.
- Na podstawie wyników przeprowadzonej analizy ryzyka Administrator danych wdraża sposoby postępowania z ryzykiem.
- Każdorazowo Administrator danych wybiera sposób postępowania z ryzykiem i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.
- Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 6 punktów zgodnie z matrycą ryzyka stanowiącą część analizy ryzyka.
- W każdej sytuacji, w której Administrator decyduje się obniżyć ryzyko, wyznacza listę zabezpieczeń do wdrożenia, termin realizacji i osoby odpowiedzialne.
Rozdział IV
PROCEDURA WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI
- Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem Umowy powierzenia przetwarzania danych osobowych.
- Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych Administrator danych weryfikuje zgodność z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta.
Rozdział VII
PROCEDURA ZARZĄDZANIA INCYDENTAMI
- W każdym przypadku naruszenia ochrony danych osobowych Administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych ( w szczególności Pacjentek).
- Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godzin od identyfikacji naruszenia.
- Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.
- Administrator danych dokumentuje każde naruszenie.
Rozdział VIII
PROCEDURA REALIZACJI PRAW OSÓB FIZYCZNYCH (PODMIOTÓW DANYCH)
- Każdy przypadek zgłoszenia przez osobę, której dane dotyczą żądania skorzystania z praw przewidzianych w rozporządzeniu Administrator danych rozpatruje indywidualnie.
- Administrator danych niezwłocznie, nie później niż w terminie miesiąca realizuje następujące prawa osób, których dane dotyczą:
- a)prawo dostępu do danych,
- b)prawo do sprostowania danych,
- c)prawo do usunięcia danych (bycia zapomnianym)
- d)prawo do przenoszenia danych,
- e)prawo do sprzeciwu wobec przetwarzania danych,
- f)prawo do niepodlegania decyzjom opartym wyłącznie na profilowaniu.
- W przypadku realizacji praw Administrator niezwłocznie informuje podmiot danych oraz odbiorców danych, którym udostępnił on przedmiotowe dane.
- Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów RODO, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.
Rozdział IX
PROCEDURA INFORMOWANIA PODMIOTÓW DANYCH
W każdym przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą, Administrator informuje osobę, której dane dotyczą: kto jest Administratorem danych, w jakim celu dane będą przetwarzane, przez jaki czas będą przechowywane oraz jakie prawa posiada osoba w związku z przetwarzaniem jej danych osobowych (szczegółowy katalog wynikający z art. 13 RODO).Treść klauzuli informacyjnej została zamieszczona na stronie internetowej Administratora danych.
Rozdział X
PROCEDURA NADAWANIA UPOWAŻNIEŃ DO PRZETWARZANIA DANYCH
Każdorazowo przed rozpoczęciem pracy przez pracownika lub współpracownika
(zleceniobiorcę) Administrator Danych udziela upoważnienia do przetwarzania danych adekwatnego do zakresu dostępu do kategorii danych osobowych w ramach obowiązków służbowych. Wzór upoważnienia stanowi załącznik nr 4 do niniejszej Polityki.
Rozdział XI
POSTANOWIENIA KOŃCOWE
Wszelkie zasady opisane w niniejszym dokumencie są przestrzegane przez osoby upoważnione do przetwarzania danych osobowych ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.
Dokument niniejszy obowiązuje od dnia jego zatwierdzenia przez Administratora danych.