MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH

Szpitale Wojewódzkie w Gdyni Sp. z o.o.
MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH
Przedmiotowe akty prawne
1.
2.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jt. Dz.U. 2014. poz. 1128 ze
zm). Ustawa ta obowiązuje od 30 kwietnia 1998 r.
Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr
100, poz. 1024).
Dane osobowe
1.
2.
3.
4.
5.
6.
7.
8.
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej.
Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić
bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny
albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą
określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.
Do danych osobowych zalicza się więc nie tylko imię, nazwisko, adres czy data urodzenia
osoby, ale również przypisane jej numery (PESEL, NIP, dowód osobisty, paszport), dane
biometryczne (odcisk linii papilarnych, rysunek tęczówki oka, geometria twarzy, brzmienie
głosu, odręczny podpis), informacje o cechach umysłowych, ekonomicznych, kulturowych
i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu
ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość
wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie
zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem
PESEL, które w konsekwencji można odnieść do konkretnej osoby.
Danymi osobowymi są też: adres e-mail (zdania podzielone), przypisany nr IP, kod
genetyczny itp.
Do ww. danych obowiązuje zasada, że wykorzystanie danych osobowych przez jakikolwiek
podmiot nie może być zabronione jeśli stosuje się on do przepisów Ustawy.
Dane szczególnie chronione (wrażliwe) – to informacje o pochodzeniu rasowym lub
etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do
partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym,
skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych
w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa
nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.
Do tych danych obowiązuje zasada wg której zabrania się przetwarzania ww. danych chyba,
że występuje jedna z sytuacji określonych w art. 27, ust. 2.
Danymi osobowymi nie są informacje o osobach zmarłych, gdyż umarły nie jest już osobą.
Jednak „dane osobowe” zmarłego bardzo często wskazują na osoby żyjące i zdradzają wiele
danych tych właśnie osób – najczęściej rodziny i bliskich – np. adres pod którym mieszkał
zmarły, a pod którym mieszka teraz jego rodzina; choroby uwarunkowane genetycznie itd.
Dlatego też najczęściej chronimy również dane zmarłego, ale zawsze z uwagi na osoby
żyjące.
Ochrona danych osobowych – materiał szkoleniowy
1/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
Przetwarzanie danych osobowych
Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. W pojęciu
przetwarzania mieści się wobec tego przechowywanie, udostępnianie, zmienianie, modyfikowanie,
przekazywanie, zbieranie, utrwalanie, opracowywanie itp.
Osoby odpowiedzialne
1.
2.
3.
4.
Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydująca
o celach i środkach przetwarzania danych osobowych. Administratorem danych są Szpitale
Wojewódzkie w Gdyni Sp. z o.o.
Administrator bezpieczeństwa informacji - osoba nadzorująca przestrzeganie zasad ochrony.
W Szpitalu Administratorem bezpieczeństwa informacji (ABI) jest Michał Filipowski.
Podmiot, któremu powierzono lub udostępniono przetwarzanie danych osobowych.
Osoba upoważniona do przetwarzania danych osobowych – pracownicy szpitala.
Obowiązek legalizacyjny
1.
2.
Każde przetwarzanie zwykłych danych osobowych, czyli dokonywanie na nich jakichkolwiek
operacji, np. ich przechowywanie, wykorzystywanie, udostępnianie, zmienianie, należy
uzasadnić spełnieniem jednego z warunków określonych w art. 23 ust. 1 ustawy o ochronie
danych osobowych. Wymienione w art. 23 ust. 1 ustawy warunki są rozłączne.
Przetwarzanie danych osobowych jest możliwe min, jeśli:
1)
Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie
dotyczących jej danych.
2)
Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku
wynikającego z przepisu prawa.
3)
Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną
lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie
osoby, której dane dotyczą.
4)
Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra
publicznego.
7)
Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest
zabronione. Z danych tych może jednak korzystać ten administrator, który wykaże, że
znajduje się w jednej z wyjątkowych sytuacji i spełnia jeden z warunków wymienionych
w art. 27 ustawy. Np. przetwarzanie danych jest dopuszczalne gdy jest prowadzone
w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów
przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług
medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne
gwarancje ochrony danych osobowych.
Obowiązek informacyjny
1.
2.
W momencie pozyskiwania danych poinformowanie osoby, której dane dotyczą, o zasadach
ich wykorzystania jest obowiązkiem administratora, niezależnie od tego, czy osoba
z wnioskiem o taką informację występuje, czy też nie.
Jeśli dane zbierane są od osoby, której dotyczą, administrator danych musi spełnić
obowiązek informacyjny, a więc poinformować tę osobę o:
1)
pełnej nazwie administratora i adresie swojej siedziby,
2)
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji
lub przewidywanych odbiorcach lub kategoriach odbiorców danych,
3)
prawie do dostępu do treści swoich danych oraz do ich poprawiania,
Ochrona danych osobowych – materiał szkoleniowy
2/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
4)
3.
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego
podstawie prawnej.
5)
źródle danych (jeśli dane zbierane są nie od osoby, której dotyczą)
W Szpitalu obowiązek informacyjny realizowany jest poprzez odpowiednią formułę, która
znajduje się w dokumentacji medycznej i którą podpisuje pacjent lub jego rodzina.
Obowiązek dołożenia szczególnej staranności
W ramach realizacji tego obowiązku administrator przetwarzający dane jest zobowiązany
w szczególności zapewnić, aby dane osobowe były przetwarzane z przestrzeganiem
następujących zasad:
1)
zasada legalności – dane mogą być wykorzystywane tylko zgodnie z prawem,
2)
zasada celowości – dane mogą być zbierane dla jasno określonych, zgodnych z prawem
celów i nie były wykorzystywane do innych celów niż te, dla których zostały zebrane,
3)
zasada merytorycznej poprawności danych – muszą być aktualne, a ich treść zgodna ze
stanem faktycznym,
4)
zasada adekwatności danych - muszą być adekwatne do celu ich wykorzystania – zakres
danych nie może wykraczać poza niezbędny do zrealizowania celu, jakiemu przetwarzanie
danych ma służyć,
5)
zasada ograniczenia czasowego przetwarzania danych - nie mogą być wykorzystywane
dłużej, niż wymaga tego realizacja celu, dla którego zostały zgromadzone. Jeśli zatem cel, do
realizacji którego dane osobowe pozyskano, został osiągnięty, to należy dane usunąć.
Obowiązek ochrony
Administrator danych jest zobowiązany min. do:
zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz
1)
kategorii danych objętych ochroną, oraz do zabezpieczenia danych przed ich
udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną,
przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
2)
prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki
organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja
zarządzania systemem informatycznym,
3)
wyznaczenia administratora bezpieczeństwa informacji, tj. osoby odpowiedzialnej za nadzór
nad procesem przetwarzania,
4)
nadania upoważnień osobom mającym dostęp do danych osobowych i prowadzenia
ewidencji upoważnień,
5)
zobowiązania osób upoważnionych do zachowania danych osobowych oraz sposobów ich
zabezpieczeń w tajemnicy,
6)
zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru
wprowadzone oraz komu są przekazywane.
Obowiązek rejestracyjny
1.
2.
Na administratorze danych spoczywa obowiązek zgłoszenia zbioru danych osobowych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Administrator danych „zwykłych” podlegających rejestracji może rozpocząć ich
przetwarzanie od momentu zgłoszenia zbioru GIODO. Zaświadczenie o zarejestrowaniu
zbioru jest wówczas wydawane na wniosek administratora danych.
Ochrona danych osobowych – materiał szkoleniowy
3/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
Powierzenie przetwarzania danych osobowych innemu podmiotowi
Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych pod
następującymi warunkami:
1)
Umowa zawarta na piśmie
Podmiot, któremu powierzono dane, może przetwarzać dane wyłącznie w zakresie i celu
2)
przewidzianym w umowie.
3)
Podmiot, któremu powierzono dane, jest obowiązany przed rozpoczęciem przetwarzania
danych podjąć środki zabezpieczające zbiór danych.
4)
W zakresie ochrony danych osobowych podmiot, któremu powierzono dane ponosi
odpowiedzialność jak administrator danych.
5)
Odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych,
co nie wyłącza odpowiedzialności podmiotu, któremu powierzono dane, za przetwarzanie
danych niezgodnie z tą umową
Przepisy karne
1.
2.
3.
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo
do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
Kto przetwarza w zbiorze dane osobowe ujawniające pochodzenie rasowe lub etniczne,
poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową,
partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu
seksualnym - choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania
nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 3.
Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega
grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
UWAGA !!!
W sytuacji naruszenia bezpieczeństwa danych osobowych czyli w sytuacji stwierdzenia:
1)
nietypowego stanu pomieszczeń przetwarzania (naruszone plomby, otwarte
pomieszczenia, okna, drzwi od szaf, biurek, włączone urządzenia, podłączane lub
inaczej przyłączone przewody sieci logicznej);
2)
zaginięcia sprzętu, nośników informacji lub dokumentów papierowych;
3)
nieuzasadnionej modyfikacji lub usunięcia danych;
4)
nieprawidłowego lub nietypowego działania systemu informatycznego Szpitala,
w postaci:
a)
nietypowych komunikatów wyświetlanych na monitorze;
b)
odstającej od normy wydajności (prędkości) działania systemu;
c)
braku możliwości zalogowania się do systemu;
5)
prób uzyskania informacji przez nieuprawnione osoby stosujące metody
socjotechniczne.
należy powstrzymać się od wszelkich czynności mogących zatrzeć ślady
naruszenia bezpieczeństwa informacji, zwłaszcza od usuwania podejrzanego
oprogramowania lub plików w systemie informatycznym oraz powiadomić:
bezpośredniego przełożonego oraz Administratora bezpieczeństwa informacji
Michała Filipowskiego email: [email protected]
Ochrona danych osobowych – materiał szkoleniowy
4/4