MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH
Transkrypt
MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH
Szpitale Wojewódzkie w Gdyni Sp. z o.o. MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH Przedmiotowe akty prawne 1. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (jt. Dz.U. 2014. poz. 1128 ze zm). Ustawa ta obowiązuje od 30 kwietnia 1998 r. Rozporządzenie z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). Dane osobowe 1. 2. 3. 4. 5. 6. 7. 8. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Do danych osobowych zalicza się więc nie tylko imię, nazwisko, adres czy data urodzenia osoby, ale również przypisane jej numery (PESEL, NIP, dowód osobisty, paszport), dane biometryczne (odcisk linii papilarnych, rysunek tęczówki oka, geometria twarzy, brzmienie głosu, odręczny podpis), informacje o cechach umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby. Danymi osobowymi są też: adres e-mail (zdania podzielone), przypisany nr IP, kod genetyczny itp. Do ww. danych obowiązuje zasada, że wykorzystanie danych osobowych przez jakikolwiek podmiot nie może być zabronione jeśli stosuje się on do przepisów Ustawy. Dane szczególnie chronione (wrażliwe) – to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”. Do tych danych obowiązuje zasada wg której zabrania się przetwarzania ww. danych chyba, że występuje jedna z sytuacji określonych w art. 27, ust. 2. Danymi osobowymi nie są informacje o osobach zmarłych, gdyż umarły nie jest już osobą. Jednak „dane osobowe” zmarłego bardzo często wskazują na osoby żyjące i zdradzają wiele danych tych właśnie osób – najczęściej rodziny i bliskich – np. adres pod którym mieszkał zmarły, a pod którym mieszka teraz jego rodzina; choroby uwarunkowane genetycznie itd. Dlatego też najczęściej chronimy również dane zmarłego, ale zawsze z uwagi na osoby żyjące. Ochrona danych osobowych – materiał szkoleniowy 1/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. Przetwarzanie danych osobowych Przetwarzaniem danych osobowych jest wykonywanie na nich jakichkolwiek operacji. W pojęciu przetwarzania mieści się wobec tego przechowywanie, udostępnianie, zmienianie, modyfikowanie, przekazywanie, zbieranie, utrwalanie, opracowywanie itp. Osoby odpowiedzialne 1. 2. 3. 4. Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych. Administratorem danych są Szpitale Wojewódzkie w Gdyni Sp. z o.o. Administrator bezpieczeństwa informacji - osoba nadzorująca przestrzeganie zasad ochrony. W Szpitalu Administratorem bezpieczeństwa informacji (ABI) jest Michał Filipowski. Podmiot, któremu powierzono lub udostępniono przetwarzanie danych osobowych. Osoba upoważniona do przetwarzania danych osobowych – pracownicy szpitala. Obowiązek legalizacyjny 1. 2. Każde przetwarzanie zwykłych danych osobowych, czyli dokonywanie na nich jakichkolwiek operacji, np. ich przechowywanie, wykorzystywanie, udostępnianie, zmienianie, należy uzasadnić spełnieniem jednego z warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Wymienione w art. 23 ust. 1 ustawy warunki są rozłączne. Przetwarzanie danych osobowych jest możliwe min, jeśli: 1) Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. 2) Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. 3) Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. 4) Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. 7) Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione. Z danych tych może jednak korzystać ten administrator, który wykaże, że znajduje się w jednej z wyjątkowych sytuacji i spełnia jeden z warunków wymienionych w art. 27 ustawy. Np. przetwarzanie danych jest dopuszczalne gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. Obowiązek informacyjny 1. 2. W momencie pozyskiwania danych poinformowanie osoby, której dane dotyczą, o zasadach ich wykorzystania jest obowiązkiem administratora, niezależnie od tego, czy osoba z wnioskiem o taką informację występuje, czy też nie. Jeśli dane zbierane są od osoby, której dotyczą, administrator danych musi spełnić obowiązek informacyjny, a więc poinformować tę osobę o: 1) pełnej nazwie administratora i adresie swojej siedziby, 2) celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, 3) prawie do dostępu do treści swoich danych oraz do ich poprawiania, Ochrona danych osobowych – materiał szkoleniowy 2/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. 4) 3. dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. 5) źródle danych (jeśli dane zbierane są nie od osoby, której dotyczą) W Szpitalu obowiązek informacyjny realizowany jest poprzez odpowiednią formułę, która znajduje się w dokumentacji medycznej i którą podpisuje pacjent lub jego rodzina. Obowiązek dołożenia szczególnej staranności W ramach realizacji tego obowiązku administrator przetwarzający dane jest zobowiązany w szczególności zapewnić, aby dane osobowe były przetwarzane z przestrzeganiem następujących zasad: 1) zasada legalności – dane mogą być wykorzystywane tylko zgodnie z prawem, 2) zasada celowości – dane mogą być zbierane dla jasno określonych, zgodnych z prawem celów i nie były wykorzystywane do innych celów niż te, dla których zostały zebrane, 3) zasada merytorycznej poprawności danych – muszą być aktualne, a ich treść zgodna ze stanem faktycznym, 4) zasada adekwatności danych - muszą być adekwatne do celu ich wykorzystania – zakres danych nie może wykraczać poza niezbędny do zrealizowania celu, jakiemu przetwarzanie danych ma służyć, 5) zasada ograniczenia czasowego przetwarzania danych - nie mogą być wykorzystywane dłużej, niż wymaga tego realizacja celu, dla którego zostały zgromadzone. Jeśli zatem cel, do realizacji którego dane osobowe pozyskano, został osiągnięty, to należy dane usunąć. Obowiązek ochrony Administrator danych jest zobowiązany min. do: zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz 1) kategorii danych objętych ochroną, oraz do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, 2) prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, 3) wyznaczenia administratora bezpieczeństwa informacji, tj. osoby odpowiedzialnej za nadzór nad procesem przetwarzania, 4) nadania upoważnień osobom mającym dostęp do danych osobowych i prowadzenia ewidencji upoważnień, 5) zobowiązania osób upoważnionych do zachowania danych osobowych oraz sposobów ich zabezpieczeń w tajemnicy, 6) zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Obowiązek rejestracyjny 1. 2. Na administratorze danych spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Administrator danych „zwykłych” podlegających rejestracji może rozpocząć ich przetwarzanie od momentu zgłoszenia zbioru GIODO. Zaświadczenie o zarejestrowaniu zbioru jest wówczas wydawane na wniosek administratora danych. Ochrona danych osobowych – materiał szkoleniowy 3/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. Powierzenie przetwarzania danych osobowych innemu podmiotowi Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych pod następującymi warunkami: 1) Umowa zawarta na piśmie Podmiot, któremu powierzono dane, może przetwarzać dane wyłącznie w zakresie i celu 2) przewidzianym w umowie. 3) Podmiot, któremu powierzono dane, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych. 4) W zakresie ochrony danych osobowych podmiot, któremu powierzono dane ponosi odpowiedzialność jak administrator danych. 5) Odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, któremu powierzono dane, za przetwarzanie danych niezgodnie z tą umową Przepisy karne 1. 2. 3. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Kto przetwarza w zbiorze dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym - choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. UWAGA !!! W sytuacji naruszenia bezpieczeństwa danych osobowych czyli w sytuacji stwierdzenia: 1) nietypowego stanu pomieszczeń przetwarzania (naruszone plomby, otwarte pomieszczenia, okna, drzwi od szaf, biurek, włączone urządzenia, podłączane lub inaczej przyłączone przewody sieci logicznej); 2) zaginięcia sprzętu, nośników informacji lub dokumentów papierowych; 3) nieuzasadnionej modyfikacji lub usunięcia danych; 4) nieprawidłowego lub nietypowego działania systemu informatycznego Szpitala, w postaci: a) nietypowych komunikatów wyświetlanych na monitorze; b) odstającej od normy wydajności (prędkości) działania systemu; c) braku możliwości zalogowania się do systemu; 5) prób uzyskania informacji przez nieuprawnione osoby stosujące metody socjotechniczne. należy powstrzymać się od wszelkich czynności mogących zatrzeć ślady naruszenia bezpieczeństwa informacji, zwłaszcza od usuwania podejrzanego oprogramowania lub plików w systemie informatycznym oraz powiadomić: bezpośredniego przełożonego oraz Administratora bezpieczeństwa informacji Michała Filipowskiego email: [email protected] Ochrona danych osobowych – materiał szkoleniowy 4/4