materiał szkoleniowy z ochrony danych osobowych
Transkrypt
materiał szkoleniowy z ochrony danych osobowych
Szpitale Wojewódzkie w Gdyni Sp. z o.o. MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH 1. 2. PODSTAWY PRAWNE OCHRONY DANYCH OSOBOWYCH 1) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Ustawa ta obowiązuje od 30 kwietnia 1998 r. 2) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; 3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie określenia wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych; 4) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji; 5) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji; 6) Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. DANE OSOBOWE 1) Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2) Do danych osobowych zalicza się więc nie tylko imię, nazwisko, adres czy data urodzenia osoby, ale również przypisane jej numery (PESEL, NIP, dowód osobisty, paszport), dane biometryczne (odcisk linii papilarnych, rysunek tęczówki oka, geometria twarzy, brzmienie głosu, odręczny podpis), informacje o cechach umysłowych, ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej osoby. Danymi osobowymi są też: adres e-mail, przypisany nr IP. 3) Dane szczególnie chronione (wrażliwe) – to informacje o pochodzeniu rasowym lub etnicznym, poglądach politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”. 4) Różnica ustawodawcy w podejściu do danych „zwykłych” i „wrażliwych”: 5) 3. a) do danych „zwykłych” obowiązuje zasada, że wykorzystanie ich przez jakikolwiek podmiot nie może być zabronione jeśli stosuje się on do przepisów Ustawy, b) do danych „wrażliwych” obowiązuje zasada wg której zabrania się przetwarzania ww. danych chyba, że występuje jedna z sytuacji określonych w art. 27, ust. 2 Ustawy. Danymi osobowymi nie są informacje o osobach zmarłych, gdyż umarły nie jest już osobą. Jednak „dane osobowe” zmarłego bardzo często wskazują na osoby żyjące i zdradzają wiele danych tych właśnie osób – najczęściej rodziny i bliskich – np. adres pod którym mieszkał zmarły, a pod którym mieszka teraz jego rodzina; choroby uwarunkowane genetycznie itd. Dlatego też najczęściej chronimy również dane zmarłego, ale zawsze z uwagi na osoby żyjące. ODPOWIEDZIALNOŚĆ 1) Generalny Inspektor Ochrony Danych Osobowych (GIODO) – organ ochrony danych osobowych. Organ uprawniony do kontroli w godzinach od 6:00 do 22:00. 2) Administrator danych (ADO) - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące o celach i środkach przetwarzania danych osobowych. ADO jest spółka Szpitale Wojewódzkie w Gdyni Sp. z o.o. Ochrona danych osobowych – materiał szkoleniowy 1/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. 4. 3) Administrator bezpieczeństwa informacji (ABI) - osoba mająca zapewnić przestrzeganie przepisów o ochronie danych oraz osobowych oraz prowadzić rejestr zbiorów danych przetwarzanych przez ADO. ABI w Szpitalu jest Wojciech Piasecki. 4) Osoba upoważniona do przetwarzania danych osobowych – pracownicy Szpitala. TERMINOLOGIA 1) Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. 2) Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W Szpitalu wyodrębniono 9 zbiorów danych osobowych: 3) 5. a) Pacjenci i byli pacjenci (dane pacjentów, byłych pacjentów, osób upoważnionych do informacji o stanie zdrowia pacjenta, o udzielonych mu świadczeniach zdrowotnych oraz do uzyskania dokumentacji medycznej pacjenta) b) Pracownicy i byli pracownicy (dane pracowników i byłych pracowników szpitala oraz członków ich rodzin) c) Osoby fizyczne będące stroną umów cywilno-prawnych (dane osób fizycznych będących stroną umowy cywilno-prawnej) d) Dane kontaktowe (dane osób, których dane przetwarzane są przez Szpital jedynie w celach kontaktowych) e) Dokumentacja wypadków przy pracy oraz w drodze do pracy i z pracy (dane poszkodowanych pracowników, świadków, sprawców wypadków oraz właścicieli pojazdów) f) Kandydaci do pracy (dane kandydatów do pracy i do rady nadzorczej) g) Nadawcy i odbiorcy korespondencji (dane nadawców i odbiorców korespondencji oraz dane innych osób wymienionych w korespondencji) h) Wolontariusze, praktykanci, stażyści (dane studentów, dane osób poszukujących pracy oraz dane wolontariuszy) i) Osoby fizyczne składające oferty w związku z postępowaniem prowadzonym w ramach zamówień publicznych (dane wykonawcy, osoby działającej w imieniu wykonawcy oraz osoby wykonujące zamówienia publiczne po stronie wykonawcy). Uwaga! Zakres dostępu do danych osobowych określony jest w Ewidencji osób upoważnionych i podlega zasadzie wiedzy uzasadnionej – nie wolno więc przekazywać informacji, z którą zapoznaliśmy się w pracy, osobie, która nie posiada uzasadnionej (swoimi obowiązkami służbowymi) potrzeby do takiego dostępu. OBOWIĄZKI ADO 1) Obowiązek legalizacyjny a) Każde przetwarzanie zwykłych danych osobowych należy uzasadnić spełnieniem jednego z warunków określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Wymienione w art. 23 ust. 1 ustawy warunki są rozłączne. b) Przetwarzanie danych osobowych jest możliwe min, jeśli: - Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych. - Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. - Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. - Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. - Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione. Z danych tych może jednak korzystać ten administrator, który wykaże, że znajduje się w jednej z wyjątkowych sytuacji i spełnia jeden z warunków wymienionych w art. 27 ustawy. Np. przetwarzanie danych jest dopuszczalne gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług Ochrona danych osobowych – materiał szkoleniowy 2/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych. 2) Obowiązek informacyjny a) W momencie pozyskiwania danych poinformowanie osoby, której dane dotyczą, o zasadach ich wykorzystania jest obowiązkiem administratora, niezależnie od tego, czy osoba z wnioskiem o taką informację występuje, czy też nie. b) Jeśli dane zbierane są od osoby, której dotyczą, administrator danych musi spełnić obowiązek informacyjny, a więc poinformować tę osobę o: c) 3) - pełnej nazwie administratora i adresie swojej siedziby, - celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych, - prawie do dostępu do treści swoich danych oraz do ich poprawiania, - dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej. - źródle danych (jeśli dane zbierane są nie od osoby, której dotyczą) W Szpitalu obowiązek informacyjny realizowany jest poprzez odpowiednią formułę, która znajduje się w dokumentacji medycznej i którą podpisuje pacjent lub jego rodzina. Obowiązek dołożenia szczególnej staranności W ramach realizacji tego obowiązku administrator przetwarzający dane jest zobowiązany w szczególności zapewnić, aby dane osobowe były przetwarzane z przestrzeganiem następujących zasad: 4) a) zasada legalności – dane mogą być wykorzystywane tylko zgodnie z prawem, b) zasada celowości – dane mogą być zbierane dla jasno określonych, zgodnych z prawem celów i nie były wykorzystywane do innych celów niż te, dla których zostały zebrane, c) zasada merytorycznej poprawności danych – muszą być aktualne, a ich treść zgodna ze stanem faktycznym, d) zasada adekwatności danych - muszą być adekwatne do celu ich wykorzystania – zakres danych nie może wykraczać poza niezbędny do zrealizowania celu, jakiemu przetwarzanie danych ma służyć, UWAGA!!! e) zasada ograniczenia czasowego przetwarzania danych - nie mogą być wykorzystywane dłużej, niż wymaga tego realizacja celu, dla którego zostały zgromadzone. Jeśli zatem cel, do realizacji którego dane osobowe pozyskano, został osiągnięty, to należy dane usunąć. Obowiązek ochrony Administrator danych jest zobowiązany min. do: 5) a) zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych objętych ochroną, oraz do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, b) prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, c) wyznaczenia administratora bezpieczeństwa informacji, d) nadania upoważnień osobom mającym dostęp do danych osobowych i prowadzenia ewidencji upoważnień, e) zobowiązania osób upoważnionych do zachowania danych osobowych oraz sposobów ich zabezpieczeń w tajemnicy, f) zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. Obowiązek rejestracyjny a) Na administratorze danych spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych. Ochrona danych osobowych – materiał szkoleniowy 3/4 Szpitale Wojewódzkie w Gdyni Sp. z o.o. b) 6. Administrator danych „zwykłych” podlegających rejestracji może rozpocząć ich przetwarzanie od momentu zgłoszenia zbioru GIODO. Zaświadczenie o zarejestrowaniu zbioru jest wówczas wydawane na wniosek administratora danych. UDOSTĘPNIENIE DANYCH OSOBOWYCH Udostępnienie danych jest sposobem przekazania danych innemu Administratorowi, który ma własną podstawę do przetwarzania tych danych i własny cel, dla którego będzie je przetwarzać. Aby udostępnić dane Administrator sprawdza więc czy istnieje podstawa prawna przetwarzania danych czyli czy spełniony jest Art. 23 ust. 1, pkt. 2) dla danych zwykłych lub Art. 27 ust. 2, pkt. 2) dla danych wrażliwych. 7. POWIERZENIE DANYCH OSOBOWYCH Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych pod następującymi warunkami: 8. 9. a) Umowa zawarta na piśmie b) Podmiot, któremu powierzono dane, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. c) Podmiot, któremu powierzono dane, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych. d) W zakresie ochrony danych osobowych podmiot, któremu powierzono dane ponosi odpowiedzialność jak administrator danych. e) Odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, któremu powierzono dane, za przetwarzanie danych niezgodnie z tą umową. PRZEPISY KARNE 1) Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. 2) Kto przetwarza w zbiorze dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym - choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. 3) Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH W sytuacji naruszenia bezpieczeństwa danych osobowych czyli w sytuacji stwierdzenia: 1) nietypowego stanu pomieszczeń przetwarzania (naruszone plomby, otwarte pomieszczenia, okna, drzwi od szaf, biurek, włączone urządzenia, podłączane lub inaczej przyłączone przewody sieci logicznej); 2) zaginięcia sprzętu, nośników informacji lub dokumentów papierowych lub nieuzasadnionej modyfikacji lub usunięcia danych; 3) nieprawidłowego lub nietypowego działania systemu informatycznego Szpitala, w postaci: a) nietypowych komunikatów wyświetlanych na monitorze; b) odstającej od normy wydajności (prędkości) działania systemu; c) braku możliwości zalogowania się do systemu; d) prób uzyskania informacji przez nieuprawnione osoby stosujące metody socjotechniczne. należy powstrzymać się od wszelkich czynności mogących zatrzeć ślady naruszenia bezpieczeństwa informacji, zwłaszcza od usuwania podejrzanego oprogramowania lub plików w systemie informatycznym oraz powiadomić bezpośredniego przełożonego oraz Administratora bezpieczeństwa informacji: Wojciecha Piaseckiego, email: [email protected] Ochrona danych osobowych – materiał szkoleniowy 4/4