materiał szkoleniowy z ochrony danych osobowych

Szpitale Wojewódzkie w Gdyni Sp. z o.o.
MATERIAŁ SZKOLENIOWY Z OCHRONY DANYCH OSOBOWYCH
1.
2.
PODSTAWY PRAWNE OCHRONY DANYCH OSOBOWYCH
1)
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Ustawa ta obowiązuje od 30 kwietnia 1998 r.
2)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
3)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie określenia
wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych;
4)
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania
i odwołania administratora bezpieczeństwa informacji;
5)
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań
w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa
informacji;
6)
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez
administratora bezpieczeństwa informacji rejestru zbiorów danych.
DANE OSOBOWE
1)
Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
fizycznej.
2)
Do danych osobowych zalicza się więc nie tylko imię, nazwisko, adres czy data urodzenia osoby, ale również
przypisane jej numery (PESEL, NIP, dowód osobisty, paszport), dane biometryczne (odcisk linii papilarnych, rysunek
tęczówki oka, geometria twarzy, brzmienie głosu, odręczny podpis), informacje o cechach umysłowych,
ekonomicznych, kulturowych i społecznych. Danymi osobowymi nie będą zatem pojedyncze informacje o dużym
stopniu ogólności, np. sama nazwa ulicy i numer domu, w którym mieszka wiele osób, czy wysokość wynagrodzenia.
Informacja ta będzie jednak stanowić dane osobowe wówczas, gdy zostanie zestawiona z innymi, dodatkowymi
informacjami, np. imieniem i nazwiskiem czy numerem PESEL, które w konsekwencji można odnieść do konkretnej
osoby. Danymi osobowymi są też: adres e-mail, przypisany nr IP.
3)
Dane szczególnie chronione (wrażliwe) – to informacje o pochodzeniu rasowym lub etnicznym, poglądach
politycznych, religijnych, filozoficznych, wyznaniu, przynależności do partii lub związku, stanie zdrowia,
kodzie genetycznym, nałogach, życiu seksualnym, skazaniach, orzeczeniach o ukaraniu, mandatach i innych
orzeczeniach wydanych w postępowaniu przed sądem lub urzędem. Na administratorów tych danych ustawa
nakłada bardziej rygorystyczne obowiązki niż na administratorów danych „zwykłych”.
4)
Różnica ustawodawcy w podejściu do danych „zwykłych” i „wrażliwych”:
5)
3.
a)
do danych „zwykłych” obowiązuje zasada, że wykorzystanie ich przez jakikolwiek podmiot nie może być
zabronione jeśli stosuje się on do przepisów Ustawy,
b)
do danych „wrażliwych” obowiązuje zasada wg której zabrania się przetwarzania ww. danych chyba, że
występuje jedna z sytuacji określonych w art. 27, ust. 2 Ustawy.
Danymi osobowymi nie są informacje o osobach zmarłych, gdyż umarły nie jest już osobą. Jednak „dane osobowe”
zmarłego bardzo często wskazują na osoby żyjące i zdradzają wiele danych tych właśnie osób – najczęściej rodziny
i bliskich – np. adres pod którym mieszkał zmarły, a pod którym mieszka teraz jego rodzina; choroby uwarunkowane
genetycznie itd. Dlatego też najczęściej chronimy również dane zmarłego, ale zawsze z uwagi na osoby żyjące.
ODPOWIEDZIALNOŚĆ
1)
Generalny Inspektor Ochrony Danych Osobowych (GIODO) – organ ochrony danych osobowych. Organ uprawniony
do kontroli w godzinach od 6:00 do 22:00.
2)
Administrator danych (ADO) - rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, decydujące
o celach i środkach przetwarzania danych osobowych. ADO jest spółka Szpitale Wojewódzkie w Gdyni Sp. z o.o.
Ochrona danych osobowych – materiał szkoleniowy
1/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
4.
3)
Administrator bezpieczeństwa informacji (ABI) - osoba mająca zapewnić przestrzeganie przepisów o ochronie
danych oraz osobowych oraz prowadzić rejestr zbiorów danych przetwarzanych przez ADO. ABI w Szpitalu jest
Wojciech Piasecki.
4)
Osoba upoważniona do przetwarzania danych osobowych – pracownicy Szpitala.
TERMINOLOGIA
1)
Przetwarzanie danych osobowych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie,
utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje
się w systemach informatycznych.
2)
Zbiór danych - rozumie się przez to każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony
funkcjonalnie. W Szpitalu wyodrębniono 9 zbiorów danych osobowych:
3)
5.
a)
Pacjenci i byli pacjenci (dane pacjentów, byłych pacjentów, osób upoważnionych do informacji o stanie
zdrowia pacjenta, o udzielonych mu świadczeniach zdrowotnych oraz do uzyskania dokumentacji medycznej
pacjenta)
b)
Pracownicy i byli pracownicy (dane pracowników i byłych pracowników szpitala oraz członków ich rodzin)
c)
Osoby fizyczne będące stroną umów cywilno-prawnych (dane osób fizycznych będących stroną umowy
cywilno-prawnej)
d)
Dane kontaktowe (dane osób, których dane przetwarzane są przez Szpital jedynie w celach kontaktowych)
e)
Dokumentacja wypadków przy pracy oraz w drodze do pracy i z pracy (dane poszkodowanych
pracowników, świadków, sprawców wypadków oraz właścicieli pojazdów)
f)
Kandydaci do pracy (dane kandydatów do pracy i do rady nadzorczej)
g)
Nadawcy i odbiorcy korespondencji (dane nadawców i odbiorców korespondencji oraz dane innych osób
wymienionych w korespondencji)
h)
Wolontariusze, praktykanci, stażyści (dane studentów, dane osób poszukujących pracy oraz dane
wolontariuszy)
i)
Osoby fizyczne składające oferty w związku z postępowaniem prowadzonym w ramach zamówień
publicznych (dane wykonawcy, osoby działającej w imieniu wykonawcy oraz osoby wykonujące zamówienia
publiczne po stronie wykonawcy).
Uwaga! Zakres dostępu do danych osobowych określony jest w Ewidencji osób upoważnionych i podlega
zasadzie wiedzy uzasadnionej – nie wolno więc przekazywać informacji, z którą zapoznaliśmy się w pracy,
osobie, która nie posiada uzasadnionej (swoimi obowiązkami służbowymi) potrzeby do takiego dostępu.
OBOWIĄZKI ADO
1)
Obowiązek legalizacyjny
a)
Każde przetwarzanie zwykłych danych osobowych należy uzasadnić spełnieniem jednego z warunków
określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. Wymienione w art. 23 ust. 1 ustawy
warunki są rozłączne.
b)
Przetwarzanie danych osobowych jest możliwe min, jeśli:
-
Osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
-
Jest to niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu
prawa.
-
Jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to
niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
-
Jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
-
Wykorzystywanie danych podlegających szczególnej ochronie, co do zasady, jest zabronione. Z danych
tych może jednak korzystać ten administrator, który wykaże, że znajduje się w jednej z wyjątkowych
sytuacji i spełnia jeden z warunków wymienionych w art. 27 ustawy. Np. przetwarzanie danych jest
dopuszczalne gdy jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub
leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług
Ochrona danych osobowych – materiał szkoleniowy
2/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony
danych osobowych.
2)
Obowiązek informacyjny
a)
W momencie pozyskiwania danych poinformowanie osoby, której dane dotyczą, o zasadach ich
wykorzystania jest obowiązkiem administratora, niezależnie od tego, czy osoba z wnioskiem o taką
informację występuje, czy też nie.
b)
Jeśli dane zbierane są od osoby, której dotyczą, administrator danych musi spełnić obowiązek informacyjny,
a więc poinformować tę osobę o:
c)
3)
-
pełnej nazwie administratora i adresie swojej siedziby,
-
celu zbierania danych, a w szczególności o znanych mu w czasie udzielania informacji lub
przewidywanych odbiorcach lub kategoriach odbiorców danych,
-
prawie do dostępu do treści swoich danych oraz do ich poprawiania,
-
dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie
prawnej.
-
źródle danych (jeśli dane zbierane są nie od osoby, której dotyczą)
W Szpitalu obowiązek informacyjny realizowany jest poprzez odpowiednią formułę, która znajduje się
w dokumentacji medycznej i którą podpisuje pacjent lub jego rodzina.
Obowiązek dołożenia szczególnej staranności
W ramach realizacji tego obowiązku administrator przetwarzający dane jest zobowiązany w szczególności zapewnić,
aby dane osobowe były przetwarzane z przestrzeganiem następujących zasad:
4)
a)
zasada legalności – dane mogą być wykorzystywane tylko zgodnie z prawem,
b)
zasada celowości – dane mogą być zbierane dla jasno określonych, zgodnych z prawem celów i nie były
wykorzystywane do innych celów niż te, dla których zostały zebrane,
c)
zasada merytorycznej poprawności danych – muszą być aktualne, a ich treść zgodna ze stanem faktycznym,
d)
zasada adekwatności danych - muszą być adekwatne do celu ich wykorzystania – zakres danych nie może
wykraczać poza niezbędny do zrealizowania celu, jakiemu przetwarzanie danych ma służyć, UWAGA!!!
e)
zasada ograniczenia czasowego przetwarzania danych - nie mogą być wykorzystywane dłużej, niż wymaga
tego realizacja celu, dla którego zostały zgromadzone. Jeśli zatem cel, do realizacji którego dane osobowe
pozyskano, został osiągnięty, to należy dane usunąć.
Obowiązek ochrony
Administrator danych jest zobowiązany min. do:
5)
a)
zastosowania środków technicznych i organizacyjnych odpowiednich do zagrożeń oraz kategorii danych
objętych ochroną, oraz do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym,
zabraniem przez osobę nieuprawnioną, przetwarzaniem niezgodnie z ustawą oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem,
b)
prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz podjęte środki organizacyjne
i techniczne – na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem
informatycznym,
c)
wyznaczenia administratora bezpieczeństwa informacji,
d)
nadania upoważnień osobom mającym dostęp do danych osobowych i prowadzenia ewidencji upoważnień,
e)
zobowiązania osób upoważnionych do zachowania danych osobowych oraz sposobów ich zabezpieczeń
w tajemnicy,
f)
zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz
komu są przekazywane.
Obowiązek rejestracyjny
a)
Na administratorze danych spoczywa obowiązek zgłoszenia zbioru danych osobowych do rejestracji
Generalnemu Inspektorowi Ochrony Danych Osobowych.
Ochrona danych osobowych – materiał szkoleniowy
3/4
Szpitale Wojewódzkie w Gdyni Sp. z o.o.
b)
6.
Administrator danych „zwykłych” podlegających rejestracji może rozpocząć ich przetwarzanie od momentu
zgłoszenia zbioru GIODO. Zaświadczenie o zarejestrowaniu zbioru jest wówczas wydawane na wniosek
administratora danych.
UDOSTĘPNIENIE DANYCH OSOBOWYCH
Udostępnienie danych jest sposobem przekazania danych innemu Administratorowi, który ma własną podstawę do
przetwarzania tych danych i własny cel, dla którego będzie je przetwarzać. Aby udostępnić dane Administrator sprawdza
więc czy istnieje podstawa prawna przetwarzania danych czyli czy spełniony jest Art. 23 ust. 1, pkt. 2) dla danych zwykłych
lub Art. 27 ust. 2, pkt. 2) dla danych wrażliwych.
7.
POWIERZENIE DANYCH OSOBOWYCH
Administrator danych może powierzyć innemu podmiotowi przetwarzanie danych pod następującymi warunkami:
8.
9.
a)
Umowa zawarta na piśmie
b)
Podmiot, któremu powierzono dane, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym
w umowie.
c)
Podmiot, któremu powierzono dane, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć
środki zabezpieczające zbiór danych.
d)
W zakresie ochrony danych osobowych podmiot, któremu powierzono dane ponosi odpowiedzialność jak
administrator danych.
e)
Odpowiedzialność za przestrzeganie przepisów ustawy spoczywa na administratorze danych, co nie wyłącza
odpowiedzialności podmiotu, któremu powierzono dane, za przetwarzanie danych niezgodnie z tą umową.
PRZEPISY KARNE
1)
Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których
przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia
wolności do lat 2.
2)
Kto przetwarza w zbiorze dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne,
przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie
zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym - choć ich przetwarzanie nie jest
dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 3.
3)
Kto inspektorowi GIODO udaremnia lub utrudnia wykonanie czynności kontrolnej, podlega grzywnie, karze
ograniczenia wolności albo pozbawienia wolności do lat 2.
POSTĘPOWANIE W SYTUACJI NARUSZENIA BEZPIECZEŃSTWA DANYCH
W sytuacji naruszenia bezpieczeństwa danych osobowych czyli w sytuacji stwierdzenia:
1)
nietypowego stanu pomieszczeń przetwarzania (naruszone plomby, otwarte pomieszczenia, okna, drzwi od szaf,
biurek, włączone urządzenia, podłączane lub inaczej przyłączone przewody sieci logicznej);
2)
zaginięcia sprzętu, nośników informacji lub dokumentów papierowych lub nieuzasadnionej modyfikacji lub usunięcia
danych;
3)
nieprawidłowego lub nietypowego działania systemu informatycznego Szpitala, w postaci:
a)
nietypowych komunikatów wyświetlanych na monitorze;
b)
odstającej od normy wydajności (prędkości) działania systemu;
c)
braku możliwości zalogowania się do systemu;
d)
prób uzyskania informacji przez nieuprawnione osoby stosujące metody socjotechniczne.
należy powstrzymać się od wszelkich czynności mogących zatrzeć ślady naruszenia bezpieczeństwa informacji, zwłaszcza
od usuwania podejrzanego oprogramowania lub plików w systemie informatycznym oraz powiadomić bezpośredniego
przełożonego oraz Administratora bezpieczeństwa informacji: Wojciecha Piaseckiego, email: [email protected]
Ochrona danych osobowych – materiał szkoleniowy
4/4