POLITYKA BEZPIECZEŃSTWA W INDYWIDUALNEJ PRAKTYCE LEKARSKIEJ/PRAKTYCE STOMATOLOGICZNEJ/NZOZ

POLITYKA BEZPIECZEŃSTWA

W INDYWIDUALNEJ PRAKTYCE LEKARSKIEJ/PRAKTYCE STOMATOLOGICZNEJ/NZOZ

(wpisać właściwą nazwę)

 

(miejscowość, data)

 

 

 

§1

  1. Polityka Bezpieczeństwa rozumiana jest jako wykaz praw, reguł i wewnętrznych praktyk regulujących sposób zarządzania i ochrony danych osobowych wewnątrz praktyki* (wpisać właściwą nazwę podmiotu oraz pełny adres) ………………………, zwanej dalej Praktyką.
  2. Dokument obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.

§2 Podstawa prawna

  1. Polityka Bezpieczeństwa została opracowana na podstawie:
    1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)
    2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
    3. Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. Nr 52 poz. 417 z 2009)
    4. Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. Nr 252 poz. 1697 z 2010).
    5. Administratorem danych osobowych Praktyki w rozumieniu Art. 7 pkt 4 Ustawy jest właściciel ……………………
    6. Dane pacjentów Praktyki są chronione zgodnie z polskim prawem oraz procedurami dotyczącymi bezpieczeństwa i poufności przetwarzanych danych obowiązującymi  w instytucjach publicznych.

§3 Definicje

  1. Administrator Danych Osobowych – rozumie się przez to właściciela Praktyki.
  2. Administrator Bezpieczeństwa Informacji – osoba wyznaczona przez Administratora, odpowiedzialna za bezpieczeństwo danych osobowych.
  3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  4. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
  5. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów.
  6. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
  7. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
  8. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
  9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
  10. Integralność danych – funkcjonalność zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
  11. Poufność danych – funkcjonalność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
  12. Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jedn.: Dz U 2002 nr 101, poz. 926 ze zm.).

 

§4 Deklaracja

  1. Administrator danych mając świadomość, iż przetwarza dane wrażliwe pacjentów deklaruje dołożyć wszelkich starań, aby przetwarzanie odbywało się w zgodności z przepisami prawa.
  2. Każdy pracownik upoważniony do przetwarzania danych, świadomy odpowiedzialności,  zobowiązany jest postępować zgodnie z przyjętymi zasadami i minimalizować zagrożenia wynikające z błędów ludzkich.
  3. W trosce o czytelny i uporządkowany stan materii, wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych.

 

§5 Wykaz zbiorów osobowych

Na podstawie § 4. pkt 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych wraz ze wskazaniem programów komputerowych służących do ich przetwarzania zgodnie z załącznikiem nr 1 do niniejszej dokumentacji.

§6 Wykaz miejsc przetwarzania

  1. Na podstawie § 4. pkt 1. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia  29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz pomieszczeń tworzących obszar fizyczny przetwarzania danych.
  2. Obszarem przetwarzania danych są wszystkie pomieszczenia, korytarze oraz obszar Praktyki.
  3. Szczegółowy wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik nr 2 do niniejszej dokumentacji. Dla pomieszczeń, w których dane są gromadzone na czas nieobecności w nich osób upoważnionych opisano zastosowane środki ochrony technicznej.

§7 Opis struktury zbiorów osobowych

Na podstawie § 4. pkt 3. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia  29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika nr 1 opis struktury poszczególnych zbiorów osobowych.

 

§8 Sposób przepływu danych pomiędzy systemami

Na podstawie § 4. pkt 4. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, z uwagi na fakt, iż pomiędzy systemami wykorzystywanymi do przetwarzania zbiorów danych osobowych, przypisanymi do tych zbiorów zgodnie z załącznikiem nr 1 nie występują żadne powiązania automatycznego przekazywania danych, nie wprowadzono opisu danych pomiędzy systemami.

 

§9 Ewidencja osób upoważnionych do przetwarzania danych osobowych

  1. Zgodnie z art. 39. ust. 1. ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania danych, która stanowi załącznik nr 3 do niniejszej dokumentacji.
  2. Ewidencja zawiera: imię i nazwisko osoby upoważnionej, stanowisko, datę nadania i ustania uprawnień oraz zakres, a w przypadku kiedy dane są przetwarzane za pomocą programu komputerowego również identyfikator dostępowy do tego programu.

 

§10 Środki organizacyjne ochrony danych osobowych

  1. Przetwarzanie danych osobowych na terenie Praktyki może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres uprawnień jest ściśle proporcjonalny do tych zadań.
  2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych.
  3. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie. Wzór upoważnienia stanowi załącznik nr 4 do niniejszej dokumentacji.
  4. Unieważnienie upoważnienia następuje na piśmie, wg wzoru stanowiącego załącznik nr 5 do niniejszej dokumentacji.
  5. Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 2 do niniejszej dokumentacji.
  6. Każdy pracownik Praktyki co najmniej raz na rok musi odbyć szkolenie z zakresu ochrony danych osobowych. Nowo przyjęty pracownik odbywa szkolenie przed przystąpieniem do przetwarzania danych.
  7. Każdy upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem wszystkich zasad bezpieczeństwa. Wzór potwierdzenia stanowi załącznik nr 6 do niniejszej dokumentacji. Podpisany dokument jest dołączany do akt osobowych.
  8. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą Administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych.
  9. Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz.
  10. Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z biurka wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach.
  11. Nie należy gromadzić w podręcznej dokumentacji danych osobowych. Wszystkie dane niezbędne do prawidłowej pracy powinny znajdować się w zbiorach, zgodnie z załącznikiem nr 1 do dokumentacji.
  12. Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach.
  13. Każdorazowe zbieranie danych zgodnie z art. 24. oraz art. 25. ustawy o ochronie danych osobowych rodzi obowiązek informacyjny. Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi. Wzór realizacji obowiązku informacyjnego określa załącznik nr 7.
  14. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
  15. Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza obszary przetwarzania lub przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu.
  16. Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa, zapisywanych na zewnętrznych nośnikach i przechowywanych pod zamknięciem.
  17. Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku nr 1 do dokumentacji, za wyjątkiem komputerów służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania.
  18. Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym będącej częścią niniejszej dokumentacji.
  19. W celu zapewnienia danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego (np. WINDOWS) oraz bezpośrednio do programów przetwarzających dane.
  20. Szczegółowe zasady postępowania ze zbiorami przetwarzanymi elektronicznie określa Instrukcja zarządzania systemem informatycznym.

 

§11 Obowiązki Administratora danych osobowych

  1. Administrator danych bezpośrednio i samodzielnie nadzoruje stosowanie określonych środków organizacyjnych, zgodnie z art. 36. ust. 3. ustawy o ochronie danych osobowych.
  2. Do szczegółowych zadań ADO należy:
    1. nadzór nad przetwarzaniem danych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa,
    2. kontrola przestrzegania zasad ochrony – systematycznie, nie rzadziej niż dwa razy do roku kontrolowanie zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności kontrola pod kątem zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, w tym:
  • kontrola i aktualizacja dokumentacji opisującej sposób przetwarzania oraz ochrony,
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych,
  • przygotowywanie dla ADO do podpisu Upoważnień do przetwarzania danych,
  • kontrola fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są informacje,
  • kontrola poprawności zabezpieczeń danych przetwarzanych metodami tradycyjnymi,
  • kontrola nadanych upoważnień,
  1. systematyczna analiza dokumentacji pod kątem obszarów, zbiorów oraz zasad ochrony,
  2. organizacja szkoleń z ochrony danych osobowych oraz aktów wykonawczych,
  3. podjęcie natychmiastowych działań zabezpieczających w przypadku otrzymania informacji o naruszeniu bezpieczeństwa informacji,
  4. W przypadku kiedy ADO powoła ABI wszystkie zapisy w Polityce, które odwołują się do ADO są rozumiane jako zapisy dotyczące ABI.
  5. Dla celów obsługi i zabezpieczenia systemu informatycznego Administrator danych może powołać Administratora systemu informatycznego i wyznaczyć mu następujący zakres zadań:
    1. prowadzenie monitoringu przetwarzania danych,
    2. administrowanie systemem informatycznym,
    3. nadawanie uprawnień użytkownikom,
    4. stosowanie środków ochrony w ramach oprogramowania użytkowego, systemów operacyjnych, urządzeń teletransmisyjnych, programów antywirusowych oraz ochrony sprzętowej,
    5. kontrola mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz kontrola dostępu do danych osobowych,
    6. kontrola systemu antywirusowego,
    7. kontrola awaryjnego zasilania komputerów,
    8. kontrola i wykonywanie kopii awaryjnych,
    9. konserwacja oraz uaktualnienia systemów informatycznych,
    10. informowanie na bieżąco ADO o przypadkach awarii programowych wynikających z posługiwania się przez użytkowników nieautoryzowanym oprogramowaniem, nie przestrzegania zasad używania programów antywirusowych, niewłaściwego wykorzystywania sprzętu komputerowego,
    11. przedstawianie Administratorowi danych, nie rzadziej niż raz na rok, kompleksowej analizy przetwarzania danych osobowych w systemem informatycznym oraz ewentualne potrzeby w zakresie zabezpieczeń.
    12. W szczególnych przypadkach, Administrator danych może powierzyć obowiązki ASI i ABI jednej osobie, która posiada odpowiednie kwalifikacje. W takim przypadku wszystkie zapisy w dokumentacji, które odwołują się do ABI i ASI są rozumiane jako zadania tej osoby.
    13. W przypadku kiedy ADO nie powołuje ASI wszystkie zapisy w dokumentacji, które odwołują się do ASI są rozumiane jako zapisy dot. ADO.

 

§12 Środki techniczne ochrony danych osobowych

Z poniżej wymienionych środków wybrać właściwe, wpisać poniżej i usunąć z treści dokumentu:

Ogólna ochrona budynku – alarm antywłamaniowy, monitoring wizyjny, całodobowy dozór służb ochrony, gaśnice lub systemy ppoż.

Zabezpieczenia okien – pomieszczenia zlokalizowane na parterze lub wyższych kondygnacjach można dodatkowo zabezpieczyć poprzez montaż krat, rolet lub szyb antywłamaniowych, zwłaszcza, jeśli istnieje do nich dostęp przez tarasy, dachy niższych budynków, drabiny ppoż. itp.

Zabezpieczenie drzwi – w zależności od kategorii danych i zagrożeń można stosować drzwi tradycyjne zamykane na klucz lub przeciwpożarowe, zaś w miejscach szczególnie narażonych na zagrożenia (drzwi wejściowe, sekretariaty, księgowość, archiwa, itp.) należy stosować drzwi antywłamaniowe.

Zabezpieczenia zbiorów tradycyjnych (papierowych) – w zależności od kategorii danych i zagrożeń do przechowywania danych można stosować szafy tradycyjne zamykane na klucz, szafy metalowe lub sejfy (dla danych szczególnie ważnych). Dane przeznaczone do zniszczenia należy niszczyć w specjalistycznych niszczarkach.

Zabezpieczenia zbiorów elektronicznych – dane elektroniczne należy zabezpieczyć poprzez wyposażenie komputerów w zasilacze awaryjne podtrzymujące napięcie na wypadek braku zasilania oraz w systemy antywirusowe. Kopie danych należy gromadzić w szafach metalowych lub sejfach ognioodpornych.

 

  1. Praktyka posiada następujący ogólny system zabezpieczeń:
    1. a.       Np. alarm antywłamaniowy itd.
    2. .........................
    3. ………………….
    4. W tabeli załącznika nr 2 opisano dla każdego pomieszczenia indywidualnie, stosowane środki bezpieczeństwa.
    5. Każdy komputer przetwarzający dane osobowe zabezpieczono w zasilacz awaryjny podtrzymujący napięcie na wypadek braku zasilania oraz w system antywirusowy. Szczegółowe środki ochrony technicznej komputerów z podziałem na miejsca przetwarzania zamieszczono w załączniku nr 2 do niniejszej dokumentacji.
    6. Dodatkowe, środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego pracy oraz zasad użytkowania, określono w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

 

 

 

 

Załącznik nr 1. Wykaz zbiorów danych osobowych przetwarzanych w …………

Załącznik nr 2. Wykaz miejsc przetwarzania zbiorów danych osobowych w  ........

Załącznik nr 3. Wykaz osób upoważnionych do przetwarzania danych osobowych w............

Załącznik nr 4. Wzór upoważnienia do przetwarzania danych osobowych.

Załącznik nr 5. Wzór unieważnienia upoważnienia do przetwarzania danych osobowych.

Załącznik nr 6. Wzór potwierdzenia znajomości zasad bezpieczeństwa.

Załącznik nr 7 Wzór realizacji obowiązku informacyjnego.