Proszę czekać - trwa wczytywanie

Operacja w toku...

CGM EPORTAL PACJENTA

System rezerwacji pacjentów

„POLITYKA BEZPIECZEŃSTWA DANYCH W SYSTEMACH INFORMACYJNYCH” (WYCIĄG)


1. CEL

Celem procedury jest wsparcie kierownictwa dla bezpieczeństwa informacji. Procedura określa reguły i zasad postępowania oraz wskazuje działania jakie należy podjąć, aby poprawnie zabezpieczyć dane osobowe, zapewnić bezpieczne przetwarzanie danych, w szczególności danych osobowych i medycznych (dane o stanie zdrowia oraz dane genetyczne), zawartych w systemach informacyjnych Instytutu Matki i Dziecka. Opisane reguły określają granice dopuszczalnego zachowania wszystkich użytkowników systemów informacyjnych wspomagających pracę Instytutu Matki i Dziecka. Procedura zwraca uwagę na konsekwencje, jakie mogą ponosić osoby przekraczające określone granice oraz procedury postępowania dla zapobiegania i minimalizowania skutków zagrożeń.


2. ZAKRES STOSOWANIA

Dokument stosuje się do wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informacyjnych, w których przetwarzane są dane osobowe i medyczne, czyli informacje będące własnością Instytutu Matki i Dziecka. Stosuje się we wszystkich lokalizacjach, w których przetwarzane są w IMiD informacje podlegające ochronie, na wszystkich nośnikach informacji (papierowych, elektronicznych, optycznych, magnetycznych), które zawierają dane podlegające ochronie. Dotyczy wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, w tym konsultantów, stażystów, osób, z którymi podpisane są umowy cywilno-prawne, oraz innych osób mających dostęp do danych.

Podstawowymi wymaganiami stawianymi systemom informacyjnym jest odpowiednie zabezpieczenie, ochrona przetwarzanych danych oraz niezawodność mierzona odpornością na awarie techniczne jak również zdolnością do zapewnienia nieprzerwanego funkcjonowania systemu. Inspektor Ochrony Danych, w ramach posiadanych zasobów, dąży do ciągłego doskonalenia posiadanego systemu informacyjnego, o którym mowa w art. 24 ust. 1 RODO.

Systemy Informacyjne Instytutu Matki i Dziecka są systemami rozproszonymi i składają się na nie:

  1. Systemy kartotekowe (papierowe)
  2. Systemy informatyczne (elektroniczne).

3. TERMINOLOGIA

Polityka bezpieczeństwa danych w systemach informacyjnych – jest zbiorem spójnych, precyzyjnych i zgodnych z obowiązującym prawem przepisów, reguł i procedur, według których Instytut Matki i Dziecka w Warszawie buduje, zarządza oraz udostępnia zasoby i systemy informacyjne. Określa, które zasoby i w jaki sposób mają być przetwarzane i chronione.

System informacyjny - można określić jako posiadającą wiele poziomów strukturę (zbiór powiązanych ze sobą elementów) pozwalającą użytkownikowi na przetwarzanie, za pomocą procedur i modeli, informacji wejściowych w wyjściowe.

System informatyczny – wydzielona część systemu informacyjnego, którego funkcją jest przetwarzanie danych przy użyciu techniki komputerowej. Na systemy informatyczne składają się takie elementy jak:

  • sprzęt komputerowy: serwer, komputer, monitor, drukarka, skaner;
  • urządzenia służące do przechowywania danych m.in.: dyski, dyski zewnętrzne, płyty CD i DVD, karty pamięci;
  • urządzenia i przedmioty umożliwiające komunikację pomiędzy poszczególnymi elementami systemu: przełączniki (komutatory), okablowanie strukturalne, trasowniki (routery).

System kartotekowy – wydzielona część systemu informacyjnego, którego funkcją jest przetwarzanie danych umieszczonych na tradycyjnych nośnikach danych (arkuszach str. 3papierowych, negatywach, diapozytywach, taśmach filmowych, maszynowych, itp.). Na system kartotekowy składają się takie elementy urządzenia jak:

  • urządzenia utrwalające dane analogowe;
  • sposoby zapewnienia integralności i rozliczalności danych (środki ewidencyjne - wykazy, rejestry, zbiory, procedury);
  • komórki organizacyjne (biblioteki, archiwa, składnice) i urządzenia (szafy aktowe) do przechowywania nośników danych.

Oprogramowanie - lokalne i sieciowe programy umożliwiające przetwarzanie danych.

Dokument – informacja zawarta na nośniku informacji mająca znaczenie dowodu.

Papierowy nośnik informacji – arkusz papieru, na którym zamieszczono treść dokumentu lub pisma.

Elektroniczny nośnik informacji – płyty CD i DVD, dyskietki, dyski przenośne (pamięć USB, karty pamięci, karty magnetyczne, dyski zewnętrzne), dyski twarde oraz każde inne urządzenie, przedmiot, na którym można dokonać elektronicznego zapisu danych.

Rozporządzenie (RODO) – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG).

Zakład, IMID – Instytut Matki i Dziecka w Warszawie.

Administrator Danych Osobowych (ADO) – Instytut Matki i Dziecka w Warszawie reprezentowany przez Dyrektora Instytutu (Dyrektora Zakładu).

Inspektor Ochrony Danych (IOD) – osoba wyznaczona przez Administratora Danych Osobowych, wykonująca zadania opisane w Rozdziale IV sekcji 4 RODO.

Zastępca Inspektora Ochrony Danych (IOD) - osoba wyznaczona przez Administratora Danych na wniosek IOD, która wspólnie z IOD, wykonuje zadania opisane w sekcji 4 RODO ze szczególnym uwzględnieniem danych zawartych w systemach informatycznych.

Kierownik użytkownika - Kierownik komórki organizacyjnej, w której są przetwarzane dane.

Administrator Systemów Informatycznych (ASI) -– pracownik Działu Informatyki odpowiedzialny za wdrożenie i stosowanie zasad bezpieczeństwa systemów informatycznych, zobowiązany do stosowania technicznych i organizacyjnych środków ochrony przewidzianych w systemach informatycznych.

Administrator Kopii Bezpieczeństwa (AKB) – wyznaczeni pracownicy Działu Informatyki odpowiedzialni za dokonywanie archiwizacji zbiorów.

Osoba uprawniona lub Użytkownik – jest osobą związaną z Zakładem dowolnym stosunkiem pracy (umową o pracę, umową zleceniem, współpracą w ramach własnej działalności gospodarczej, itp.), która zajmuje się przetwarzaniem danych w Zakładzie, posiada upoważnienie wydane przez Administratora Danych, które dopuszcza, w zakresie w nim wskazanym, Użytkownika do przetwarzania danych osobowych w danej komórce organizacyjnej. Dotyczy także przedstawicieli firm zewnętrznych.

Odbiorca danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które - z upoważnienia administratora lub podmiotu przetwarzającego - mogą przetwarzać dane osobowe;

Dane – litery, wyrazy, cyfry, teksty, liczby, znaki, symbole, obrazy, kombinacje liter, cyfr, liczb, symboli i znaków, zebrane w zbiory o określonej strukturze, dostępne według określonych kryteriów, w tym dane osobowe;

Dane osobowe - oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Dane „zwykłe” - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej z wyłączeniem informacji ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.. Do danych zwykłych zaliczamy np. imię, nazwisko, adres zamieszkania, datę urodzenia, numer PESEL.

Dane szczególnych kategorii (wrażliwe, sensytywne) - wyszczególnione w art. 9 ust. 1 RODO. Są to informacje o: pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych, przynależności do związków zawodowych oraz dane genetyczne, dane biometryczne w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej.

Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Przetwarzanie danych osobowych - wykonywanie jakichkolwiek operacji na danych osobowych, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.

Zabezpieczenie danych osobowych - wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, modyfikacją, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Dostępność - cecha zapewniająca, że zasoby danych osobowych są dostępne użytkownikowi w wymaganym miejscu, czasie i w wymaganej formie.

Zasada „czystego biurka” - zasada ochrony danych polegającym na nie pozostawianiu w pomieszczeniu lub stanowisku pracy materiałów zawierających dane osobowe bez ich zabezpieczenia.

Zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć przetwarzania danych osobowych.

Uwierzytelnienie - działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

Zgoda osoby, której dane dotyczą - oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

Usuwanie danych - rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Powierzenie - instytucja powierzenia przetwarzania danych, zezwala Administratorowi Danych na skorzystanie z usług wyspecjalizowanych podmiotów zewnętrznych. Oznacza to, że Administrator Danych osobowych nie musi osobiście wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Może powierzyć ich przetwarzanie – w całości lub w części. Umowa powierzenia ma formę pisemną w tym formę elektroniczną. Treść umowy powierzenia przetwarzania danych osobowych reguluję art. 28 RODO.

Hasło – ciąg znaków literowych, cyfrowych lub innych specjalnych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

Identyfikator użytkownika - ciąg znaków literowych, cyfrowych lub innych specjalnych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych w systemie informatycznym.

Sieć informatyczna (komputerowa) – sieć lokalna/rozległa umożliwiająca połączenie systemów informatycznych Zakładu przy wykorzystaniu specjalistycznych dedykowanych urządzeń i sieci telekomunikacyjnych.

Rejestr udostępnionych danych osobowych, zwany dalej Rejestrem – rejestr, w którym odnotowywane są informacje o odbiorcach danych z systemu/aplikacji, prowadzony dla danego systemu/aplikacji.

Punkt pomocy (z ang. Helpdesk) - pracownicy Sekcji Informatyki przyjmujący i realizujący zgłoszone problemy dotyczące użytkowania sprzętu komputerowego i oprogramowania komputerowego.

Stanowisko komputerowe – zestaw komputerowy, terminal, konsole itd., Czyli urządzenia służące dostępowi lub obróbce danych.

Naruszenie ochrony danych osobowych - oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.


4. PODSTAWA PRAWNA

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) (Tekst mający znaczenie dla EOG).


5. ZASADY PRZETWARZANIA DANYCH OSOBOWCH

  1. Przetwarzanie danych osobowych w strukturze Administratora Danych odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:
    1. zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności) np. kiedy
      • osoba, której dane dotyczą wyraziła świadomą zgodę na przetwarzanie swoich danych osobowych w jednym lub większej ilości celów,
      • przetwarzanie jest niezbędne do zawarcia umowy i jej wykonania, której stroną jest osoba, której dane dotyczą lub podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy (np. podanie danych osobowych w czasie zawierania umowy o pracę),
      • przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze – np. podstawą prawną przetwarzania jest Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta,
      • przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej,
      • przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym,
      • przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora w tym reagowanie na zagrożenia komputerowe i zagrożenia dla środków łączności;
    2. w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności);
    3. w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości) kiedy osoba, której dane dotyczą jest informowana o:
      • celu w jakim jej dane osobowe są zbierane, w jakim będą wykorzystywane, przeglądane lub w inny sposób przetwarzane,
      • tożsamości Administratora (nazwa, adres, wpis do KRS, dane kontaktowe),
      • prawie do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych jej dotyczących,
      • ryzyku, zasadach, zabezpieczeniach i prawach związanych z przetwarzaniem danych osobowych oraz o sposobach wykonywania praw w związku z przetwarzaniem;
    4. w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu);
    5. w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych);
    6. przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości);
    7. przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania);
    8. w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność);
    9. potrafiąc wykazać przestrzeganie zasad (zasada rozliczalności).
  2. Administrator Danych gwarantuje, że określone decyzje odnoszące się do procesów przetwarzania danych osobowych zostały przeanalizowane z punktu widzenia zgodności z ogólnymi zasadami przetwarzania danych, a przede wszystkim, że są z nimi zgodne.
  3. Obowiązki informacyjne Administratora w czasie zbierania danych osobowych realizowane są poprzez zamieszczenie klauzul informacyjnych na stronie internetowej Instytutu, udostępnianie w gablotach informacyjnych oraz załączanie do umów związanych z przetwarzaniem danych osobowych.

6. ODPOWIEDZIALNOŚĆ

  1. Administrator Danych jest odpowiedzialny za:
    • zapewnienie odpowiednich środków organizacyjnych i technicznych w celu zapewnienia i wykazania przetwarzania danych osobowych zgodnie z określonymi w RODO zasadami przetwarzania danych osobowych;
    • wdrożenie odpowiednich procedur ochrony danych osobowych wynikających z niniejszej polityki;
    • jeśli uzna to za konieczne, stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonych mechanizmów certyfikacji, jako element dla stwierdzenia przestrzegania przez Administratora Danych ciążących na nim obowiązków;
    • zapewnienie środków umożliwiających prawidłową realizację praw osób, których dane dotyczą;
    • prowadzenie rejestru czynności przetwarzania danych osobowych;
    • prowadzenie rejestru kategorii przetwarzania dokonywanych w imieniu innego administratora;
    • współpracę z organem nadzorczym w ramach wykonywania przez niego swoich zadań;
    • wdrożenie odpowiednich środków organizacyjnych i technicznych, aby zapewnić stopień bezpieczeństwa odpowiadający istniejącemu ryzyku naruszenia praw lub wolności osób, których dane dotyczą, wynikających z niniejszej polityki;
    • zgłaszanie naruszenia ochrony danych osobowych właściwemu organowi nadzorczemu, a w przypadku, gdy zajdą ku temu odpowiednie przesłanki, również osobie, której dane dotyczą;
    • dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych;
    • dokonywanie oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych w sytuacji, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, w tym, jeżeli zajdą ku temu odpowiednie przesłanki, konsultację z organem nadzorczym;
    • nadawanie upoważnień do przetwarzania danych osobowych;
    • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych;
    • zapewnienie legalności przekazywania danych osobowych do podmiotów trzecich;
    • uwzględnianie ochrony danych w fazie projektowania oraz domyślna ochrona danych;
    • stosowanie domyślnej ochrony danych osobowych;
    • wykonywanie obowiązków informacyjnych oraz realizowanie praw osób, których dane dotyczą.
  2. Inspektora Ochrony Danych wyznacza Administrator. IOD podlega bezpośrednio dyrektorowi AD i realizuje obowiązki wynikające z art. 39 RODO. Do zadań tych należy:
    • informowanie administratora, oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
    • monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
    • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO; współpraca z organem nadzorczym;
    • pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;
    • IOD może wykonywać inne zadania i obowiązki wynikające z niniejszej polityki lub umowy łączącej go z Administratorem. Administrator zapewnia, by takie zadania i obowiązki nie powodowały konfliktu interesów.

    IOD wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania. W przypadku nieobecności IOD Informacji powyższe zadania realizuje Zastępca Inspektora Ochrony Danych.

  3. Zastępca Inspektora Ochrony Danych - osoba zastępująca IOD podczas jego nieobecności, składa mu pisemną relację z podejmowanych działań w czasie jego zastępstwa.
  4. Kierownik użytkownika - Kierownik jednostki lub komórki organizacyjnej, w której są przetwarzane i gromadzone dane oraz osoby na samodzielnych stanowiskach. W zakresie ochrony danych podlega bezpośrednio Administratorowi Danych i w ramach swoich obowiązków kierownika odpowiada za ochronę danych w podległej sobie jednostce lub komórce organizacyjnej Instytutu Matki i Dziecka, a w szczególności:
    • ochronę i bezpieczeństwo danych osobowych i danych medycznych zawartych w zbiorach systemów informatycznych Instytutu Matki i Dziecka przetwarzanych w podległej sobie jednostce lub komórce organizacyjnej;
    • niezwłoczne informowanie IOD, a w przypadku jego nieobecności ZIOD, o przypadkach naruszenia przepisów RODO;
    • ochronę i bezpieczeństwo danych osobowych i medycznych znajdujących się w systemach kartotekowych w podległej sobie jednostce lub komórce organizacyjnej;
    • nadzór i kontrolę nad obiegiem dokumentacji zawierającej dane w podległej sobie jednostce lub komórce organizacyjnej;
    • podejmowania stosownych działań w przypadku wykrycia nieuprawnionego dostępu do danych.

      Kierownicy komórek organizacyjnych oraz pracownicy na samodzielnych stanowiskach pełnią funkcję wspomagają Inspektora Ochrony Danych. W przypadku nieobecności Kierownika użytkownika powyższe zadania realizuje osoba bezpośrednio go zastępująca.

  5. Użytkownik (osoba upoważniona do przetwarzania danych) – podlega bezpośrednio kierownikowi jednostki lub komórki organizacyjnej (Kierownikowi użytkownika), uzyskała upoważnienie do przetwarzania danych osobowych i odpowiada za realizację zadań przetwarzania danych na swoim stanowisku pracy w powierzonym zakresie, zgodnie z wewnętrznymi procedurami i instrukcjami. Jest zobowiązana do zachowania poufności danych osobowych podczas zatrudnienia w Instytucie Matki i Dziecka i po zakończenia zatrudnienia.
  6. Upoważnienie do przetwarzania danych – nadawanie/zmiana/odebranie uprawnień. Upoważnienie odbywa się w formie pisemnej. Nadawane na podstawie pełnomocnictwa przez Pełnomocnika ds. ochrony danych osobowych.
  7. Umowy powierzenia przetwarzania danych – zawierane są na podstawie art. 28 RODO w formie pisemnej. Umowy powierzenia zawierane są z podmiotami niemedycznymi świadczącymi usługi związane z przetwarzaniem danych osobowych (np. umowy serwisowe systemów informatycznych i sprzętu, użyczenia sprzętu, transport medyczny, utylizacja odpadów, archiwizacja dokumentów, ochrona, usługi personalizowane dla pracowników, itp.). Umowy powierzenia nie są zawierane z podmiotami medycznymi świadczącymi usługi diagnostyczne, konsultacje lekarskie gdyż przekazanie danych odbywa się na zasadzie udostępnienia, a nie powierzenia danych. Powierzenie przetwarzania możliwe jest w sytuacji kiedy podmiot przetwarzający zapewni gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczne przetwarzanie danych zgodnie z RODO i ochronę praw osób, których dane dotyczą.

7. OPIS POSTĘPOWANIA

7A SZACOWANIE RYZYKA NARUSZENIA PRAW I WOLNOŚCI OSÓB W PROCESIE PRZETWARZANIA DANYCH OSOBOWYCH

  1. Szacowanie ryzyka naruszenia praw i wolności osób, których dane dotyczą, w procesie przetwarzania danych osobowych przeprowadza się zgodnie z procedurą „Analiza ryzyka naruszenia praw i wolności osób, których dane dotyczą. Wyniki szacowania stanowią podstawę zaplanowania i wdrożenia środków ochrony adekwatnych i proporcjonalnych do zdefiniowanego ryzyka.
  2. Wobec ryzyka oznaczonego jako wysokie podejmuje się działania w celu zredukowania jego poziomu lub jego eliminacji.

7B. OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH

Podział zagrożeń w systemie informatycznym:
  1. Zagrożenia losowe zewnętrzne - (np. klęski żywiołowe, przerwy w zasilaniu energii elektrycznej), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
  2. Zagrożenia losowe wewnętrzne - (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych.
  3. Zagrożenia zamierzone, świadome i celowe - najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy systemu). Zagrożenia te możemy podzielić na:
    • nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu);
    • nieuprawniony dostęp do systemu z jego wnętrza (włamanie do systemu);
    • nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania;
    • bezpośrednie zagrożenie materialnych składników systemu.

7C. ZABEZPIECZENIE DANYCH OSOBOWYCH

  1. Administrator Danych Osobowych zgodnie z art. 32 RODO Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. Administrator podejmuje działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.
    1. Do zastosowanych środków technicznych należy:
      • przetwarzanie danych w przystosowanych do tego celu pomieszczeniach;
      • wyposażenie pomieszczeń, w których gromadzone i przetwarzane są dane osobowe w zamykane szafy (metalowe lub drewniane w zależności od potrzeb), które zabezpieczą dokumentację przed nieuprawnionym dostępem;
      • szczególne zabezpieczenie serwerowni jako centrum przetwarzania danych poprzez zastosowanie zabezpieczeń fizycznych (np. system kontroli dostępu, drzwi antywłamaniowe, zamki) oraz systemu ochrony przeciwpożarowej;
      • zabezpieczenie sprzętu komputerowego, systemów informatycznych i łączności przed nieuprawnionym dostępem, oraz działaniem złośliwego oprogramowania i wykorzystanie ich wyłącznie do realizacji zadań służbowych;
      • stosowanie monitoringu wizyjnego w celu zapewnienia bezpieczeństwa osób przebywających na terenie Instytutu oraz mienia w tym ochronę danych osobowych w sposób nie naruszający dóbr osobistych tych osób
    2. Do zastosowanych środków organizacyjnych należą następujące zasady:
      • zapoznania każdej nowo zatrudnionej osoby z przepisami dotyczącymi ochrony danych osobowych, przed jej przystąpieniem do pracy przy przetwarzaniu danych osobowych;
      • przeszkolenia osób, o których mowa powyżej, w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych;
      • kontrolowania, otwierania i zamykania pomieszczeń, w których są przetwarzane dane, a w szczególności dane osobowe;
      • pobierania i zdawania, przez uprawnione osoby, kluczy do pomieszczeń z portierni Instytutu Matki i Dziecka;
      • prowadzenia przez pracowników agencji ochrony ewidencji pobierania i zdawania kluczy;
      • prowadzenia przez upoważnioną osobę z Działu Administracyjnego ewidencji osób upoważnionych do pobierania i zdawania kluczy (kopia aktualnego spisu osób uprawnionych do pobierania kluczy znajduje się w portierni Instytutu Matki i Dziecka);
      • prowadzenia przez upoważnioną osobę wykazu kluczy zapasowych oraz kontrolę ich przechowywania;
      • w umowach zawieranych przez Instytut Matki i Dziecka z podmiotami zewnętrznymi, winny znajdować się zapisy zobowiązujące te podmioty do ochrony danych, które są ewentualnie udostępniane przez Instytut Matki i Dziecka.
  2. Niezależnie od zasad opisanych w dokumencie „Polityka bezpieczeństwa danych w systemach informacyjnych” w zakresie bezpieczeństwa, mają zastosowanie wewnętrzne regulaminy i instrukcje, dotyczące bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych przy przetwarzaniu danych w określonym systemie. Dokumenty te nie mogą być sprzeczne z regulacjami określonymi w Polityce Bezpieczeństwa.

7D. KONTROLA PRZESTRZEGANIA ZASAD ZABEZPIECZENIA DANYCH

  1. Administrator Danych za pośrednictwem Inspektora Ochrony Danych oraz Zastępcy Inspektora Ochrony Danych sprawuje nadzór nad przestrzeganiem zasad ochrony danych w tym, danych osobowych wynikających z RODO oraz zasad ustanowionych w niniejszym dokumencie.
  2. Inspektor Ochrony Danych wraz z Zastępcą Inspektora Ochrony Danych sporządza roczne plany kontroli zatwierdzone przez Dyrektora Instytutu Matki i Dziecka, i zgodnie z nimi przeprowadza kontrolę oraz dokonuje okresowych ocen stanu bezpieczeństwa danych w systemach informacyjnych.
  3. Na podstawie zgromadzonych materiałów, o których mowa w ust. 2, Inspektor Ochrony Danych wraz z Zastępcą Inspektora Ochrony Danych sporządza roczne sprawozdanie i przedstawia Administratorowi Danych.

7E. POSTĘPOWANIE W PRZYPADKU NARUSZENIA OCHRONY DANYCH

W przypadku stwierdzenia naruszenia ochrony danych każda osoba zatrudniona przy przetwarzaniu danych, jest obowiązana niezwłocznie powiadomić o tym fakcie swojego Kierownika lub Inspektora Ochrony Danych.

  1. O zaistniałym fakcie naruszenia Kierownik informuje Inspektora Ochrony Danych lub Zastępcę Inspektora Ochrony Danych.
  2. Inspektor Ochrony Danych dokumentuje zaistniały przypadek naruszenia oraz sporządza raport wg. zasad określonych w „Instrukcji postępowania w sytuacji naruszenia ochrony danych w tym danych osobowych lub danych medycznych”.
  3. Raport, o którym mowa w ust. 2, Inspektor Ochrony Danych niezwłocznie przekazuje Administratorowi Danych, a w przypadku jego nieobecności osobie uprawnionej.
  4. Administrator Danych podejmuje decyzję o dalszych działaniach w tym ewentualnym poinformowaniu organów ścigania jeżeli naruszenie nosi cechy przestępstwa.
  5. Po wyczerpaniu niezbędnych środków doraźnych lub zaistniałym naruszeniu, Inspektor Ochrony Danych proponuje postępowanie naprawcze, w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń oraz terminu wznowienia przetwarzania danych.
  6. Zaistniałe naruszenie może stać się przedmiotem szczegółowej, zespołowej analizy prowadzonej przez Dyrektora Instytutu Matki i Dziecka, Inspektora Ochrony Danych i Zastępcy Inspektora Ochrony Danych.
  7. Analiza, o której mowa w ust. 5, powinna zawierać wszechstronną ocenę zaistniałego naruszenia, wskazanie odpowiedzialnych osób, wnioski, co do ewentualnych przedsięwzięć proceduralnych, organizacyjnych, kadrowych i technicznych, które powinny zapobiec podobnym naruszeniom w przyszłości.

7F. POSTANOWIENIA KOŃCOWE

  1. Polityka bezpieczeństwa danych w systemach informacyjnych Instytutu Matki i Dziecka obowiązują wszystkich pracowników Instytutu.
  2. Osoby lub podmioty wykonujących prace na terenie Instytutu zobowiązani są respektować postanowienia Polityki bezpieczeństwa danych w systemach informacyjnych. Ewentualnie przyjęte przez nich własne uregulowania nie mogą być sprzeczne z uregulowaniami prawnymi przetwarzania danych osobowych.
  3. Pracownicy, którzy zostali zapoznani z niniejszym dokumentem i zobowiązują się do stosowania zasad w nim zawartych, potwierdzają ten fakt poprzez podpisanie 2 egzemplarzy oświadczenia znajdującego się w załącznikach do niniejszego dokumentu. 1 egzemplarz oświadczenia otrzymuje pracownik, a drugi egzemplarz przechowywany jest w aktach osobowych pracownika.
  4. Wymienione wyżej oświadczenie może być integralną częścią upoważnienia do przetwarzania danych osobowych jeżeli dana osoba otrzymuje takie upoważnienie
  5. Przypadki, nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informacyjnego lub uzasadnionego domniemania takiego naruszenia, nie podjęła działania określonego w niniejszym dokumencie, a w szczególności, nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także, gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, wszczyna się postępowanie wyjaśniające.
  6. Zastosowanie kar porządkowych w przepisach prawa pracy, wobec osoby uchylającej się od obowiązków wynikających z niniejszego dokumentu, nie wyklucza odpowiedzialności materialnej tej osoby oraz możliwości podjęcia przez pracodawcę działań mających na celu zrekompensowanie poniesionych strat. Dla pracowników zatrudnionych na podstawie umów cywilno-prawnych mają zastosowanie przepisy kodeksu cywilnego.
  7. Wszystkie regulacje dotyczące systemów informatycznych, określone w Polityce Bezpieczeństwa dotyczą również przetwarzania danych osobowych w bazach prowadzonych w jakiejkolwiek innej formie.
  8. Realizacja Polityki bezpieczeństwa danych w systemach informacyjnych odbywa się na podstawie planu opracowanego przez Inspektora Ochrony Danych, który zawiera w szczególności:
    • zakres, sposób i czas zapoznania się pracowników z Polityką Bezpieczeństwa;
    • terminarz szkoleń z zakresu wprowadzanych procedur;
    • terminarz szkoleń stanowiskowych;
    • terminarz wprowadzenia do stosowania poszczególnych elementów Polityki bezpieczeństwa danych w systemach informacyjnych;
    • termin kontroli stosowania wszystkich postanowień wprowadzonych Polityką Bezpieczeństwa;
    • sprawdzenie funkcjonowania procedur poprzez symulację jednego z zagrożeń określonych w Instrukcji postępowania w sytuacji naruszenia systemu ochrony danych;
    • analizę zgodności innych wewnętrznych aktów prawa z Polityką bezpieczeństwa danych w systemach informacyjnych w Instytucie Matki i Dziecka, a w przypadku stwierdzonych niezgodności harmonogram dostosowania ich postanowień do wymogów Polityki bezpieczeństwa;
    • zestawienie zawierające potrzeby w zakresie dostosowania struktury organizacyjnej oraz stosowanego sprzętu i oprogramowania.
  9. Integralną część „Polityki bezpieczeństwa danych w systemach informacyjnych” stanowią instrukcje i załączniki.
  10. Administrator może wydawać dalsze instrukcję, które będą szczegółowo regulowały zagadnienia ochrony danych osobowych.

8. DOKUMENTY ZWIĄZANE

  1. Jednolity Rzeczowy Wykaz Akt – załącznik nr 2 do zarządzenia nr 78/2018 z 19 grudnia 2018 r.
  2. Instrukcja Kancelaryjna – załącznik nr 1 do zarządzenia nr 78/2018 z 19 grudnia 2018 r.
  3. Instrukcja w sprawie organizacji i zakresu działania archiwum zakładowego Instytutu – załącznik nr 3 do zarządzenia nr 78/2018 z 19 grudnia 2018 r.

Instrukcje do Polityki bezpieczeństwa informacyjnych Instytutu Matki i Dziecka.

  1. Instrukcja nr 1 - Postępowanie w sytuacji naruszenia ochrony danych w tym danych osobowych.
  2. Instrukcja nr 2 - W sprawie ochrony danych, danych osobowych i danych medycznych w systemach informacyjnych (kartotekowych i informatycznych) Instytutu Matki i Dziecka.
  3. Instrukcja nr 3 - Zarządzanie systemami informatycznymi w Instytucie Matki i Dziecka.
  4. Instrukcja nr 4 - Instrukcja spełniania obowiązków informacyjnych oraz realizacji praw osoby, której dane dotyczą.
  5. Instrukcja nr 5 - Instrukcja oceny skutków dla ochrony danych osobowych (data protection impact assessment).
  6. Instrukcja nr 6 - Instrukcja kontroli podmiotów przetwarzających.

Załączniki do Polityki bezpieczeństwa informacyjnych Instytutu Matki i Dziecka

  1. Załącznik nr 1 - Upoważnienie pracownika do przetwarzania danych osobowych wraz z oświadczeniem pracownika.
  2. Załącznik nr 2 - Wykaz budynków, stref i pomieszczeń, w których przetwarzane są dane, których administratorem jest Instytut Matki i Dziecka.
  3. Załącznik nr 3 - Wykaz zbiorów danych osobowych, opis struktury zbiorów danych osobowych wraz z listą systemów informacyjnych oraz sposób przepływu danych pomiędzy poszczególnymi systemami.
  4. Załącznik nr 4 - Ewidencja osób upoważnionych do przetwarzania danych osobowych w Instytucie Matki i Dziecka.
  5. Załącznik nr 5 - Ewidencja udostępnień/powierzeń danych osobowych przetwarzanych w Instytucie Matki i Dziecka.
  6. Załącznik nr 6 - Rejestr Czynności Przetwarzania.
  7. Załącznik nr 7 - Rejestr Kategorii Czynności Przetwarzania.
  8. Załącznik nr 8 - Ewidencja naruszeń danych osobowych
Wstecz

Formularz kontaktowy

Formularz kontaktowy