Venamed- Punkt Pobań Krwi , Usługi Pielęgniarskie 43-246 Zbytków ul. Jesionowa 1

Zbytków 25.05.2018

 

Polityka bezpieczeństwa przetwarzania danych osobowych w

zakładzie leczniczym

Venamed- Usługi Pielęgniarskie

Lucyna Sitek

43-246 Zbytków

ul. Jesionowa 1

NIP: 651-155-12-53

 

Rozdział 1 .

Postanowienia ogólne.

&1

Celem Polityki bezpieczeństwa przetwarzania danych osobowych zwanej dalej „Polityką bezpieczeństwa w zakładzie leczniczym

„Venamed – Usługi Pielęgniarskie Lucyna Sitek mieszczącym się 43-246 Zbytków ul. Jesionowa 1, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

 

&2.

Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w

  • Rozporządzeniu Parlamentu europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE/Dz. Urz. UE.L nr 119 str.1

  • Ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych Dz. U. Z 2018 r poz 1000/20018

 

&3

Ochrona danych osobowych realizowana jest poprzez zabezpieczenie fizyczne, organizacyjne, oprogramowania systemowe proporcjonalne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.

Utrzymanie bezpieczeństwa przetwarzania danych osobowych w zakładzie leczniczym Venamed rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.

 

  1. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

 

    1. poufność danych- rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;

    2. integralność danych- rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

    3. rozliczalność danych- rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko jednej osobie;

    4. integralność systemu- rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej;

    5. dostępność informacji-rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

    6. zarządzanie ryzykiem-rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych

       

&5

  1. Administratorem danych jest osoba kierująca zakładem leczniczym Lucyna Sitek.

  2. Administrator nie powołał inspektora danych osobowych ze względów iż dane osobowe przetwarzane są na niewielką skalę a zakład leczniczy należy do mikroprzedsiębiorstw.

 

Rozdział 2.

Definicje

&6

Przez użyte w polityce bezpieczeństwa należy rozumieć:

  1. administrator danych- osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,

  2. ustawa- ustawa z dn 10 maja 2018 roku o ochronie danych osobowych,

  3. RODO- rozporządzenie Parlamentu Europejskiego i Rady UE/ 2016/679 z dnia 27 kwietnia 2016 r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych jak uchylenie dyrektywy 95/46/WE/Dz. Urz.UE.L nr 119 str 1.

  4. dane osobowe-wszelkie informacje dotyczące zidentyfikowania lub możliwej do zidentyfikowania osoby fizycznej,

  5. dane medyczne- dane szczególne, które mówią np. o stanie zdrowia pacjenta.

  6. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych wg określonych kryteriów,

  7. przetwarzanie danych- operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie itd.

  8. system informatyczny – zespół współpracujących ze sobą urządzeń, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,

  9. system tradycyjny-zespół procedur organizacyjnych , związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie w środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,

  10. zabezpieczenie danych w systemie informatycznym- wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

  11. Administrator systemu informatycznego- osoba lub osoby , upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi.

  12. Odbiorca- osoba fizyczna lub prawna, organ publiczny , jednostka lub inny podmiot , któremu ujawnia się dane osobowe w oparciu m.in. o umowę powierzenia,

  13. strona trzecia- osoba fizyczna lub prawna, organ publiczny , jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe.

  14. Identyfikator użytkownika- ciąg znaków literowych, cyfrowych lub innych , jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.

  15. Hasło- ciąg znaków literowych, cyfrowych lub innych przypisanych do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

 

Rozdział 3

Zakres stosowania

&7

 

W zakładzie leczniczym przetwarzane są dane osobowe pracowników, byłych pracowników, kandydatów do pracy, kontrahentów z którymi zakład leczniczy Venamed współpracuje oraz dane szczególne- medyczne pacjentów korzystających ze świadczeń zdrowotnych. Dane te są posegregowane i gromadzone w zbiorach danych osobowych.

Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej jak i elektronicznej.

Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Innymi dokumentami regulującymi ochronę danych osobowych w zakładzie leczniczym Venamed są:

  • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Venamed.

  • Ewidencja osób upoważnionych do przetwarzania danych osobowych.

  • Procedura przetwarzania danych osobowych oraz postępowanie z dokumentacją papierową oraz elektroniczną danych osobowych pracowników, kontrahentów oraz danych szczególnych- medycznych.

 

& 8

Politykę bezpieczeństwa stosuje się w szczególności do :

  1. danych osobowych szczególnych medycznych w postaci wyników badań przetwarzanych w systemie informatycznym będącym własnością Laboratorium Diagnostyka .spółka .ZO.O , za który to system w/w kontrahent ponosi odpowiedzialność prawną i gwarantuje zapewnienie bezpieczeństwa tego systemu.

  2. danych osobowych przetwarzanych w systemie Baza Asystent, Open Office .

  3. odbiorców danych osobowych, którym przekazano dane osobowe do przetworzenia w oparciu o umowy powierzenia w tym:

  • Przychodnia na Rondzie 44-240 Żory Al. W. Polskiego 3 c

  • Biuro Rachunkowe Alicja Klimaniec 43-246 Strumień ul. Pocztowa 2A.

  1. informacji dotyczących zabezpieczenia danych osobowych w tym w szczególności nazw , kont i haseł w systemach przetwarzania danych osobowych.

  2. rejestru osób trzecich – pracowników mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych.

  3. innych dokumentów zawierających dane osobowe.

 

&9

  1. Zakres ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do

  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz w formie papierowej, w których przetwarzane są dane osobowe podlegające ochronie.

  • Wszystkich lokalizacji- budynków pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie.

  • Wszystkich pracowników, kontrahentów mających dostęp do informacji podlegających ochronie.

  • Do stosowania zasad określonych przez Plitykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy oraz inne osoby mające dostęp do danych podlegających ochronie.

 

Rozdział 4

Wykaz zbiorów danych osobowych.

&10

Dane osobowe gromadzone są w zbiorach :

  1. Wykaz zbiorów danych szczególnych -medycznych (dotyczy pacjentów)

  2. Ewidencja osób upoważnionych do przet-arzania danych osobowych szczególnych – medycznych.

  3. Akta osobowe pracowników.

  4. Listy płac pracowników.

  5. Listy obecności pracowników.

  6. Umowy zawarte z kontrahentami.

  7. Systemowa baza danych.

& 11

Zbiory danych osobowych wymienione w &10 pkt 1 i 7 podlegają przetwarzaniu w sposób tradycyjny oraz przy użyciu systemu informatycznego , będącego własnością Laboratorium Diagnostyka oraz systemu Asystent- baza danych.

Zbiory danych , o których mowa w pkt 2-6 podlegają przetwarzaniu w sposób tradycyjny( papierowy).

 

Rozdział 5.

Wykaz budynków, pomieszczeń w których wykonywane są operacje przetwarzania danych osobowych .

&12

  1. Dane osobowe przetwarzane są w budynku mieszczącym się pod adresem 43-246 Zbytków ul. Jesionowa 1 w Gabinecie zabiegowo-diagnostycznym .

  2. Dane osobowe pracowników, kontrahentów przetwarzane są zarówno w formie tradycyjnej ( w ognioodpornej szafie medycznej zamykanej na klucz ).

  3. Dane osobowe szczególne- medyczne przechowywane są zgodnie z procedurą przetwarzania danym szczególnych w formie tradycyjnej papierowej oraz w zabezpieczonym systemie informatycznym, do którego ma dostęp ADO oraz upoważnieni przez niego pracownicy . (ognioodporna szafa medyczna zamykana na klucz)

 

Rozdział 6.

Struktura zbiorów danych .

&13

Struktura zbiorów danych wskazujących zawartość danych osobowych przedstawia się w sposób następujący.

  1. Dane osobowe kontrahentów

     

  • Imię i nazwisko właściciela firmy

  • Nazwa firmy

 

  • adres siedziby firmy

  • Nip

  • Regon

  • telefon

  • e-mail

  • fax

 

2. Dane pracowników.

  • Imię i Nazwisko

  • pesel

  • NIP

  • adres zamieszkania

  • informacje o zdobytym wykształceniu

  • telefon

    1. Dane szczególne – medyczne.

  • Imię i Nazwisko

  • pesel

  • adres

  • telefon

  • dane medyczne mówiące o stanie zdrowia.

  • płeć

 

Rozdział 7.

Środki organizacyjne i techniczne zabezpieczenia danych osobowych

&14

Zabezpieczenia organizacyjne .

  • Opracowano i wdrożono politykę bezpieczeństwa przetwarzania danych osobowych.

  • Sporządzono i wdrożono instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w zakładzie leczniczym Venamed- Usługi Pielegniarskie

  • Wprowadzono Procedury przetwarzania i przechowywania danych szczególnych -medycznych

  • Stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych.

  • Opracowano i na bieżąco jest prowadzony rejestr czynności przetwarzania danych.

  • Do przetwarzania danych został dopuszczone osoby posiadające upoważnienie nadane przez ADO po zapoznaniu się z procedurami, zostały zaznajomione z z przepisami RODO oraz w zakresie systemu informatycznego a także zostały zobowiązane do zachowania tajemnicy.

  • Przetwarzanie danych osobowych jest dokonywane w warunkach w pełni zabezpieczających dane przed dostępem osób nieupoważnionych.

  • Przebywanie osób nieuprawnionych w pomieszczeniu, w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej.

  • Dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu neutralizuje się w sposób taki aby nie było możliwe odtworzenie ich treści

 

Zabezpieczenia techniczne

  • Komputer zabezpieczono ochroną antywirusową, oraz przed korzystaniem z nich osób nieuprawnionych poprzez założenie indywidualnego hasła i cyklicznego wymuszania zmiany hasła.

 

Zabezpieczenia fizyczne

  • Urządzenia służące do przetwarzania danych znajdują się w zamykanych pomieszczeniach.

  • Dokumenty oraz nośniki danych przechowywane są w zamykanych na klucz szafkach.

 

 

Rozdział 8.

Zadania ADO

&15

Do obowiązków ADO należy:

  1. Organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawie o ochronie danych osobowych.

  2. Zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi.

  3. Przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych – w przypadku , gdy zakład leczniczy wprowadza nowy rodzaj przetwarzania danych osobowych.

  4. Wydawanie i anulowanie upoważnień do przetwarzania danych osobowych.

  5. Prowadzenie dokumentacji kontrolującej jakość przetwarzania danych- nadzór

  6. Prowadzenie postępowania wyjaśniającego w przypadku naruszenia.

  7. Zapewnienie bezpieczeństwa systemom informatycznym.

  8. Przeszkolenie pracowników w zakresie RODO .

  9. Dokonywanie corocznych do dnia 25 maja sprawozdań rocznych z funkcjonowania systemu ochrony danych osobowych. Sprawozdanie jest w formie pisemnej.

 

 

 

Administrator Danych Osobowych

 

Lucyna Sitek

 


Dodaj komentarz






Dodaj

" Bo zdrowia nie da się kupić za pieniądze"
© 2013-2024 PRV.pl
Strona została stworzona kreatorem stron w serwisie PRV.pl