+48 77/40-40-248 fax +48 77/40-40-250 sekretariat@zoznamyslow.pl

POLITYKA BEZPIECZEŃSTWA

STRONA GŁÓWNA 9 O SZPITALU 9 POLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWADANYCH OSOBOWYCHW NAMYSŁOWSKIM CENTRUM ZDROWIA
Wstęp

Informacje (w tym przetwarzane dane osobowe) są ważnym aktywem Administratora danych, dlatego należy je chronić z należytą starannością, ponieważ wiele procesów zależy w dużej mierze od jakości, poufności, integralności i dostępności informacji.

Chroniąc informacje dbamy o interesy Administratora danych, partnerów i klientów, dlatego bezpieczeństwo informacji ma dla Szpitala podstawowe znaczenie, aby utrzymać konkurencyjność, ciągłość funkcjonowania, płynność finansową, zysk, zgodność z przepisami prawa oraz właściwy wizerunek.
Informuję, że w związku z przetwarzaniem danych osobowych w Szpitalu obowiązują m.in. następujące zasady postępowania:
  • „wszystko co,nie jest wyraźnie dozwolone jest zabronione”,
  • czyste biurko i ekran,
  • zasada ograniczonego zaufania w kontaktach wewnątrz oraz poza firmowych,
  • dostęp jedynie do wiedzy i informacji koniecznej -„need-to-know”.
Obowiązkiem każdego pracownika i współpracownika Szpitala jest przestrzeganie wymienionych zasad oraz postanowień Polityki
Postanowienia ogólne

1.Niniejsza Polityka bezpieczeństwa danych osobowych została wdrożona w Namysłowskim Centrum Zdrowia S.A.

2.Administratorem danych osobowych jest Namysłowskie Centrum Zdrowia S.A.

3.Dane kontaktowe Administratora Danych:Namysłowskie Centrum Zdrowia S.A., ul. Oleśnicka 4, 46-100 Namysłów, e-mai:sekretariat@zoznamyslow.pl, telefonsekretariatu:77/404-02-50.

4.Każde naruszenie zasad Polityki może być uznane za poważne naruszenie podstawowych obowiązków pracowniczych lub wynikających z umów cywilnych o współpracy i może skutkować konsekwencjami, zgodnie z Kodeksem Pracy lub odpowiednimi przepisami regulującymi zasady współpracy, jak również odpowiedzialnością przewidzianą w ustawie o ochronie danych osobowych.

Cel polityki

1.Celem powstania niniejszej Polityki jest realizacja obowiązków wynikających z przepisów dotyczących ochrony danych osobowych, jak również spełnienie wymagań chroniących prywatność i godność osób, których dane osobowe są przetwarzane przez Administratora danych.

2.Przedmiotem Polityki jest określenie, opisanie i zawarcie, w tym i załączonych dokumentach, zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych osobowych objętych ochroną,a w szczególności zabezpieczeń danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Podstawa prawna oraz zakres obowiązywania

1.Polityka została przygotowana, aby w szczególności spełnić wymogi:a)Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danychosobowychi w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,(Dz. U. UE 2016 poz. L119)(zwanego dalej: “RODO”)b)Ustawy o ochronie danych osobowych z dnia 10 maja 2018r.(Dz. U. 2018 poz. 1000)c)RozporządzeniaRady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych(tekst jednolity: Dz. U. 2017 poz. 2247)

2.Polityka obowiązuje przy przetwarzaniu wszelkich danych osobowych w Szpitalu.

3.Sposób postępowania przy przetwarzaniu danych opisany jest w osobnych procedurachi instrukcjach.

4.Podmioty zewnętrzne, które będą przetwarzać dane osobowe na zlecenie Administratora danych, zgodnie z art.28 RODO, są obowiązane opracować własną, odpowiednią dokumentację i zabezpieczyć przetwarzane dane osobowe zgodnie z wymogami prawa

Sposób przechowywania, udostępniania i modyfikacji Polityki

1.Polityka została zatwierdzona prze Administratora jako dokument obowiązujący.

2.Niniejszy dokument jest przechowywany i aktualizowany w wersji elektronicznej ze względu na czytelność i różnorodność obszarów,w których przetwarzane są dane osobowe. Jest on regularnie przeglądany i aktualizowany przez Administratora.

3.Zmiany w dokumencie Polityki oraz załącznikach wprowadzane są w chwili pojawienia się ważnych okoliczności lub nowego przepisu, istotnego dla spójności i aktualności Polityki, bądź aktualizacji dotychczasowych przepisów dotyczących ochrony lub przetwarzania danych osobowych. Zmiany zatwierdzane są przez Administratora.

4.Informacje o zmianach podawane są do wiadomości osób uczestniczących w przetwarzaniu danych osobowych poprzez publikację w intranecie lub dokumentach formalnych udostępnianych w ustalony wewnętrznie sposób.

5.W przypadku zatwierdzenia nowej wersji Polityki jest ona drukowana, a wydruk dołączany jest do prowadzonej dokumentacji ochrony danych osobowych. Załączniki są przechowywane wyłącznie w formie elektronicznej. Ich wydruk następuje tylko w razie zaistnienia takiej konieczności, na zlecenie Administratora.

6.Dokument Polityki, wraz z załącznikami, stanowi tajemnicę Administratora i jest klasyfikowany jako dokument wewnętrznynie podlagający publikacji oraz udostępnieniuw trybie informacji publicznej.

Podstawowe zasady przetwarzania danych osobowych

1.Przetwarzanie danych osobowych może następować tylko w uzasadnionych przypadkach, na warunkach określonych niniejszą Polityką oraz przepisami ustawy o ochronie danych osobowych wraz z przepisami wykonawczymi.

2.Przetwarzanie danych osobowych jest dopuszczalne, gdy spełniona jest jedna z przesłanek zawartych w art. 6 RODO

Obowiązki wobec osób,których dane osobowe są przetwarzane.

1.W razie przetwarzania danych osobowych obowiązkiem Administratora danych jest poinformowanie osoby, której dane osobowe dotyczą, o informacjach wskazanych w art. 13(i odpowiednio w art. 14 w przypadku pozyskiwania danych od osoby trzeciej) RODO.

2.Na żądanie osoby, której dane osobowe są przetwarzane, jej dane mogą zostać uzupełnione, uaktualnione, sprostowane, względnie czasowo lub w sposób trwały może zostać wstrzymane ich przetwarzanie. O ile dane zostały udostępnione innym Administratorom,należy ich bez zbędnej zwłoki powiadomić o dokonanym uaktualnieniu, sprostowaniu lub zastrzeżeniu.

Odpowiedzialność za bezpieczeństwo danych osobowych, obowiązki Administratora Danych, Inspektora Ochrony Danych, Administratora Systemów Informatycznych oraz Użytkownika Systemu(Operatora Danych
Za bezpieczeństwo danych osobowych odpowiedzialna jest każda osoba przetwarzająca dane osobowe
Administrator Danych odpowiedzialny jest za:

1.Wyznacza Inspektora Ochrony Danych oraz Administratora Systemów Informatycznych.

2.Podejmuje odpowiednie działania, rekomendowane przez IOD w celu zabezpieczenia danych osobowych.

3.Zleca odpowiednim służbom w Szpitalu zapewnienie użytkownikom danych osobowych wyposażenia w odpowiednie środki bezpieczeństwa stanowisk pracy, umożliwiające bezpieczne przetwarzanie danych.

4.Wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodniez RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądomi uaktualniane.

5.Prowadzenie rejestrów czynności przetwarzania (rejestr czynności przetwarzania oraz rejestr powierzonych czynności przetwarzania).

6.Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator danych –zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.

7.Wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych

Inspektor Ochrony Danych odpowiedzialny jest za:

1.informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskichoochroniedanychidoradzanieimwtejsprawie;

2.monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego woperacjachprzetwarzaniaorazpowiązaneztymaudyty;

3.udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art.35;

4.współpraca z organemnadzorczym;

5.pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami,októrych mowa w art.36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach

Administrator SystemówInformatycznychodpowiedzialny jest za:

1.Zarządzanie systemami informatycznymi organizacji w sposób gwarantujący utrzymanie poufności, dostępności i integralności gromadzonych w nich danych na poziomie pozwalającym zachować zgodność z wymogami prawnymi i organizacyjnymi.

2.Realizacja i sprawowanie nadzoru nad wdrożeniem stosownych środków administracyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych.

3.Realizacja i sprawowanienadzoru nad funkcjonowaniem zabezpieczeń systemów informatycznych.

4.Podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa powierzonego mu systemu informatycznego, zgodnie z procedurami nadzoru nad incydentami bezpieczeństwa oraz utrzymania ciągłością działania.

5.Określanie zakresu uprawnień użytkownikom do systemów informatycznych, z wyłączeniem ścisłego kierownictwa Szpitala, mogącym posiadać pełne uprawnienia.

6.Przydzielanie każdemu użytkownikowi danych indywidualnych kont w systemie informatycznym organizacji, stosownie do wyznaczonego zakresu obowiązków, wprowadzanie modyfikacji uprawnień użytkowników, a także ich wyrejestrowywanie na polecenie Inspektora Ochrony Danych, blokując jednocześnie dostęp do konta i zasobów informatycznych.

7.Wprowadzanie zmian uprawnień w systemach informatycznych na czas nieobecności pracownika zgodnie z wytycznymi Inspektora Ochrony Danych.

8.Prowadzenie, bieżąca aktualizacja oraz przesyłanie do Inspektora Ochrony Danychinformacjidotyczących zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in. wykrytego oprogramowania złośliwego lub szpiegującego, oprogramowania nielegalnego lub zainstalowanego bez upoważnienia, awarii systemu informatycznego lub jego nieprawidłowego działania, stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną, awarii zasilania.

9.Prowadzenie wymaganej dokumentacji infrastruktury ICT organizacji w zakresie wymaganym obowiązującym prawem.

Użytkownik Systemu (Operator Danych)odpowiedzialny jest za:

1.Przetwarzanie danych osobowych zgodnie z przepisami prawa, niniejszą Polityką oraz jej załącznikami.

2.Zachowanie szczególnej ostrożności przy gromadzeniu danych, aby dane te były:a)przetwarzane zgodnie z prawem,b)zbierane wyłącznie dla wskazanych, zgodnych z prawem, celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,c)merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.

3.Poprawne korzystanie z Systemu oraz manualne i automatyczne przetwarzanie danych osobowych zgodnie z powierzonymi obowiązkami i kompetencjami.

4.Informowanie Administratora Danych lub Inspektora Ochrony Danych lub Administratora Systemów Informatycznycho wszelkich zauważonych nieprawidłowościach w działaniu Systemu lub przy przetwarzaniu danych osobowych.

5.Stosowanie procedury dotyczącej zasad stosowania haseł i uwierzytelniania.

6.Utrzymywanie w ścisłej tajemnicy haseł, którymi się posługuje.

7.Zmianę hasła w przypadku powzięcia podejrzenia lub stwierdzenia, że zhasłem mogły zapoznać się osoby trzecie i niezwłoczne powiadomienie o tym fakcie Administratora Danych lub Inspektora Ochrony Danych lub Administratora Systemów Informatycznych.

Wymogi i informacje dotyczące ochrony i przetwarzania danych osobowych
Obszar,w którym przetwarzane są dane osobowe Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe jest treścią osobnego dokumentu oraz w „Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych”.Informacje są przedstawione z zachowaniem podziału na:

  • strefę przetwarzania danych osobowych, czyli pomieszczenia biurowe Administratora Danych, w których dane są przetwarzane przez Administratora Danych,
  • strefę specjalną, w skład której wchodzą serwerownie,w których dane są przetwarzane przez Administratora Danych,
  • strefę,w której są przetwarzane dane osobowe powierzone przez Administratora Danych do przetwarzania innym podmiotom, w tym w oparciu o pełnomocnictwo do dalszego powierzania przetwarzania,
  • strefę,w której są przetwarzane dane osobowe powierzone Administratorowi Danych przez innego Administratora Danych, jako procesorowi, do przetwarzania.

Wydzielenie poszczególnych obszarów ma na celu podział odpowiedzialnościi uprawnieńw zakresieprzetwarzania danych powierzanych przez Administratora Danych oraz Administratorowi Danych.

Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
Wykaz zbiorów danych osobowych wraz z bazami danych,w których przetwarzane są dane osobowe oraz listą programów i narzędzi zastosowanych do ich przetwarzania zawarty jest w odrębnym dokumencie.
Rejestr czynności
W ramach wymagań Polityki Bezpieczeństwa Danych Osobowych prowadzony jest rejestr czynności zgodnie z art. 39 RODO
Opis struktury zbiorów danych
Opis struktury zbiorów danych stanowi opis baz danych, w których są przetwarzane dane osobowe zawierające i składające się na zbiory danych osobowych.
Postępowanie w przypadkach stwierdzenia naruszenia ochrony danych osobowych
Zasady postępowania w przypadku naruszenia ochrony danych osobowych określa procedura „Zarządzanie zdarzeniami związanymi z bezpieczeństwem informacji i naruszeniami ochrony danych”, stanowiąca instrukcję do niniejszej Polityki.
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzania danych
Celem zabezpieczenia zbiorów danych osobowych przed dostępem osób nieupoważnionych wprowadza się odpowiednie rozwiązania techniczne i organizacyjne.
Zmiany i udostępnianie tekstu Polityki

  • Dopuszcza się dokonywanie zmian w niniejszym dokumencie oraz dokumentach powiązanych tylko przez osoby upoważnione, na zasadach opisanych tekście Polityki.
  • Tekst niniejszej Polityki wraz z załącznikami zostanie udostępniony osobom przetwarzającym dane w sekretariacie Szpitala (docelowo w intranecie), aby mogły się one z nim zapoznać i postępować zgodnie z jej postanowieniami.
Znajomość Polityki

Do zapoznania się z niniejszym dokumentem Polityki oraz stosowania zawartych w niej zasad zobowiązane są wszystkie osoby przetwarzające dane osobowe w zbiorach danych osobowych administrowanych przez Administratora Danych.

Pozostałe informacje dotyczące systemów informatycznych i baz danych

Pozostałe informacje dotyczące systemów informatycznych i baz danych są zawarte w „Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych”, stanowiącej instrukcję do niniejszej Polityki.

?
?
Skip to content