POLITYKA BEZPIECZEŃSTWA
Informacje (w tym przetwarzane dane osobowe) są ważnym aktywem Administratora danych, dlatego należy je chronić z należytą starannością, ponieważ wiele procesów zależy w dużej mierze od jakości, poufności, integralności i dostępności informacji.
- „wszystko co,nie jest wyraźnie dozwolone jest zabronione”,
- czyste biurko i ekran,
- zasada ograniczonego zaufania w kontaktach wewnątrz oraz poza firmowych,
- dostęp jedynie do wiedzy i informacji koniecznej -„need-to-know”.
1.Niniejsza Polityka bezpieczeństwa danych osobowych została wdrożona w Namysłowskim Centrum Zdrowia S.A.
2.Administratorem danych osobowych jest Namysłowskie Centrum Zdrowia S.A.
3.Dane kontaktowe Administratora Danych:Namysłowskie Centrum Zdrowia S.A., ul. Oleśnicka 4, 46-100 Namysłów, e-mai:sekretariat@zoznamyslow.pl, telefonsekretariatu:77/404-02-50.
4.Każde naruszenie zasad Polityki może być uznane za poważne naruszenie podstawowych obowiązków pracowniczych lub wynikających z umów cywilnych o współpracy i może skutkować konsekwencjami, zgodnie z Kodeksem Pracy lub odpowiednimi przepisami regulującymi zasady współpracy, jak również odpowiedzialnością przewidzianą w ustawie o ochronie danych osobowych.
1.Celem powstania niniejszej Polityki jest realizacja obowiązków wynikających z przepisów dotyczących ochrony danych osobowych, jak również spełnienie wymagań chroniących prywatność i godność osób, których dane osobowe są przetwarzane przez Administratora danych.
2.Przedmiotem Polityki jest określenie, opisanie i zawarcie, w tym i załączonych dokumentach, zastosowanych środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych osobowych objętych ochroną,a w szczególności zabezpieczeń danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
1.Polityka została przygotowana, aby w szczególności spełnić wymogi:a)Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danychosobowychi w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,(Dz. U. UE 2016 poz. L119)(zwanego dalej: „RODO”)b)Ustawy o ochronie danych osobowych z dnia 10 maja 2018r.(Dz. U. 2018 poz. 1000)c)RozporządzeniaRady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych(tekst jednolity: Dz. U. 2017 poz. 2247)
2.Polityka obowiązuje przy przetwarzaniu wszelkich danych osobowych w Szpitalu.
3.Sposób postępowania przy przetwarzaniu danych opisany jest w osobnych procedurachi instrukcjach.
4.Podmioty zewnętrzne, które będą przetwarzać dane osobowe na zlecenie Administratora danych, zgodnie z art.28 RODO, są obowiązane opracować własną, odpowiednią dokumentację i zabezpieczyć przetwarzane dane osobowe zgodnie z wymogami prawa
1.Polityka została zatwierdzona prze Administratora jako dokument obowiązujący.
2.Niniejszy dokument jest przechowywany i aktualizowany w wersji elektronicznej ze względu na czytelność i różnorodność obszarów,w których przetwarzane są dane osobowe. Jest on regularnie przeglądany i aktualizowany przez Administratora.
3.Zmiany w dokumencie Polityki oraz załącznikach wprowadzane są w chwili pojawienia się ważnych okoliczności lub nowego przepisu, istotnego dla spójności i aktualności Polityki, bądź aktualizacji dotychczasowych przepisów dotyczących ochrony lub przetwarzania danych osobowych. Zmiany zatwierdzane są przez Administratora.
4.Informacje o zmianach podawane są do wiadomości osób uczestniczących w przetwarzaniu danych osobowych poprzez publikację w intranecie lub dokumentach formalnych udostępnianych w ustalony wewnętrznie sposób.
5.W przypadku zatwierdzenia nowej wersji Polityki jest ona drukowana, a wydruk dołączany jest do prowadzonej dokumentacji ochrony danych osobowych. Załączniki są przechowywane wyłącznie w formie elektronicznej. Ich wydruk następuje tylko w razie zaistnienia takiej konieczności, na zlecenie Administratora.
6.Dokument Polityki, wraz z załącznikami, stanowi tajemnicę Administratora i jest klasyfikowany jako dokument wewnętrznynie podlagający publikacji oraz udostępnieniuw trybie informacji publicznej.
1.Przetwarzanie danych osobowych może następować tylko w uzasadnionych przypadkach, na warunkach określonych niniejszą Polityką oraz przepisami ustawy o ochronie danych osobowych wraz z przepisami wykonawczymi.
2.Przetwarzanie danych osobowych jest dopuszczalne, gdy spełniona jest jedna z przesłanek zawartych w art. 6 RODO
1.W razie przetwarzania danych osobowych obowiązkiem Administratora danych jest poinformowanie osoby, której dane osobowe dotyczą, o informacjach wskazanych w art. 13(i odpowiednio w art. 14 w przypadku pozyskiwania danych od osoby trzeciej) RODO.
2.Na żądanie osoby, której dane osobowe są przetwarzane, jej dane mogą zostać uzupełnione, uaktualnione, sprostowane, względnie czasowo lub w sposób trwały może zostać wstrzymane ich przetwarzanie. O ile dane zostały udostępnione innym Administratorom,należy ich bez zbędnej zwłoki powiadomić o dokonanym uaktualnieniu, sprostowaniu lub zastrzeżeniu.
1.Wyznacza Inspektora Ochrony Danych oraz Administratora Systemów Informatycznych.
2.Podejmuje odpowiednie działania, rekomendowane przez IOD w celu zabezpieczenia danych osobowych.
3.Zleca odpowiednim służbom w Szpitalu zapewnienie użytkownikom danych osobowych wyposażenia w odpowiednie środki bezpieczeństwa stanowisk pracy, umożliwiające bezpieczne przetwarzanie danych.
4.Wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodniez RODO i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądomi uaktualniane.
5.Prowadzenie rejestrów czynności przetwarzania (rejestr czynności przetwarzania oraz rejestr powierzonych czynności przetwarzania).
6.Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, Administrator danych –zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania –wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą.
7.Wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych
1.informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskichoochroniedanychidoradzanieimwtejsprawie;
2.monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego woperacjachprzetwarzaniaorazpowiązaneztymaudyty;
3.udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art.35;
4.współpraca z organemnadzorczym;
5.pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami,októrych mowa w art.36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach
1.Zarządzanie systemami informatycznymi organizacji w sposób gwarantujący utrzymanie poufności, dostępności i integralności gromadzonych w nich danych na poziomie pozwalającym zachować zgodność z wymogami prawnymi i organizacyjnymi.
2.Realizacja i sprawowanie nadzoru nad wdrożeniem stosownych środków administracyjnych, technicznych i fizycznych w celu zapewnienia bezpieczeństwa danych.
3.Realizacja i sprawowanienadzoru nad funkcjonowaniem zabezpieczeń systemów informatycznych.
4.Podejmowanie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa powierzonego mu systemu informatycznego, zgodnie z procedurami nadzoru nad incydentami bezpieczeństwa oraz utrzymania ciągłością działania.
5.Określanie zakresu uprawnień użytkownikom do systemów informatycznych, z wyłączeniem ścisłego kierownictwa Szpitala, mogącym posiadać pełne uprawnienia.
6.Przydzielanie każdemu użytkownikowi danych indywidualnych kont w systemie informatycznym organizacji, stosownie do wyznaczonego zakresu obowiązków, wprowadzanie modyfikacji uprawnień użytkowników, a także ich wyrejestrowywanie na polecenie Inspektora Ochrony Danych, blokując jednocześnie dostęp do konta i zasobów informatycznych.
7.Wprowadzanie zmian uprawnień w systemach informatycznych na czas nieobecności pracownika zgodnie z wytycznymi Inspektora Ochrony Danych.
8.Prowadzenie, bieżąca aktualizacja oraz przesyłanie do Inspektora Ochrony Danychinformacjidotyczących zdarzeń wpływających na bezpieczeństwo systemów informatycznych, w tym m.in. wykrytego oprogramowania złośliwego lub szpiegującego, oprogramowania nielegalnego lub zainstalowanego bez upoważnienia, awarii systemu informatycznego lub jego nieprawidłowego działania, stwierdzenia faktu korzystania z systemu informatycznego przez osobę niepowołaną, awarii zasilania.
9.Prowadzenie wymaganej dokumentacji infrastruktury ICT organizacji w zakresie wymaganym obowiązującym prawem.
1.Przetwarzanie danych osobowych zgodnie z przepisami prawa, niniejszą Polityką oraz jej załącznikami.
2.Zachowanie szczególnej ostrożności przy gromadzeniu danych, aby dane te były:a)przetwarzane zgodnie z prawem,b)zbierane wyłącznie dla wskazanych, zgodnych z prawem, celów i nie były poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,c)merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane.
3.Poprawne korzystanie z Systemu oraz manualne i automatyczne przetwarzanie danych osobowych zgodnie z powierzonymi obowiązkami i kompetencjami.
4.Informowanie Administratora Danych lub Inspektora Ochrony Danych lub Administratora Systemów Informatycznycho wszelkich zauważonych nieprawidłowościach w działaniu Systemu lub przy przetwarzaniu danych osobowych.
5.Stosowanie procedury dotyczącej zasad stosowania haseł i uwierzytelniania.
6.Utrzymywanie w ścisłej tajemnicy haseł, którymi się posługuje.
7.Zmianę hasła w przypadku powzięcia podejrzenia lub stwierdzenia, że zhasłem mogły zapoznać się osoby trzecie i niezwłoczne powiadomienie o tym fakcie Administratora Danych lub Inspektora Ochrony Danych lub Administratora Systemów Informatycznych.
- strefę przetwarzania danych osobowych, czyli pomieszczenia biurowe Administratora Danych, w których dane są przetwarzane przez Administratora Danych,
- strefę specjalną, w skład której wchodzą serwerownie,w których dane są przetwarzane przez Administratora Danych,
- strefę,w której są przetwarzane dane osobowe powierzone przez Administratora Danych do przetwarzania innym podmiotom, w tym w oparciu o pełnomocnictwo do dalszego powierzania przetwarzania,
- strefę,w której są przetwarzane dane osobowe powierzone Administratorowi Danych przez innego Administratora Danych, jako procesorowi, do przetwarzania.
Wydzielenie poszczególnych obszarów ma na celu podział odpowiedzialnościi uprawnieńw zakresieprzetwarzania danych powierzanych przez Administratora Danych oraz Administratorowi Danych.
- Dopuszcza się dokonywanie zmian w niniejszym dokumencie oraz dokumentach powiązanych tylko przez osoby upoważnione, na zasadach opisanych tekście Polityki.
- Tekst niniejszej Polityki wraz z załącznikami zostanie udostępniony osobom przetwarzającym dane w sekretariacie Szpitala (docelowo w intranecie), aby mogły się one z nim zapoznać i postępować zgodnie z jej postanowieniami.
Do zapoznania się z niniejszym dokumentem Polityki oraz stosowania zawartych w niej zasad zobowiązane są wszystkie osoby przetwarzające dane osobowe w zbiorach danych osobowych administrowanych przez Administratora Danych.
Pozostałe informacje dotyczące systemów informatycznych i baz danych są zawarte w „Instrukcji Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych”, stanowiącej instrukcję do niniejszej Polityki.