Polityka prywatności Hospicjum św. Ojca Pio
Załącznik do Zarządzenia nr 1 z dnia 02.09.2019 r.
Dyrektora Hospicjum Św. Ojca Pio w Pszczynie
AKTUALIZACJA POLITYKI BEZPIECZEŃSTWA
WSTĘP
Hospicjum św. Ojca Pio, ul. M. Skłodowskiej-Curie 1, 43-200 Pszczyna, zwanego dalej w skrócie Hospicjum, są niezbędne w celu realizacji działalności leczniczej, świadczenia usług medycznych i działalności stowarzyszenia. Informacje mogą być przetwarzane tradycyjnie, jak i przy użyciu systemów informatycznych. Niezależnie od rodzaju i sposobu przetwarzania informacje muszą być chronione.
Przez bezpieczeństwo informacji rozumiemy jej ochronę przed różnymi zagrożeniami w celu zapewnienia ciągłości działania organizacji, ochrony wizerunku, zapewnienia zgodności z prawem podejmowanych działań, rozwoju.
Jednym z podstawowych elementów zabezpieczeń jest uporządkowany sposób zarządzania bezpieczeństwem przetwarzanych danych, udokumentowany polityką bezpieczeństwa informacji.
Celem polityki bezpieczeństwa informacji jest podstawa do opracowania procedur i wymagań niezbędnych dla zapewnienia właściwej ochrony informacji w organizacji. Swoim zakresem polityka bezpieczeństwa informacji obejmuje wszelkie reguły i zasady postępowania wprowadzone w organizacji celem zabezpieczenia przetwarzanych i gromadzonych danych, w tym danych osobowych. Budową polityki bezpieczeństwa informacji realizowaną przez Administratora Danych Osobowych może zajmować się prawny przedstawiciel Hospicjum lub powołany Inspektor Ochrony Danych (IOD), konsultując wszelkie aspekty tej polityki z Zarządem.
Opracowana polityka bezpieczeństwa informacji w Hospicjum podlega stałej kontroli i modyfikacji w zależności od zmieniających się warunków wewnętrznych i zewnętrznych w tym z uwzględnieniem zmian struktury organizacyjnej, zatrudnienia, zmian systemu informatycznego oraz zmian technologicznych.
W realizacji polityki bezpieczeństwa bardzo ważną rolę odgrywa świadomość zagrożeń i znajomość zasad bezpieczeństwa wśród wszystkich pracowników.
Dokument ten został utworzony w związku z wymaganiami zawartymi w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych z 10.5.2018 r. (Dz. U. 2018 poz.1000) oraz Rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/49/WE (ogólne rozporządzenie o ochronie danych osobowych) (Dz. U. L 119/1 z 4.5.2016
Polityka Bezpieczeństwa Informacji jest dokumentem nadrzędnym nad wszystkimi dokumentami dotyczącymi bezpieczeństwa informacji w Hospicjum.
OŚWIADCZENIE KIEROWNICTWA
Mając świadomość znaczenia informacji oraz systemów informacyjnych dla realizacji misji i celów Hospicjum zapewniam, że podejmowane przez Hospicjum działania dążą
do zapewnienia bezpieczeństwa informacji i ochrony danych osobowych.
§ 1
DEFINICJE
W polityce bezpieczeństwa zostały określone definicje, które mają również zastosowanie
do wszystkich załączników niniejszego dokumentu:
1. Administrator Danych Osobowych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę decydujące o celach i środkach przetwarzania danych osobowych;
2. Inspektor ochrony danych – osoba wyznaczona przez administratora danych osobowych, nadzorującą przestrzeganie zasad ochrony danych osobowych,
w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;
3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej, której tożsamość można określić pośrednio lub bezpośrednio, powołując się na numer identyfikacyjny, jej cechy fizyczne, umysłowe, fizjologiczne, ekonomiczne, społeczne, kulturowe itp.
4. Zbiór danych osobowych – każdy posiadający strukturę zestaw danych i informacji o charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
5. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te wykonywane w systemach informatycznych.
6. Forma tradycyjna – sposób utrwalenia danych osobowych lub innych informacji
na papierze;
7. Identyfikator – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemach informatycznych;
8. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
9. Usuwanie danych – trwałe zniszczenie danych osobowych lub ich taka modyfikacja, które nie pozwala na ustalenie tożsamości osoby, której dane dotyczą;
10. Pseudonimizacja danych – sposób modyfikacji danymi osobowymi, który nie pozwala na odczytanie danych osobowych bez dostępu do określonego wcześniej klucza;
11. Osoba trzecia – osoba spoza struktury organizacyjnej Hospicjum tj. osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot którym na podstawie upoważnienia administratora lub podmiotu przetwarzającego mogą przetwarzać dane osobowe;
12. Administrator systemu informatycznego – osoba lub osoby upoważnione przez
Administratora Danych Osobowych do zarządzania systemami informatycznymi;
13. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych w systemach
14. System Bezpieczeństwa – zestaw środków wykorzystywanych do zabezpieczenia
systemów przed nieautoryzowanym dostępem wraz z organizacją i przyjętą
dokumentacją w zakresie bezpieczeństwa.
15. Bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności
informacji w systemach.
16. Incydent związany z bezpieczeństwem informacji – pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń związanych z naruszeniem bezpieczeństwa informacji, które zagrażają bezpieczeństwu informacji i usług realizowanych
w Med5.
17. Zabezpieczenie – wdrożenie i eksploatacja stosownych środków technicznych
i organizacyjnych, zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem
18. Środki techniczne i organizacyjne – środki służące zarządzaniu ryzykiem związanym z utratą bezpieczeństwa informacji, łącznie z politykami, procedurami, zaleceniami, praktyką lub strukturami organizacyjnymi, które mogą mieć naturę administracyjną, techniczną, zarządczą lub prawną.
19. Użytkownik – każda osoba, posiadająca upoważnienie do przetwarzania danych
wydane przez Administratora Danych lub Inspektora Ochrony Danych, zarejestrowana w systemie (posiadająca unikalny identyfikator i hasło), przetwarzająca dane.
§ 2
- Głównym założeniem „Polityki bezpieczeństwa” jest przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami oraz ich ochrona przed udostępnieniem osobom
nieupoważnionym, zabraniem przez osobę nieuprawioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupoważnioną zmianą. - W celu wykonania założeń Polityki należy zastosować zabezpieczenia oparte
na poniższych cechach:
• poufności danych – określona właściwość, która zapewnia że dane nie są udostępniane osobom nieupoważnionym;
• integralności danych – właściwość, która zapewnia, że dane osobowe nie zostały zniszczone, zmienione, uszkodzone w sposób nieautoryzowany;
• zgodność z procedurami – każdy użytkownik w ramach wykonywanych obowiązków służbowych winien postępować zgodnie z przyjętymi w poradni wzorami i procedurami;
• przejrzystość – udzielenie osobie, której dane dotyczą wszelkich informacji w sposób zrozumiały nie budzący dalszych wątpliwości;
• ograniczenia celu – zbieranie danych wyłącznie w konkretnych, wcześniej określonych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z wcześniej określonymi celami;
• zgodności z prawem i rzetelność – dane osobowe mogą być przetwarzane wyłącznie wtedy gdy określono podstawę prawną ich przetwarzania (zgoda, umowa, obowiązek prawny, ochrona żywotnych interesów osoby, wykonanie zadań realizowanych w interesie publicznym lub w ramach władzy publicznej);
• minimalizacji danych – zbieranie i przetwarzanie danych osobowych wyłączenie w takiej ilości by założone cele zostały zrealizowane;
• prawidłowości – przetwarzanie danych, które są prawdziwe, aktualne a w razie ich nieprawidłowego przetwarzania, ich natychmiastowe usunięcie lub sprostowanie
• ograniczenia przechowywania- przetwarzamy dane osobowe wyłącznie w wyznaczonym czasookresie, po ustaniu tego czasu dane te należy usunąć. - Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych a zarządzaniem ryzykiem które określa proces identyfikacji, kontrolowania oraz ograniczenia lub całkowitej eliminacji ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
- W celu zapewnienia bezpieczeństwa informacji stosuje się następujące ogólne zasady:
• „minimalnych przywilejów” – tzn. przydzielania praw dostępu tylko w zakresie niezbędnym do wykonania określonego zadania,
• „separacji obowiązków” – polegającej na tym, że zadania krytyczne z punktu widzenia bezpieczeństwa systemu nie mogą być realizowane przez jedną osobę,
• „domniemanej odmowy” – tzn. przyjęcia, jako standardowych najbardziej restrykcyjnych uprawnień i ustawień w systemach, które można zwolnić jedynie w określonych sytuacjach („to, co nie jest dozwolone, jest zabronione”).
a. system informatyczny jest zabezpieczony przed nieupoważnionym dostępem, modyfikacją lub zniszczeniem. Sieć wewnętrzna jest zabezpieczona przed nieupoważnionym dostępem z zewnątrz.
b. informacje są chronione w sposób proporcjonalny do ich wrażliwości, zagrożeń lub wymagań stawianych przez odpowiednie przepisy prawne i zapisy umów z innymi podmiotami.
c. każdy użytkownik dysponuje indywidualnym identyfikatorem, za pośrednictwem, którego może korzystać z udostępnianych zasobów i usług. Włączone w systemie informatycznym mechanizmy oraz procedury zapewniają rozliczalność użytkowników zarejestrowanych w systemie.
d. każdy użytkownik ma obowiązek informowania przełożonego lub Inspektora Ochrony Danych o wystąpieniu incydentu związanego z bezpieczeństwem informacji.
e. w przypadku wystąpienia incydentu związanego z bezpieczeństwem informacji, kierownictwo spowoduje podjęcie szybkich działań zaradczych w celu zmniejszenia potencjalnych strat.
§ 3
Zapisy „Polityki bezpieczeństwa” mają zastosowanie do:
a. wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych, w których są lub będą przetwarzane informacje podlegające ochronie,
b. wszystkich istniejących i utworzonych w przyszłości zbiorów danych osobowych,
c. informacji będących własnością Hospicjum, umów podlegających ochronie zgodnie z Polityką Bezpieczeństwa Informacji lub na mocy zawartych umów związanych ze świadczeniem usług,
d. wszystkich nośników, na których są lub będą znajdować się informacje podlegające ochronie,
e. wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie,
f. wszystkich klientów i użytkowników systemu,
Do stosowania zasad określonych przez dokument Polityki Bezpieczeństwa zobowiązani są wszyscy użytkownicy.
§ 4
System informatyczny
Sposób zarządzania, przetwarzania oraz zabezpieczenie danych w systemie informatycznym określa Instrukcja Zarządzania Systemem Informatycznym stanowiący załącznik nr 1 do Polityki Bezpieczeństwa.
§ 5
Inspektor Ochrony Danych
- Administrator danych osobowych którym jest Hospicjum Św. Ojca Pio w Pszczynie celem prawidłowego nadzorowania i przestrzegania zasad ochrony danych osobowych oraz wykonywania polityki bezpieczeństwa powołała z dniem 16.08.2019 r. Inspektora Ochrony Danych Osobowych (IOD).
- Zadania Inspektora Ochrony Danych Osobowych określa art. 39 Rozporządzenia Parlamentu Europejskiego (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Ogólne Rozporządzenie o Ochronie Danych- RODO). Do jego głównych zadań należy:
• organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami ww. Rozporządzenia i Ustawy o ochronie danych osobowych;
• zapewnienie przetwarzania danych osobowych zgodnie z przyjętą Polityką bezpieczeństwa;
• nadzorowanie wydawania i anulowania upoważnień do przetwarzania danych osobowych oraz prowadzenie stosownego rejestru upoważnień;
• prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych;
• prowadzenie szkoleń personelu uczestniczącego w operacjach przetwarzania danych osobowych;
• prowadzenie okresowych audytów przetwarzania danych osobowych w poradni;
• przeprowadzenia cyklicznej oceny ryzyka prowadzonych w Poradni czynności przetwarzania danych osobowych oraz dokonywanie niezbędnej oceny skutków;
• współpraca z organem nadzorczym.
§ 6
Obowiązek informacyjny
- Celem prawidłowego obiegu informacji zarówno wewnątrz Hospicjum jak i osób, które korzystają z usług tej placówki, dostosowano formę komunikacji Administrator z odbiorcami poprzez obowiązek informacyjny, która został umieszczona na stronie internetowej Hospicjum oraz wewnątrz budynku w miejscu ogólnodostępnym dla klientów oraz pracowników
- Zgodnie z art. 13 RODO Administrator realizuje obowiązek informacyjny wobec podmiotów danych w momencie pozyskiwania od nich tych danych.
- Wzór obowiązku informacyjnego, stanowi załącznik nr 2 do Polityki Bezpieczeństwa.
- Zgodnie z art. 14 RODO Administrator, jeżeli taka sytuacja będzie miała miejsce, realizuje obowiązek informacyjny również względem podmiotów danych, których dane uzyskał z innych źródeł niż bezpośrednio od podmiotu danych.
§ 7
Wykaz pomieszczeń w których przetwarzane są dane osobowe oraz wykaz programów
zastosowanych do przetwarzania tych danych w Hospicjum Św. Ojca Pio w Pszczynie zawiera załącznik nr 3 do niniejszego dokumentu.
§ 8
Upoważnienie do przetwarzania danych osobowych
- Każda osoba posiadające dostęp do danych osobowych Hospicjum przed przystąpieniem do przetwarzania danych w systemie informatycznym jak i tradycyjnym musi zapoznać się zasadami dotyczącymi niniejszej Polityki bezpieczeństwa.
- Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi załącznik nr 4.
- Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych lub Inspektora Ochrony Danych. Osobami upoważnionymi mogą być pracownicy Hospicjum, osoby zewnętrzne, zastępujące okresowo pracowników lub wykonujące prace na rzecz Administratora Danych na podstawie innych umów oraz wolontariusze. Wzór upoważnienia stanowi załącznik nr 5 do Polityki Bezpieczeństwa.
- Administratora Danych Osobowych przekazuje użytkownikowi ustnie identyfikator (login) dostępowy do komputera, bądź konkretnego programu (mMedica, EDM) wraz z hasłem, który objęty jest tajemnicą, również po upływie jego ważności i znany jest jedynie osobie do tego upoważnionej oraz Administratorowi Danych Osobowych.
- Pracownicy zobowiązani są również do:
a. ścisłego przestrzegania zakresu nadanego im upoważnienia;
b. zachować w tajemnicy udostępnione dane osobowe oraz sposobów ich zabezpieczenia u Administratora;
c. natychmiastowego zgłaszania wszelkich incydentów, zdarzeń mogących stanowić naruszenie bezpieczeństwa danych bezpośrednio do Administratora. - Naruszenie przyjętych w placówce zasad i przepisów ochrony danych osobowych może stanowić ciężkie naruszenie podstawowych obowiązków pracowniczych.
- Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych zwanych dale „danymi” uważa się m.in:
a. naruszenie bezpieczeństwa systemów informatycznych (m.in. niezmienianie lub przyjęcie hasła poniżej ustalonych u Administratora standardów, dzielenie się swoimi loginami i hasłami, logowanie się do systemów sieciowych przez niezabezpieczone sieci publiczne, otwieranie podejrzanych załączników, pozostawienie otwartych komputerów bez opieki);
b. umożliwienie dostępu lub udostępnienie danych podmiotom do tego nieupoważnionym;
c. zaniechanie, nawet nieumyślne, dopełnienia obowiązku ochrony przetwarzanych danych;
d. nie przestrzeganie obowiązku zachowania w tajemnicy danych oraz sposobów ich zabezpieczenia;
e. przetwarzanie danych niezgodnie z założonym zakresem i celem ich zbierania;
f. spowodowanie uszkodzenia, zgubę, niekontrolowaną zmianę lub nieuprawnione kopiowanie danych;
g. naruszenie praw osób, których dane dotyczą i są przetwarzane. - Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych w placówce, której wzór stanowi załącznik nr 6 do Polityki Bezpieczeństwa.
- Odebranie uprawnień pracownikowi następuje na pisemny wniosek przełożonego, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień.
§ 9
- Administrator danych osobowych celem skutecznej realizacji zapisków Polityki Bezpieczeństwa jest obowiązany do wprowadzenia odpowiednich środków technicznych, organizacyjnych oraz fizycznych.
- Do zastosowanych środków technicznych należy:
• przetwarzanie danych osobowych w wydzielonych pomieszczeniach położonych w strefie administracyjnej.
• pomieszczenia, w których używany jest sprzęt komputerowy, bądź przetwarzane są dane osobowe zamykane są na klucz. Po zakończeniu pracy pracownicy zamykają biuro, po godzinach pracy wstęp do pokoju możliwy jest tylko przez pracownika posiadającego zezwolenie Dyrektora na pracę w godzinach poza harmonogramem lub w dniach wolnych od pracy.
• wyposażenie pomieszczeń w zamykane na klucz szafy dające gwarancję bezpieczeństwa dokumentacji,
• zastosowano środki ochrony przed szkodliwym oprogramowaniem (antywirus),
• zabezpieczenie sprzętu komputerowego przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych poprzez indywidualny identyfikator użytkowania i cykliczne zmiany hasła. - Do zastosowanych środków organizacyjnych należą przede wszystkim następujące zasady:
• Zapoznanie każdej osoby z dokumentacją prawną dotyczącą ochrony danych osobowych, przed dopuszczeniem jej do pracy przy przetwarzaniu danych osobowych oraz zobowiązanie jej do zachowania tajemnicy służbowej,
• Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych,
• Przeszkolenie osób, o których mowa w pkt. 1 § 9, w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochroną danych osobowych,
• Wyznaczenie inspektora danych osobowych,
• Kontrolowanie otwierania i zamykania pomieszczeń, w których są przetwarzane dane osobowe, polegające na otwarciu pomieszczenia przez pierwszą osobę, która rozpoczyna pracę oraz zamknięciu pomieszczenia przez ostatnią wychodzącą osobę.
• Administrator wraz z powołanym Inspektorem Ochrony Danych zobowiązuje się do cyklicznego przeglądu obowiązujących w placówce zabezpieczeń. - Niezależnie od niniejszych zasad opisanych w dokumencie „Polityka bezpieczeństwa” w Hospicjum Św. Ojca Pio w Pszczynie w zakresie bezpieczeństwa mają zastosowanie wszelkie wewnętrzne regulaminy lub instrukcje dotyczące bezpieczeństwa ludzi i zasobów informacyjnych oraz indywidualne zakresy zadań osób zatrudnionych przy przetwarzaniu danych osobowych w określonym systemie.
- W celu ochrony przed utratą danych w Hospicjum stosowane są następujące zabezpieczenia:
– Ochrona przed utratą zgromadzonych danych przez robienie kopii zapasowych na dyskach zewnętrznych, bądź płytach CD/DVD, z których w przypadku awarii odtwarzane są dane;
– w systemie informatycznym Hospicjum w Pszczynie zastosowano autoryzację użytkownika tj. uruchamiając stanowisko komputerowe, wymagane jest podanie loginu użytkownika i hasła;
– objęcie ochroną antywirusową wszystkich danych ściąganych z Internetu na stacjach lokalnych. - Wykonanie postanowień tego dokumentu ma zapewnić właściwą reakcję, ocenę i udokumentowanie przypadków naruszania bezpieczeństwa systemów oraz zapewnić właściwy tryb działania w celu przywrócenia bezpieczeństwa danych przetwarzanych w Hospicjum Św. Ojca Pio w Pszczynie.
§ 10
- Wszyscy pracownicy Hospicjum Św. Ojca Pio w Pszczynie przed przystąpieniem do pracy w systemie tradycyjnym i systemie elektronicznym przetwarzającym dane osobowe lub zbiorami danych osobowych zostają poddani przeszkoleniu w zakresie ochrony danych osobowych. Potwierdzeniem uczestnictwa w szkoleniu jest karta szkolenia (załącznik nr 7), która zostaje dołączona do akt osobowych każdego pracownika.
- Za organizację szkolenia odpowiada administrator danych osobowych a w jego imieniu Inspektor Ochrony Danych.
- Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami Rozporządzenia, Ustawy o ochronie danych osobowych oraz wydawanymi na tej podstawie aktami wykonawczymi oraz instrukcjami obowiązującymi u administratora danych osobowych.
- Zgodnie z wymogami Ustawy o ochronie danych osobowych pracownicy zostają zapoznani z przepisami z zakresu ww. ustawy w każdym przypadku istotnych zmian w przepisach dotyczących przetwarzania danych.
- Administrator winien prowadzić rejestr odbytych szkoleń dla pracowników Hospicjum. Wzór rejestru określa załącznik nr 8 do niniejszej polityki.
§ 11
- Administrator Danych Osobowych ma obowiązek monitorowania zastosowanych środków ochrony.
- W ramach kontroli należy zwracać szczególną uwagę na:
1) okresowe sprawdzanie kopii bezpieczeństwa pod względem przydatności do możliwości odtwarzania danych;
2) kontrola właściwej częstotliwości zmiany haseł;
3) skuteczność zastosowanych zabezpieczeń fizycznych, technicznych i organizacyjnych. - Administrator Danych ma obowiązek śledzić zagrożenia wewnętrzne i zewnętrzne z szczególnym uwzględnieniem przepisów prawa oraz współpracować z Inspektorem Danych Osobowych.
§ 12
Naruszenie przetwarzania danych osobowych
- W przypadku stwierdzenia prawdopodobieństwa wystąpienia naruszenia zasad ochrony danych osobowych, osoba która powzięła taką informację zobowiązana jest niezwłocznie powiadomić o swoich przypuszczeniach Administratora a ten Inspektora Ochrony Danych, w terminie nie później niż do końca dnia, w którym to wystąpiło.
- Administrator lub Inspektor Ochrony Danych dokonuje oceny zgłoszenia w zakresie wystąpienia ewentualnego naruszenia w szczególności:
– Zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania mając na uwadze ewentualne zagrożenia dla prawidłowości pracy Hospicjum Św. Ojca Pio w Pszczynie,
– Może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem,
– Rozważa celowość i potrzebę powiadomienia o zaistniałym naruszeniu organowi, któremu podlega,
– Nawiązuje bezpośredni kontakt, jeżeli zachodzi taka potrzeba, ze specjalistami spoza placówki. - Każdorazowo w przypadku naruszenia, które mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator (Inspektor Ochrony Danych) zgłasza bez zbędnej zwłoki fakt naruszenia zasad ochrony danych osobowych w poradni organowi nadzorczemu, tj. nie później niż w terminie 72 godzin po stwierdzeniu naruszenia (po stwierdzeniu, że doszło do naruszenia).
- Jeżeli ryzyko naruszenia praw i wolności okaże się wysokie, Administrator winien zawiadomić o incydencie także osobę, której dane dotyczą.
- Administrator dokumentuje wszelkie czynności podjęte w ramach naruszenia przetwarzania danych osobowych i wpisuje je do rejestru naruszeń i uchybień, który określa załącznik nr 9 do Polityki Bezpieczeństwa (wyłącznie w formie elektronicznej).
- Rejestru naruszeń sporządzony w formie elektronicznej prowadzi Inspektor Ochrony Danych Osobowych.
- Procedurę postępowania w przypadku naruszenia określa załącznik nr 10.
- Do najważniejszych zagrożeń należą:
– przechwycenie informacji – naruszenie poufności,
– modyfikacja informacji – naruszenie integralności,
– zniszczenie informacji – naruszenie dostępności,
– blokowanie dostępu do informacji – naruszenie dostępności,
– całkowitej utraty danych,
– częściowej utraty danych,
– uszkodzenia danych podczas przetwarzania,
– celowego wprowadzania błędnych danych przez osoby nieuprawnione,
– wejścia w posiadanie danych przez osoby nieuprawnione,
– różne inne zagrożenia - Podział zagrożeń.
– zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu), ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych.
– zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania), może dojść do zniszczenia danych lub zostać zakłócona ciągłość pracy systemu czy nastąpić naruszenie poufności danych.
– zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia, naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawniony przekaz danych, pogorszenie jakości sprzętu i oprogramowania, bezpośrednie zagrożenie materialnych składników systemu. - Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe to głównie:
– sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, niepożądana ingerencja ekipy remontowej itp.,
– niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych,
– awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym sam fakt pozostawienia serwisantów bez nadzoru,
– pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
– jakość danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie,
– nastąpiło naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie,
– stwierdzono próbę lub modyfikację danych lub zmianę w strukturze danych bez odpowiedniego upoważnienia (autoryzacji),
– nastąpiła niedopuszczalna manipulacja danymi osobowymi w systemie,
– ujawniono osobom nieupoważnionym dane osobowe lub objęte tajemnicą procedury ochrony przetwarzania albo inne strzeżone elementy systemu zabezpieczeń,
– praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.,
– ujawniono istnienie nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki”, itp.,
– podmieniono lub zniszczono nośniki z danymi osobowymi bez odpowiedniego upoważnienia lub w sposób niedozwolony skasowano lub skopiowano dane osobowe,
– rażąco naruszono dyscyplinę pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, nie wykonanie w określonym terminie kopii bezpieczeństwa, prace na danych osobowych w celach prywatnych, itp.).
Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdjęciach, nośnikach elektronicznych w formie niezabezpieczonej itp.
§ 13
[Powierzenie przetwarzania danych]
- Hospicjum jako Administrator Danych może powierzyć przetwarzanie danych osobowych podmiotowi zewnętrznemu, pod warunkiem zawarcia z nim stosownej pisemnej umowy określającej w szczególności zakres w jakim dane mogą być przetwarzane przez podmiot i cel przetwarzania danych. Umowa ta musi określać również zakres odpowiedzialności podmiotu zewnętrznego z tytułu niewykonania lub nienależytego wykonania umowy oraz sposobu jej rozwiązania. Wzór umowy powierzenia stanowi załącznik nr 11 do niniejszej Polityki bezpieczeństwa.
- Administrator przed zawarciem umowy powierzenia ma obowiązek sprawdzić stan zabezpieczeń i poziom ochrony przetwarzania danych osobowych określony przez podmiot zewnętrzny i zapewnia sobie możliwość kontroli stanu przetwarzania powierzonych danych w trakcie trwania umowy. Przetwarzającemu nie wolno udostępnić powierzonych danych, a w szczególności powierzać ich innemu podmiotowi.
- Administrator Danych prowadzi kontrolę nad przekazywaniem zbiorów lub danych osobowych zgodnie z załącznikiem nr 12.
- Dane osobowe w zakresie dokumentacji medycznej są gromadzone i przetwarzane w Hospicjum na podstawie Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta w związku z prowadzoną działalnością leczniczą, określoną na podst. Art. 10 oraz Art. 11 Ustawy o działalności leczniczej. W związku z powyższym na podstawie Art. 23.1 pkt. 5 Ustawy o ochronie danych osobowych, dane osobowe pacjentów mogą być przetwarzane bez zgody na przetwarzanie wyrażonej przez pacjenta, gdyż jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów przez Hospicjum, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. W przypadku przetwarzania danych osobowych z innych powodów i zakresie niż wynikające z ww. aktów prawa, dane osobowe mogą być przetwarzane przez Hospicjum tylko za zgodą osoby której dane dotyczą. Wzór zgody osoby fizycznej na przetwarzanie danych osobowych zawiera załącznik nr 13.
- Hospicjum może przekazywać informacje zawarte w dokumentacji medycznej tylko osobom, których dane dotyczą oraz instytucjom i organom państwowym na podstawie oraz w sposób regulowany przez inne akty prawne. Innym osobom mogą zostać informacje udostępnione lub przekazane tylko na podstawie pisemnej zgody udzielonej przez osobę, której dane dotyczą.
- Hospicjum świadcząc usługi medyczne w zakresie badań diagnostycznych pacjentów, pobrane próbki materiału badawczego wraz z niezbędnymi do tego celu informacjami dotyczącymi pacjenta, może przekazywać innym podmiotom (np. laboratorium lub lekarzom specjalistom) w celu wykonania badania lub dokonania opisu wyników na podstawie zawartej umowy. Przekazanie próbek do badań wraz z niezbędnymi danymi pacjenta innym podmiotom oraz wyników badań lub opisu do Hospicjum powinno uwzględniać zasady ochrony danych osobowych, a szczególnie zapewniać ich bezpieczeństwo, w tym ograniczać dostęp osób nieuprawnionych. Sposób przekazywania próbek, danych i wyników powinny określać zawarte w tym celu umowy.
- W celu świadczenia usług medycznych w ramach prowadzonych wizyt domowych, uprawnieni pracownicy mogą pobrać z rejestracji kartoteki lub ich fragmenty, druki zawierające dane odwiedzanego pacjenta (kupony, recepty, druki kartotek do dokonania wpisu w dokumentacji medycznej itp.). Po wykonaniu wizyt domowych pracownik jest zobowiązany do zwrócenia, pobranych kartotek, niewykorzystanych druków oraz wykonanych wpisów do dokumentacji medycznej w tym samym dniu. Jeżeli wykonana wizyta zakończyła się po godzinie zamknięcia poradni, pracownik powinien dokonać zwrotu dokumentów najszybciej jak to możliwe w pierwszym dniu, w którym poradnia jest czynna.
- Punkt nr 13 nie ma zastosowania do przekazywania danych podmiotom upoważnionym do ich przetwarzania na mocy przepisów prawa, w tym szczególności ZUS, Prokuraturze, Policji, Sadom, Komornikom itp.
§ 14
[Postanowienia końcowe]
- Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik i użytkownik systemów informatycznych. Wszyscy pracownicy zobowiązani są do zapoznania się z niniejszym dokumentem oraz do stosowania zawartych w nich reguł.
- Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie zrealizowała stosownego działania dokumentującego ten przypadek, można wszcząć postępowanie dyscyplinarne.
- Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych, w szczególności przez osobę, która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora Bezpieczeństwa.
- Kara dyscyplinarna orzeczona wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z Ustawą o ochronie danych osobowych oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat.
- W sprawach nieuregulowanych w niniejszym dokumencie mają zastosowanie przepisy Rozporządzenia oraz Ustawy o ochronie danych osobowych.
- Integralną częścią Polityki Bezpieczeństwa stanowią jej załączniki.
- Polityka Bezpieczeństwa wchodzi w życie z dniem jej podpisania przez Dyrektora i obowiązuje do czasu jej zmiany lub uchylenia.
Załącznik Nr 1 do „Polityki Bezpieczeństwa”
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Cel i zakres instrukcji
Instrukcja Zarządzania Systemem Informatycznym zwana dalej „Instrukcją” jest integralną częścią Polityki Bezpieczeństwa, która obowiązuje w Hospicjum Św. Ojca Pio w Pszczynie. Instrukcja obejmuję przede wszystkim:
- procedury nadawania uprawnień do przetwarzania danych, ich rejestrowania w systemie informatycznym oraz określenie osoby odpowiedzialnej za te czynności,
- metody rejestrowania i wyrejestrowywania użytkowników oraz wskazania osób odpowiedzialnych za te czynności,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy,
- częstotliwość oraz metody tworzenia kopii awaryjnych,
- sposób sprawdzania obecności wirusów w komputerach, ich usuwania oraz określenie czasookresu tych czynności,
- określenie czasu i sposobu przechowywania nośników informacji, w tym m. in. kopii informatycznych i wydruków,
- monitorowanie i konserwacja systemu oraz zbioru danych osobowych,
- postępowania w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego.
Administratorem danych osobowych zawartych i przetwarzanych w systemach informatycznych Hospicjum Św. Ojca Pio w Pszczynie jest Dyrektor.
Instrukcja ma zastosowanie do każdego obszaru danych osobowych, który jest przetwarzany w systemach informatycznych placówki lub zapisany jest w formie elektronicznej na nośnikach zewnętrznych.
Głównymi zagrożeniami, które będą miały wpływ dla poprawnego funkcjonowania systemów informatycznych związane są z awaryjnością sprzętu komputerowego, oprogramowania, czynnika ludzkiego oraz zdarzeń losowych.
W celu wprowadzenia odpowiednich zabezpieczeń zarówno technicznych jak i organizacyjnych Administrator na wstępie winien przeprowadzić ocenę ryzyka, który obejmuje analizę zagrożeń, podatności, skutków wystąpienia zagrożeń oraz istniejących zabezpieczeń.
Działaniem Instrukcji objęci są:
- administrator danych osobowych,
- inspektor ochrony danych,
- osoby zatrudnione przy przetwarzaniu danych osobowych,
- osoby, które przetwarzają dane osobowe w systemach informatycznych.
I. Procedura nadawania uprawnień do przetwarzania danych oraz procedury rejestracji tych uprawnień w systemie informatycznym oraz wyznaczenie osoby odpowiedzialnej za te czynności.
- Każdy użytkownik systemu przed przystąpieniem do przetwarzania danych w systemie informatycznym musi zapoznać się zasadami dotyczącymi Polityki Bezpieczeństwa przetwarzania danych osobowych w Hospicjum Św. Ojca Pio w Pszczynie.
- Zapoznanie się z powyższymi informacjami pracownik potwierdza własnoręcznym podpisem na oświadczeniu, którego wzór stanowi załącznik nr 4.
- Dostęp do komputerów Hospicjum, gdzie przetwarzane są dane osobowe, może uzyskać wyłącznie osoba posiadająca upoważnienie do przetwarzania danych osobowych, wydane przez Administratora Danych.
- Administrator Danych Osobowych przekazuje użytkownikowi identyfikator (login) dostępowy do komputera, bądź konkretnego programu wraz z hasłem, który objęty jest tajemnicą, również po upływie jego ważności i znany jest jedynie osobie do tego upoważnionej.
- Użytkownik, który otrzymał upoważnienie i identyfikator (login) oraz po raz pierwszy hasło, jest zobowiązany do niezwłocznej zmiany hasła oraz zachowania go w tajemnicy. Ponadto każdy użytkownik jest zobowiązany do okresowej zmiany hasła co 30 dni (mMedica). Dopuszcza się skrócenie okresu zmiany hasła zależnie od potrzeb lub zaistniałych sytuacji, a także w przypadku powzięcia podejrzenia o możliwości posiadania hasła przez osoby trzecie.
- Odebranie uprawnień pracownikowi następuje na pisemny wniosek przełożonego, któremu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnień. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych nie może być przydzielony innej osobie, nie może umożliwić autoryzacji do systemu informatycznego, a także nie może zostać skasowany.
- Rejestr, którego wzór stanowi załącznik nr 6 powinien zawierać:
– identyfikator użytkownika,
– imię i nazwisko użytkownika systemów informatycznych,
– rodzaj i zakres uprawnienia,
– datę nadania uprawnienia,
– datę odebrania uprawnienia,
– przyczynę odebrania uprawnienia,
– podpis administratora bezpieczeństwa informacji; - W przypadku, gdy istnieje podejrzenie, że hasło mogła poznać osoba nieuprawniona, użytkownik zobowiązany jest do natychmiastowej zmiany hasła i poinformowania o zaistniałym fakcie Administratora Danych.
- Użytkownik ponosi pełną odpowiedzialność za zmienianie i przechowywanie haseł dostępowych, a także za poufność hasła.
- Hasła użytkownika utrzymuje się w tajemnicy również po upływie ich ważności.
- Hasła użytkownika są zmieniane w określonym z góry czasookresie, o ile Administrator nie zdecyduje o innym przedziale czasowym zmiany.
- Hasła nie mogą być zapisywane i pozostawiane w miejscach, gdzie osoby nieuprawnione mogą je odczytać. Zabrania się użytkownikom systemu udostępniania swojego identyfikatora i hasła innym osobom.
- Dla identyfikatorów krytycznych dla działania danego systemu – np. takich jak identyfikatory administratora – hasło składowane jest w zaklejonej kopercie w sejfie. Tak składowane hasło może być wykorzystywane w sytuacjach kryzysowych wyłącznie przez Administratora Danych.
- W uzasadnionych przypadkach koperty z hasłami są komisyjnie otwierane, a na tą okoliczność należy spisać stosowny protokół.
II. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem.
- Uwierzytelnienie dostępu do systemu informatycznego służącego do przetwarzania danych osobowych następuje po podaniu identyfikatora użytkownika i hasła dostępu.
- Każdy identyfikator użytkownika zabezpieczony jest hasłem.
- W Hospicjum obowiązują następujące zasady tworzenia hasła:
• hasło nie może składać się z żadnych danych personalnych (imienia, nazwiska, adresu zamieszkania użytkownika lub najbliższych osób) lub ich fragmentów,
• hasło winno składać się z co najmniej 12 znaków, zawierać małe i wielkie litery oraz cyfry i znaki specjalne,
• hasło nie może składać się z identycznych znaków lub ich ciągu i nie może być tożsame z identyfikatorem użytkownika,
• hasło winno być unikalne, tj. takie, które nie było poprzednio stosowane przez użytkownika. - Hasło, w trakcie wpisywania jest ukryte. Użytkownik jest zobowiązany do utrzymania hasła w tajemnicy, również po utracie jego ważności.
- Hasło musi być cyklicznie zmieniane, jednakże nie rzadziej niż raz na 1 miesiąc.
- Jeżeli zmiana hasła nie jest możliwa w wymaganym czasie, należy jej dokonać w najbliższym możliwym terminie.
- W przypadku złamania poufności hasła, użytkownik zobowiązany jest do natychmiastowej zmiany hasła i poinformowaniu o tym fakcie Dyrektora Hospicjum i/lub Inspektora Ochrony Danych Osobowych.
- Identyfikator użytkownika stały i nie może być zmieniany, a po wyrejestrowaniu użytkownika z systemu informatycznego służącego do przetwarzania danych osobowych nie może być przydzielany innej osobie. Identyfikator użytkownika, który z różnej przyczyny utracił uprawnienia do przetwarzania danych osobowych, należy niezwłocznie zablokować w systemie informatycznym służącym do przetwarzania danych osobowych oraz unieważnić przypisane mu hasło.
III. Procedura rozpoczęcia, zawieszenia i zakończenia pracy przeznaczona dla użytkowników systemu informatycznego służącego do przetwarzania danych osobowych.
- Przed przystąpieniem do pracy w systemie informatycznym osoba dopuszczona do przetwarzania danych osobowych obowiązana jest dokonać sprawdzenia stanu urządzeń komputerowych oraz oględzin swojego stanowiska pracy, ze zwróceniem szczególnej uwagi, czy nie zaszły okoliczności wskazujące na naruszenie danych osobowych. W przypadku wystąpienia jakichkolwiek nieprawidłowości, należy powiadomić Dyrektora i/lub Inspektora Ochrony Danych osobowych.
- Kolejno użytkownik zobowiązany jest do sprawdzenia czy komputer nie wymaga aktualizacji oprogramowania, gdy jest taka potrzeba wykonać ją.
- Rozpoczęcie pracy w systemie odbywa się poprzez:
• przygotowanie stanowiska pracy;
• włączenie stacji roboczej;
• wprowadzenie identyfikatora ora hasła dostępu;
• uruchomienie systemu. - Zabrania się wykonywania jakichkolwiek operacji w systemie informatycznym służącym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i hasła dostępu innego użytkownika.
- Użytkownik w przypadku konieczności krótkotrwałego zawieszania pracy powinien użyć opcji zablokowania stacji roboczej przez jednoczesne naciśnięcie klawisza „WIN” i „L”, bądź przejść do stanu wstrzymania systemu – hibernacji – przez użycie opcji „wyłącz komputer” a następnie „Stan wstrzymania” dostępnej w menu „Start”.
- Zakończenie pracy w systemie odbywa się poprzez:
• wylogowanie się z systemu;
• zamknięcie systemu operacyjnego;
• wyłączenie stacji roboczej. - Niedopuszczalne jest zakończenie pracy w systemie bez wykonania pełnej i poprawnej operacji wylogowania z systemu i poprawnego zamknięcia systemu operacyjnego.
- Użytkownik w pełnym zakresie odpowiada za powierzony mu sprzęt komputerowy i wykonywane czynności aż do momentu rozliczenia ze sprzętu komputerowego.
IV. Procedura tworzenia kopii zapasowych zbiorów danych oraz programów
i narzędzi programowych służących do ich przetwarzania.
- Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii bezpieczeństwa. Kopie wszystkich baz danych systemów informatycznych wykonywane są raz w miesiącu przez użytkowników po zakończeniu pracy lub automatycznie przez oprogramowanie i są zapisywane na zewnętrznym nośniku.
- Nośniki informatyczne zawierające dane osobowe lub kopie systemów informatycznych służących do przetwarzania danych osobowych muszą być przechowywane w sposób uniemożliwiający ich utratę, uszkodzenie lub dostęp osób nieuprawnionych.
- Serwis oprogramowania wykonywany może być przez firmę serwisową na podstawie zawartej umowy lub przez upoważnionego informatyka.
• Do prowadzenia prac przez zewnętrzną firmę serwisową mogą być dopuszczeni serwisanci, posiadający stosowne upoważnienie wystawione przez Hospicjum.
• Kopia bazy danych serwisowanego oprogramowania jest wykonywana przez upoważnionego serwisanta lub informatyka przed każdą aktualizacją oprogramowania oraz pracami serwisowymi. Za wykonanie poprawnej kopii bezpieczeństwa odpowiada osoba wykonująca kopię.
• Dopuszczalne jest zdalne prowadzenie prac serwisowych przez upoważnionego serwisanta. Zdalne prowadzenie prac odbywa się na żądanie Hospicjum lub z inicjatywy serwisu w celu aktualizacji oprogramowania. Upoważniony serwisant łączy się zdalnie z serwerem z wykorzystaniem oprogramowania zapewniającego poprawność i bezpieczeństwo połączenia (np. imPcRemote, TeamViewer lub podobne oprogramowanie). Zaleca się, aby serwisant przed rozpoczęciem zdalnego serwisu poinformował Administratora Danych o zamiarze wykonania prac serwisowych i uzyskał na to zgodę osoby uprawnionej. Po zakończeniu prac serwisowych, serwisant jest zobowiązany do pisemnego (np. w formie email’a) poinformowania osobę upoważnioną w Hospicjum o zakończeniu prac serwisowych i ich zakresie.
V. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz kopii zapasowych.
- Nie zaleca się przechowywać zbędnych nośników informacji zawierających dane osobowe oraz kopii zapasowych, a także wydruków i innych dokumentów zawierających dane osobowe.
- Po okresie przechowywania lub użyteczności, dane osobowe powinny zostać zniszczone tak, aby nie było możliwe ich odczytanie.
- Dane osobowe zapisane na nośnikach elektronicznych, kopie zapasowe oraz wydruki i inne dokumenty zawierające dane osobowe przechowywane są w zamykanej na klucz szafie. Dostęp do klucza posiada wyłącznie Dyrektor lub jego zastępca.
- W przypadku uszkodzenia lub zużycia nośnika informacji, który zawiera dane osobowe należy go fizycznie zniszczyć w taki sposób, aby nie było możliwe odczytanie danych osobowych.
VI. Procedura zabezpieczenia systemu informatycznego służącego do przetwarzania danych osobowych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego służącego do przetwarzania danych osobowych.
- Do ochrony przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego jest oprogramowanie antywirusowe.
- Każdy zbiór wczytywany do komputera, w tym także wiadomość e-mail, musi „przejść” przez program antywirusowy.
- Na każdym stanowisku z dostępem do sieci Internet musi być zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dostępu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dostępem szkodliwego oprogramowania.
- Administratora Danych Osobowych odpowiada za zainstalowanie, aktualizowanie i prowadzenie oprogramowania sprzętu oraz bezpieczeństwa sieci w placówce w sposób zapewniający adekwatny poziom bezpieczeństwa. Administrator Danych ma obowiązek zadbać o dobry stan techniczny sprzętu informatycznego oraz aktualność wykorzystywanego oprogramowania, systemów informatycznych, oprogramowania zabezpieczającego itp.
- Sieć wewnętrzna (LAN) ma zabezpieczone łącze internetowe na styku sieci LAN z internetem przez zastosowanie routera, który musi mieć wbudowany firewall (program zabezpieczający przed nieautoryzowanym dostępem do sieci LAN) oraz ograniczającym ataki z internetu. Administrator Danych powinien zapewnić właściwą konfigurację Firewalla. Właściwa konfiguracja Firewalla dotyczy również konfiguracji na stacjach roboczych. Zabezpieczenie komputerów w sieci wewnętrznej, dotyczy także rozbudowy sieci oraz komputerów podłączanych do tej sieci w przyszłości.
- System informatyczny zabezpiecza się przed utratą danych spowodowaną awarią zasilania lub zakłóceniami pochodzącymi z sieci zasilającej przez zastosowanie zasilacza awaryjnego UPS. Zasilacz UPS powinien zabezpieczać co najmniej zasilanie głównego komputera oraz urządzeń sieciowych, a także zaleca się stosowanie takich zasilaczy przy zasilaniu innych komputerów (stacji roboczych). W przypadku wystąpienia awarii zasilania użytkownicy wykorzystujący do pracy stacje robocze z zasilaczem UPS powinni niezwłocznie zakończyć pracę wylogowując się z używanego programu oraz wyłączyć komputer. Serwer powinien być wyposażony w zasilacz UPS umożliwiający automatyczne zakończenie jego pracy. W przypadku zastosowania innego zasilacza UPS, osoba upoważniona powinna w sposób bezpieczny zakończyć pracę serwera.
VII. Procedura zbierania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia.
- W systemie informatycznym służącym do przetwarzania danych osobowych zapisywane są informacje o odbiorcach danych, w tym imię i nazwisko lub nazwa odbiorcy, data udostępnienia oraz zakres udostępnienia. W przypadku, gdy w systemie informatycznym służącym do przetwarzania danych osobowych nie jest możliwe odnotowywanie takich informacji, użytkownik odnotowuje je w rejestrze odbiorców danych osobowych.
- Rejestr ten prowadzi się w formie elektronicznej.
- Rejestr dotyczy tylko użytkowników uprawnionych do udostępniania danych osobowych, w tym pracujących i obsługujących programy (czy dane) umożliwiające takie udostępnienie.
VIII. Przeglądy i konserwacja systemów oraz nośników informacji służących do przetwarzania danych osobowych.
- W razie potrzeby przegląd i konserwacja sprzętu komputerowego oraz nośników informacji służących do przetwarzania danych osobowych, jak również sieci komputerowej, dokonywana jest przez wykonawców na podstawie zawartej umowy. Umowa ta musi mieć zapis o powierzeniu danych osobowych.
• Urządzenia, dyski i inne elektroniczne nośniki danych, zawierające dane osobowe, a przeznaczone do:
– likwidacji – pozbawia się skutecznie zapisu tych danych, a gdy jest to niemożliwe, należy uszkodzić nośnik tak, aby nie było możliwe ich odczytanie
– naprawy – pozbawia się wcześniej zapisu danych tak, aby nie było możliwe ich odczytanie, albo naprawa powinna być dokonywana pod nadzorem osoby upoważnionej przez Administratora Danych lub Inspektora Ochrony Danych, albo dokonywana osobiście przez osobę upoważnioną.
– sprzedaży lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się zapisu tych danych, w sposób uniemożliwiający ich skuteczne odzyskanie.
• Zaleca się dokonywanie okresowych przeglądów sprzętu co 30 dni, oraz przeglądów generalnych raz w roku. W przypadku stwierdzenia usterek technicznych należy podjąć działania, mające na celu usunięcie usterek. O zauważonych usterkach przez użytkowników systemu, użytkownicy mają obowiązek niezwłocznie powiadomić o tym fakcie Administratora Danych lub działającego w jego imieniu Inspektora Ochrony Danych.
IX. Zasady kontroli na podstawie Instrukcji Zarządzania Systemem Informatycznym
- Administrator oraz Inspektor Ochrony Danych Osobowych ma prawo do kontroli stanu zabezpieczeń oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.
- Kontrola winna być zakończona protokołem z wykonani czynności sprawdzających.
X. Procedura postępowania w przypadku stwierdzenia naruszenia bezpieczeństwa systemu informatycznego.
- Każdy użytkownik w przypadku stwierdzenia uchybienia lub wystąpienia zagrożenia bezpieczeństwa systemu informatycznego ma obowiązek niezwłocznie powiadomić o tym fakcie Dyrektora Hospicjum i/lub Inspektora Ochrony Danych Osobowych.
- Procedurę postępowania z naruszeniami reguluje załącznik nr 10 do Polityki Bezpieczeństwa, która znajduje zastosowanie do przypadków naruszenia bezpieczeństwa systemu informatycznego.
Załącznik Nr 2 do Polityki Bezpieczeństwa
Klauzule obowiązku informacyjnego (pobierz)
Załącznik nr 3 do Polityki Bezpieczeństwa
Wykaz zbiorów danych osobowych przetwarzanych przez Hospicjum św. Ojca Pio jako Administratora Danych oraz ich lokalizacje i sposób przetwarzania
Załącznik nr 3 do Polityki Bezpieczeństwa