Każdy Administrator Danych Osobowych jest odpowiedzialny za przestrzeganie zasad obowiązujących przy przetwarzaniu danych osobowych. Jakie są to zasady i co warto o nich wiedzieć? Przekonajmy się.

Zasady przetwarzania danych osobowych RODO

Dane osobowe muszą być:

• przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
  
• zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane za niezgodne z pierwotnymi celami;
  
• adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
  
• prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane;
  
• przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy przepisów prawa, z zastrzeżeniem, że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą;
  
• przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych.

Dobre praktyki podmiotów medycznych – jak przetwarzać dane osobowe zgodnie z prawem?

Upoważnienie do przetwarzania danych

Każda osoba dopuszczona do przetwarzania danych, musi posiadać upoważnienie i polecenie do przetwarzania danych. Zakres upoważnień wynika z zakresu obowiązków służbowych, które stanowią polecenie wydane przez administratora danych osobowych do przetwarzania danych.

Pomieszczenia i szafki zamykane na klucz

Pomieszczenia, w których przetwarzane są dane osobowe, powinny być zamykane na klucz lub zostać zabezpieczone w inny sposób gwarantujący bezpieczeństwo danych. Szafki wykorzystywane do przechowywania dokumentacji zawierającej dane osobowe, powinny być zamykane na klucz lub zostać zabezpieczone w inny sposób gwarantujący bezpieczeństwo danych.

Przebywanie osób trzecich w pomieszczeniach, gdzie przechowywane są dane

Przebywanie osób nieuprawnionych w obszarze w których przetwarzane są dane jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych. Dopuszczalne jest odstępstwo od ww. reguły wyłącznie dla pomieszczeń, w jakich obsługiwani są jego klienci a w szczególności pacjenci, w sytuacjach wyjątkowych, kiedy to inne dobra np. życie, zdrowie, stanowią uzasadnienie powyższego.

Dopuszczalne są również odstępstwa w ww. zakresie w sytuacji wykonywania zadań zleconych przez personel obcy, jeśli został on bezpośrednio lub pośrednio zobowiązany do zachowania w poufności wszelkich danych oraz informacji ich dotyczących, z jakimi mógł się zetknąć przy wykonywaniu zadań zleconych.

Ochrona dokumentacji medycznej na wizytach domowych

Osoba upoważniona udzielająca świadczeń opieki zdrowotnej zgodnie z właściwymi przepisami prawa, poza siedzibą podmiotu medycznego, przetwarzająca w związku z tym dane osobowe zawarte w dokumentacji medycznej, zobowiązana jest do dołożenia szczególnej ostrożności podczas jej transportu, przechowywania i użytkowania stosując adekwatne środki zabezpieczające.

Organizacja pomieszczeń rejestracji

Pomieszczenia rejestracji i współwystępującej poczekalni powinna być zorganizowana w taki sposób, aby w jak najwyższym stopniu zapewnić zachowanie poufności osobom przebywającym bezpośrednio przy stanowiskach rejestracji.

Opuszczenie stanowiska pracy

Po zakończeniu pracy, przed opuszczeniem pomieszczenia w ramach którego przetwarzane są dane osobowe, należy zamknąć okna oraz usunąć z biurek, lad, parapetów itp. wszystkie dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach, uruchomić systemy alarmowe zgodnie z przyjęta procedurą.

Zasada „czystego ekranu monitora”

Monitory ekranowe powinny być w taki sposób usytuowane, aby uniemożliwiać osobom nieuprawnionym wgląd w wyświetlany obraz, efekt ten można osiągnąć również poprzez zastosowanie filtrów polaryzacyjnych, jak również poprzez stosowanie automatycznego blokowania obrazu w przypadku bezczynności, jak również w przypadku opuszczenia stanowiska. [Przycisk Flaga WINDOWS + L]

Zasada „czystego biurka”

Dokumentacja zawierająca dane osobowe powinna być w taki sposób usytuowana na stanowiskach pracy, aby uniemożliwiać osobom nieuprawnionym wgląd w nią lub dostęp do niej. Zabrania się eksponowania dokumentów zawierających dane osobowe w miejscach niezabezpieczonych (np. na biurkach, ladach, półkach, parapetach itp.).

Zasada „czystego wydruku”

W przypadku drukowania/kserowania/skanowania dokumentów dokumentacja jest niezwłocznie zabierana z urządzenia realizującego zadania po jego wykonaniu.

Zasada „czystego kosza”

Wszelkie nośniki danych, zawierające dane, bądź mogące zawierać dane, powinny być niszczone odpowiednio w niszczarkach, lub z wykorzystaniem takich metod, które gwarantują, iż odczytanie danych nie będzie możliwe po ich zniszczeniu. Dokumenty zawierające dane osobowe należy niszczyć w niszczarkach lub w przypadku dużej ilości dokumentów, korzystać w tym celu z usług profesjonalnych podmiotów, zajmujących się utylizacją dokumentacji.

Błędne wydruki

Nie należy wykorzystywać błędnych wydruków, dokumentów przeznaczonych do zniszczenia, jako nośników informacji poprzez wykorzystanie niezadrukowanej/niezapisanej drugiej strony dokumentu.

Zasady korzystania ze sprzętu

Użytkownicy wykorzystujący urządzenia elektroniczne, w tym urządzenia przetwarzające dane, zobowiązani są do stosowania się do zaleceń producentów, instrukcji obsługi oraz udzielonych informacji dotyczących bezpiecznego korzystania ze sprzętu oraz oprogramowania.

Korespondencja z wykorzystaniem środków komunikacji elektronicznej

Dane przesyłane z wykorzystaniem środków komunikacji elektronicznej powinny zostać zaszyfrowane przed wysłaniem oraz zabezpieczone hasłem dostępowym. Hasło przekazywane powinno być do adresata korespondencji alternatywnym kanałem komunikacji np. SMS. Przenośne komputery, elektroniczne nośniki danych powinny zostać zabezpieczone poprzez odpowiednie ich szyfrowanie.

Ograniczenie dostępu, identyfikacja użytkownika

W celu zapewnienia ochrony danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego oraz bezpośrednio do programów/aplikacji przetwarzających dane – jeśli producent oprogramowania stwarza takie możliwości techniczne.

Ochrona danych przetwarzanych poza siedzibą ADO

Osoba upoważniona korzystająca z urządzeń technicznych poza siedzibą ADO, zobowiązana jest w szczególności do adekwatnego zabezpieczenia sprzętu, przed jego utratą, zniszczeniem.

Dbałość o poprawność danych w dokumentacji medycznej

Osoby odpowiedzialne za prowadzenie dokumentacji medycznej, w szczególności wykorzystujące w związku z tym system teleinformatyczny, zobowiązane są do zachowania szczególnych zasad ostrożności i weryfikacji danych wprowadzanych do dokumentacji medycznej, do systemu teleinformatycznego, tak aby zagwarantować ich poprawność i prawidłowość.

Autor: mgr Dominik Spałek