VenaMed – Twoje zdrowie jest najważniejsze

V E N A M E D
PRZYDATNE DLA PACJENTA

Polityka bezpieczeństwa

Polityka bezpieczeństwa przetwarzania danych osobowych w zakładzie leczniczym Venamed NZOZ Lucyna Sitek
43-246 Strumień
ul. Wspólna 2
NIP: 651-155-12-53

Rozdział 1Postanowienia ogólne.

&1 Celem Polityki bezpieczeństwa przetwarzania danych osobowych zwanej dalej „Polityką bezpieczeństwa w zakładzie leczniczym „Venamed  NZOZ  Lucyna Sitek mającym główną siedzibę   w 43-246 Strumień  ul. Wspólna 2, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe.

&2 Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w

  • Rozporządzeniu Parlamentu europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE/Dz. Urz. UE.L nr 119 str.1
  • Ustawie z dnia 10 maja 2018 roku o ochronie danych osobowych Dz. U. Z 2018 r poz 1000/20018

&3 Ochrona danych osobowych realizowana jest poprzez zabezpieczenie fizyczne, organizacyjne, oprogramowania systemowe proporcjonalne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności.

Utrzymanie bezpieczeństwa przetwarzania danych osobowych w zakładzie leczniczym Venamed NZOZ rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych.

Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

  1. poufność danych- rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
  2. integralność danych- rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
  3. rozliczalność danych- rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko jednej osobie;
  4. integralność systemu- rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej;
  5. dostępność informacji-rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
  6. zarządzanie ryzykiem-rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych

&5

  1. Administratorem danych jest osoba kierująca zakładem leczniczym Lucyna Sitek.
  2. Administrator nie powołał inspektora danych osobowych ze względów iż dane osobowe przetwarzane są na niewielką skalę a zakład leczniczy należy do mikroprzedsiębiorstw.

 

Rozdział 2.

Definicje

&6

Przez użyte w polityce bezpieczeństwa należy rozumieć:

  1. administrator danych- osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych,
  2. ustawa- ustawa z dn 10 maja 2018 roku o ochronie danych osobowych,
  3. RODO- rozporządzenie Parlamentu Europejskiego i Rady UE/ 2016/679 z dnia 27 kwietnia 2016 r w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych jak uchylenie dyrektywy 95/46/WE/Dz. Urz.UE.L nr 119 str 1.
  4. dane osobowe-wszelkie informacje dotyczące zidentyfikowania lub możliwej do zidentyfikowania osoby fizycznej,
  5. dane medyczne- dane szczególne, które mówią np. o stanie zdrowia pacjenta.
  6. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych wg określonych kryteriów,
  7. przetwarzanie danych- operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie itd.
  8. system informatyczny – zespół współpracujących ze sobą urządzeń, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,
  9. system tradycyjny-zespół procedur organizacyjnych , związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie w środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,
  10. zabezpieczenie danych w systemie informatycznym- wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.
  11. Administrator systemu informatycznego- osoba lub osoby , upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi.
  12. Odbiorca- osoba fizyczna lub prawna, organ publiczny , jednostka lub inny podmiot , któremu ujawnia się dane osobowe w oparciu m.in. o umowę powierzenia,
  13. strona trzecia- osoba fizyczna lub prawna, organ publiczny , jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe.
  14. Identyfikator użytkownika- ciąg znaków literowych, cyfrowych lub innych , jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
  15. Hasło- ciąg znaków literowych, cyfrowych lub innych przypisanych do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym,

 

Rozdział 3

Zakres stosowania

&7

 

W zakładzie leczniczym przetwarzane są dane osobowe pracowników, byłych pracowników, kandydatów do pracy, kontrahentów z którymi zakład leczniczy Venamed współpracuje oraz dane szczególne- medyczne pacjentów korzystających ze świadczeń zdrowotnych. Dane te są posegregowane i gromadzone w zbiorach danych osobowych.

Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej jak i elektronicznej.

Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych.

Innymi dokumentami regulującymi ochronę danych osobowych w zakładzie leczniczym Venamed NZOZ są:

  • Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Venamed NZOZ
  • Ewidencja osób upoważnionych do przetwarzania danych osobowych.
  • Procedura przetwarzania danych osobowych oraz postępowanie z dokumentacją papierową oraz elektroniczną danych osobowych pracowników, kontrahentów oraz danych szczególnych- medycznych.

 

& 8

Politykę bezpieczeństwa stosuje się w szczególności do :

  1. danych osobowych szczególnych medycznych w postaci wyników badań przetwarzanych w systemie informatycznym będącym własnością Laboratorium Diagnostyka .spółka .ZO.O, Badaj.to

 za który to system w/w kontrahent ponosi odpowiedzialność prawną i gwarantuje zapewnienie bezpieczeństwa tego systemu.

  1. danych osobowych przetwarzanych w systemie Mmedica, Open Office , Fakturowo, Gabinet gov
  2. odbiorców danych osobowych, którym przekazano dane osobowe do przetworzenia w oparciu o umowy powierzenia w tym:
  • Przychodnia na Rondzie 44-240 Żory Al. W. Polskiego 3 c
  •  FIRMA USŁUGOWA AS-CONSULTING Agnieszka Olborska 
  • Laboratorium Diagnostyka .spółka .ZO.O,
  •  Badaj.to
  • test DNA Katowice
  • TMT SYSTEM Ferdyn Michał, Spyrka Tomasz Spółka Cywilna. 
  1. informacji dotyczących zabezpieczenia danych osobowych w tym w szczególności nazw , kont i haseł w systemach przetwarzania danych osobowych.
  2. rejestru osób trzecich – pracowników mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych.
  3. innych dokumentów zawierających dane osobowe.

 

&9

  1. Zakres ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do
  • wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz w formie papierowej, w których przetwarzane są dane osobowe podlegające ochronie.
  • Wszystkich lokalizacji- budynków pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie.
  • Wszystkich pracowników, kontrahentów mających dostęp do informacji podlegających ochronie.
  • Do stosowania zasad określonych przez politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy oraz inne osoby mające dostęp do danych podlegających ochronie.

 

Rozdział 4

Wykaz zbiorów danych osobowych.

&10

Dane osobowe gromadzone są w zbiorach :

  1. Wykaz zbiorów danych szczególnych -medycznych (dotyczy pacjentów)
  2. Ewidencja osób upoważnionych do przetwarzania danych osobowych szczególnych – medycznych.
  3. Akta osobowe pracowników.
  4. Listy płac pracowników.
  5. Listy obecności pracowników.
  6. Umowy zawarte z kontrahentami.
  7. Systemowa baza danych.

& 11

Zbiory danych osobowych wymienione w &10 pkt 1 i 7 podlegają przetwarzaniu w sposób tradycyjny oraz przy użyciu systemu informatycznego , będącego własnością Laboratorium Diagnostyka oraz systemu Asystent- baza danych.

Zbiory danych , o których mowa w pkt 2-6 podlegają przetwarzaniu w sposób tradycyjny( papierowy).

 

Rozdział 5.

Wykaz budynków, pomieszczeń w których wykonywane są operacje przetwarzania danych osobowych .

&12

  1. Dane osobowe przetwarzane są w budynku mieszczącym się pod adresem 43-246 Strumień ul. Wspólna 2  
  2. Dane osobowe pracowników, kontrahentów przetwarzane są zarówno w formie tradycyjnej ( w ognioodpornej szafie medycznej zamykanej na klucz ).
  3. Dane osobowe szczególne- medyczne przechowywane są zgodnie z procedurą przetwarzania danym szczególnych w formie tradycyjnej papierowej oraz w zabezpieczonym systemie informatycznym, do którego ma dostęp ADO oraz upoważnieni przez niego pracownicy . (ognioodporna szafa medyczna zamykana na klucz)

 

Rozdział 6.

Struktura zbiorów danych .

&13

Struktura zbiorów danych wskazujących zawartość danych osobowych przedstawia się w sposób następujący.

  1. Dane osobowe kontrahentów

 

  • Imię i nazwisko właściciela firmy
  • Nazwa firmy

 

  • adres siedziby firmy
  • Nip
  • Regon
  • telefon
  • e-mail
  • fax

 

  1. Dane pracowników.
  • Imię i Nazwisko
  • pesel
  • NIP
  • adres zamieszkania
  • informacje o zdobytym wykształceniu
  • telefon
  1. Dane szczególne – medyczne.
  • Imię i Nazwisko
  • pesel
  • adres
  • telefon
  • dane medyczne mówiące o stanie zdrowia.
  • płeć

 

Rozdział 7.

Środki organizacyjne i techniczne zabezpieczenia danych osobowych

&14

Zabezpieczenia organizacyjne .

  • Opracowano i wdrożono politykę bezpieczeństwa przetwarzania danych osobowych.
  • Sporządzono i wdrożono instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w zakładzie leczniczym Venamed NZOZ
  • Wprowadzono Procedury przetwarzania i przechowywania danych szczególnych -medycznych
  • Stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych.
  • Opracowano i na bieżąco jest prowadzony rejestr czynności przetwarzania danych.
  • Do przetwarzania danych został dopuszczone osoby posiadające upoważnienie nadane przez ADO po zapoznaniu się z procedurami, zostały zaznajomione z z przepisami RODO oraz w zakresie systemu informatycznego a także zostały zobowiązane do zachowania tajemnicy.
  • Przetwarzanie danych osobowych jest dokonywane w warunkach w pełni zabezpieczających dane przed dostępem osób nieupoważnionych.
  • Przebywanie osób nieuprawnionych w pomieszczeniu, w którym są przetwarzane dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej.
  • Dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu neutralizuje się w sposób taki aby nie było możliwe odtworzenie ich treści

 

Zabezpieczenia techniczne

  • Komputer zabezpieczono ochroną antywirusową, oraz przed korzystaniem z nich osób nieuprawnionych poprzez założenie indywidualnego hasła i cyklicznego wymuszania zmiany hasła.

 

Zabezpieczenia fizyczne

  • Urządzenia służące do przetwarzania danych znajdują się w zamykanych pomieszczeniach.
  • Dokumenty oraz nośniki danych przechowywane są w zamykanych na klucz szafkach.

 

 

Rozdział 8.

Zadania ADO

&15

Do obowiązków ADO należy:

  1. Organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawie o ochronie danych osobowych.
  2. Zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi.
  3. Przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych – w przypadku , gdy zakład leczniczy wprowadza nowy rodzaj przetwarzania danych osobowych.
  4. Wydawanie i anulowanie upoważnień do przetwarzania danych osobowych.
  5. Prowadzenie dokumentacji kontrolującej jakość przetwarzania danych- nadzór
  6. Prowadzenie postępowania wyjaśniającego w przypadku naruszenia.
  7. Zapewnienie bezpieczeństwa systemom informatycznym.
  8. Przeszkolenie pracowników w zakresie RODO .
  9. Dokonywanie corocznych do dnia 25 maja sprawozdań rocznych z funkcjonowania systemu ochrony danych osobowych. Sprawozdanie jest w formie pisemnej.

 

 

 

Administrator Danych Osobowych

 

Lucyna Sitek





Jesteśmy do Twojej dyspozycji
  • Telefon: +48 665-878-095
  • E-mail: venamed@onet.pl
  • Facebook: facebook.com/venamed

Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None