Bezpieczeństwo danych: jak o nie zadbać w placówce

Jako przykład takiego naruszenia można np. wskazać sytuację, kiedy lekarz przyjmujący pacjenta wyjdzie na chwilę z gabinetu, nie wyloguje się wcześniej z komputera, na którym są zamieszczone, np. w elektronicznej dokumentacji medycznej, dane innych pacjentów. Pacjent może nie zajrzeć w ekran komputera, ale wystarczy już sama taka możliwość, aby mogło dojść do naruszenia.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Ponowne zalogowanie powinno wymagać podania loginu i hasła. Hasło powinno składać się z 8 znaków i być złożone z małych i wielkich liter, cyfr oraz zawierać znak specjalny.

Dodatkowo każdy użytkownik powinien dbać o odpowiednie zabezpieczenie hasła – czyli przede wszystkim nie zapisywać hasła na kartkach które są następnie naklejane na ekran monitora lub trzymane pod klawiaturą.

Osobą nieupoważnioną może być również pracownik firmy zewnętrznej, która serwisuje sprzęt do badań i tym samym ma dostęp do danych zapisanych na serwisowanym urządzeniu. W przypadku takich firm, aby uniknąć naruszenia zasady bezpieczeństwa należy podpisać umowę powierzenia.

Dodatkowo, spełnienie zasady bezpieczeństwa to również opracowanie i wdrożenie niezbędnej dokumentacji z ochrony danych osobowych, do której możemy zaliczyć politykę bezpieczeństwa ochrony danych osobowych oraz instrukcję zarządzania systemami informatycznymi.

Z punktu nadania dostępu do danych osobowych należy pamiętać o stosowaniu odpowiednich upoważnień do przetwarzania danych. Przez „odpowiednie” należy rozumieć upoważnienia w których dostęp został nadany z uwzględnieniem przypisania do konkretnych zbiorów. Lista przetwarzanych zbiorów powinna zostać wyodrębniona w polityce bezpieczeństwa danych osobowych. Taka rekomendacja wynika z praktyki kontrolnej GIODO.

Niestety w ocenie GIODO upoważnienie odwołujące się wyłącznie do dostępu do danych osobowych wynikającego z obowiązków służbowych jest niewystarczające i jeżeli stosujemy takie upoważnienia możemy narazić się na zarzut, że umożliwiamy dostęp osobom nieupoważnionym. Od osób upoważnionych należy odebrać oświadczenia o zachowaniu danych w poufności. Wskazane oświadczenia powinny również zawierać zobowiązanie o zachowaniu w poufności sposób zabezpieczenia danych osobowych.

Do ostatnich elementów związanych z przestrzeganiem zasady bezpieczeństwa przetwarzanych danych możemy zaliczyć powołanie administratora bezpieczeństwa informacji oraz przeprowadzenie szkoleń dla osób upoważnionych. Nie są to obligatoryjne elementy związane z przestrzeganiem zasady bezpieczeństwa, jednak bez wątpienia wpływają na podniesienie jego poziomu.

Przestępstwo wynikające z naruszenia zasady bezpieczeństwa jest przestępstwem bez skutkowym, tzn. aby do niego doszło nie musi powstać skutek w postaci udostępnienia danych osobie nieupoważnionej.

Za naruszenie zasady bezpieczeństwa grozi kara grzywny, ograniczenia wolności lub pozbawianie wolności do lat 2.