Dopady GDPR na elektronizaci zdravotnictví

Podobné dokumenty
Obecné nařízení o ochraně osobních údajů

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

GDPR a obec. Praha Mgr. Jan Vobořil, Ph.D.

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Městské kamerové systémy v prostředí GDPR. Petr Stiegler

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

GDPR. Požadavky na dokumentaci. Luděk Nezmar

Zabezpečení osobních údajů

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Povinnosti obce nebo města jako správce podle GDPR. Jarní celostátní odborný seminář STMOÚ Valeč Přednášející JUDr.

NOVINKY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

Nová pravidla ochrany osobních údajů

GDPR TÝKAJÍ SE NOVÁ PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ I VAŠÍ LÉKAŘSKÉ PRAXE ČI LÉKÁRNY? JUDr. Alena Šildová, advokátka Brno, Praha, 22.1.

Co změní obecné nařízení 2016/679 o ochraně osobních údajů PhDr. Miroslava Matoušová Úřad pro ochranu osobních údajů

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

ALIS spol. s r.o., Česká Lípa říjen 2017

GDPR a veřejná správa

Legislativní smršť v roce2018 a její vliv na kybernetickou a informační bezpečnost Ing. Aleš Špidla

Ochrana osobních údajů a kybernetická bezpečnost v roce Ing. Michal Hager

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

VÝNOS REKTORA Č. 6/2018 ŘEŠENÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

Ochrana osobních údajů a bezpečnost dat - co přinese GDPR?

GDPR Obecné nařízení o ochraně osobních údajů

VZTAH eidas K OCHRANĚ OSOBNÍCH ÚDAJŮ aneb co bude znamenat nové nařízení GDPR pro elektronické transakce nejen ve veřejné správě

Ochrana osobních údajů Implementace GDPR

Sdělení ÚOOÚ k přístupu založenému na riziku

POVĚŘENEC OCHRANY OSOBNÍCH ÚDAJŮ, HROZBY A RIZIKA VE ŠKOLSTVÍ V PROBLEMATICE GDPR

Informace o zpracování osobních údajů smluvních partnerů

Posuzování na základě rizika

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR compliance v Cloudu. Jiří Černý CELA

1. ÚVODNÍ USTANOVENÍ. Politika zpracování a ochrany OÚ externích SÚ informační povinnost detailní 2018_05_22_OVANET_a.s. Strana č. 1 z počtu stran 18

Směrnice pro ochranu osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ rok poté CESNET NÁRODNÍ TECHNICKÁ KNIHOVNA, PRAHA JUDr. Soňa Matochová, Ph.D.

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Politika ochrany osobních údajů

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Ochrana osobních údajů

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE TECHNICKÉHO MUZEA V BRNĚ PRO OCHRANU OSOBNÍCH ÚDAJŮ

Strategie Implementace GDPR. Michal Zedníček ALEF NULA, a.s.

Obecné nařízení o ochraně osobních údajů

ORGANIZAČNÍ ŘÁD ŠKOLY

Obecné nařízení o ochraně osobních údajů (GDPR) S přihlédnutím ke Smart Cities Petr Habarta, OBPPK MV

Ochrana osobních údajů

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR v sociálních službách

do Českého zdravotnictví Michal Koščík Definujte zápatí - název prezentace / pracoviště 1

INFORMACE O ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR PRO VEŘEJNÝ SEKTOR. GDPR - Specifika státní správy a samosprávy

JUDr. Alena Kučerová Úřad pro ochranu osobních údajů OCHRANA OSOBNÍCH ÚDAJŮ V PROCESU DIGITALIZACE ZDRAVOTNICKÉ DOKUMENTACE

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o

PRIVACY POLICY. Issued / vydáno dne: Written by / vypracoval: Mgr. Michaela Škrabalová. Revised by / revidoval: ---

Implementace GDPR. Je opravdu GDPR revolucí v ochraně osobních údajů? 6/14/2017

Pověřenci pro ochranu osobních údajů

Kodexy chování metodická příručka verze 1.0 Úvod

Informace o zpracování osobních údajů

SPISOVÁ SLUŽBA A GDPR

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

OCHRANA OSOBNÍCH ÚDAJŮ. ZÁKLADNÍ INFORMACE (GDPR a osobní údaje obecně)

ZÁSADY MLČENLIVOSTI PRO OBLAST OCHRANY OSOBNÍCH ÚDAJŮ

Představení služeb Konica Minolta GDPR

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

GDPR Obecný metodický pokyn pro školství

Systémová analýza a opatření v rámci GDPR

Jak by se s tím měli vyrovnat podnikatelé v oboru elektro?

Obecné nařízení o ochraně osobních údajů, Vy a dozor. PhDr. Miroslava Matoušová, Úřad pro ochranu osobních údajů

Obsah prezentace. Důležité informace na začátek aneb co bychom měli vědět před implementací GDPR. Jan Slanina

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

OBSAH Seznam zkratek...17 Kapitola 1 Ú vod... 21

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

Legislativní hranice identifikovatelnosti pacienta. Mgr. Konstantin Lavrushin

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Nakládání s osobními údaji

Ochrana osobních údajů Informace o zpracování a ochraně osobních údajů SLÚ AV ČR, v. v. i.

Změny v ochraně osobních údajů v souvislosti s novým nařízením GDPR. Mgr. Kristýna Delmar Barcamp Brno 2017

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Zásady zpracování a ochrany osobních údajů společností Mediclinic a.s. v oblasti poskytování pracovnělékařských, posudkových a souvisejících služeb

Informační memorandum CHEIRÓN a.s., se sídlem Ulrychova 13, Praha 6, (dále jen Správce OÚ)

Ochrana osobních údajů v oblasti školství. Mgr. et Mgr. Dana Prudíková, Ph.D.

Záznamy o činnostech zpracování

Zpracovatelská smlouva dle Nařízení GDPR

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Ochrana osobních údajů GDPR

Prohlášení o ochraně osobních údajů

Povinnosti osob při zpracování osobních údajů

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Transkript:

Dopady GDPR na elektronizaci zdravotnictví TELEMEDICÍNA BRNO 2019 Alena Tobiášová

Vymezení tématu Smlouva o zpracování Zabezpečení zpracování Posouzení vlivu na ochranu osobních údajů Kodex chování

Smlouva o zpracování

SPRÁVCE x ZPRACOVATEL správce určuje účely a prostředky zpracování osobních údajů jsou-li účely a prostředky zpracování určeny právem, může být správce určený právem zpracovatel zpracovává osobní údaje pro správce dle jeho pokynů

Smlouva o zpracování Zpracování zpracovatelem se řídí smlouvou předmět doba trvání zpracování povaha a účel zpracování typ osobních údajů kategorie subjektů údajů povinnosti a práva správce Smlouva v písemné formě

Závazek zpracovatele vůči správci zpracovávání pouze na základě doložených pokynů správce osoby oprávněné zpracovávat jsou zavázány mlčenlivostí (závazek, zákon) vhodná TOO k zajištění zabezpečení zapojení do zpracování dalšího zpracovatele s předchozím povolení správce (smlouva) součinnost - žádosti o výkon práv subjektu naložení s OÚ po ukončení poskytování služeb informace potřebné k doložení plnění povinností (audity, inspekce)

Zpracování z pověření zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce, ledaže jí jejich zpracování ukládá právo

Zpracovatelská smlouva správce zpracovatel správce správce správce pověření správce zpracovatel 2. zpracovatel

Zabezpečení zpracování

Zabezpečení zpracování Povinnost správce / zpracovatele: - posoudit rizika pro práva svobody fyzických osob - přijmout adekvátní bezpečnostní opatření Rizika vznik majetkové, nemajetkové újmy - diskriminace, krádeže, zneužití identity, finanční ztráty, poškození pověsti, ztráty důvěrnosti citlivých údajů

Datový a procesní audit Technická analýza rizik Identifikace a ohodnocení rizik Stanovení TOO ke zvládání rizik Právní analýza rizik Identifikace práv a svobod Identifikace a ohodnocení rizik narušení důvěrnosti narušení integrity narušení dostupnosti Stanovení TOO ke zvládání rizik

Označe ní aktiva - název procesu Subjekt údajů 1. Datový Zpracov a procesní Vlastní potřebu audit Účel zpracov ání Forma zprac ování áváno se souhlas em subjekt u údajů Ano / Ne Ano / Ne Údaje jsou zpracovávány pro Anonymi zované Ano / Ne Externí subjekt Název externího subjektu Anonymi zované Ano / Ne Jmén o a příjm ení Typ a rozsah údajů Biometrické údaje Další - konkretizace Zása dy GDP R zdravotn ická dokume ntace pacient, osoby v anamn éze, zdravotn ičtí pracovní ci poskyto vání zdrav. služeb E, L Ano, Ne Ano Ne oprávněn é subjekty Ano, Ne Ano Ano bydliště, státní příslušnost, ID pacienta, číslo pojištěnce Ano evidenc e smluv smluvní strany FO a její zaměstn anci, vlastní zaměstn anci naplněn í smluvní ch vztahů E, L Ne Ano Ne Ano bydliště smluvní strany, telefon a e-mail zaměstnance, e- mail smluvní strany Ano osobní spisy zaměstn anců zaměstn anci, další zúčastně né osoby evidenc e zaměstn anců - výkon personá lní agendy E, L Ano, Ne Ano Ne Ano bydliště, osobní číslo, telefon, e- mail, rodinný stav, státní příslušnost, osobní údaje dětí a dalších osob NE (!)

Matice zranitelností a katalog hrozeb Aktiva Popis Právo na soukr omí Právo na ochranu cti a důstojnosti Právo na informačn í sebeurčen í Právo na život Práva a svobody Právo na duševní a tělesnou integritu Právo na inform ace Právní Hrozby analýza rizik Hrozba Hod nota Právo na ochranu OÚ Zákaz diskri minac e Ochra na identit y Hmot né ztráty Neoprávn ěné zrušení pseudon. 3 3 1 5 4 2 3 2 5 3 3 zdravotnická dokumentace Narušení důvěrnosti včetně neoprávněného zpřístupnění osobních údajů a neoprávněného přístupu k osobním údajům Narušení integrity včetně pozměnění osobních údajů 2 5 4 2 1 1 0 5 0 0 2 1 1 0 3 0 3 5 1 2 0 0 0 0 Narušení dostupnosti včetně náhodného nebo protiprávního zničení osobních údajů 1 0 0 0 3 3 3 0 0 0 0 0 evidence smluv osobní spisy zaměstnanců Ztráta osobních údajů 1 5 4 2 3 3 3 5 0 0 2 1 Narušení důvěrnosti 2 3 2 1 0 0 0 3 0 0 1 1 Narušení integrity 1 0 0 0 0 0 0 0 0 0 5 1 Narušení dostupnosti 2 0 0 0 0 0 1 0 0 0 1 0 Ztráta osobních údajů 1 3 2 1 0 0 1 3 0 0 1 1 Narušení důvěrnosti 2 5 2 4 0 0 0 5 2 2 0 4 Narušení integrity 1 0 0 0 0 0 0 0 2 2 2 0 Narušení dostupnosti 1 0 0 0 0 0 0 0 0 0 2 0 Ztráta osobních údajů 1 5 2 4 0 0 0 5 2 2 2 4

Technická a organizační opatření Smyslem TOO je zabezpečení ochrany osobních údajů a soulad zpracování s GDPR Cílem je snížit rizika na přijatelnou úroveň Opatření přiměřená stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování Průběžný proces

Technická opatření např.: šifrování, pseudonymizace zabezpečení sítě, HW, SW tech. prostředky autentizace a autorizace pro přístup identifikace a monitorování vstupu do určených prostor elektronické karty, kamerový systém, materiální zajištění uzamykaní, trezor, mříže, SW pro pravidelný monitoring administrativních úkonů a přístupů k prostředkům

Organizační opatření např.: systematické zvyšování právního vědomí popis procesů, stanovení kompetencí, odpovědnosti, sankcí, audity (řídící dokumenty) zavázání mlčenlivostí definování přístupových práv do IS rozsah, správa hesla, logování pravidla nakládání se zdravotnickou dokumentací skartace os. údajů povinnost (vč. elektronické)

Ohlašování případů porušení zabezpečení osobních údajů Povinnost správce Dozorovému úřadu bez zbytečného odkladu, do 72 hodin od okamžiku, kdy se o porušení dozvěděl /důvody zpoždění výjimka - není riziko pro práva a svobody fyzických osob povinnost správce dokumentovat veškeré případy porušení zabezpečení osobních údajů Subjektu údajů pravděpodobnost vysokého rizika pro práva a svobody fyzických osob výjimka TOO stávající / přijatá znemožňují zneužití

Posouzení vlivu na ochranu osobních údajů (Data Protection Impact Assessment)

Posouzení vlivu na ochranu osobních údajů (DPIA) Pokud je pravděpodobné, že určitý druh zpracování, zejm. při využití nových technologií, bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody rozsáhlé zpracování zvláštních kategorií údajů rozsáhlé systematické monitorování veřejně přístupných prostorů

Vysoké riziko pro práva a svobody Kritéria (Evropský sbor pro ochranu os. údajů) systematické monitorování zpracování citlivých údajů zpracování údajů v rozsáhlém měřítku přiřazování či slučování datových souborů

Obsah posouzení systematický popis operací posouzení nezbytnosti a přiměřenosti operací posouzení rizik pro práva a svobody plánovaná opatření k řešení rizik posudek pověřence pro ochranu osobních údajů konzultace před zpracováním s dozorovým úřadem

Kodex chování

Účel kodexu chování prokázání souladu operací zpracování osobních údajů s GDPR dobrovolný systém samoregulace řešení nejasností a specifik, které vznikají při zpracování osobních údajů v rámci daného odvětví (např. zdravotnictví) upřesňování povinnosti správců a zpracovatelů s přihlédnutím k riziku, které ze zpracování pravděpodobně vyplyne pro práva a svobody fyzických osob

Správce kodexu chování Sdružení / jiné subjekty zastupující různé kategorie správců / zpracovatelů mohou vypracovávat kodex chování s cílem upřesnit uplatňování nařízení zaváží se k jeho aktualizace (vývoj legislativy, změny postupů správců, vývoji IT ) závazek správce nebo zpracovatele k dodržování kodexu chování je dobrovolný

Postup návrh kodexu či návrhy na úpravu či rozšíření kodexu se předkládá dozorovému úřadu dozorový úřad posoudí, zda je daný návrh kodexu nebo návrh na úpravu či rozšíření kodexu v souladu s nařízením schválí, zaregistruje a zveřejní týká-li se činností zpracování v několika členských státech - Evropský sbor pro ochranu osobních údajů po schválení dozorovým úřadem se mohou přihlásit ke kodexu jednotliví správci / zpracovatelé

Monitorování schválených kodexů chování může provádět subjekt má příslušnou úroveň odborných znalostí je pro tento účel akreditován dozorovým úřadem akreditace subjektu prokázal nezávislost a odborné znalosti stanovil postupy umožňující posoudit způsobilost dotčených správců a zpracovatelů stanovil postupy a struktury pro řešení stížností prokázal, že jeho úkoly a povinnosti nevedou ke střetu zájmů

Kodex(y) chování a zdravotnictví Příležitost k řešení specifik poskytovatelů ZS Ministerstvo zdravotnictví ANČR, AČMN, SPL ČR? Jednotná aplikace jasných pravidel v rezortu zdravotnictví v EU

Děkuji za pozornost JUDr. Alena Tobiášová, MBA tobiasova.alena@fnbrno.cz