Procedura zarządzania ryzykiem naruszenia praw i wolności osób fizycznych w związku z przetwarzaniem danych osobowych

PROCEDURA ZARZĄDZANIA RYZYKIEM

W Gabinecie Stomatologicznym "Uśmiech Zdrowia"

(przykład)

______________________________

(pieczęć)

______________________________

obowiązuje od 01.01.2023

______________________________

zatwierdził

1. Wstęp

1.1. Gabinet Stomatologiczny "Uśmiech Zdrowia" dokonuje oceny ryzyka naruszenia praw i wolności osób fizycznych oraz podejmuje środki zapewniające stopień bezpieczeństwa odpowiadający temu ryzyku, jako obowiązku wynikającego z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

1.2. Słownik:

• Administrator – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, w szczególności Gabinet Stomatologiczny "Uśmiech Zdrowia";

• Gabinet Stomatologiczny "Uśmiech Zdrowia" – Gabinet Stomatologiczny "Uśmiech Zdrowia" z siedzibą w Warszawie, ul. Kwiatowa 123;

• Dokumentacja medyczna – dokumentacja medyczna, o której mowa w przepisach ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i jej aktów wykonawczych;

• Osoba bliska – Jan Kowalski, Anna Kowalska lub Piotr Nowak do drugiego stopnia w linii prostej, przedstawiciel ustawowy, osoba pozostająca we wspólnym pożyciu lub osoba wskazana przez Pacjenta;

• Osoba, której dane dotyczą – osoba fizyczna, której dane osobowe są przetwarzane przez Gabinet Stomatologiczny "Uśmiech Zdrowia", w szczególności: Pacjent oraz Osoba bliska

• Pacjent – osoba fizyczna zwracająca się o udzielenie świadczeń zdrowotnych lub na rzecz której udzielane są świadczenia zdrowotne;

• RODO - Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE;

• ryzyko - Kombinacja prawdopodobieństwa zdarzenia i jego konsekwencji;

• Świadczenie zdrowotne – działania mające na celu zachowanie, ratowanie, przywracanie lub poprawę zdrowia oraz inne działania podejmowane w procesie leczenia, uregulowane przepisami prawa;

• PUODO – Prezes Urzędu Ochrony Danych Osobowych

2. Cel przeprowadzania oceny ryzyka

2.1. Celem przeprowadzenia oceny ryzyka jest:

2.1.1. zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych osobowych,

2.1.2. definiowanie i wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających adekwatny stopień bezpieczeństwa odpowiadający ryzyku,

2.1.3. dokonanie oceny, czy stopień bezpieczeństwa jest odpowiedni, z uwzględnieniem ryzyka wiążącego się z przetwarzaniem danych osobowych, w szczególności wynikającym z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych.

2.2. Ocena ryzyka to proces ciągły oraz podlegający cyklicznej aktualizacji. Pozwala na dokonanie przez Gabinet Stomatologiczny "Uśmiech Zdrowia" weryfikacji oraz monitorowanie adekwatności, skuteczności stosowanych środków technicznych oraz organizacyjnych zabezpieczających przetwarzane dane osobowe.

2.3. Ocena ryzyka naruszenia praw i wolności Osób, których dane dotyczą podzielona jest na etapy:

2.3.1. identyfikacja czynności przetwarzania,

2.3.2. ocena, czy zidentyfikowane czynności przetwarzania mogą powodować wysokie ryzyko naruszenia praw i wolności Osób, których dane dotyczą,

2.3.3. identyfikacja zagrożeń dla praw i wolności Osób, których dane dotyczą,

2.3.4. ocena skutków – określenie konsekwencji wystąpienia zidentyfikowanych zagrożeń,

2.3.5. ocena prawdopodobieństwa wystąpienia zidentyfikowanych zagrożeń,

2.3.6. ocena powagi ryzyka.

2.4. Na każdym etapie zarządzania ryzykiem ochrony danych osobowych zaangażowane są wszystkie strony zainteresowane:

2.4.1. Gabinet Stomatologiczny "Uśmiech Zdrowia" – jako Administrator,

2.4.2. inspektor ochrony danych (jeżeli powołano) lub inna osoba wyznaczona przez Administratora jako odpowiedzialna za nadzór nad ochroną danych osobowych w Gabinecie Stomatologicznym "Uśmiech Zdrowia",

2.4.3. właściciel procesu odpowiedzialny za realizację czynności przetwarzania,

2.4.4. właściciele zasobów, odpowiedzialni za zachowanie poufności, integralności i dostępności danych osobowych oraz odporności systemów i usług przetwarzania wykorzystywanych do realizacji procesów z udziałem danych osobowych,

2.4.5. inne podmioty przetwarzające dane osobowe w imieniu i na zlecenie Administratora (jeżeli zachodzi taka konieczność).

2.5. W sytuacjach budzących wątpliwości lub wymagającej wiedzy na poziomie eksperckim, Gabinet Stomatologiczny "Uśmiech Zdrowia" wspiera proces zarządzania ryzykiem poprzez pozyskiwanie opinii ekspertów, w szczególności opinii prawnych lub dotyczących kwestii środków zabezpieczających dane (sfera techniczno-organizacyjna).

2.6. Poprzez zaangażowanie w proces zarządzania ryzykiem powyższych osób, Administrator zapewnia że osoby te znają swoją rolę w procesie przetwarzania danych oraz zarządzania ryzykiem oraz istnieje sprawny przepływ informacji w Gabinecie Stomatologicznym "Uśmiech Zdrowia" we wszystkich płaszczyznach.

3. Identyfikacja czynności przetwarzania

3.1. Działając w ramach obowiązku prowadzenia rejestru czynności przetwarzania, o którym mowa w art. 30 RODO, Gabinet Stomatologiczny "Uśmiech Zdrowia" dokonuje identyfikacji procesów realizowanych z udziałem danych osobowych oraz czynności przetwarzania z nimi związanych.

3.2. Proces identyfikacji czynności przetwarzania odbywa się w sposób udokumentowany i znajduje odzwierciedlenie w rejestrze czynności przetwarzania. Proces podlega cyklicznej aktualizacji – nie rzadziej niż raz do roku oraz przeprowadzany jest na etapie projektowania nowych rozwiązań technicznych oraz usług lub wprowadzanych do nich zmian, któr