1.3.1. OCHRANA OSOBNÝCH ÚDAJOV U POSKYTOVATEĽOV ZDRAVOTNÍCKEJ STAROSTLIVOSTI.

1.3.1. OCHRANA OSOBNÝCH ÚDAJOV U POSKYTOVATEĽOV ZDRAVOTNÍCKEJ STAROSTLIVOSTI.

Zdravotné údaje pacientov patria do osobitnej kategórie osobných údajov a teda na ich ochranu je nevyhnutné aplikovať prísnejší režim ochrany.

Zdravotná dokumentácia vedená v informačných systémoch poskytovateľov zdravotníckej starostlivosti v listinnej podobe (nazývaná aj „zdravotná karta“) a elektronickou formou (napr. medicínske programy, elektronická zdravotná knižka ap.) má mimoriadne postavenie. Je to súbor údajov o zmenách pacientovho zdravotného stavu, o postupoch, ktoré lekár zvolil pri jeho liečbe, obsahuje výsledky laboratórnych vyšetrení, röntgenov, údaje o liekoch a podobne. Zdravotná dokumentácia je neoddeliteľnou súčasťou procesu poskytovania zdravotnej starostlivosti. Zdravotná dokumentácia obsahuje vysoko citlivé a dôverné osobné údaje. Je preto nesmierne dôležité zabezpečiť ich ochranu a predísť tak riziku ich zneužitia.

Všeobecné podmienky nakladania so zdravotnou dokumentáciou sú upravené v ustanoveniach § 18 až 25 zákona č. 576/2004 Z. z. o zdravotnej starostlivosti a o zmene niektorých zákonov v znení neskorších predpisov. Zákon č. 355/2007 o ochrane, podpore a rozvoji verejného zdravia v znení neskorších predpisov ukladá všetkým, ktorí prichádzajú do styku so zdravotnou dokumentáciou, povinnosť zachovávať mlčanlivosť o skutočnostiach, ktoré sa dozvedeli v súvislosti s výkonom svojho zamestnania. Lekárom v ambulancii a zdravotníckym zariadeniam zároveň prikazuje zabezpečiť dokumenty tak, aby sa k nim nedostali nepovolané osoby, nedošlo k ich strate alebo zneužitiu.

Štandardy zdravotníckej informatiky upravuje zákon č.153/2013 o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov.

Údaje týkajúce sa zdravia pacientov patria do osobitnej kategórie osobných údajov (§13 zákona č.122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov), a teda na ich ochranu je nevyhnutné aplikovať prísnejší režim. 

Zdravotná dokumentácia obsahuje vysoko citlivé a dôverné osobné údaje. Je preto nesmierne dôležité zabezpečiť ich ochranu a predísť tak riziku ich zneužitia.

Právnické a fyzické osoby – poskytovatelia zdravotníckej starostlivosti, ktoré prevádzkujú databázy s osobnými údajmi pacientov a zamestnancov musia adekvátnym spôsobom zabezpečiť ich ochranu - mať vypracovaný „Bezpečnostný projekt informačného systému“, v ktorom sa opisuje spôsob ochrany osobných údajov pred zneužitím.

Prikazuje im to §19 zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (úplné znenie zákona – zákon č. 122/2013 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov, ako vyplýva zo zmien a doplnení vykonaných zákonom č. 84/2014 Z. z.).

(Za bezpečnosť osobných údajov, zodpovedá prevádzkovateľ, ktorý musí prijať  primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, ktoré zdokumentuje v bezpečnostnom projekte informačného systému.)

Hlavným predpokladom zabezpečenia ochrany osobných údajov u prevádzkovateľa - poskytovateľa zdravotníckej starostlivosti, je dokumentácia „Bezpečnostného projektu informačného systému“, ktorý musí byť v súlade so všeobecne platným právnym poriadkom SR a EÚ (zákonom č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len zákon), Vyhláškou Úradu na ochranu osobných údajov SR č.164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení v znení Vyhlášky Úradu na ochranu osobných údajov SR č.117/2014 Z.z., ktorou sa mení a dopĺňa vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení a zákonom č.153/2013 o národnom zdravotníckom informačnom systéme ap.).

Podľa §19 zákona NR SR č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov za bezpečnosť osobných údajov, zodpovedá prevádzkovateľ (poskytovateľ zdravotníckej starostlivosti), ktorý musí prijať  primerané bezpečnostné opatrenia zodpovedajúce spôsobu spracúvania osobných údajov, ktoré zdokumentuje v bezpečnostnom projekte informačného systému.

Prevádzkovateľ informačného systému (poskytovateľ zdravotníckej starostlivosti) je povinný:

  1. Spracovať Bezpečnostný projekt informačného systému podľa § 19 ods. 2 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov, ak v informačnom systéme prepojenom s verejne prístupnou počítačovou sieťou spracúva osobitné kategórie osobných údajov podľa § 13 zákona.

Zákon o ochrane osobných údajoch ďalej prikazuje prevádzkovateľom informačných systémov, teda i poskytovateľom zdravotníckej starostlivosti vykonať opatrenia:

  1. vykonanie inventúry všetkých osobných údajov, ktoré sa u poskytovateľa zdravotníckej starostlivosti spracúvajú;
  2. preskúmanie aktuálnosti a potrebnosti osobných údajov, ktoré sú u poskytovateľa zdravotníckej starostlivosti zhromaždené;
  3. evidencia a najmä registrácia informačných systémov;
  4. určenie okruhu osôb, ktorým sa povolí spracúvať osobné údaje;
  5. poučenie a zaviazanie mlčanlivosťou osôb, ktoré budú spracúvať osobné údaje v zmysle zákona;
  6. určenie priestorov, kde sa budú osobné údaje spracúvať a určenie technických prostriedkov na spracúvanie;
  7. odborné vyškolenie a určenie osôb, ktoré budú poverené dohľadom nad ochranou osobných  údajov u poskytovateľa zdravotníckej starostlivosti (podľa § 23 a 24 zákona NR SR č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a Vyhlášky Úradu na ochranu osobných údajov SR č.165/2013, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, poverená zodpovedná osoba určená za výkon dohľadu nad ochranou osobných údajov dotknutých fyzických osôb v informačných systémoch u prevádzkovateľa (poskytovateľa zdravotníckej starostlivosti) musí absolvovať skúšku na výkon funkcie zodpovednej osoby. Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby zákona zabezpečuje v zmysle § 24 zákona NR SR č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Úrad na ochranu osobných údajov SR.;
  8. odborné vyškolenie a preškolenie zamestnancov poskytovateľa zdravotníckej starostlivosti ktorí u poskytovateľa zdravotníckej starostlivosti prichádzajú do styku s chránenými osobnými údajmi pacientov (napr. zdravotnícky personál ambulancie, nemocnice ap.);
  9. prijatie adekvátnych opatrení na ochranu osobných údajov formou „Bezpečnostného projektu informačného systému", v ktorom sa spracúvajú osobné údaje.

PONUKA

1)   VYPRACOVANIE „BEZPEČNOSTNÉHO PROJEKTU INFORMAČNÉHO SYSTÉMU“.

V zmysle § 19 zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov  a § 5 Vyhlášky Úradu na ochranu osobných údajov SR č.164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení v znení Vyhlášky Úradu na ochranu osobných údajov SR č.117/2014 Z.z., ktorou sa mení a dopĺňa vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení.

Povinnosť vypracovať „Bezpečnostný projekt IS“ sa vzťahuje na prevádzkovateľa - poskytovateľa zdravotníckej starostlivosti, ktorý spracúva osobné údaje v informačnom systéme podľa §13 a § 19 ods. 2  a zákona.

Do bezpečnostného systému ochrany osobných údajov pre poskytovateľov zdravotníckej starostlivosti implementujeme štandardy zdravotníckej informatiky, ktoré upravuje zákon č.153/2013 o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov.

2)   VYPRACOVANIE „INTERNÝCH SMERNÍC PREVÁDZKOVATEĽA V OBLASTI OCHRANY OSOBNÝCH ÚDAJOV“.

V zmysle zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov  a Vyhlášky Úradu na ochranu osobných údajov SR č.164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení v znení Vyhlášky Úradu na ochranu osobných údajov SR č.117/2014 Z.z., ktorou sa mení a dopĺňa vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 164/2013 Z. z. o rozsahu a dokumentácii bezpečnostných opatrení.

Interné smernice prevádzkovateľa v oblasti ochrany osobných údajov, ako prílohy k „Bezpečnostnému projektu informačného systému“  upresňujú a aplikujú závery vyplývajúce z „Bezpečnostného projektu informačného systému“ na konkrétne podmienky prevádzkovateľa - poskytovateľa zdravotníckej starostlivosti a prevádzkovaného informačného systému.

„Interné smernice prevádzkovateľa“:

Smernica určujúca postup zodpovednej osoby určenej dohľadom nad ochranou osobných údajov, citlivých a chránených údajov prevádzkovateľa a bezpečného používania informačných systémov, určených na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb a chránené údaje prevádzkovateľa“.

V smernici sú stanovené základné zásady  pre výkon funkcie zodpovednej osoby určenej dohľadom nad ochranou osobných údajov u prevádzkovateľa a bezpečného používania informačných systémov na určených technických prostriedkoch, bezpečnostného kamerového systému prevádzkovateľa a spoľahlivú prevádzku lokálnej a Internetovej siete v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

Smernica určujúcej postup bezpečnostného zamestnanca určeného dohľadom nad ochranou osobných údajov, citlivých a chránených údajov prevádzkovateľa a bezpečného používania informačných systémov, určených na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb a chránené údaje prevádzkovateľa“.

V smernici bezpečnostného zamestnanca, ktorého prevádzkovateľ z dôvodu absencie povinnosti určiť zodpovednú osobu v organizácii podľa zákona, na základe vlastného rozhodnutia písomne poveril výkonom dohľadu nad dodržiavaním zákona pri ochrane osobných údajov, citlivých a chránených údajov prevádzkovateľa, „Bezpečnostného projektu informačného systému“ prevádzkovateľa a „Interných smerníc prevádzkovateľa“ v oblasti ochrany osobných údajov, citlivých informácii a údajov prevádzkovateľa, sú stanovené základné zásady  pre výkon funkcie bezpečnostného zamestnanca určeného dohľadom nad ochranou osobných údajov u prevádzkovateľa a bezpečného používania informačných systémov na určených technických prostriedkoch, bezpečnostného kamerového systému prevádzkovateľa a spoľahlivú prevádzku lokálnej a Internetovej siete v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

Smernica určujúca postup oprávnených osôb pri používaní technických prostriedkov a informačných systémov určených na spracúvanie informácií obsahujúcich osobné, citlivé a chránené údaje v podmienkach prevádzkovateľa“.

V smernici sú stanovené základné bezpečnostné zásady pre výkon funkcie oprávnenej osoby, kvantifikované práva a povinnosti oprávnených osôb pri spracúvaní a ochrane osobných a chránených údajov,  základné zásady bezpečného používania informačných systémov na určených technických prostriedkoch prevádzkovateľa a spoľahlivej prevádzky lokálnej a Internetovej siete v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

Smernica určujúca postup administrátora automatizovaných informačných systémov pri používaní technických prostriedkov a informačných systémov určených na spracúvanie informácií obsahujúcich osobné, citlivé a chránené údaje v podmienkach prevádzkovateľa“.

V smernici sú stanovené základné zásady bezpečného používania  IS na určených technických prostriedkoch, lokálnej a Internetovej sieti, bezpečnostnom kamerovom systéme prevádzkovateľa, bezpečnostné nastavenie automatizovaných IS v súlade s obecnou bezpečnostnou politikou prevádzkovateľa pre oblasť automatizovaného spracovania informácií, správne nastavenie funkcie bezpečnostných a technických opatrení na určených technický prostriedkoch prevádzkovateľa, lokálnej a Internetovej sieti a bezpečnostnom kamerovom systéme prevádzkovateľa, ako aj výkon funkcie administrátora automatizovaných systémov.

Smernica o bezpečnom používaní externých služieb (služby outsourcingu) v podmienkach prevádzkovateľa“.

V smernici sú stanovené základné bezpečnostné zásady  o bezpečnom používaní externých služieb (služby outsourcingu) pre kompetentov prevádzkovateľa, ktorí pripravujú zmluvné vzťahy vo forme outsourcingu s tretími stranami  a kvantifikácia bezpečnostných zásad prevádzkovateľa v súlade s obecnou bezpečnostnou politikou prevádzkovateľa pri zverení spracúvania osobných a chránených údajov prevádzkovateľa tretej strane – sprostredkovateľovi, ktorý spracúva osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.

Smernica o bezpečnom riadení prístupu tretích strán k prostriedkom a zdrojom informačných systémov obsahujúcich osobné, citlivé a chránené údaje v podmienkach prevádzkovateľa“.

V smernici sú stanovené základné bezpečnostné zásady pre prístup tretích strán k  IS prevádzkovateľa treťou stranou a ustanovuje povinnosti a práva kompetentných zamestnancov prevádzkovateľa, ktorí pripravujú zmluvné vzťahy s tretími stranami v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

Smernica určujúca postup pri zistení bezpečnostného incidentu v podmienkach prevádzkovateľa”.

V smernici sú stanovené základné bezpečnostné zásady, opatrenia a postupy pri zistení bezpečnostného incidentu súvisiaceho s prevádzkovanými IS prevádzkovateľa, ako aj jeho eliminácia a odstránenie v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

Smernica určujúca postup pri používaní kamerového monitorovacieho systému určeného na spracúvanie informácií obsahujúcich osobné, citlivé a chránené údaje v podmienkach prevádzkovateľa”.

V smernici sú stanovené základné bezpečnostné zásady, pravidlá a postupy používania a využívania informačných systémov kamerového monitorovacieho systému prevádzkovaného v  organizácii, v súlade s obecnou bezpečnostnou politikou prevádzkovateľa.

„Ďalšie smernice“ podľa bezpečnostného zámeru prevádzkovateľa.

3)   VYPRACOVANIE METODICKEJ „VZOROVEJ DOPLNKOVEJ DOKUMENTÁCIE PREVÁDZKOVATEĽA“.

V zmysle zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov  v znení neskorších predpisov a Vyhlášky Úradu na ochranu osobných údajov SR č.164/2013 Z.z. o rozsahu a dokumentácii bezpečnostných opatrení, v znení Vyhlášky Úradu na ochranu osobných údajov SR č.117/2014 Z.z..

„Doplnková dokumentácia“ prevádzkovateľa doplňuje, upresňuje a aplikuje závery vyplývajúce z „Bezpečnostného projektu informačného systému“ pre prevádzkovateľa - poskytovateľa zdravotníckej starostlivosti, sprostredkovateľa, tretie strany, správcu siete, IT manažéra, zamestnancov poskytovateľa zdravotníckej starostlivosti, odborný zdravotnícky personál ako zdravotné sestry, laboranti ap..).

„Doplnková dokumentácia“ prevádzkovateľa obsahuje najmä:

„Vzorová doplnková dokumentácia“ ochrany osobných údajov prevádzkovateľa, ktorú zo zákona spracováva a vedie prevádzkovateľ alebo zodpovedná osoba prevádzkovateľa poverená výkonom dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov u prevádzkovateľa doplňuje, upresňuje a aplikuje závery vyplývajúce z „Bezpečnostného projektu informačného systému“ pre prevádzkovateľa, sprostredkovateľa, tretie strany, správcu siete, IT manažéra, oprávnené osoby, zamestnancov prevádzkovateľa, ap..).

„Vzorová doplnková dokumentácia“ k „Bezpečnostnému projektu informačného systému“ prevádzkovateľa, uľahčuje prevádzkovateľovi alebo zodpovednej osobe prevádzkovateľa, vedenie predpísanej dokumentácie ochrany osobných údajov prevádzkovateľa v zmysle platnej legislatívy SR.

„Doplnková dokumentácia“ ochrany osobných údajov prevádzkovateľa obsahuje najmä:

Zoznam technických prostriedkov, určených pre spracúvanie osobných údajov v informačných systémoch prevádzkovateľa.

Určenie technických prostriedkov pre automatizované spracúvanie osobných údajov u prevádzkovateľa.

Evidenčný list počítača prevádzkovateľa, určeného na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb.

Zoznam informačných systémov prevádzkovateľa, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania podľa § 33 až 44 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Evidenčné listy informačných systémov, v ktorých sa spracúvajú osobné údaje úplne alebo čiastočne automatizovanými prostriedkami spracúvania a ktoré nepodliehajú registrácii, alebo osobitnej registrácii a o ktorých prevádzkovateľ vedie evidenciu podľa § 43 zákona 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Záznam o zásahu do informačných systémov prevádzkovateľa.

Záznam o bezpečnostnom incidente.

Poverenie zodpovednej osoby výkonom dohľadu nad ochranou osobných údajov spracúvaných v informačných systémoch prevádzkovateľa v zmysle § 23 ods. 2 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Poverenie bezpečnostného zamestnanca výkonom dohľadu nad ochranou osobných údajov spracúvaných v informačných systémoch prevádzkovateľa.

Určenie oprávnených osôb pre prácu v informačných systémoch prevádzkovateľa, ktoré spracúvajú osobné údaje dotknutých fyzických osôb, citlivé a chránené údaje prevádzkovateľa, v rozsahu a spôsobom určeným v poučení podľa § 21 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Poučenie oprávnených osôb o právach a povinnostiach v zmysle § 21 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov a o zodpovednosti za ich porušenie.

Poučenie administrátora automatizovaných informačných systémov (IT manažéra) o právach a povinnostiach v zmysle § 21 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov a o zodpovednosti za ich porušenie.

Poučenie tretích strán o právach a povinnostiach ustanovených zákonom č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov a o zodpovednosti za ich porušenie.

Zákonné ustanovenia o mlčanlivosti podľa zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Prehlásenie o mlčanlivosti oprávnenej osoby v zmysle § 22 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Prehlásenie o mlčanlivosti administrátora automatizovaných informačných systémov (IT manažéra) v zmysle § 22 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Prehlásenie o mlčanlivosti sprostredkovateľa spracúvania osobných údajov v mene prevádzkovateľa v zmysle § 22 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Prehlásenie o mlčanlivosti subdodávateľa sprostredkovateľa spracúvania osobných údajov v mene prevádzkovateľa v zmysle § 22 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Súhlas dotknutej osoby - zamestnanca prevádzkovateľa, so spracovaním osobných údajov a  zaradením údajov do databázy prevádzkovateľa v zmysle § 9 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Súhlas dotknutej osoby - klienta prevádzkovateľa, so spracovaním osobných údajov a  zaradením údajov do databázy prevádzkovateľa v zmysle § 9 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Oznámenie dotknutej osobe o získavaní osobných údajov dotknutej osoby podľa § 15 zákona č.122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Oboznámenie  oprávnených osôb prevádzkovateľa s „Bezpečnostným projektom“ informačných systémov, určených na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb, citlivé a chránené údaje prevádzkovateľa, v zmysle § 19 ods. 5 a § 21 ods. 2 zákona č. 122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Záznam o vykonaných zmenách v „Bezpečnostnom projekte“ informačných systémov, určených na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb, citlivé a chránené údaje prevádzkovateľa.

Záznam o kontrolnej činnosti prevádzkovateľa zameranej na dodržiavanie bezpečnosti informačného systému.

Zmluva medzi prevádzkovateľom a sprostredkovateľom na spracúvanie osobných údajov podľa § 8 odseku 3 zákona č.122/2013 Z.z. o ochrane osobných údajov v znení neskorších predpisov.

Evidencia zmlúv medzi prevádzkovateľom a sprostredkovateľom na spracúvanie osobných údajov.

„Ďalšia doplnková dokumentácia“ podľa bezpečnostného zámeru prevádzkovateľa.

4)   REALIZÁCIA SYSTÉMU OCHRANY CITLIVÝCH A CHRÁNENÝCH ÚDAJOV ORGANIZÁCIE DO DOKUMENTÁCIE OCHRANY OSOBNÝCH ÚDAJOV ORGANIZÁCIE.

Hlavným cieľom realizácie systému ochrany citlivých a chránených údajov organizácie je:

chrániť v organizácii informácie a údaje, ktoré sa považujú za neverejné, ak nie sú bežne verejne známe a ktoré by mohli obsahovať obchodné tajom­stvo, bankové tajomstvo, intelektuálne vlastníctvo, firemné materiály ktoré by mohli ovplyvniť' účtovné doklady, projektovú dokumentáciu, vzo­ry, pracovné postupy, receptúry, know-how, logistické procesy súvisiace s výrob­nou činnosťou, údaje o klientoch, elektronické peniaze, počítačové programy, finančné informácie, účtovné údaje, marketingové informácie, elektronické informácie, osobné údaje a pod., zabezpečiť ich evidenčne v zmysle zákona č. 395/2002 Z.z. o archívoch  a registratúrach a o doplnení niektorých zákonov v znení neskorších predpisov,

takéto informácie majú byt' chránené, ale zároveň aj monitorované, aby sa zabránilo ich neoprávneným únikom.

Implementáciou ochrany citlivých informácii a údajov organizácie, ktoré sa považujú za neverejné a musia byť chránené, do dokumentácie ochrany osobných údajov vo Vašej organizácii, zabezpečíme ich ochranu vo Vašej organizácii bez ďalšieho navýšenia finančných prostriedkov jedným vypracovaným dokumentom „Bezpečnostný projekt informačných systémov, určených na spracúvanie informácií obsahujúcich osobné údaje dotknutých fyzických osôb, citlivé a chránené údaje prevádzkovateľa“.

5)   ODBORNÉ VYŠKOLENIE ZODPOVEDNEJ OSOBY POSKYTOVATEĽA ZDRAVOTNÍCKEJ STAROSTLIVOSTI.

Príprava na skúšku na výkon funkcie zodpovednej osoby na Úrade na ochranu osobných údajov SR.

Poverená zodpovedná osoba určená za výkon dohľadu nad ochranou osobných údajov dotknutých fyzických osôb v informačných systémoch u prevádzkovateľa (sprostredkovateľa), musí v zmysle § 23 a 24 zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a Vyhlášky Úradu na ochranu osobných údajov SR č.165/2013, ktorou sa ustanovujú podrobnosti o skúške fyzickej osoby na výkon funkcie zodpovednej osoby, absolvovať skúšku na výkon funkcie zodpovednej osoby.

Skúšku fyzickej osoby na účely výkonu funkcie zodpovednej osoby zákona zabezpečuje v zmysle § 24 zákona č.122/2013 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Úrad na ochranu osobných údajov SR.

6)   ODBORNÉ VYŠKOLENIE A PREŠKOLENIE OPRÁVNENÝCH OSÔB – ODBORNÝ ZDRAVOTNÍCKY PERSONÁL POSKYTOVATEĽA ZDRAVOTNÍCKEJ STAROSTLIVOSTI.

ktorí u poskytovateľa zdravotníckej starostlivosti prichádzajú do styku s chránenými osobnými údajmi zamestnancov a pacientov, informáciami, aktívami a citlivými údajmi organizácie, v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie a ktorí spracúvajú osobné údaje podľa § 21 zákona o ochrane osobných údajov.

Informácie o vzdelávacích aktivitách:

Vzdelávacie aktivity sú určené predovšetkým pre:

Štatutárnych zástupcov poskytovateľov zdravotníckej starostlivosti, organizácií, manažérov a riadiacich pracovníkov, ktorí prichádzajú do styku s chránenými osobnými údajmi zamestnancov a pacientov.

Zodpovedné osoby určené za výkon dohľadu nad dodržiavaním zákonných ustanovení pri spracúvaní osobných údajov podľa § 23 zákona č. 122/2013 Z.z o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

Oprávnené osoby, ktoré prichádzajú do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktoré spracúvajú osobné údaje v rozsahu a spôsobom určeným v poučení podľa § 21 zákona č. 122/2013 Z.z o ochrane osobných údajov v znení neskorších predpisov.

Iné právnické a fyzické osoby, ktoré spracúvajú osobné údaje v mene prevádzkovateľa alebo zástupcu prevádzkovateľa.

Široký okruh odborníkov prichádzajúcich do styku s ochranou osobných údajov.

Vzdelávacie aktivity vykonávame v spolupráci so spoločnosťami:

ARM Media Consulting, s.r.o., do platnosti zákona č. 122/2013 Z.z o ochrane osobných údajov v znení neskorších predpisov mala akreditovaný vzdelávací program v oblasti ďalšieho vzdelávania v zmysle zákona č. 568/2009 Z. z. o ďalšom vzdelávaní - číslo akreditácie: 2549.

Nezávislou poradenskou spoločnosťou NPS, s.r.o..

Poradenskou firmou JUDr. Viliam Hečko -  JURIS.

Poradenskou firmou ĎuKo, s.r.o.

Spoločnosťou BUREAU VERITAS SLOVAKIA spol. s.r.o., ktorá je vedúcou svetovou spoločnosťou v poskytovaní služieb v oblasti kvality, bezpečnosti a ochrany zdravia, životného prostredia (QHSE) a sociálnej a spoločenskej zodpovednosti. Vďaka potenciálu viac ako 33000 pracovníkov a jedinečnej dislokácii viac ako 850 pobočiek v 140 krajinách sveta, poskytuje široký rozsah špecializovaných služieb v oblasti certifikácie, auditu, poradenstva, vzdelávania pracovníkov a outsourcingu.

Školenia zabezpečujú, že pracovníci ktorí pracujú pre poskytovateľa zdravotníckej starostlivosti a ktorí prichádzajú do styku s chránenými osobnými údajmi a údajmi týkajúcich sa zdravia pacientov, majú relevantné vzdelanie umožňujúce im vykonávať svoju prácu spôsobom, ktorý rešpektuje platné právne normy SR a EÚ.

Účastníci školenia obdržia na vyžiadanie „Osvedčenie o odbornom vyškolení a preškolení o ochrane osobných údajov podľa zákona o ochrane osobných údajov.

Školenie je vykonávané podľa požiadaviek klienta, vykonávame aj uzatvorené školenia v priestoroch klienta.

7)   E-LEARNINGOVÝ SEMINÁR K PROBLEMATIKE OCHRANY OSOBNÝCH ÚDAJOV FYZICKÝCH OSÔB, CITLIVÝCH INFORMÁCII A ÚDAJOV PREVÁDZKOVATEĽA.

vypracovaný v zmysle platnej legislatívy Slovenskej republiky, pre oprávnené osoby poskytovateľa zdravotníckej starostlivosti, určených k práci s osobnými údajmi, v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, ktoré spracúvajú osobné údaje podľa § 21 zákona č. 122/2013 Z. z. o ochrane osobných údajov v znení neskorších predpisov.

E-learningový kurz v elektronickom formáte Adobe k problematike ochrany osobných údajov fyzických osôb, citlivých informácii a údajov prevádzkovateľa s neobmedzeným počtom prístupu, so súborom štyroch testov po 15 otázok z predmetnej problematiky ochrany osobných údajov fyzických osôb, je možno použiť k individuálnemu preškoleniu a preskúšaniu oprávnených osôb v organizácii s problematikou ochrany osobných údajov fyzických osôb, citlivých informácii a údajov prevádzkovateľa, s cieľom šetrenia nákladov na školenie zamestnancov v danej problematike.

Ponúkaný e-learningový kurz zabezpečuje komplexné preškolenie z problematiky ochrany osobných údajov s dôrazom na praktické príklady z praxe, v rozsahu cca. 322 strán (podľa cieľového subjektu).

E–learning ponúka jasné a  zrozumiteľné vzdelávanie s aktuálnym a dôležitým obsahom (po vzájomnej dohode s klientom) s výhodami:

prístup ku kurzu kdekoľvek sa študujúci – zamestnanec ako oprávnená osoba nachádza; kontrola prebratého učiva na podporu vzdelávania; možnosť prispôsobiť obsah aktuálnym potrebám podľa požiadaviek legislatívy; umožňuje vzdelávanie na globálnej úrovni v lokálnom jazyku; možnosť periodického vzdelávania bez navýšenia nákladov.

Na rozdiel od tradičného vzdelávania, e-learning nepredstavuje jeden rovnaký prístup. Okrem širokej škály učebných štýlov, z ktorých sa skladá cieľová skupina, ľudia najčastejšie hľadajú informáciu v informácii, teda neformálny prístup. Na uspokojenie potrieb formálneho a neformálneho vzdelávania môže byť takéto školenie výborným nástrojom, ako poskytnúť zamestnancom reálne skúsenosti.

Zavedenie e-learningu môže Vašej organizácii prospieť a priniesť mnoho výhod z pohľadu nákladov, času a vzdelávania. Ako zamestnávateľ máte možnosť ovplyvniť omnoho viac než len formálny vzdelávací proces. S e-learningom viete prispôsobiť neformálne vzdelávanie tak, aby ste uspokojili potreby vášho najväčšieho aktíva - ľudského kapitálu.

8)   VYKONANIE AUDITU BEZPEČNOSTI INFORMAČNÉHO SYSTÉMU, SYSTÉMU OCHRANY OSOBNÝCH ÚDAJOV, „BEZPEČNOSTNEJ SMERNICE“, „BEZPEČNOSTNÉHO PROJEKTU INFORMAČNÉHO SYSTÉMU“.

Auditom bezpečnosti informačného systému, systému ochrany osobných údajov, „Bezpečnostnej smernice“, „Bezpečnostného projektu informačného systému, sa rozumie nezávislé odborné posúdenie spoľahlivosti a celkovej bezpečnosti informačného systému z hľadiska zabezpečenia dôvernosti, integrity a dostupnosti spracúvaných osobných údajov a jeho súladu so zákonnými a technickými normami SR a EÚ.

Audit bezpečnosti informačného systému vykonáva externá, odborne spôsobilá právnická osoba alebo fyzická osoba, ktorá sa nepodieľala na vypracovaní „Bezpečnostnej smernice“, „Bezpečnostného projektu informačného systému“ predmetného informačného systému prevádzkovateľa a nie sú pochybnosti o jej nezaujatosti.

Poskytujeme klientom vykonanie auditu bezpečnosti informačného systému, systému ochrany osobných údajov, „Bezpečnostnej smernice“, „Bezpečnostného projektu informačného systému, ako nezávislé posúdenie systému ochrany osobných údajov, podľa bezpečnostných štandardov a výstupov z „Bezpečnostnej smernice“, „Bezpečnostného projektu informačného systému“, ako i posúdenie celkového súladu so zákonom o ochrane osobných údajov, vrátane návrhu opatrení na zníženie bezpečnostných rizík a odstránenie zistených nedostatkov.

Audítori zhodnotia bezpečnostné riziká pri ochrane osobných údajov u poskytovateľa zdravotníckej starostlivosti, odporučia v záverečnej správe auditu opatrenia na ich zníženie a tým zvýšia bezpečnostné štandardy pri ochrane osobných údajov vyžadované Vašimi obchodnými partnermi.

Pri realizácii auditu dodržiavame overené štandardy a odporúčania.

Prostredníctvom auditu bezpečnosti informačného systému, systému ochrany osobných údajov, „Bezpečnostného projektu informačného systému, si poskytovateľa zdravotníckej starostlivosti často riešia aj modernizáciu informačných systémov. Ide o vďačný impulz pre vedenie organizácií smerom ku komplexnému riešeniu bezpečnosti databáz a informačných systémov.

Audit bezpečnosti informačného systému nie je CISA audit (Certified Information Systems Auditor). CISA audit a certifikáciu CISA IT systémov (bezpečnosť hardware a software riešenia IT architektúry, bezpečnosť siete a komponentov IT ap.) zastrešuje Asociácia ISACA.

9)   PORADENSTVO.

Poskytujeme komplexné poradenstvo v oblasti ochrany osobných údajov, chránených citlivých informácií poskytovateľa zdravotníckej starostlivosti a zavedenia bezpečnostných opatrení ochrany osobných údajov u poskytovateľa zdravotníckej starostlivosti.

VAŠE VÝHODY

Vybudovanie bezpečnostného systému ochrany osobných údajov a údajov týkajúcich sa zdravia pacientov,  chránených citlivých informácií  a zavedenie bezpečnostných opatrení ochrany osobných údajov u poskytovateľa zdravotníckej starostlivosti vo forme bezpečnostného projektu IS (bezpečnostných smerníc) v súlade so všeobecne platnými normami SR a EÚ. 

FAQ - Frequently Asked Questions

Stojíme na strane poskytovateľov zdravotníckej starostlivosti s cieľom poskytnúť im formou outsourcingu maximálnu podporu i v týchto netradičných oblastiach činnosti na úseku „nových zodpovedností“.

O kvalite našich služieb svedčia naše zákaznícke referencie.

Cieľom nášho pôsobenia u zákazníka je vykonať analýzu podmienok a audit zhody skutkového stavu s požiadavkami legislatívy SR a EÚ a vykonať implementáciu špecifických know-how s ohľadom na uplatňovanie požiadaviek zákazníkov.

Disponujeme špičkovými kvalifikovanými odborníkmi a externými konzultantmi s hlbokými znalosťami a skúsenosťami z rôznych organizácií (Ministerstvo vnútra, Ministerstvo obrany, Úrad na ochranu osobných údajov ap.).

Odborní kompetenti a externí konzultanti sú držitelia osvedčenia Národného Bezpečnostného úradu SR pre oboznamovanie s utajovanými skutočnosťami do tretieho stupňa utajenia „TAJNÉ“ podľa § 26 ods.1 zák. č. 215/2004 o ochrane utajovaných skutočností v znení neskorších predpisov.

Pri realizácii systému ochrany osobných údajov a bezpečnostného projektu dodržiavame overené štandardy a odporúčania.

Do bezpečnostného systému ochrany osobných údajov pre poskytovateľov zdravotníckej starostlivosti implementujeme štandardy zdravotníckej informatiky, ktoré upravuje zákon č.153/2013 o národnom zdravotníckom informačnom systéme a o zmene a doplnení niektorých zákonov.

Spracovanie všetkých podkladov pre vypracovanie riadiacich dokumentov v oblasti ochrany osobných údajov bude vykonané v spolupráci s určenou osobou organizácie.

Pri vypracovaní „Bezpečnostného projektu informačného systému“ na konkrétne podmienky poskytovateľa zdravotníckej starostlivosti a prevádzkovaného informačného systému a posudzovaní bezpečnosti všetkých informačných systémov, nie je potrebné z našej strany robiť vnútorný ani vonkajší audit. Nastavenie opatrení bude v rámci bežnej prevádzky informačných systémov.

Zaväzujeme sa zaväzuje mlčanlivosťou o všetkých okolnostiach a skutočnostiach, s ktorými sa naši odborní kompetenti a externí konzultanti zoznámia pri vypracovaní „Bezpečnostnej smernice“ a „Bezpečnostného projektu informačného systému“, o ktorých je zrejmé, že ich zneužitím pre svoju potrebu, či oznámením inej osobe by sa poškodil záujem prevádzkovateľa. Povinnosť mlčanlivosti dodržujeme i po ukončení zmluvného vzťahu s prevádzkovateľom.

Pre prerokovanie akýchkoľvek otázok alebo nejasností nás kontaktujte.

Informacny list_Ochrana osobných údajov v zdravotníctve_KOLMAR_2014.pdf (469722)

Informacny list_Ochrana osobných údajov_lehoty a sankcie_KOLMAR.pdf (129119)

Ponuka vzdelávacej aktivity_Ochrana osobných údajov_KOLMAR.pdf (221851)

E-LEARNINGOVÝ SEMINÁR K PROBLEMATIKE OCHRANY OSOBNÝCH ÚDAJOV_WEB.pdf (1384988)

Zákaznícke referencie KOLMAR.pdf (427292)

Vyhľadávanie

Všetky práva vyhradené © 2004-2016 Marian Koleno.