Szkolenie Zawodowe dla Administratorów Bezpieczeństwa Informacji branży leczniczej - III EDYCJA (4 dni)

• sprawdzanie zgodności przetwarzania danych osobowych z wymogami prawa
• opracowywanie sprawozdań z przeprowadzonych sprawdzeń
• nadzorowanie opracowania i aktualizowania dokumentacji z zakresu ochrony danych osobowych
• przeprowadzanie szkoleń i instruktaży z zakresu ochrony danych osobowych
• inne obowiązki ABI wynikające z aktualnych przepisów prawa
• porównanie dotychczasowych obowiązków ABI z kompetencjami ustawowymi wprowadzonymi nowelizacją
• jak zmienił się sposób realizacji zadań przez ABI od momentu wejścia w życie nowelizacji ustawy? 

• wymagane ustawowo kompetencje do pełnienia funkcji ABI
• nowe zasady podległości służbowej Administratora Bezpieczeństwa Informacji w ramach organizacji
• zakaz powierzania Administratorowi Bezpieczeństwa Informacji dodatkowych zadań, które utrudniają
• lub uniemożliwiają prawidłowe pełnienie obowiązków na gruncie ochrony danych osobowych
• obowiązek zapewnienia środków niezbędnych do niezależnego wypełniania zadań przez ABI
• możliwość wyznaczenia zastępców Administratora Bezpieczeństwa Informacji – zasady powoływania
• obowiązek zgłoszenia Administratora Bezpieczeństwa Informacji przez Administratora Danych do rejestru prowadzonego przez GIODO – ĆWICZENIE, opracowanie projektu wniosku zgłaszającego ABI do rejestru

• sposoby powołania Administratora Bezpieczeństwa Informacji w zależności od formy prawnej, w jakiej prowadzony jest podmiot leczniczy
• modelowanie stanowiska Administratora Bezpieczeństwa Informacji w strukturze organizacyjnej
• możliwy udział Administratora Bezpieczeństwa Informacji we wdrożonych w podmiocie leczniczym systemach bezpieczeństwa oraz zarządzania jakością – np. normy ISO,  akredytacja Ministra Zdrowia
  w zakresie jakości w ochronie zdrowia
• wewnętrzne procedury regulujące zasady funkcjonowania ABI w placówkach leczniczych, w zależności
  od formy prawnej w jakiej prowadzony jest podmiot
• zasady podległości służbowej przy wykonywaniu zadań ABI – uwzględnienie roli i zakresu kompetencji kluczowych osób w organizacji, np. Dyrektor/Prezes placówki leczniczej, dyrektor ds. lecznictwa, ordynatorzy, pełnomocnik ISO, dyrektorzy poszczególnych pionów organizacyjnych (kadry, sprawy administracyjno-techniczne, inne)
• zasady skutecznej współpracy ABI z innymi osobami pełniącymi funkcje w systemie ochrony danych osobowych w placówce leczniczej (np. Administratorzy Systemów Informatycznych, dyrektorzy komórek informatyki, dyrektorzy ds. medycznych)

• zasady prowadzenia sprawdzeń planowych:
  • obowiązek realizacji sprawdzeń planowych na podstawie opracowanego planu sprawdzeń
• zasady i przypadki obligatoryjnego przeprowadzenia sprawdzenia pozaplanowego
• przeprowadzenie sprawdzenia na żądanie GIODO – zasady prawidłowego postępowania
• wymagany zakres sprawdzeń planowych i pozaplanowych
• opracowanie, wdrożenie i realizacja okresowych planów sprawdzeń przez ABI – ĆWICZENIE
• przedstawienie planu sprawdzeń do wiadomości Administratora Danych
• opracowanie programu konkretnego sprawdzenia przez Administratora Bezpieczeństwa Informacji – ĆWICZENIE
• ustalenie zakresu czynności do realizacji podczas planowanego sprawdzenia
• zakres uprawnień audytorskich i kontrolnych Administratora Bezpieczeństwa Informacji w ramach prowadzonego sprawdzenia:
  • zbieranie ustnych i pisemnych wyjaśnień od osób objętych sprawdzeniem
  • przeprowadzenie oględzin miejsc objętych sprawdzeniem
  • uzyskiwanie dostępu do urządzeń, nośników i systemów informatycznych służących do przetwarzania danych osobowych
  • analizowanie dokumentów dotyczących przetwarzania danych osobowych
  • inne uprawnienia
• powiadamianie pracowników placówki leczniczej o objęciu ich czynnościami sprawdzenia – reguły właściwego postępowania – jak rozmawiać z lekarzami, pielęgniarkami, „szarą” kadrą?
• wymagania prawne odnośnie przeprowadzania sprawdzenia przez ABI w systemach i infrastrukturze informatycznej
• zasady dokumentowania czynności podejmowanych przez Administratora Bezpieczeństwa Informacji podczas poszczególnych działań sprawdzających:
  • sporządzanie notatek z przeprowadzonych czynności - wzór
  • protokoły odebrania ustnych wyjaśnień - wzór
  • protokoły z przeprowadzonych oględzin - wzór
  • sporządzanie kopii otrzymanych do analizy dokumentów – zasady bezpiecznego kopiowania
  • tworzenie kopii obrazów z monitora komputera – zasady postępowania
  • sporządzanie kopii logów i rejestrów systemów informatycznych, w których są przetwarzane dane osobowe – zasady współpracy ze służbami informatycznymi
  • inne możliwe sposoby dokumentowania podjętych czynności przez ABI
• prawo żądania przez ABI wydania opinii w przedmiocie sprawdzenia przez zewnętrznego eksperta
• zasady i okres przechowywania dokumentacji z przeprowadzonych sprawdzeń

• rodzaje dokumentów obligatoryjnych z zakresu ochrony danych osobowych, które należy wdrożyć
  w firmie/instytucji
• dokumenty fakultatywne, których wdrożenie nie jest obwarowane przepisami lecz wynika z dobrych praktyk działalności Administratora Bezpieczeństwa Informacji
• relacja Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi do innych regulacji wewnętrznych w placówce leczniczej
• zasady przeprowadzania weryfikacji przez Administratora Bezpieczeństwa Informacji opracowania
  i kompletności dokumentacji przetwarzania danych – badanie formalnej zgodności dokumentacji
  z wymaganiami przepisów prawa
• reguły przeprowadzania oceny zgodności dokumentacji z aktualnymi przepisami prawa – prowadzenie monitoringu przepisów prawa przez ABI
• kryteria przeprowadzania oceny stanu faktycznego w zakresie przetwarzania danych osobowych opisanego w dokumentacji – przeglądy aktualności opracowanej dokumentacji
• badanie poziomu przestrzegania zasad i wytycznych określonych w dokumentacji przez osoby upoważnione do przetwarzania danych osobowych – czynności kontrolne ABI
• obowiązek przeprowadzania weryfikacji dokumentacji przetwarzania danych w ramach sprawdzeń planowych i pozaplanowych realizowanych przez ABI
• udział Administratora Bezpieczeństwa Informacji w realizacji procedur określonych w dokumentacji przetwarzania danych osobowych i wynikające z tego konsekwencje w kontekście przeprowadzanych okresowych weryfikacji dokumentacji
• zasady postępowania ABI w przypadku wykrycia nieprawidłowości w dokumentacji przetwarzania danych w placówce leczniczej:
  • obowiązek zawiadomienia Administratora Danych o wykrytych nieprawidłowościach lub brakach
    w dokumentacji
  • przedstawienie propozycji działań naprawczych oraz projektów zmian w dokumentacji
  • pouczenie lub poinstruowanie osób nieprzestrzegających zasad określonych w dokumentacji przetwarzania danych
  • zawiadomienie Administratora Danych o osobach, które dopuściły się naruszeń zasad określonych
    w dokumentacji przetwarzania danych
• relacja Polityki bezpieczeństwa oraz Instrukcji zarządzania systemami informatycznymi do innych regulacji dotyczących ochrony danych osobowych w placówce leczniczej, w tym:
  • procedury przyjmowania pacjentów do szpitala i innych placówek leczniczych
  • regulaminy identyfikowania pacjentów i personelu medycznego
  • procedury gromadzenia danych i przetwarzania informacji (w tym informacji medycznej)
  • procedury regulujące zasady udostępniania dokumentacji medycznej pacjentów
  • wymagania bezpieczeństwa dla dokumentacji medycznej przetwarzanej w formie elektronicznej
  • zasady bezpiecznej komunikacji z pacjentem na odległość (np. po wypisie ze szpitala)
  • procedury rekrutacji personelu medycznego oraz weryfikacji kwalifikacji zawodowych
  • regulaminy związane z podnoszeniem kwalifikacji zawodowych personelu oraz plany szkoleń dla osób zatrudnionych
  • regulaminy BHP i procedury postępowania w sytuacji wystąpienia wypadku na terenie placówki medycznej
  • regulaminy funkcjonowania archiwum
  • polityki bezpieczeństwa informacji zgodnie z normą ISO 27001

• ustalenie zasobów podlegających ochronie na gruncie ustawy o ochronie danych osobowych – zbiory danych osobowych w placówkach leczniczych
  • zbiory danych związane z rekrutacją i zatrudnieniem personelu, bhp, świadczeniami socjalnymi
  • zbiory danych związane z obsługą pacjenta i prowadzeniem dokumentacji medycznej
  • zbiory związane z realizacją zamówień i obsługą kontrahentów
  • rejestry zawartych umów cywilnoprawnych
  • zbiory związane z realizacją świadczeń medycznych oraz pozamedycznych przez placówkę leczniczą (np. e-rejestracja pacjentów,  szkoły rodzenia, hotele szpitalne, programy związane z profilaktyką
    i edukacją w zakresie ochrony zdrowia)
  • zbiory danych związane z obsługą skarg i wniosków oraz realizacją praw pacjenta
  • inne
• zasady prawidłowej inwentaryzacji zbiorów danych osobowych w podmiocie leczniczym:
  • kryteria inwentaryzacji zbiorów danych
  • zakres informacji niezbędny do inwentaryzacji zbiorów
  • określenie sposobu przetwarzania danych w zbiorach
  • zakres przetwarzanych danych w zbiorze
  • badanie obowiązku rejestracji zbioru w rejestrze GIODO
• nadzór nad legalnością przetwarzania danych osobowych w poszczególnych zbiorach:
  • podstawy prawne umożliwiające przetwarzanie danych „zwykłych”
  • wybrane podstawy prawne umożliwiające przetwarzanie danych wrażliwych

• obowiązki Administratora Bezpieczeństwa Informacji związane ze wstępnym badaniem procesów związanych z przekazywaniem danych osobowych podmiotom trzecim:
  • ustalenie statusu prawnego na gruncie ustawy o ochronie danych osobowych podmiotu, który przekazuje dane oraz podmiotu, który je otrzymuje
  • ustalenie statusu prawnego przekazania danych – udostępnienie lub powierzenie danych osobowych do przetwarzania
  • identyfikacja podstawy prawnej przekazania danych
  • opiniowanie umów, na mocy których następuje przekazanie danych osobowych do podmiotów trzecich
• powierzenie danych osobowych do przetwarzania jako jedna z form prawnych przekazania danych osobowych:
  • wymogi prawne związane z powierzeniem danych osobowych do przetwarzania
  • umowa powierzenia danych osobowych:
    • niezbędne elementy umowy powierzenia danych osobowych do przetwarzania
    • forma zawarcia umowy powierzenia danych
    • zasady negocjacji i zawierania umów związanych z powierzaniem danych osobowych do przetwarzania
•  udostępnianie danych osobowych innym podmiotom pełniącym funkcję administratorów danych:
  • badanie podstaw prawnych udostępnienia danych osobowych
  • udostępnianie danych osobowych podmiotom upoważnionym na podstawie szczególnych przepisów prawa – przykłady:
    • udostępnianie danych osobowych kadrowo – płacowych na podstawie szczególnych przepisów prawa pracy, ubezpieczeń społecznych, ustawy o Policji, strażach gminnych, prokuraturze oraz innych
    • udostępnianie danych pacjentów podmiotom trzecim na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz innych aktach prawnych
  • udostępnianie danych osobowych podmiotom nieupoważnionym na podstawie szczególnych przepisów prawa
• bezpieczne udostępnianie dokumentacji medycznej pacjentowi oraz upoważnionym przez niego osobom
• udostępnianie danych osobowych przez placówkę leczniczą poprzez System Informacji Medycznej (SIM), rejestry medyczne oraz dziedzinowe systemy teleinformatyczne
• wykorzystywanie danych pacjentów na potrzeby przeprowadzania weryfikacji z wykorzystaniem systemu eWUŚ, zgodnie z wymogami  Rozporządzenia Ministra Zdrowia
  z dnia 20 grudnia 2012 r. w sprawie warunków występowania o sporządzenie dokumentu elektronicznego potwierdzającego prawo do świadczeń opieki zdrowotnej
• jak w praktyce odróżnić proces powierzenia danych osobowych od procesu udostępniania danych?
  • istota pojęcia „udostępnienia” danych
  • różnice prawne pomiędzy udostępnieniem i powierzeniem do przetwarzania danych osobowych
  • konsekwencje prawne zastosowania poszczególnych form przekazania danych
• znowelizowane zasady przekazywania danych osobowych do państw trzecich i związane z tym konsekwencje prawne:
  • pojęcie „państwa trzeciego” na gruncie ustawy o ochronie danych osobowych
  • przykłady przekazywania danych osobowych do państw trzecich w ramach codziennego funkcjonowania organizacji
  • podstawy prawne przekazania danych osobowych do państw trzecich – przykłady zastosowania w praktyce
  • problemy ze stosowaniem wybranych podstaw prawnych w kontekście funkcjonowania organizacji
  • alternatywne rozwiązania prawne zapewniające legalność przekazywania danych osobowych do państw trzecich – umowa o transfer danych, wiążące reguły korporacyjne, zgoda GIODO na transfer danych

• zasady prawidłowego stosowania klauzul informacyjnych określonych w art. 24 i 25 ustawy o ochronie danych osobowych:
  • rozróżnienie przypadków, w których należy dopełnić obowiązek informacyjny określony w art. 24 oraz 25 ustawy o ochronie danych osobowych
  • ustalenie kręgu osób, wobec których należy spełnić obowiązek informacyjny
  • ustalenie momentu, w którym należy dopełnić obowiązku
  • ustalenie sposobu spełnienia klauzuli informacyjnej i związane z tym możliwości wykazania faktu spełnienia obowiązku od strony dowodowej:
    • forma ustna a forma elektroniczna oraz pisemna realizacji obowiązku – wady i zalety zastosowania
    • procedury wewnętrzne związane ze sposobem spełnienia obowiązku informacyjnego jako  rozwiązanie zapewniające dodatkowy materiał dowodowy na wypadek kontroli GIODO
    • praktyczne formy wypełniania obowiązku informacyjnego
    • przykłady klauzul informacyjnych
    • przykłady klauzul informacyjnych jakie należy stosować wobec pacjentów, pracowników placówki leczniczej, kandydatów do pracy oraz innych kategorii osób,  których dane są przetwarzane przez podmiot leczniczy
    • badanie prawidłowości konstrukcji klauzuli - ĆWICZENIE
• nadzór nad realizacją obowiązków informacyjnych oraz korekcyjnych na żądanie osoby, której dane są przetwarzane:
  • możliwy zakres żądania osoby, której dane są przetwarzane w organizacji
  • forma zgłaszanego żądania
  • zalecane sposoby rozpatrywania żądania
  • zasady pozyskiwania informacji niezbędnych do udzielenia odpowiedzi na żądanie
  • możliwe formy i zakres udzielanej odpowiedzi
  • zasady realizacji zgłoszonych żądań w zakresie obowiązków korekcyjnych:
    • ustosunkowanie się do żądania uzupełnienia, uaktualnienia lub sprostowania danych osobowych, a także czasowego lub stałego wstrzymania ich przetwarzania lub ich usunięcia
    • reagowanie na żądanie zaprzestania przetwarzania danych ze względu na szczególną sytuację osoby, której dane są przetwarzane
    • przypadki zaistnienia obowiązku uwzględnienia sprzeciwu na przetwarzanie danych i związane
      z nimi konsekwencje prawne
    • obowiązek wstrzymania lub całkowitego zaprzestania przetwarzania danych
• żądanie pacjenta wydania jego dokumentacji medycznej, a żądanie udostępnienia informacji o sposobie przetwarzania danych na podstawie ustawy o ochronie danych osobowych – w jaki sposób należy zachować się w poszczególnych przypadkach, by zapewnić bezpieczeństwo prawne podmiotowi leczniczemu?

• zasady właściwego postępowania przy ocenie obowiązku rejestracji konkretnych zbiorów danych:
• ustalenie katalogu zbiorów danych osobowych podlegających obowiązkowi rejestracji
• najczęstsze przypadki zwolnienia zbioru danych osobowych z obowiązku rejestracji – przykłady zastosowania ustawowych zwolnień w praktyce
• zwolnienie z obowiązku rejestracji zbiorów danych nie zawierających tzw. danych wrażliwych
• aktualne wymagania prawne odnośnie postępowania w przypadku zbiorów danych zawierających dane wrażliwe
• zakres informacji niezbędnych do wypełnienia wniosku rejestracyjnego oraz sposoby ich pozyskiwania
• zasady składania wniosków do rejestracji, a także wniosków aktualizacyjnych i o wykreślenie zbioru
• sposób rozpatrywania przez GIODO zgłoszonych wniosków oraz możliwe decyzje wydane w tym zakresie
• sposoby wypełniania wniosku rejestracyjnego zbioru danych, który nadal podlega obowiązkowi rejestracji po wejściu w życie nowelizacji ustawy – ĆWICZENIE

• ocena poziomu spełnienia wymogów prawnych w zakresie stosowanych środków bezpieczeństwa
  w strukturze informatycznej:
  • zabezpieczenia stacji roboczych, laptopów oraz serwerów
  • zarządzanie dostępem do zasobów sieciowych organizacji
  • komunikowanie się z zasobami sieciowymi organizacji na odległość i związane z tym wymogi techniczne
  • zarządzanie nośnikami danych w przypadku ich awarii oraz ustania przydatności
  • tworzenie kopii baz danych zasobów informatycznych
  • korzystanie ze wsparcia zewnętrznych podmiotów wyspecjalizowanych w obsłudze obszaru IT
• weryfikacja zabezpieczenia danych osobowych przetwarzanych przez użytkowników systemów informatycznych:
  • zabezpieczenia stosowane wobec przetwarzanych danych osobowych w systemach informatycznych
  • sposoby uwierzytelniania użytkowników w systemach informatycznych
  • wymogi prawne w zakresie odnotowywania przeprowadzanych operacji na danych osobowych w systemach informatycznych
  • inne środki bezpieczeństwa obligatoryjnie wymagane do zastosowania wobec systemów informatycznych
• porównanie wymagań prawnych w zakresie bezpieczeństwa teleinformatycznego wynikających
  z przepisów prawa  z zakresu ochrony danych osobowych oraz regulacji sektorowych:

Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia

• stosowane metody zabezpieczenia danych osobowych w obszarze organizacyjnym:
  • określenie procesu nadawania dostępu do danych osobowych poszczególnym osobom – upoważnienia do przetwarzania danych osobowych
  • prowadzenie ewidencji osób przetwarzających dane osobowe
  • omówienie praktycznych wskazówek, w jaki sposób prowadzić ewidencję wydanych upoważnień
    bez nadmiernego wysiłku administracyjnego
  • procedura nadawania uprawnień w systemach informatycznych a procedura nadawania upoważnień do przetwarzania danych osobowych – określenie wzajemnej zależności i stopnia powiązania
  • wymogi prawne w zakresie stosowania klauzul związanych z obowiązkiem zachowania tajemnicy
  • szkolenia z zakresu ochrony danych osobowych oraz instruktaże stanowiskowe
• fizyczne środki ochrony danych osobowych:
  • najczęściej stosowane środki ochrony fizycznej w praktyce
  • rodzaje zabezpieczeń fizycznych wymaganych obligatoryjnie na podstawie przepisów prawa
    z zakresu ochrony danych osobowych
  • sposoby weryfikacji zabezpieczeń fizycznych w organizacji
  • podstawowe zasady ochrony, których stosowania należy wymagać od osób upoważnionych do przetwarzania danych osobowych          

• wymagany ustawowo zakres Sprawozdania
• zasady opracowywania Sprawozdania w formie papierowej i elektronicznej
• terminy opracowania przez ABI treści Sprawozdania, określone w przepisach prawa:
  • termin opracowania Sprawozdania ze sprawdzenia planowego
  • termin opracowania Sprawozdania ze sprawdzenia pozaplanowego
  • wymagany czas na opracowanie Sprawozdania ze sprawdzenia zrealizowanego na żądanie GIODO
• opracowanie przykładowej treści Sprawozdania – ĆWICZENIE
• obowiązek okresowego przechowywania treści opracowanych przez ABI Sprawozdań

• zasady udziału ABI w procedurze nadawania, zmiany i odbierania upoważnień do przetwarzania danych osobowych oraz procedurze nadawania, zmiany i cofania uprawnień w systemach informatycznych służących do przetwarzania danych osobowych:
  • możliwe obowiązki ABI w ramach procedury nadawania, zmiany i odbierania upoważnień do przetwarzania danych osobowych
  • jak zrealizować w praktyce funkcję nadzoru ABI w procedurze nadawania, zmiany i odbierania uprawnień do systemów informatycznych?

• rodzaje zbiorów danych jakie powinny znaleźć się w rejestrze prowadzonym przez ABI
• wymagany zakres informacji jakie musi znaleźć się w  rejestrze zbiorów danych
• zasady pozyskiwania informacji niezbędnych do prowadzenia rejestru zbiorów danych
• możliwe sposoby aktualizowania treści rejestru, prowadzenie wykazu zmian
• zasady prowadzenia rejestru zbiorów w formie papierowej i elektronicznej
• zasady ujawniania treści rejestru zbiorów w zależności formy w jakiej jest prowadzony (papierowa, elektroniczna)
• opracowanie wzorcowego rejestru zbiorów danych osobowych przez ABI - ĆWICZENIE

• ustawowy obowiązek zapewnienia przez ABI zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych
• możliwe sposoby realizacji kompetencji szkoleniowych przez ABI:
  • bezpośrednie szkolenia
  • instruktaże i wytyczne prawidłowego postępowania
  • prezentacje multimedialne i e-learning
  • pisemne rekomendacje i wskazówki dla osób upoważnionych
  • inne
• moment spełnienia obowiązku szkoleniowego wobec osób upoważnionych do przetwarzania danych
• minimalny zakres informacji jaki powinien być przekazywany osobom upoważnionym w ramach działań szkoleniowych ABI – propozycja tematyczna
• uprawnienie ABI do organizowania szkoleń z zakresu ochrony danych osobowych przy wsparciu zewnętrznego podmiotu

• incydent i zdarzenie w obszarze bezpieczeństwa – czym są i jak je rozróżnić
• obowiązek niezwłocznego reagowania na zauważone niebezpieczeństwa na swoim stanowisku pracy
• zasady współpracy osób upoważnionych z innymi osobami uczestniczącymi w strukturze ochrony danych osobowych:
• obowiązek niezwłocznego zgłoszenia incydentu Administratorowi Bezpieczeństwa Informacji
• zasady współpracy ABI z kierownikami komórek organizacyjnych oraz Administratorem Systemu Informatycznego w sytuacjach wystąpienia incydentu w strukturze informatycznej
• wymóg przeprowadzenia przez ABI sprawdzenia pozaplanowego w przypadku otrzymania informacji o naruszeniu ochrony danych osobowych lub uzasadnionym podejrzeniu takiego naruszenia
• obowiązek niezwłocznego opracowania przez ABI sprawozdania ze sprawdzenia pozaplanowego

• redagowanie pism urzędowych:
  • sporządzenie pisma urzędowego, zgodnie z wymogami Kodeksu Postępowania Administracyjnego
• praktyka prowadzenia korespondencji z GIODO:
  • przygotowanie wniosku o udzielenie interpretacji przepisów prawa z zakresu ochrony danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych
  • udzielanie odpowiedzi na zapytania skierowane przez GIODO
• nowy zakres współpracy Administratora Bezpieczeństwa Informacji z GIODO na gruncie nowelizacji ustawy o ochronie danych osobowych:
  • prowadzenie przez GIODO jawnego rejestru Administratorów Bezpieczeństwa Informacji
  • uprawnienie GIODO do zobligowania ABI do przeprowadzenia wewnętrznej weryfikacji stanu zgodności placówki leczniczej z wymogami z zakresu ochrony danych osobowych oraz przedstawienia sprawozdania w tym zakresie

• ABI jako „punkt kontaktowy” dla wszystkich obywateli po nowelizacji ustawy o ochronie danych osobowych – możliwość kontaktowania się z ABI za pomocą danych kontaktowych zawartych w jawnym rejestrze Administratorów Bezpieczeństwa Informacji
• przygotowanie odpowiedzi na pismo skierowane bezpośrednio do ABI
• przygotowanie odpowiedzi przez Administratora Bezpieczeństwa Informacji w przypadku skargi złożonej do GIODO na firmę/instytucję

• zasady przeprowadzania kontroli w placówce leczniczej
• rodzaje kontroli
• przykłady obszarów i zagadnień najczęściej obejmowanych kontrolą w podmiotach medycznych
• kompetencje inspektora ochrony danych osobowych
• zasady przygotowania podmiotu medycznego przez ABI do kontroli GIODO
• przebieg kontroli:
  • zawiadomienie o wszczęciu kontroli
  • wskazanie osoby reprezentującej podmiot kontrolowany podczas czynności kontrolnych
  • sposób przeprowadzenia kontroli przez inspektorów GIODO
  • prawa i obowiązki administratora danych podczas kontroli
  • protokół z kontroli
  • rola ABI podczas czynności kontrolnych
• odpowiedzialność karna za utrudnianie inspektorowi wykonania czynności kontrolnych
• zasady dokumentowania czynności kontrolnych
• składanie zastrzeżeń i uwag do protokołu
• uprawnienia pokontrolne GIODO

• odpowiedzialność ABI a odpowiedzialność Administratora danych:
  • rodzaje odpowiedzialności ABI: dyscyplinarna, administracyjna, cywilno-prawna, karna
• zasady bezpiecznego pełnienia funkcji ABI
• inne osoby, ponoszące odpowiedzialność prawną w obszarze ochrony danych osobowych a odpowiedzialność ABI – przykłady transferu zakresu odpowiedzialności

• specyfika funkcjonowania Administratora Bezpieczeństwa Informacji w placówkach leczniczych
  i wyzwania na najbliższe lata:
  • nadzór nad ochroną danych osobowych w systemach zarządzania jakością w ochronie zdrowia
  • rola ABI w kontekście realizacji praw pacjentów
  • funkcjonowanie ABI w ramach dziedzinowych systemów informatycznych w ochronie zdrowia
  • wyzwania wynikające z rozwoju technologii medycznych oraz sprzętu medycznego
    i wynikające z nich zagrożenia dla bezpieczeństwa danych osobowych
  • wyzwania wynikające ze zmian w przepisach prawa
• rozwój zawodowy Administratora Bezpieczeństwa Informacji w kontekście planowanych zmian
  w przepisach z zakresu ochrony danych osobowych. Planowanie kariery
• dyskusja merytoryczna (pytania i odpowiedzi)
• podsumowanie prezentowanych zagadnień