Społecznościowe Forum Podstawowy Problem Świadczeniodawcy

Pozostałe problemy => Problemy ogólne => Wątek zaczęty przez: iwomik192 w Sierpnia 02, 2017, 20:05:31 pm

Tytuł: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 02, 2017, 20:05:31 pm

Mam pytanie . Rozliczam jednostkę, w której jestem zatrudniona na swoim prywatnym komputerze ( stacjonarny w domu). I teraz tak mam spisaną umowę na użyczenie sprzętu. czy jeszcze coś powinnam mieć w zakresie przechowywania danych itp.:

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: 09061303 w Sierpnia 02, 2017, 20:53:16 pm

Oj... Za tym na początek idzie polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, powierzenie danych osobowych; są to dane wrażliwe, więc odpowiednie ich zabezpieczenie.
Najlepiej nie iść tą drogą, niech to leży u świadczeniodawcy - wtedy, jak masz dostęp, to masz podpisać odpowiednie załączniki do polityki bezpieczeństwa i jest ok.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 02, 2017, 21:23:54 pm

Ok ale jest to sytuacja analogiczna do firm które rozliczają jednostki na podstawie zlecenia.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: karolweksler w Sierpnia 02, 2017, 21:27:02 pm

Firmy powinny mieć umowę powierzenia przetwarzania danych z adnotacją, że stosowane są środki przewidziane w przepisach. I firma powinna mieć własną politykę bezpieczeństwa.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 02, 2017, 21:37:37 pm

A czy pracodawca może taką umowę powierzenia zawrzeć ze mną.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: karolweksler w Sierpnia 02, 2017, 22:11:18 pm

Generalnie jest tak, że umowa powierzenia jest między firmami, a między firmą (przychodnią) z osobą prywatną stosuje się upoważnienie / jakieś oświadczenie, że wszystko będzie odpowiednio chronione.  Sama przychodnia powinna posiadać w polityce bezpieczeństwa, w wykazie zbiorów informację, że część danych osobowych znajduje się u Ciebie wraz z podaniem lokalizacji.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: mpi w Sierpnia 02, 2017, 23:23:18 pm

To wszystko to tylko pozorne oszczędności (użyczanie sprzętu przez pracownika) i coś mi się wydaje że do du*y :).
Tak jak karolweksler zauważył istotne chyba będzie jaki jest stosunek pomiędzy Tobą a firmą - czy Ty jesteś pracownikiem czy inną firmą. Firmie można powierzyć przetwarzanie danych ale pracownikowi? Właściwie chyba też ale właściciel danych - ado (kierownik przychodni) powinien w swojej polityce w wykazie miejsc gdzie są przetwarzane dane uwzględnić Twój dom. No i zabezpieczenia takie same jak w firmie. Ponadto zastanawia mnie jeszcze opodatkowanie czegoś takiego - no chyba że bierzesz za to użyczenie swojego sprzętu pieniądze?

Jak to robią firmy rozliczające? Jeśli robią to na swoim sprzęcie zainstalowanym u siebie w firmie i korzystają z PPSa to robią niezgodnie z licencją. Nawet Ty nie jestem pewien czy nie naruszasz licencji (jesli korzystasz z KSPPS) bo z tego co pamiętam w licencji jest zapis że program może być zainstalowany w pomieszczeniach przychodni - licencjobiorcy. A Ty nie możesz kupic licencji na siebie gdyż też to będzie niezgodne z licencją.

Także to tylko pozorne rozwiązanie problemu...

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: Michał w Sierpnia 03, 2017, 00:24:49 am

a jak administrator łączy się zdalnie z serwerem to gdzie są przetwarzane dane? :)

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: 09061303 w Sierpnia 03, 2017, 00:41:59 am

Moje stwierdzenie - z punktu widzenia osoby, która ma właśnie z czymś takim styczność. Lepiej nie trzymać tego u siebie chyba, że zaczynamy bawić się w hostingowanie, udostępnianie chmury ( czy to www czy RDP nieważne) czy coś w ten deseń. Wtedy jednak musimy się bardzo "papierowo" i technicznie zabezpieczyć, bo prędzej niż później do nas GIODO trafi.

@Michał
Przetwarzasz dane Ty - czy to zdalnie czy lokalnie się łącząc. Ty możesz z domu dane skopiować, może je "przez ramię" Ci ktoś podejrzeć i takie przypadki masz zabezpieczyć. Z tego co rozmawiałem z osobą, która się zajmowała tworzeniem polityk bezpieczeństwa, jak najbardziej sytuacja jest do ogarnięcia, ale pewne kwestię dotyczące połączeń zdalnych muszą być dodatkowo opisane w polityce czy instrukcji zarządzania. Dodatkowo osoba/firma łącząca się zdalnie też może mieć obowiązek wykazania się dodatkowymi kwitami.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 03, 2017, 07:10:23 am

to jak to ogarnąć papierowo. muszę stworzyć politykę bezpieczeństwa. czy tak?

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: jedin w Sierpnia 03, 2017, 10:04:29 am

Witam, skoro powierzono Tobie przetwarzanie danych wrażliwych jako tzw. "podwykonawcy",  i robisz to np w domu, to na Tobie spoczywa obowiązek zapewniienia bezpieczeństwa tych danych, czzyli obowiązuje Ciebie wdrożenie Polityki Bezpieczeństwa Danych oraz instrukcja zarządzania systemem informatycznym obie te rzeczy sa ze soba powiązane o Abim lub Ado juz nie wspominam, jesli nie masz takich standardów to mozna powiedziec że podmiot który zlecił Tobie rozliczanie choćby nie wiadomo jaką miał politykę bezp. to i tak w tym momencie jestes najsłabszym ogniwem tych zabezpieczeń...

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 03, 2017, 19:10:30 pm

rozumiem, że to co muszę zrobić na tą chwilę to stworzenie polityki bezpieczeństwa ?

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: cilazapril w Sierpnia 03, 2017, 19:18:25 pm

To raczej przychodnia, która ci to zleca powinna taką posiadać.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: mpi w Sierpnia 03, 2017, 20:12:04 pm

Cytat: cilazapril w Sierpnia 03, 2017, 19:18:25 pm

To raczej przychodnia, która ci to zleca powinna taką posiadać.

to też zależy czy iwomik192 jest firmą czy pracownikiem :) Tzn niezależnie od tego przychodnia zawsze musi mieć swoją politykę, chodziło mi czy iwomik ma mieć swoją czy przychodni.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 03, 2017, 20:35:32 pm

Zdecydowanie jestem pracownikiem  któremu zlecono rozliczanie z NFZ

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: bart w Sierpnia 04, 2017, 14:52:22 pm

Jako pracownik podlegasz przepisom w tym i polityce jednostki, która Cie zatrudnia.

Warto sprawdzić czy i co ta polityka mówi o takiej sytuacji jak Twoja gdy wynosisz defacto dane na prywatnym
komputerze poza placówkę która nimi administruje  8)

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 04, 2017, 17:29:27 pm

Rozumiem, że napisanie takiej instrukcji trzeba komuś zlecić. Ktoś może wie jaki jest tego koszt?
Z tego co czytałam to jest masa tematów, jakie należy opisać.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: 09061303 w Sierpnia 04, 2017, 18:10:22 pm

Dokładnie - średnio zewnętrzne firmy () wyceniały to od 10k PLN netto wzwyż, ale nie mam przekrojówki całej. Inna sprawa, że taka konfiguracja z bazą u Ciebie to pewnie będzie drożej. Dodatkowo zapraszasz kontrole do siebie np. Giodo. Także uważaj na cokolwiek nielegalnego w domu :)

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 04, 2017, 18:15:44 pm

spoko wszystko wcześniej pochowam:)
a tak poważnie 10 k czyli ile?
i czy muszą być napisane dwie instrukcje. Jedna dla zakładu pracy a druga dla mnie? czy wszystko ma być zawarte w tej jednej " zakładoweJ".

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: Michał w Sierpnia 04, 2017, 18:18:07 pm

10 k to inny zapis 10000 a jeszcze inaczej dziesięć tysięcy złotych netto

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 04, 2017, 18:24:18 pm

plus VAT to masakra :(

jak wcześniej pytała czy muszą być napisane dwie instrukcje. Jedna dla zakładu pracy a druga dla mnie? czy wszystko ma być zawarte w tej jednej " zakładoweJ".

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 04, 2017, 19:01:52 pm

i jeszcze jedno czy zakład optyczny też musi mieć taką politykę?

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: karolweksler w Sierpnia 04, 2017, 21:51:45 pm

Każda firma posiadająca dane osobowe musi mieć.
Możesz spróbować znaleźć w internecie przykłady polityk bezpieczeństwa i spróbować dostosować.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: mpi w Sierpnia 04, 2017, 22:18:22 pm

Politykę możesz mieć jedną - przychodni. Ale wtedy przychodnia jako właściciel danych podaje w wykazie pomieszczeń gdzie są przetwarzane dane osobowe również twój dom, sposoby zabezpieczeń itp... Fajnie by było jakby to był laptop i byś miała sejf, bo inaczej to jakakolwiek impreza prywatna w domu w sensie pobyt gości zapewne będzie naruszać tą politykę :)
Chociaż... pewnie jakoś to można pozapisywać bo przecież wiele firm ma biuro w domu.

Dwie polityki byłyby wtedy jakbyś jako podmiot zewnętrzny miała umowę z przychodnią na powierzenie przetwarzania danych osobowych. Np. biuro rachunkowe któremu dajesz faktury, dane pracowników itp i oni przetwarzają Twoje dane na swoich systemach na podstawie odrębnej umowy. Wtedy Ty masz swoją politykę jako właściciel tych danych opisujesz zbiory danych itp, masz umowę że przekazujesz te dane innej firmie a tamta firma w swojej polityce ma swój wykaz pomieszczeń, zbiory danych itp...

Znam firmę która nie bierze kasy za stworzenie polityki, ale przez co najmniej rok trzeba kupić u nich ABI. Znam osoby które mają wykształcenie prawnicze, prowadzą blogi w internecie na temat ochrony danych osobowych biorą nieduże pieniądze - ja miałem oferty na ok 1500 - 2000zł ale informatycznie to katastrofa a i prawniczo... dobra nie będę komentował.

Moim zdaniem jakakolwiek firma to by nie była to jak nie przyciśniesz to sama będziesz tworzyć tą politykę - bo oni mają gotowe wzorce (które zresztą i Ty możesz ściągnąć), prześlą Ci pytania do uzupełnienia (zbiory danych, struktura, przepływ informacji, wykaz osób uprawnionych, zabezpieczenia, kopie) i jak to wszystko napiszesz to oni zrobią kopiuj/wklej i polityka gotowa :)

A czy udzielą Ci pomocy w stworzeniu backupu, doradzą jakieś antywirusy, powiedzą jakiego firewalla itp? Oczywiście że nie :)

Na koniec. Politykę powinna mieć każda - nawet jednoosobowa firma. Twoja przychodnia niezależnie od tego czy te dane są u Ciebie czy nie powinna ją mieć. Gdyby miała to w tej chwili wystarczyłoby tylko dopisać Twój dom do miejsc przetwarzania danych, jakieś zabezpieczenia itp. To przychodnia powinna stworzyć tą politykę gdyż to ona jest właścicielem tych danych.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: 09061303 w Sierpnia 04, 2017, 23:51:30 pm

W moim przypadku styczność z sensownym podejściem (merytoryka) zaczynała się przy ofertach 7-10k+ PLN netto.
Ogólnie to tak, że koleżanka jeszcze musi trzymać w szafce kawę dla kontrolerów GIODO jak ją odwiedzą z kurtuazyjną oczywiście wizytą. Nie wpuścić nie wypada.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: iwomik192 w Sierpnia 16, 2017, 10:27:08 am

Napisałam do Pana , którego rozliczam ze musi mieć politykę bezpieczeństwa a on mi odpisał

Dane osobowe sa przetwarzane tylko przez program ktory zatwierdził Nfz
Nie zatrzymuje u siebie dokumentow wypelniam i odsylam 
Nikt z nfz  nie pytal sie co robie z receptami  . Nie tworze kartotekt
Recepty sa odpisywane na zleceniu i dostaje to klient.

jak mam mu uzmysłowić ze przesyła mi dane ja je wysyłam do nfz i ze musi miec taką politykę

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: Jarasz w Sierpnia 16, 2017, 12:34:59 pm

Ty stwórz PB i IZSI dla siebie i bądź kryta. A doktor uzmysłowi sobie problem i wagę całej sytuacji po pierwszej kontroli zaprzyjaźnionych Państwa z GIODO. Jest jeszcze bardzo wiele Podmiotów, które o zabezpieczaniu danych którymi są administratorami niewiele wiedzą lub nie chcą wiedzieć.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: 09061303 w Sierpnia 21, 2017, 00:46:53 am

Cytat: iwomik192 w Sierpnia 16, 2017, 10:27:08 am

Napisałam do Pana , którego rozliczam ze musi mieć politykę bezpieczeństwa a on mi odpisał

Dane osobowe sa przetwarzane tylko przez program ktory zatwierdził Nfz
Nie zatrzymuje u siebie dokumentow wypelniam i odsylam 
Nikt z nfz  nie pytal sie co robie z receptami  . Nie tworze kartotekt
Recepty sa odpisywane na zleceniu i dostaje to klient.

jak mam mu uzmysłowić ze przesyła mi dane ja je wysyłam do nfz i ze musi miec taką politykę

Niestety nie uzmysłowisz, może jakaś osoba trzecia z autorytetem u niego. Wypowiedź ma się nijak do rzeczywistości - program nie przetwarza danych osobowych, jest tylko narzędziem.
Fajne stwierdzenie - nie tworzę kartotek. Ciekawe jak to się ma do obowiązku prowadzenia dokumentacji medycznej, nieważne czy to elektronicznie czy papierowo.
Ogólnie ciężka sprawa, ale albo nie ruszasz w ogóle tematu, siedzisz cicho, działasz i liczysz, że jakoś to będzie (jednak po wypowiedzi cytowanej wnioskuję, że w razie W to Pan powie, że przecież u Ciebie jest program i jest problem) albo próbuj być jak najdalej przynajmniej od trzymania bazy u siebie.

Tytuł: Odp: Rozliczenia prowadzone na prywatnym komputerze
Wiadomość wysłana przez: dbfr w Sierpnia 29, 2017, 14:47:47 pm

Na podstawie mojego doświadczenia wychodzi na to, że tego typu sytuacje są często normą. W praktyce - nie patrząc już nawet pod kątem prawnym ale pod kątem podstawowych zasad bezpieczeństwa danych przetwarzanych w systemach i informatycznych taka sytuacja miejsca mieć nie może. Nie mówię tu już nawet o danych osobowych, czy wrażliwych, którymi są dane medyczne.. ale jakichkolwiek danych jakiegokolwiek przedsiębiorstwa..

Niestety często jest też tak, że użytkownicy/managment myślą, że załatwią sobie wszystko "papierami". Czyli - zrobię instrukcję zarządzania systemem informatycznym, politykę bezpieczeństwa i wszystko jest super. Otóż nie do końca bo opisane tam normy muszą być zgodne z prawem oraz ogólnie panującymi zasadami bezpieczeństwa i co ważniejsze - rzeczy te muszą być przestrzegane.

Najlepsze w opisanej sytuacji byłoby podejście do tematu od strony technicznej czyli odpowiedzenie sobie na pytanie - co zrobić, żeby dane były  bezpieczne?

1. Po pierwsze nie mogą być przetwarzane na prywatnym komputerze. Z różnych przyczyn - bo bardzo łatwo ktoś może je podejrzeć, ukraść, bo sprzęt tego typu jest często mobilny, niezabezpieczony a dane na nim nie są szyfrowane. Powodów jest pewnie więcej.

2. Koledzy sugerowali we wcześniejszych wpisach różne opcje, tutaj je zbiorę i dodam co swoje:

- jeżeli infrastruktura podmiotu który Pani rozlicza na to pozwala można zorganizować Pani połączenie po tzw. VPN do serwera, na którym są przetwarzane te dane. Wtedy zainstalowaniu odpowiedniego oprogramowania na Pani komputerze (w skrócie) po podaniu loginu i hasła następuje bezpieczne połączenie z systemem, który jest w placówce i można działać

- drugą opcją jest umieszczenie tych danych z oprogramowaniem "w chmurze" (co to dokładnie jest napiszę niedługo na blogu). Wtedy mamy dane zabezpieczone bez obowiązku spełniania przez placówkę medyczną norm (znaczy one są spełniane i zgodne z polityką bezpieczeństwa tylko bez nakładów na własną infrastrukturę - wynajmujemy ją tam, gdzie te normy są spełniane).

- trzecią może być otrzymanie przez Panią komputera z placówki spełniającego normy bezpieczeństwa (zabezpieczone konta z uprawnieniami, szyfrowanie dysków)

Mając odpowiedzi na to i szereg innych pytań można brać się za jakąkolwiek dokumentację :)

Pan, którego Pani rozlicza nie ma racji. Standardowo - kwestia edukacji bo tak jest w przynajmniej 80% przypadków.