Polityka ochrony danych osobowych w
Profildent Spółka z ograniczoną odpowiedzialnością
z siedzibą w Bielsku-Białej
§ 1
Podstawa prawna
Polityka ochrony danych osobowych („Polityka”) w spółce pod firmą: Profildent Spółka z ograniczoną odpowiedzialnością z siedzibą w Bielsku-Białej (43-300 Bielsko-Biała, ulica Targowa nr 4), REGON 072188743, NIP 6511011634, wpisanej do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001003745 („Profildent”) została opracowana na podstawie:——————————-
1) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1) („RODO”),————-
2) rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r oraz ustawie z dnia 6 listopada 2008 roku o prawach pacjenta i Rzeczniku Praw Pacjenta,
3) rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,———————
4) rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru danych,——————————————————————————————–
5) rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 roku w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji („Przepisy RODO”).————————————————————————
§ 2
Słowniczek
Użyte w Polityce określenia oznaczają:————————————————————-
1) RODO – skrót od rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z 4 maja 2016 r., str. 1); stanowi główny element europejskiej reformy ochrony danych osobowych,———-
2) ustawa – ustawa o ochronie danych osobowych,—————————————
3) administrator danych osobowych (ADO) – Profildent reprezentowana przez Danutę Tomecką (jeden ze wspólników Profildentu oraz członek zarządu Profildentu upoważniony do jej samodzielnej reprezentacji) decydującą o celach i sposobach przetwarzania danych osobowych,——————————————————————-
4) inspektor ochrony danych (IOD) – osoba powołana przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych – Maciej Ireneusz Tomecki, syn Ireneusza i Danuty, adres e-mail: rodoprofildent@gmail.com,———————-
5) pracownik – osoba zatrudniona na podstawie stosunku pracy lub umowy cywilnoprawnej; pracownik może być jednocześnie użytkownikiem,————————
6) użytkownik – osoba upoważniona przez ADO do przetwarzania danych osobowych, w formie papierowej oraz w systemie informatycznym,————————
7) odbiorca danych – osoba fizyczna lub prawna, organ publiczny, któremu udostępnia się dane osobowe na podstawie np. ustawy, umowy powierzenia, itp.,—–
8) zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,———————————
9) zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.———————————————-
10) dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak: imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; dane osobowe to wszystkie dane, które dotyczą konkretnej osoby fizycznej – od imienia i nazwiska, nr PESEL, przez adres e-mail do danych umieszczonych na wizytówce; danymi osobowymi może być także odcisk palca, adres IP, login do portalu internetowego czy numer telefonu,——————————————————————————————————
11) kategorie danych osobowych:————————————————————–
a) szczególne kategorie danych osobowych – łącznie: dane genetyczne – dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej pochodzącej od tej osoby fizycznej; dane biometryczne – dane osobowe, które wynikają ze specjalnego przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, takie jak wizerunek twarzy lub dane daktyloskopijne; dane dotyczące zdrowia – dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia, dane ujawniające pochodzenie rasowe, poglądy polityczne, przekonania religijne,————————————————————————————-
b) dane zwykłe – dane inne niż wymienione w pkt a powyżej,———————-
12) zbiór danych – uporządkowany zestaw danych osobowych utrwalony zarówno w formie elektronicznej jak i tradycyjnej (papierowej), dostępny według określonych kryteriów,———————————————————————————–
13) rejestr czynności – dokument, który określa w jakich procesach Profildent przetwarza dane osobowe; rejestr uwzględnia m.in. cel przetwarzania, podstawę prawną przetwarzania danych, kategorię (zwykłe, szczególne) i zakres przetwarzanych danych (np. imię i nazwisko, data urodzenia, numer pesel, numer indeksu, seria i numer dowodu osobistego, adres e-mail, numer telefonu, wizerunek, obywatelstwo) oraz w jaki sposób dane są zabezpieczone,———————————–
14) przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, takich jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itp.,—————————————–
15) usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą,——————–
16) system informatyczny – zespół współpracujących ze sobą urządzeń, programów i procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych,————————————-
17) system tradycyjny – zespół procedur organizacyjnych związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze,——————-
18) identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym,————————————————————
19) hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika znany jedynie użytkownikowi,————————————–
20) pomieszczenia – budynki, pomieszczenia lub części pomieszczeń określone przez administratora, tworzące obszar, w którym gromadzone są oraz przetwarzane dane osobowe,———————————————————————————————
21) zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatację stosowanych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem,———————————
22) naruszenie ochrony danych osobowych – oznacza np. ujawnienie danych osobie nieuprawnionej, publikowanie na stronach internetowych bez podstawy prawnej informacji zawierających dane osobowe; naruszeniem może być także wyrzucanie dokumentów z danymi osobowymi do kosza zamiast do niszczarki, niewystarczające zabezpieczenie danych na stacjach roboczych, itp.———————-
§ 3
Cel Polityki
Celem Polityki jest:—————————————————————————————-
1) Uzyskanie optymalnej, wprowadzonej na podstawie analizy ryzyka i zgodnej z prawem ochrony danych osobowych przetwarzanych w Profildent oraz zabezpieczenie przed dostępem do danych osób nieupoważnionych, na każdym etapie ich przetwarzania,——————————————————————————–
2) określenie zakresu obowiązków pracowników – w części dotyczącej bezpieczeństwa danych osobowych,—————————————————————-
3) podnoszenie świadomości pracowników i ich pełne zaangażowanie w ochronę przetwarzanych danych osobowych,—————————————————————–
4) zgodność z Przepisami RODO, właściwymi przepisami Kodeksu pracy oraz ustawy o służbie medycyny pracy.——————————————————————–
§ 4
Cel przetwarzania danych osobowych
1. Profildent, jako administrator danych osobowych, przetwarza dane osobowe w procesach dotyczących m.in.:————————————————————————–
1) działalności lecznicza w zakresie stomatologii, a to między innymi:—————-
– identyfikacji pacjenta,—————————————————————————
– wykonania obowiązku prowadzenia dokumentacji medycznej pacjenta,———-
– możliwość kontaktu z pacjentem w celu realizacji działań leczniczych,————
– udzielenie świadczeń leczniczych,———————————————————-
2) wytwarzanie produktu medycznego w zakresie protetyki stomatologicznej,——
3) zarządzania zasobami ludzkimi (rekrutacja do pracy, zatrudnianie, obsługa kadrowo-płacowa, działalność socjalna, bezpieczeństwo i higiena pracy), w związku z tym między innymi z:———————————————————————————–
– wykonaniem obowiązku prawnego dotyczącego akt osobowych pracownika,—
– możliwością kontaktu z pracownikiem w celu realizacji jego praw i obowiązków,—————————————————————————————
– medycyną pracy do oceny zdolności pracownika do pracy,————————–
4) obsługi finansowo-księgowej (rachunkowość, rozrachunki z pracownikami, kontrahentami), a to możliwości kontaktu z kontrahentem w celu realizacji zamówienia,————————————————————————————————
5) innych obszarów działalności (działania marketingowe, reklamowe, promocyjne, korespondencja przychodząca i wychodząca), a to możliwości kontaktu z podmiotem w celu realizacji zamówienia,——————————————————–
6) przetwarzania danych osobowych w sposób tradycyjny w kartotekach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych, wyłącznie dla celów i zadań wymienionych w § 4 powyżej,————
7) przetwarzania danych osobowych dotyczących pacjentów, pracowników i ich rodzin,——————————————————————————————————–
8) przetwarzania danych osobowych przekazanych lub powierzonych przy wykonywaniu produktu medycznego,—————————————————————-
9) zabezpieczenia przetwarzania danych osobowych, w tym nazw kont i haseł w systemach informatycznych.—————————————————————————
2. Dane osobowe przetwarzane są przez okres niezbędny do realizacji celów wynikających z odpowiednich przepisów prawa, jednak nie krócej niż przez okres wskazany w przepisach o archiwizacji lub wynikający w innych przepisów, a to okres przetwarzania lub przechowywania poszczególnych danych osobowych wynosi przy:
1) udzieleniu świadczeń leczniczych wobec pacjenta (przetwarzane dane osobowe: imię i nazwisko, oznaczenie płci, adres zamieszkania, PESEL, numer telefonu, adres E-mail, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG i zdjęcia fotograficzne) w stosunku do osoby pełnoletniej 20 lat, natomiast w stosunku do małoletniego 22 lat,—————————-
2) umowie o pracę z pracownikiem (zawarcie, zmiany, rozwiązanie) w stosunku do pracownika (przetwarzane dane osobowe: imię i nazwisko, adres zamieszkania, PESEL, numer telefonu, adres e-mail, numer konta bankowego, badania medyczne dla celów pracowniczych) 50 lat,———————————————————————
3) umowie o świadczenie czynności leczniczych wobec współpracownika na podstawie umowy cywilno-prawnej (kontrakt, zlecenie) (przetwarzane dane osobowe: imię i nazwisko, nazwa działalności, adres, Pesel, NIP, numer konta bankowego, badania medyczne dla celów dopuszczenia do wykonywania czynności leczniczych) 5 lat.———————————————————————————————————-
§ 5
Procedury i zasady określone w niniejszym dokumencie obowiązują wszystkie osoby upoważnione do przetwarzania danych osobowych na Profildent.—————————
§ 6
Zakres upoważnienia
Zakres upoważnienia do przetwarzanych danych w gabinecie:——————————
1) lekarz posiada upoważnienie do następujących danych: imię i nazwisko, adres zamieszkania, PESEL, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG, zdjęcia fotograficzne w celu udzielania świadczeń leczniczych, wystawiania zwolnień lekarskich, wystawiania skierowań i wystawiania recept,———————————————————————–
2) asystentka posiada upoważnienie do następujących danych: imię i nazwisko, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG w celu przygotowania do świadczeń leczniczych,————————————————————————————————-
3) higienistka posiada upoważnienie do następujących danych: imię i nazwisko, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG w celu przygotowania do udzielania świadczeń leczniczych i wykonywania pod nadzorem profilaktyki i higienizacji,————————
4) rejestratorka posiada upoważnienie do następujących danych: Imię i nazwisko, oznaczenie płci, adres zamieszkania, PESEL, Telefon, E-mail historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG i zdjęcia fotograficzne w celu zakładania dokumentacji medycznej, rozliczania wizyt, potwierdzania wizyt, odwoływania wizyt, wydawania dokumentacji medycznej, archiwizowania dokumentacji, kontaktu z pacjentem pozabiegowym, wydawania zwolnień, skierowań i recept, wydawania zgód i oświadczeń pacjenta i nagrywania zdjęć RTG i fotograficznych,—————————————————————————
5) menager lub dyrektor zarządzający posiadają upoważnienie do następujących danych: imię i nazwisko, oznaczenie płci, adres zamieszkania, PESEL, telefon, E-mail, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta) w celu spełnienia obowiązków statystycznych, czynności urzędowych, Nadzoru nad czynnościami informacyjnymi, dostępu do danych pracowników i umowy,———————————————————————————–
6) Technik dentystyczny posiada upoważnienie do następujących danych: imię i nazwisko, historia zdrowia i choroby i dokumentacja medyczna (zgody i oświadczenia pacjenta), zdjęcia RTG w celu przygotowania do świadczeń leczniczych.————————————————————————————————-
§ 7
Ogólne zasady zabezpieczenia danych
1. Ochrona danych osobowych realizowana jest poprzez środki techniczne i organizacyjne, oprogramowanie systemowe, aplikacje proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej w Profildent działalności.————————————————————–
2. Zastosowane zabezpieczenia gwarantują, że dane osobowe są:——————-
1) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą (zgodność z prawem, rzetelność, przejrzystość),———————-
2) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach (ograniczenie celu),—————————————————————————————
3) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane (minimalizacja danych),————————————————
4) prawidłowe i w razie potrzeby uaktualniane, a nieprawidłowe w świetle celów ich przetwarzania zostały niezwłocznie usunięte lub sprostowane (prawidłowość),—–
5) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy niż jest to niezbędne do celów, w których dane są przetwarzane (ograniczenie przechowywania),—————————————————
6) przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych (integralność i poufność).—————————————————————————————————
3. Postanowienia określone w ust. 2 powyżej realizowane są poprzez:—————
1) wdrożenie procedur określających postępowanie osób zatrudnionych oraz osób świadczących usługi na podstawie umów cywilnoprawnych przy przetwarzaniu danych osobowych oraz ich odpowiedzialność za bezpieczeństwo tych danych,——–
2) udzielenie upoważnień do przetwarzania danych osobowych,———————–
3) przeszkolenie użytkowników w zakresie bezpieczeństwa i ochrony danych osobowych,————————————————————————————————-
4) przypisanie użytkownikom określonych atrybutów pozwalających na ich identyfikację (w szczególności login, hasło),——————————————————-
5) podejmowanie niezbędnych działań w celu likwidacji błędów w systemie zabezpieczeń,———————————————————————————————-
6) ciągłą aktualizację procedur ochrony danych osobowych związanych z zmianami w przepisach RODO i innych podstawach prawnych,——————————
7) zamykane szafy, osobne pomieszczenie zamykane uniemożliwiające dostęp osób nieupoważnionych do danych osobowych, przechowywanie kart pamięci, dysków twardych w zamykanych szufladach,—————————————————–
8) okresową kontrolę przestrzegania przez użytkowników wdrożonych metod postępowania przy przetwarzaniu danych osobowych,—————————————–
9) śledzenie osiągnięć w dziedzinie bezpieczeństwa systemów informatycznych i w miarę możliwości organizacyjnych oraz techniczno-finansowych, a nadto wdrażanie nowych narzędzi i metod pracy oraz sposobów zarządzania systemami informatycznymi, które będą służyły wzmocnieniu bezpieczeństwa danych osobowych.————————————————————————————————-
4. Analiza ryzyka w przypadku RODO:——————————————————–
Odpowiedzialność w zakresie ochrony danych
1.
Za wykonywanie obowiązków ADO w zakresie ochrony danych
osobowych wynikających z RODO odpowiadają:—————————————————————–
1) administrator danych osobowych (ADO),————————————————–
1)
inspektor danych osobowych (IOD),———————————————————
2)
administrator systemu informatycznego (ASI),——————————————-
3)
za
zabezpieczenie przetwarzania danych osobowych w systemie informatycznym
odpowiada administrator systemów informatycznych (ASI).————-
2. Każdy pracownik Profildent odpowiada za
przestrzeganie zasad ochrony danych osobowych w zakresie zajmowanego stanowiska
oraz w zakresie przetwarzania danych osobowych na tym stanowisku.—————————————–
3. Pracownicy
Profildent zobowiązani są do zachowania w tajemnicy danych osobowych i sposobów
zabezpieczenia tych danych pozyskanych w trakcie zatrudnienia.————————————————————————————————
4. AOD
zapewnia ochronę danych osobowych przetwarzanych na Profildent, poprzez:—————————————————————————————————–
1)
wdrożenie odpowiednich środków technicznych i
organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO oraz aby móc to
wykazać,—————–
2)
przegląd i uaktualnienie środków technicznych i
organizacyjnych,——————
3)
wydawanie wewnętrznych dokumentów związanych z ochroną
danych osobowych,————————————————————————————————-
4)
zapewnienie wsparcia organizacyjno-finansowego przy
wdrażaniu mechanizmów zabezpieczenia informacji i systemu informatycznego,———————
5)
wyposażenie i dostosowanie zabezpieczeń w pomieszczeniach
do procesu przetwarzania danych osobowych,——————————————————————-
6)
uwzględnienie kryterium wiarygodności zatrudnianych
pracowników przy rekrutacji związane z dostępem do danych wrażliwych,—————————————-
7)
zaznajomienie pracowników z prawnymi oraz pracowniczymi
konsekwencjami naruszenia ochrony danych osobowych,———————————————————–
8)
zapewnienie pracownikom szkoleń w zakresie poszerzania
wiedzy i świadomości związanej z zabezpieczeniem przetwarzania danych,————————
9)
powoływanie i odwoływanie IOD,————————————————————
10)
zgłaszanie naruszenia ochrony danych osobowych do organu
nadzorczego oraz zawiadamiania o tym osoby, której dane te dotyczą.————————————-
§ 9
Inspektor ochrony danych osobowych
1.
Inspektora
danych osobowych powołuje administrator danych osobowych. IOD odpowiada za
nadzór nad funkcjonowaniem i efektywnością procesów prawidłowego przetwarzania
danych osobowych w Profildent.——————————–
2. Do zadań IOD należy w szczególności:—————————————————
1) informowanie współwłaścicieli
oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach
spoczywających na nich wynikających z RODO, innych przepisów UE lub państw
członkowskich o ochronie danych oraz przepisów wewnętrznych i doradzanie im w
tej sprawie,——————————————————
2)
monitorowanie przestrzegania RODO, innych przepisów UE i
państw członkowskich o ochronie danych oraz przyjętych przez administratora
polityk ochrony danych, lub podmiotu przetwarzającego, w tym podział
obowiązków,———–
3)
organizowanie szkoleń personelu uczestniczącego w
operacjach przetwarzania danych osobowych,——————————————————————-
4)
udzielanie na żądanie ADO zaleceń co do oceny skutków dla
ochrony danych oraz systematyczne monitorowanie jej realizacji,————————————————-
5) współpraca i pełnienie
funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z
przetwarzaniem danych osobowych,——————————–
6)
pełnienie funkcji punktu kontaktowego dla osób, których
dane przetwarzane są w Profildent,——————————————————————————————–
7)
prowadzenie centralnego rejestru czynności przetwarzania
danych osobowych w Profildent.————————————————————————————————-
3.
IOD wypełnia swoje zadania, po przeprowadzeniu
analizy ryzyka naruszeń związanych z operacjami przetwarzania danych osobowych,
mając na uwadze charakter, zakres, kontekst i cele przetwarzania.————————————————-
4.
IDO zobowiązuje się ponadto do:———————————————————-
1)
informowania ADO o przypadkach naruszenia bezpieczeństwa
danych osobowych,————————————————————————————————-
2) prowadzenia postępowań
wyjaśniających w przypadku podejrzenia naruszenia i naruszenia bezpieczeństwa
danych osobowych,———————————————–corocznych
przeglądów Polityki oraz jej aktualizowania stosownie do potrzeb.———-
5.
IOD może w porozumieniu
z ADO przeprowadzić wewnętrzny audyt zgodności przetwarzania danych z
przepisami o ochronie danych osobowych.———-
6.
Przeprowadzenie audytu
wymaga uzgodnienia jego zakresu z osobami objętymi audytem.—————————————————————————————–
7.
Zakres, przebieg i
rezultaty audytu dokumentowane są na piśmie w protokole podpisywanym zarówno
przez IOD, jak i ADO.—————————————————
8.
Corocznie do dnia 30
kwietnia IOD przygotowuje i przekazuje ADO sprawozdanie roczne z funkcjonowania
systemu ochrony danych osobowych na Profildent.—————————————————————————————————
9.
Przy
wykonywaniu swoich zadań IOD podlega bezpośrednio ADO.—————
10. IOD
jest zobowiązany do zachowania tajemnicy i poufności przy wykonywaniu swoich
zadań.———————————————————————————————-
11. Inspektorem
danych osobowych w Profildent jest: Maciej Ireneusz Tomecki, kontakt adres
email: rodoprofildent@gmail.com.————————————————-
§ 10
Administrator danych osobowych
1. ADO zobowiązany jest dołożyć szczególnej
staranności w celu ochrony interesów osób, których dane osobowe są
przetwarzane, w szczególności, aby były:-
1)
przetwarzane zgodnie z prawem,————————————————————
2)
zbierane dla oznaczonych, zgodnych z prawem celów i
niepoddawane dalszemu przetwarzaniu bez właściwej podstawy prawnej,————————————
3)
merytorycznie poprawne i adekwatne w stosunku do celów, w
jakich są przetwarzane,———————————————————————————————
4)
przechowywane w postaci umożliwiającej identyfikację osób,
których dane dotyczą nie dłużej, niż jest to niezbędne do osiągnięcia celu
przetworzenia.————-
2.
ADO
zobowiązany jest do:——————————————————————
1)
stworzenia właściwych warunków organizacyjno-technicznych,
zapewniających ochronę danych osobowych,—————————————————–
2)
udzielania podległym pracownikom upoważnień do
przetwarzania danych osobowych.————————————————————————————————-
3.
ADO zobowiązany jest do:———————————————————————
1)
nadzoru nad zabezpieczeniem danych przed ich udostępnieniem
osobom nieupoważnionym,—————————————————————————————-
2)
nadzoru nad fizycznym zabezpieczeniem pomieszczeń, w
których przetwarzane są dane osobowe oraz kontrolą przebywających w nich osób,————-
3) zaznajomienia osób zatrudnionych przy
przetwarzaniu danych osobowych z obowiązującymi przepisami,—————————————————————————-wdrażania
i przestrzegania instrukcji zarządzania systemami informatycznymi do
przetwarzania danych osobowych,——————————————————————-
4)
wdrażania i przestrzegania instrukcji postępowania w
sytuacji naruszenia ochrony danych osobowych,—————————————————————————
5)
współpracy z IOD w zakresie analizy sytuacji, okoliczności
i przyczyn, które doprowadziły do naruszenia bezpieczeństwa danych,——————————————
6)
wdrażania i przestrzegania obowiązujących ustaleń w
zakresie udostępniania danych osobowych instytucjom i osobom spoza Profildent,———————————–
7)
współdziałania z ASI w zakresie nadzorowania i kontroli
funkcjonowania i dostępu do systemów informatycznych wykorzystywanych do
przetwarzania danych osobowych.————————————————————————————————-
3.
Administratorem danych osobowych w Profildent jest w spółka pod firmą: Profildent Spółka z ograniczoną
odpowiedzialnością z siedzibą w Bielsku-Białej (43-300 Bielsko-Biała,
ulica Targowa nr 4), wpisana do Rejestru Przedsiębiorców Krajowego Rejestru
Sądowego pod numerem KRS 0001003745.—————————
§ 11
Administrator systemów informatycznych
1.
Podstawowym zadaniem Administratora systemów
informatycznych (ASI) jest współpraca z IOD oraz ADO w zakresie kontroli nad
przestrzeganiem zasad ochrony danych osobowych pod kątem zabezpieczeń
teleinformatycznych, w tym:—————
1)
współpraca przy przygotowaniu i wdrażaniu instrukcji
zarządzania systemem informatycznym,——————————————————————————————-
2)
kontrola zastosowanych środków technicznych i
organizacyjnych zapewniających ochronę przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w
szczególności kontrola pod kątem zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z
naruszeniem RODO i ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
nie rzadziej niż raz na 12 miesięcy,————————————————————————————————
3)
kontrola zapewnienia ciągłości działania systemu, w tym
zabezpieczenie zbiorów danych oraz programów służących do przetwarzania danych
osobowych poprzez systematyczne wykonywanie kopii zapasowych, a także zadbanie,
aby wykonane kopie zapasowe były przechowywane w miejscu zabezpieczającym je
przed nieuprawnionym dostępem, modyfikacją, uszkodzeniem lub zniszczeniem,——
4)
kontrola zapewnienia awaryjnego źródła zasilania oraz
zabezpieczenia przed zakłóceniami w sieci zasilającej systemy informatyczne
służące do przetwarzania danych osobowych, których nagła przerwa w pracy
mogłaby spowodować utratę danych lub naruszenie ich integralności; do tego celu
najczęściej wykorzystywane jest urządzenie typu UPS, które podtrzymuje sieć
oraz serwery przynajmniej krytycznych systemów do czasu ich bezpiecznego
wyłączenia,——————————
5)
nadzór nad naprawą oraz likwidacją urządzeń komputerowych,——————–
6)
kontrola przeglądu i konserwacji systemów informatycznych
służących do przetwarzania danych osobowych, w tym m.in. wykorzystywanie
jedynie oprogramowania posiadającego wsparcie producenta oraz systematyczne,
automatyczne jego aktualizowanie,——————————————————————
7)
nadzór nad zabezpieczeniem systemów służących do
przetwarzania danych osobowych przed działaniem oprogramowania złośliwego,
którego celem może okazać się uzyskanie nieuprawnionego dostępu do danych, tj.
zastosowanie systemu antywirusowego korzystającego z aktualnej bazy wirusów,————————————
8)
nadzór nad dostosowaniem wszystkich systemów
informatycznych służących do przetwarzania danych osobowych do wymogów
rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i
systemy informatyczne służące do przetwarzania danych osobowych, w tym m.in.:———————————–
a)
stosowanie mechanizmów kontroli dostępu do danych
osobowych,————
b)
rejestrowanie dla każdego użytkownika odrębnego
identyfikatora,————-
c)
stosowanie właściwych haseł dostępowych,——————————————
d)
zapewnienie, że dostęp do systemu informatycznego jest
możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia,——————
e)
zapewnienie, że systemy odnotowują identyfikator
użytkownika wprowadzającego dane osobowe do systemu (chyba że dostęp do systemu
informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba),—-
f)
zapewnienie, że systemy posiadają możliwość odnotowania
informacji o źródle danych w przypadku zbierania danych nie od osoby, której
one dotyczą,——–
g) zapewnienie, że systemy
posiadają możliwość odnotowania informacji o odbiorcach, w rozumieniu art. 7
pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego
udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych
zawartych w zbiorach jawnych,——————–
h)
zapewnienie, że systemy posiadają możliwość odnotowania
sprzeciwu wobec przetwarzania danych osobowych w celach marketingowych lub
wobec przekazywania danych osobowych innemu administratorowi danych,———————-
9)
nadzór nad zabezpieczeniem pomieszczenia serwerowni przed
dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do
przetwarzania danych osobowych, w tym zabezpieczenia:————————————
a) fizyczne (drzwi, ściany, stropy itp.),———————————————————-
b) techniczne (elektroniczne systemy
zabezpieczeń),————————————-
c) personalne (pracownicy ochrony),———————————————————–nadzór
nad ochroną przed zagrożeniami pochodzącymi z sieci publicznej poprzez
wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed
nieuprawnionym dostępem, w tym m.in.:————————————————————
a) firewalle,——————————————————————————————–
b) filtry antyspamowe,——————————————————————————
c) odseparowanie bezprzewodowej sieci dla
gości,—————————————-
d) stosowanie wielu innych
rozwiązań z uwzględnieniem dostępnych technologii oraz dostępnych środków
finansowych,————————————————————-
10)
nadzorowanie stosowania zasady „czystego ekranu”
polegającej na zakazie zapisywania przez użytkowników systemów informatycznych
dokumentów zawierających dane osobowe na pulpicie komputera oraz nakazie
blokowania stacji roboczej przed każdorazowym odejściem od stanowiska pracy.—————————–
2. Administratorem
systemów informatycznych w Profildent jest: Ireneusz Wiesław Tomecki,
kontakt e-mail: it@profildent.pl.————————————————-
3. Administrator danych osobowych prowadzi
ewidencję IOD oraz ASI.————–
§ 12
Bezpieczeństwo
osobowe
1. Do przetwarzania danych osobowych mogą
być dopuszczone wyłącznie osoby posiadające upoważnienie
oraz które złożyły stosowne oświadczenie ————————————————————————-
2. Upoważnienia mogą być
wydawane bezterminowo lub na czas określony.——-
3. ADO prowadzi ewidencję osób upoważnionych do
przetwarzania danych osobowych wraz z oświadczeniami
potwierdzającymi zapoznanie się z obowiązującymi w tym zakresie przepisami.————————————————
4. W przypadku podmiotów
zewnętrznych powierzenie czynności przetwarzania danych osobowych następuje na
podstawie umowy.——————————————–
5. Osoby
przetwarzające dane osobowe:—————————————————–
1)
mogą przetwarzać dane osobowe wyłącznie w zakresie
udzielonego upoważnienia i tylko w celu wykonywania nałożonych na nich
obowiązków; w przypadku systemów informatycznych zakres dostępu do danych
przypisany jest do identyfikatora użytkownika niezbędnego do rozpoczęcia pracy
w systemie,————–
2)
muszą zachować tajemnicę danych osobowych oraz przestrzegać
procedur ich bezpiecznego przetwarzania; przestrzeganie tajemnicy danych
osobowych obowiązuje————————————————————————————————–
przez
cały okres zatrudnienia w Profildent, a także po ustaniu stosunku pracy,———-
3) stosują
określone w Profildent procedury oraz wytyczne mające na celu zgodne z prawem,
w tym zwłaszcza adekwatne, przetwarzanie danych,——————
4)
zabezpieczają dane przed dostępem osób nieupoważnionych.———————-
§ 13
Zasady poufności danych
1.
Zachowanie
poufności:————————————————————————-
1)
kandydaci na pracowników są dobierani z uwzględnieniem ich
kompetencji merytorycznych; zwraca się uwagę na takie cechy kandydata, jak
uczciwość, odpowiedzialność, przewidywalność zachowań,————————————————–
2)
ryzyko naruszenia bezpieczeństwa danych przetwarzanych
przez ADO pojawiające się ze strony osób trzecich, które mają dostęp do danych
osobowych jest minimalizowane przez podpisanie umów powierzenia przetwarzania
danych osobowych,————————————————————————————————-
3)
ryzyko ze strony osób, które mają dostęp do danych
osobowych jest minimalizowane przez zobowiązywanie ich do zachowania tajemnicy
na podstawie odrębnych, pisemnych oświadczeń.——————————————————————
2.
Każdy
pracownik przed dopuszczeniem do przetwarzania danych osobowych podlega
przeszkoleniu w zakresie ochrony danych osobowych.——————————
3.
Za
przeprowadzenie szkolenia odpowiada IOD i ADO, każdy w swoim zakresie
działania.—————————————————————————————————-
4.
Zakres
szkolenia obejmuje:——————————————————————–
1)
zaznajomienie
pracownika z przepisami
Polityki i innymi
związanymi z nią dokumentami
obowiązującymi na Profildent, w tym sporządzania i przechowywania kopii
dokumentów zawierających dane osobowe, niszczenia wydruków i zapisów na
nośnikach,——————————————————————-
2)
sposoby ochrony danych osobowych przed osobami postronnymi
i procedury udostępniania tych danych osobom, których one dotyczą,————————————-
3)
obowiązki osób upoważnionych do przetwarzania danych
osobowych i innych,——————————————————————————————————–
4)
odpowiedzialność za naruszenie obowiązków z zakresu ochrony
danych osobowych.————————————————————————————————-
§ 14
Obowiązki i odpowiedzialność użytkownika
1. Każdy użytkownik jest zobowiązany
zapoznać się treścią Polityki.—————–
2. Obowiązkiem użytkowników jest:————————————————————
1) przestrzegać procedur związanych z
otwieraniem i zamykaniem pomieszczeń, a także z wejściem do obszarów
przetwarzania danych osobowych osób nieupoważnionych,—————————————————————————————
2) informować IOD
o incydentach w zakresie bezpieczeństwa systemu informatycznego,——————————————————————————————
3) brać aktywny udział w szkoleniach dotyczących bezpieczeństwa
informacji i systemu informatycznego.——————————————————————————
3. Użytkownikom zabrania się:——————————————————————-
1)
zapisywania loginu oraz haseł dostępu do systemu sieci,
serwisów internetowych oraz innych programów w miejscach, które umożliwiłoby
osobom trzecim zapoznanie się z nimi,————————————————————————-
2)
udostępniania niezgodnie z wprowadzonymi procedurami
stanowisk roboczych oraz istniejących na nich danych (w postaci elektronicznej
jak i wydruków) osobom nieupoważnionym,—————————————————————————–
3)
samowolnego instalowania i używania programów komputerowych
bez zgody ASI,———————————————————————————————————–
4)
uruchamiania programów otrzymanych pocztą elektroniczną
oraz odczytywania listów o podejrzanej treści,———————————————————–
5)
kopiowania całości lub części baz danych zawierających dane
osobowe na jakichkolwiek nośnikach bez zgody IOD.————————————————————
§ 15
Przetwarzanie
danych osobowych
1. Infrastrukturę przetwarzania danych osobowych obejmują zarówno
rejestry i kartoteki prowadzone poza systemem informatycznym w formie
dokumentów oraz sprzęt, jak również urządzenia i oprogramowanie służące do
przetwarzania danych w systemach informatycznych.—————————————————————————
2. Wykaz
obszarów przetwarzania danych osobowych i sposobu ich zabezpieczenia oraz
rejestr czynności przetwarzania danych osobowych oraz programów
wykorzystywanych do ich przetwarzania sporządza ADO i przekazują IOD.————————————–
3. IOD tworzy centralny rejestr czynności przetwarzania danych
osobowych w systemach informatycznych oraz kartotekach wraz z opisem struktury
przetwarzanych danych osobowych.—————————————————————–
§ 16
Dostęp do danych
(strefy
bezpieczeństwa, polityka kluczy i czystego biurka)
1. W Profildent wydzielono strefy bezpieczeństwa klasy I i klasy
II:——————–
1) w strefach bezpieczeństwa klasy I do danych osobowych mają
dostęp wszystkie osoby upoważnione do przetwarzania danych osobowych zgodnie z
zakresami upoważnień do ich przetwarzania, a osoby postronne mogą w nich
przebywać tylko w obecności pracownika upoważnionego do przetwarzania danych
osobowych; strefa ta obejmuje wszystkie pomieszczenia zaliczone do obszaru
przetwarzania danych,———————————————————————————–
2) W strefie bezpieczeństwa klasy II dostęp mają zarówno osoby
zatrudnione jak i pacjenci/klienci, a przetwarzanie danych osobowych może być
wykonywane jedynie przez osoby upoważnione z zachowaniem środków bezpieczeństwa
umożliwiających ochronę danych osobowych.—————————————————————————
2.
Klucze do lokali wchodzących w skład stref bezpieczeństwa
klasy I i II przechowywane są na w wydzielonej kasecie i pobierane przez
upoważnione osoby; wykonywanie kopii kluczy do tych lokali jest niedozwolone;
ograniczenie dostępu może być oparte na elektronicznym systemie kontroli (karta
dostępu, rejestracja dostępu). Wzór ewidencji upoważnień poboru kluczy stanowi—————————————————————————————————–
3.
Obowiązuje zasada tzw. „polityki czystego biurka”, mająca
na celu określenie zasad pozostawienia pomieszczeń po zakończeniu pracy.———————————–
4.
Wszelkie dokumenty znajdujące się na biurku lub w innych
łatwo dostępnych miejscach muszą zostać zabezpieczone przed nieuprawnionym
dostępem osób trzecich.——————————————————————————————————
5.
Hasła, kody, klucze oraz informatyczne nośniki danych muszą
zostać zabezpieczone przed nieuprawnionym dostępem osób trzecich.—————————-
6.
Komputery stacjonarne oraz przenośne, po opuszczeniu
stanowiska pracy muszą pozostawać wyłączone lub zablokowane.————————————————-
§ 16
Bezpieczeństwo informatyczne
1.
Programy komputerowe, wykorzystywane do przetwarzania
danych osobowych, uruchamiane są na serwerach oraz komputerach osobistych,
zlokalizowanych w:—————————————————————————————
a)
recepcji,——————————————————————————————–
b)
gabinetach zabiegowych,———————————————————————-
c)
pracowni,——————————————————————————————-
d)
innych zgłoszonych i ujętych w ewidencji obszarach
przetwarzania danych osobowych.————————————————————————————————-
2. Programy komputerowe wymienione w ust. 1 mogą być również
uruchamiane za pomocą dostępu zdalnego (spoza domeny, z urządzenia mobilnego).
Dostęp taki jest dozwolony wyłącznie poprzez system VPN Profildent zapewniający
bezpieczne, szyfrowane przesyłanie danych.———————————————————————-
3. Zbiory danych, używane podczas przetwarzania danych osobowych,
są zbiorami pojedynczymi lub zbiorami stanowiącymi część bazy danych.——————–
4. Przepływ danych
w zintegrowanym systemie opisują instrukcje obsługi systemów.—————————————————————————————————
5. Przepływ
danych pomiędzy zintegrowanymi systemami następuje albo za pomocą mechanizmów
eksportu/importu danych, albo w drodze współdziałania systemów na zasadzie
użytkownik-serwer, kiedy to system użytkownik uzyskuje dane od systemu serwera
automatycznie na życzenie.—————————————–
§
17
Zasady udostępniania danych osobowych
1.
Udostępnianie danych osobowych w celach innych niż
włączenie do zbioru, może nastąpić wyłącznie na pisemny wniosek stanowiący do Polityki, chyba że przepis ustawy stanowi inaczej.———————————————————-
2.
Udostępnianie instytucjom lub osobom spoza Profildent
danych osobowych odbywa się odpowiednio, za pośrednictwem ADO, po uprzedniej
zgodzie IDO.———
3.
Udostępnianie danych osobowych funkcjonariuszom właściwych
służb (policja, prokuratura) może nastąpić tylko po przedłożeniu wniosku o
przekazanie lub udostępnienie informacji. Wniosek ten powinien mieć formę
pisemną i zawierać:——-
a) oznaczenie wnioskodawcy,——————————————————————–
b)
wskazanie przepisów uprawniających do dostępu do
informacji,——————–
c)
określenie rodzaju i zakresu potrzebnych informacji oraz
formy ich przekazania lub udostępnienia,————————————————————————
d)
wskazanie imienia, nazwiska i stopnia służbowego osoby
upoważnionej do pobrania informacji lub zapoznania się z ich treścią.———————————————
4.
Udostępnianie danych osobowych na podstawie ustnego wniosku
zawierającego wszystkie powyższe cztery elementy wniosku pisemnego, może
nastąpić tylko wtedy, gdy zachodzi konieczność niezwłocznego działania albo
podczas wykonywania czynności mających na celu ratowanie życia i zdrowia
ludzkiego lub mienia.————————————————————————————-
5.
Osoba udostępniająca informacje dotyczące danych osobowych
jest zobowiązana zażądać pokwitowania pobrania dokumentów lub potwierdzenia
wglądu w ich treść.————————————————————————————————–
6.
Jeżeli jednak pokwitowanie nie jest możliwe, osoba
udostępniająca informację sporządza na tę okoliczność notatkę służbową.————————————————–
7.
Właściwe służby, w celu wykonywania czynności
operacyjno-rozpoznawczych, mogą przetwarzać i korzystać z danych osobowych i
innych informacji użytkowych, bez wiedzy i zgody osoby, której te dane dotyczą.—————-
8.
ADO udostępnia informacje dotyczące osoby na żądanie służb,
po okazaniu imiennego upoważnienia wraz z legitymacją służbową.—————————————-
9.
IOD prowadzi rejestr udostępnień zgodnie z do niniejszej Polityki.——————————————————————————————————-
§
18
Uprawnienia osób,
których dane są przetwarzane w Profildent
1. Osoba,
której dane dotyczą, jest uprawniona do uzyskania potwierdzenia, czy
przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest
uprawniona do uzyskania dostępu do nich oraz następujących informacji:—————-
a)
cele przetwarzania,——————————————————————————
b)
kategorie danych osobowych,—————————————————————–
c)
informacje o odbiorcach lub kategoriach odbiorców, którym
dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w
państwach trzecich lub organizacjach międzynarodowych,————————————————————–
d)
w miarę możliwości planowany okres przechowywania danych
osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu,—————————————–
e)
informacje o prawie do żądania od ADO sprostowania,
usunięcia lub ograniczenia przetwarzania danych osobowych dotyczących osoby,
której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania,———————-
f)
informacje o prawie wniesienia skargi do organu
nadzorczego,———————
g)
jeżeli dane osobowe nie zostały zebrane od osoby, której
dane dotyczą – wszelkie dostępne informacje o ich źródle,———————————————————
h)
informacje o zautomatyzowanym podejmowaniu decyzji, w tym o
profilowaniu, oraz – przynajmniej w tych przypadkach – istotne informacje o
zasadach ich podejmowania,———————————————————————————————
a także o znaczeniu i przewidywanych
konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.—————————————————————————-
2.
Jeżeli dane
osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej,
osoba, której dane dotyczą, ma prawo zostać poinformowana o odpowiednich
zabezpieczeniach związanych z przekazaniem.——————————-
3. IOD dostarcza osobie, której dane dotyczą,
kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane
dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej,
informacji udziela się w powszechnie stosowanej formie elektronicznej.—————————————————
4. Decyzję o
udostępnieniu danych osobowych podejmuje IOD.————————-
5. Osoba, której dane dotyczą, w
konkretnych przypadkach przewidzianych w rozporządzeniu, ma prawo do:————————————————————————-
a)
uzyskania informacji,—————————————————————————
b)
dostępu do danych,—————————————————————————-
c)
usunięcia danych,——————————————————————————-
d)
przenoszenia lub sprostowania,————————————————————-
e)
ograniczenia przetwarzania,—————————————————————–
f)
sprzeciwu.—————————————————————————————-
§
19
Powierzenie danych osobowych
1. Podmiotem przetwarzającym może być wyłącznie podmiot, który
zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i
organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób,
których dane dotyczą.————————————————————————————
2. Podmiot przetwarzający nie korzysta z usług innego podmiotu
przetwarzającego bez uprzedniej pisemnej zgody ADO. W przypadku pisemnej zgody
podmiot przetwarzający informuje ADO o wszelkich zamierzonych zmianach
dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając
tym samym ADO możliwość wyrażenia sprzeciwu wobec takich zmian.————————-
3. Przetwarzanie przez inny podmiot odbywa się na podstawie umowy
lub innego dokumentu prawnego, które podlegają prawu UE lub prawu państwa
członkowskiego i wiążą podmiot przetwarzający i ADO; określają przedmiot i czas
trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych
oraz kategorie osób, których dane dotyczą, obowiązki i prawa ADO. Umowa lub
inny dokument prawny stanowią w szczególności, że podmiot przetwarzający:—————-
a)
przetwarza dane osobowe wyłącznie na udokumentowane
polecenie ADO – co dotyczy też przekazywania danych osobowych do państwa
trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na
niego prawo UE lub prawo państwa członkowskiego, któremu podlega podmiot
przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot
przetwarzający informuje ADO o tym obowiązku prawnym, o ile prawo to nie
zabrania udzielania takiej informacji z uwagi na ważny interes publiczny,——————————————–
b)
zapewnia, by osoby upoważnione do przetwarzania danych
osobowych zobowiązały się do zachowania tajemnicy lub by podlegały
odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,———————————————-
c)
podejmuje wszelkie środki bezpiecznego przetwarzania danych
osobowych,
d) przestrzega warunków korzystania z usług innego podmiotu
przetwarzającego, o których mowa w ust. 2 i 4 powyżej,—————————————————————-
e)
biorąc pod uwagę charakter przetwarzania, w miarę
możliwości pomaga ADO poprzez odpowiednie środki techniczne i organizacyjne
wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w
zakresie wykonywania jej praw określonych w rozdziale III RODO,————————————————————
f)
uwzględniając charakter przetwarzania oraz dostępne mu
informacje, pomaga ADO wywiązać się z obowiązków określonych w art. 32–36 RODO,————————
g)
po zakończeniu świadczenia usług związanych z
przetwarzaniem zależnie od decyzji ADO usuwa lub zwraca mu wszelkie dane
osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo UE lub prawo
państwa członkowskiego nakazują przechowywanie danych osobowych,—————————————————————-
h)
udostępnia ADO wszelkie informacje niezbędne do
przeprowadzania audytów, w tym inspekcji.——————————————————————————————–
4.
Jeżeli do wykonania w imieniu ADO konkretnych czynności
przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu
przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy
umowy lub innego aktu prawnego, które podlegają prawu UE lub prawu państwa
członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie
prawnym między ADO a podmiotem przetwarzającym, w szczególności obowiązek
zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych
i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny
podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków
ochrony danych, pełna odpowiedzialność wobec ADO za wypełnienie obowiązków tego
innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie
przetwarzającym.——————————————————————————————
5.
Powyższe zasady stosuje się odpowiednio do przetwarzania
danych osobowych powierzonych Profildent.—————————————————————-
§
20
Zastosowane w Profildent środki
zabezpieczenia danych osobowych
1.
Zabezpieczenia organizacyjne:—————————————————————
1)
opracowano analizę ryzyka naruszeń danych
osobowych,—————————-
2)
opracowano i wdrożono Politykę,————————————————————
3)
wyznaczono inspektora ochrony danych,————————————————–
4)
sporządzono i wdrożono Instrukcję zarządzania
systemem informatycznym służącym do przetwarzania danych osobowych,————————————————-
5)
przyjęto procedurę postępowania w sytuacji
naruszenia ochrony danych osobowych,————————————————————————————————-
6)
opracowano i bieżąco prowadzi się rejestr
czynności przetwarzania danych osobowych,————————————————————————————————-
7)
do przetwarzania danych zostały dopuszczone
wyłącznie osoby posiadające upoważnienia,———————————————————————————————-
8)
osoby zatrudnione przy przetwarzaniu danych
zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w
zakresie zabezpieczeń systemu informatycznego,——————————————————————————
9)
osoby zatrudnione przy przetwarzaniu danych
osobowych obowiązane zostały do zachowania ich w tajemnicy,———————————————————————–
10)
przetwarzanie danych osobowych dokonywane
jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych,————————
11)
przebywanie osób nieuprawnionych w
pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w
obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w
warunkach zapewniających bezpieczeństwo danych,——————————————————————————–
12)
dokumenty i nośniki informacji zawierające
dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń
do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie
pozwoli na odtworzenie ich treści.———
2.
Zabezpieczenia techniczne:——————————————————————-
1)
wewnętrzną sieć komputerową zabezpieczono
poprzez odseparowanie od sieci publicznej,——————————————————————————————–
2)
stanowiska komputerowe wyposażono w indywidualną ochronę
antywirusową,
3)
komputery zabezpieczono przed możliwością
użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za
pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany
hasła,—————————
4)
obszar, na którym przetwarzane są dane osobowe, poza
godzinami pracy, jest chroniony z zastosowaniem alarmu i monitoringu,———————————————–
5)
urządzenia służące do przetwarzania danych
osobowych umieszczane są w zamykanych pomieszczenia,—————————————————————————
6)
dokumenty i nośniki informacji zawierające
dane osobowe przechowywane są w zamykanych na klucz szafach.———————————————————————-
§
21
Naruszenie ochrony danych osobowych
1. Przed przystąpieniem do pracy użytkownik obowiązany jest
dokonać sprawdzenia stanu urządzeń komputerowych oraz oględzin swojego
stanowiska pracy, w tym zwrócić szczególną uwagę, czy nie zaszły okoliczności
wskazujące na naruszenie lub próby naruszenia ochrony danych osobowych.——————————-
2. W przypadku stwierdzenia naruszenia lub zaistnienia
okoliczności wskazujących na naruszenia ochrony danych osobowych, użytkownik
zobowiązany jest do bezzwłocznego powiadomienia o tym fakcie ADO i IOD.—————————–
3. Postanowienia ust. 1 i 2 powyżej mają zastosowanie zarówno w
przypadku naruszenia lub podejrzenia naruszenia ochrony danych osobowych
przetwarzanych w systemach informatycznych, jak i tradycyjnych.————————————————
4. W przypadku
stwierdzenia naruszenia lub zaistnienia okoliczności wskazujących na naruszenia
ochrony danych osobowych IOD, po przybyciu na miejsce:——————————————————————————————————
1) ocenia zastałą sytuację, biorąc pod uwagę w szczególności stan
pomieszczeń, w których przetwarzane są dane oraz stan urządzeń, a także
identyfikuje wielkość negatywnych następstw incydentu,—————————————
2)
wysłuchuje relacji osoby, która dokonała powiadomienia,—————————–
3)
zbiera dowody,————————————————————————————
4)
zabezpiecza system informatyczny przed dalszym
rozprzestrzenieniem się zagrożenia,————————————————————————————————–
5)
zabezpiecza dane przetwarzane w systemie informatycznym,
jego hasła systemowe, hasła programów i bazy danych, w których nastąpiło
naruszenie bezpieczeństwa oraz danych konfiguracyjnych całego systemu w celu
późniejszej analizy,——————————————————————————————————-
6)
podejmuje decyzje o dalszym postępowaniu, stosownie do
zakresu naruszenia lub zasadności podejrzenia naruszenia ochrony danych
osobowych.——-
5. IOD sporządza z przebiegu zdarzenia raport, w którym powinny
się znaleźć w szczególności informacje o:—————————————————————————-
1)
dacie i godzinie powiadomienia,————————————————————–
2)
godzinie pojawienia się w pomieszczeniach, w których
przetwarzane są dane,-
3)
sytuacji, jaką zastał,—————————————————————————–
4)
podjętych działaniach i ich uzasadnieniu.————————————————–
6. Wzór raportu stanowi załącznik do do Polityki.—————————————-
7. IOD podejmuje
kroki zmierzające do likwidacji naruszeń zabezpieczeń danych osobowych i
zapobieżenia wystąpieniu ich w przyszłości. W tym celu:———————
1)
w miarę możliwości przywraca stan zgodny z zasadami
zabezpieczenia,——–
2)
raportuje przedsięwzięte czynności,———————————————————
3)
o ile taka potrzeba zachodzi, postuluje wprowadzenie nowych
form zabezpieczenia, a w razie ich wprowadzenia nadzoruje zaznajamianie z nimi
osób zatrudnionych przy przetwarzaniu danych osobowych.—————————————–
8. W przypadku zaginięcia komputera lub nośników informatycznych,
na których były zgromadzone dane osobowe, użytkownik posługujący się komputerem
niezwłocznie powiadamia ADO oraz IOD, a w przypadku kradzieży występuje o
powiadomienie jednostki policji.———————————————————————–
9. W przypadku kradzieży komputera razem z nośnikiem danych, IOD
podejmuje działania zmierzające do odzyskania utraconych danych oraz
uczestniczy w procesie wyjaśnienia sprawy w organach ścigania.———————————————————-
10.
W przypadku stwierdzenia naruszenia danych osobowych, gdy
istnieje prawdopodobieństwo, by naruszenie to skutkowało ryzykiem naruszenia
praw lub wolności osób fizycznych ADO ma obowiązek:—————————————————1) bez zbędnej zwłoki – w miarę możliwości,
nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić
naruszenie organowi nadzorczemu; do zgłoszenia przekazanego organowi
nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,——————————————————————–
2) udokumentować wszelkie naruszenia ochrony danych osobowych, w
tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte
działania zaradcze.—————————————————————————————
11.
Zgłoszenie, o którym mowa w § 21 ust. 10 pkt 1) powyżej zawiera:—————-1) opis charakteru naruszenia ochrony
danych osobowych, w tym w miarę możliwości wskazuje kategorie i przybliżoną
liczbę osób, których dane dotyczą oraz kategorie i przybliżoną liczbę wpisów
danych osobowych, których dotyczy naruszenie,————————————————————————————————-
2)
imię i nazwisko oraz dane kontaktowe IOD lub oznaczenie
innego punktu kontaktowego, od którego można uzyskać więcej informacji,———————————
3)
opis możliwych konsekwencji naruszenia ochrony danych
osobowych,———–
4)
opis środków zastosowanych lub proponowanych przez ADO w
celu zaradzenia naruszeniu ochrony danych osobowych, w tym podjęte lub zalecane
środki w celu zminimalizowania jego ewentualnych negatywnych skutków.—————
12. Procedura
opisana powyżej ma zastosowanie jedynie w przypadku, gdy naruszenie ochrony
danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności
osób fizycznych.—————————————————
13. ADO
bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o naruszeniu jej
danych osobowych.——————————————————————-
14. Zawiadomienie
następuje w formie pisemnej lub elektronicznej (za pomocą poczty e-mail,
wiadomości SMS). Wyjątkowo może być udzielone ustnie, po uprzednim
wylegitymowaniu osoby, której dane dotyczą.————————————–
15. Zawiadomienie
zawiera w swojej treści następujące informacje:——————–
1) imię i nazwisko oraz dane kontaktowe IOD lub
oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej
informacji,———————————
2) możliwe konsekwencje naruszenia ochrony danych osobowych,——————-
3) o
zastosowanych lub proponowanych przez ADO środkach w celu zaradzenia naruszeniu
ochrony danych osobowych i zminimalizowania jego ewentualnych negatywnych
skutków.———————————————————————————–
16. Zawiadomienie,
o którym mowa w ust. 14 powyżej, nie jest wymagane, w następujących
przypadkach:—————————————————————————
1)
ADO wdrożył odpowiednie techniczne i organizacyjne środki
ochrony, i środki te zostały zastosowane do danych osobowych, których dotyczy
naruszenie, w szczególności takie jak szyfrowanie, uniemożliwiające odczyt
osobom nieuprawnionym tych danych osobowych,———————————————————-
2)
ADO zastosował następnie środki eliminujące
prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby, której
dane dotyczą,————
3)
wymagałoby ono niewspółmiernie dużego wysiłku; w takim
przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny
środek, za pomocą którego osoby, których dane dotyczą, zostają poinformowane w
równie skuteczny sposób.——————————————————————————————————-
17. Jeżeli ADO nie
zawiadomił jeszcze osoby, której dane dotyczą, o naruszeniu ochrony danych
osobowych, organ nadzorczy – biorąc pod uwagę prawdopodobieństwo, że to
naruszenie ochrony danych osobowych spowoduje wysokie ryzyko – może od niego
tego zażądać lub może stwierdzić, że spełniony został jeden z warunków, o
których mowa w ust. 5 powyżej.———————————-
§
22
Zapisy końcowe
1. Niezastosowanie
się do prowadzonej na Profildent Polityki, której założenia określa niniejszy
dokument i naruszenie procedur ochrony danych przez pracowników upoważnionych
do przetwarzania danych osobowych może być potraktowane jako ciężkie naruszenie
obowiązków pracowniczych, skutkujące rozwiązaniem stosunku pracy bez
wypowiedzenia na podstawie przepisów Kodeksu pracy.———————————————————————————————————
2. Niezależnie od
rozwiązania stosunku pracy osoby nieprzestrzegające przepisów w zakresie
ochrony danych osobowych podlegają odpowiedzialności karnej.——————————————————————————————————–
3. Politykę ochrony danych osobowych w
Profildent Spółka z ograniczoną odpowiedzialnośccią z siedzibą w Bielsku-Białej
sporządzono w jednym jednobrzmiącym egzemplarzu.———————————————————–