Polityka prywatności

Polityka Bezpieczeństwa jest zestawem reguł i praw regulujących sposób zarządzania, przetwarzania, przechowywania i dystrybucji danych osobowych we wszystkich zbiorach zarówno elektronicznych jak i tradycyjnych (papierowych)  administrowanych przez

Właściciel firmy / Prezes Zarządu   Mariola  Czekaj      

Podstawą do opracowania i wdrożenia dokumentu są:

  • Konstytucja Rzeczpospolitej Polskiej,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych).

3) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 9 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych.

 

Zgodnie z ww. Rozporządzeniem, Polityka Bezpieczeństwa zawiera w szczególności:

  1. a) wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (Załącznik nr 2 do Polityki Bezpieczeństwa);
  2. b) wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowania do przetwarzania tych danych, opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi, sposób przepływu danych pomiędzy poszczególnymi systemami (Załącznik nr 5 do Polityki Bezpieczeństwa);
  3. c) określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych: Systemy alarmowe, zabezpieczenia komputerowe, szyfry, hasła, szafy pancerne, zabezpieczenie kluczy, okratowanie okien itp. realizując strategię bezpieczeństwa informacji utrzymuje zabezpieczenia odpowiednie do zapewnienia bezpieczeństwa własnych jak i powierzonych przez klientów informacji poprzez:
  • przydzielanie dostępu do informacji tylko osobom upoważnionym,
  • podnoszenie świadomości użytkowników w zakresie bezpiecznego korzystania z zasobów informatycznych,
  • zapewnienie zgodności działania z wymaganiami prawnymi, regulacjami wewnętrznymi oraz zapisami umownymi.

Postanowienia wynikające z polityki oraz dokumentacji systemu zarządzania bezpieczeństwem informacji są znane i respektowane przez wszystkich pracowników Firmy.

Pracodawca, nadzorując realizację postanowień wynikających z polityki bezpieczeństwa, zobowiązuje się do spełnienia wymagań i podejmowania wszelkich niezbędnych działań wynikających z ich naruszenia, a tym samym do ciągłego doskonalenia skuteczności Systemu Zarządzania Bezpieczeństwem Informacji.

 

Rozdział I

  • Podstawa prawna przetwarzania danych osobowych.

Przetwarzanie danych osobowych w  Przedsiębiorstwie MARLIBO MEDICA Spółka z ograniczoną odpowiedzialnością   z siedzibą 32-300 Olkusz  ul. Pakuska 64 dopuszczalne jest wyłącznie na zasadach określonych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. oraz po 25.05.2018r.  Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

  • 2
  • Pojęcia i zwroty występujące w niniejszym zarządzeniu:

Do 25.05.2018 roku

Dane osobowe – w rozumieniu ustawy o ochronie danych osobowych – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony czy podzielony funkcjonalnie.

Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te operacje, które wykonuje się w systemach informatycznych.

Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą.

Administrator Danych Osobowych – Prezes Zarządu   Mariola  Czekaj

 

Po 25.05.2018 roku – obowiązują definicje wynikające z art. 4 RODO

 

 

 

1.2 Skróty stosowane w Polityce Bezpieczeństwa.

 

Użyte w treści Polityki Bezpieczeństwa skróty oznaczają:

  • Ustawa – ustawa z dnia 29 sierpnia 1997 r.  o ochronie danych osobowych

– po 25.05.2018r. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 (RODO) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o Ochronie Danych Osobowych).

  • Rozporządzenie – Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia
    i systemy informatyczne służące do przetwarzania danych osobowych.
  • ADO – Administrator Danych Osobowych,
  • ABI – Administrator Bezpieczeństwa Informacji,
  • PUODO – Prezes Urzędu Ochrony Danych Osobowych,

 

Rozdział II

2.1 Zarządzanie przetwarzaniem danych osobowych.

  • Właściciel Prezes Zarządu Mariola  Czekaj  jest Administratorem Danych Osobowych
    w rozumieniu przepisów ustawy o ochronie danych osobowych
    i posiada zakres uprawnień w rozumieniu ww. ustawy.
  • Do zadań Administratora Danych Osobowych należy zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności poprzez:
  • sprawdzenie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych, zgodnie z art. 36c ustawy.
  • opracowanie i aktualizowanie dokumentacjiopisującej sposób przetwarzania danych  oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, oraz przestrzegania zasad w niej określonych,
  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych oraz przygotowywanie upoważnień do przetwarzania danych osobowych,
  • prowadzenie rejestru zbiorów danychprzetwarzanych przez administratora danych

2.3. Zakres przetwarzania danych osobowych.

Polityka Bezpieczeństwa Informacji ma zastosowanie do:

1) Danych osobowych przetwarzanych w systemach informatycznych oraz w tradycyjnej – papierowej formie oraz przechowywanych na wszelkich nośnikach magnetycznych, optycznych, elektronicznych takich jak: dysk twardy, dyskietka, CD/DVD, pamięć masowa typu flash, a także w książkach i kartotekach ewidencyjnych;

2) Danych osobowych przetwarzanych zarówno w zbiorach danych, zestawach oraz pojedynczych informacjach osobowych;

3) Informacji dotyczących bezpieczeństwa danych osobowych, w szczególności informacji służących do uwierzytelnienia się w systemach informatycznych, w których mogą występować dane osobowe.

Rozdział III

3.1 Ogólne zasady przetwarzania danych osobowych.

  • Dane osobowe są przetwarzane w Przedsiębiorstwie MARLIBO MEDICA Spółka z ograniczoną odpowiedzialnością   w celu realizacji zadań
  • Każdy pracownik Przedsiębiorstwa MARLIBO MEDICA Spółka z ograniczoną odpowiedzialnością  ma prawo do ochrony danych osobowych, które go dotyczą.

 

Rozdział IV

4.1. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

Środki techniczne i organizacyjne zostały określone w „Instrukcji zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych w firmie.

4.2. Analiza zagrożeń dla przetwarzanych i gromadzonych danych osobowych.

Zagrożeniem dla przetwarzanych danych osobowych są:

1) Połączenie z siecią Internet;

2) Pożary, włamania, kradzieże;

3) Błędy ludzkie;

  1. a) świadome:
  • ujawnienie loginu i hasła do systemu informatycznego współpracownikom i osobom
    z zewnątrz,
  • udostępnianie stanowisk pracy wraz z danymi osobowymi osobom nieuprawnionym,
  • udostępnianie osobom nieuprawnionym programów komputerowych zainstalowanych w systemie,
  • używanie oprogramowania w innym zakresie niż pozwala na to umowa licencyjna,
  • przenoszenie programów komputerowych, dysków twardych z jednego stanowiska na inne,
  • kopiowanie danych na nośniki informacji, kopiowanie na inne systemy celem wyniesienia ich poza obszar przetwarzania danych osobowych,
  • samowolne instalowanie i używanie jakichkolwiek programów komputerowych w tym również programów do użytku prywatnego,
  • używanie nośników danych udostępnionych przez osoby postronne,
  • otwieranie załączników i wiadomości poczty elektronicznej od nieznanych „niezaufanych” nadawców,
  • używanie nośników danych niesprawdzonych niewiadomego pochodzenia lub niezwiązanych z wykonywaną pracą,
  • wykorzystywanie sieci komputerowej w celach innych, niż zgodnie z przeznaczeniem,
  • tworzenie kopii zapasowych nie chronionych hasłem i/lub bez odpowiednich zabezpieczeń miejsca ich przechowywania,
  • wyrzucanie dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia uniemożliwiającego ich odtworzenie,
  • pozostawianie dokumentów na biurku po zakończonej pracy, pozostawianie otwartych dokumentów na ekranie monitora bez blokady konsoli,
  • ignorowanie nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych,
  1. b) nieświadome:
  • zapominanie o wylogowaniu się z systemu komputerowego przed opuszczeniem pomieszczenia,
  • złe ustawienie monitora komputerowego, które umożliwia wgląd osobom postronnym,
  • pozostawianie bez nadzoru osób trzecich przebywających w pomieszczeniach Szkoły, w których przetwarzane są dane osobowe,
  • pozostawienie zewnętrznych nośników informacji podłączonych do komputera np. pamięć flash, dyskietki i płyty w napędzie,
  • zapisywanie na kartkach i pozostawianie haseł w miejscach widocznych dla innych osób,
  • pozostawianie dokumentów, kopii dokumentów zawierające dane osobowe
    w drukarkach, kserokopiarkach lub w centrach wydruku,
  • pozostawianie kluczy w drzwiach, szafach, biurkach, zostawianie otwartych pomieszczeń, w których przetwarza się dane osobowe.

4.3. Ochrona danych osobowych przetwarzanych w formie elektronicznej.

Uwzględniając kategorie przetwarzanych danych wprowadza się w firmie wysoki poziom bezpieczeństwa ochrony danych osobowych. Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, połączone jest z siecią publiczną.

1) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. W przypadku zastosowania logicznych zabezpieczeń, obejmują one kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną, oraz kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych;

2) Stosuje się mechanizmy kontroli dostępu do danych osobowych, wprowadzając w tym systemie, rejestrowany dla każdego użytkownika odrębny identyfikator. Dostęp do danych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia przez wprowadzenie hasła;

3) Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przed utratą spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych. Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem. Usuwa się niezwłocznie po ustaniu ich użyteczności;

4) Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do likwidacji należy wcześniej pozbawić zapisów tych danych. W przypadku, gdy nie jest to możliwe, uszkodzić w sposób uniemożliwiający ich odczytanie;

5) Pracownik Firmy użytkujący komputer przenośny zawierający dane osobowe powinien zachować szczególną ostrożność podczas jego transportu i przechowywania poza obszarem przetwarzania danych osobowych po odpowiednio uzyskanej zgodzie.

 

4.4. Ochrona danych osobowych przetwarzanych w formie papierowej.

 

Dane osobowe przetwarzane i gromadzone przy użyciu tradycyjnych środków pisarskich gromadzone są w rejestrach, księgach, dziennikach, zeszytach papierowych oraz segregatorach. Dane te należy przechowywać w szafach zamykanych na zamek patentowy oraz w sejfach
i kasetkach.

Obszar przetwarzania i gromadzenia danych osobowych zabezpiecza się przed dostępem osób nieuprawnionych. Przebywanie osób nieupoważnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą administratora danych w obecności osób upoważnionych do przetwarzania danych osobowych.

Sposób postępowania z kluczami do pomieszczeń i szaf został opisany w punkcie poświęconym ochronie fizycznej pomieszczeń, w których przetwarza się dane osobowe.

 

4.5. Procedury nadawania uprawnień do przetwarzania danych osobowych.

Do przetwarzania danych, zgodnie z art. 37 ustawy mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:

  • Imię i nazwisko osoby upoważnionej;
  • Datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
  • Identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik Nr 1 do niniejszej Polityki.

Dopuszcza się możliwość upoważniania do przetwarzania danych osobowych osób będących pracownikami firm zewnętrznych, które wykonują zadania na rzecz firmy w obszarze, gdzie przetwarza się dane osobowe, wynikające z zawartej umowy – wzór umowy stanowi Załącznik nr 6 do niniejszej Polityki. (Umowa powierzenia przetwarzania danych osobowych.)

 

4.6. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe.

 

Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar w którym przetwarzane są dane osobowe oraz sposób zabezpieczeń poszczególnych budynków, pomieszczeń lub ich części obejmuje dokumentacja prowadzona przez Administratora Danych Osobowych, zgodnie z wzorem stanowiącym odpowiednio Załącznik Nr 2 i 3 do niniejszej Polityki.

 

4.7. Ochrona fizyczna pomieszczeń, w których przetwarzane są dane osobowe.

  • Budynki i pomieszczenia, w których przetwarzane są dane osobowe, powinny być zabezpieczone w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym, na czas nieobecności osób upoważnionych;
  • Pomieszczenia i budynki, lub ich części, o których mowa w ust. 1 muszą mieć, co najmniej

następujące zabezpieczenia:

  1. a) drzwi do pomieszczeń, w których przetwarzane są dane osobowe winny być zamykane na klucz,
  2. b) dokumenty z danymi osobowymi powinny być zamykane na klucz w szafach lub sejfach,
  3. d) budynek objęty jest alarmem.

 

Klucze do sejfów lub szaf na dokumenty, należy przechowywać w danym pomieszczeniu
w zamkniętej szufladzie na zamek patentowy lub kasetce. Klucz do tej szuflady lub kasetki przechowują pracownicy tego pomieszczenia w znanym tylko sobie miejscu.

Po zakończeniu pracy osoby odpowiedzialne za pomieszczenia, w których są przetwarzane dane osobowe są obowiązane sprawdzić zamknięcie szaf i pomieszczeń.

Administrator Danych Osobowych, zobowiązany jest do prowadzania bieżącej aktualizacji dokumentacji związanej z ochroną danych osobowych zgodnie z wzorem aktualizacji stanowiącym Załącznik Nr 4 do niniejszej Polityki.

Bieżącą aktualizację należy przeprowadzać nie rzadziej niż raz w roku.

 

Rozdział V

5.1. Udostępnianie danych osobowych.

Udostępnianie danych osobowych instytucjom, osobom spoza firmy może odbywać się wyłącznie za pośrednictwem i zgodą Administratora Danych Osobowych, zgodnie z przepisami ustawy. Dane osobowe udostępnia się na pisemnie umotywowany wniosek lub w przypadku udostępniania danych podmiotom instytucjonalnych – na podstawie umowy o powierzenie danych osobowych. Rejestr przedmiotowych wniosków i umów prowadzi Administrator Danych Osobowych.

 

Rozdział VI

6.1 Rejestr zbiorów przetwarzanych przez Administratora Danych Osobowych.

 

  1. Rejestr zbiorów danych składa się z wykazu zbiorów danych osobowych przetwarzanych przez firmie, zawierającego odrębnie dla każdego zbioru danych informacje określone w załączniku.
  2. Rejestr prowadzony jest w postaci papierowej lub elektronicznej.
  3. Za prowadzenie rejestru zgodnie z obowiązującymi przepisami i jego aktualizację odpowiada Administratora Danych Osobowych.
  4. ADO w ramach prowadzenia rejestru dokonuje:
  • wpisania zbioru danych w przypadku rozpoczęcia przetwarzania w nim danych

osobowych;

  • aktualizacji informacji dotyczących zbioru danych w przypadku zmiany informacji objętych wpisem;
  • wykreślenia zbioru danych w przypadku zaprzestania przetwarzania w nim danych

osobowych.

  1. Wpisu do rejestru dokonuje się niezwłocznie po zaistnieniu zdarzenia, o którym mowa w ust. 4 pkt.1, powodującego obowiązek dokonania wpisu.
  2. W rejestrze prowadzi się wykaz zmian, który zawiera:

1) wskazanie rodzaju zmiany (nowy wpis, aktualizacja, wykreślenie);

2) datę dokonania zmiany;

3) zakres zmiany.

 

 

Rozdział VII

 

7.1. Odpowiedzialność karna i dyscyplinarna.

 

  • Naruszenie przepisów o ochronie danych osobowych jest zagrożone sankcjami karnymi określonymi w art. 49 – 54 ustawy oraz w art. 130, 266 – 269, 287 Kodeksu Karnego;

2) Niezależnie od odpowiedzialności przewidzianej w przepisach, o których mowa w ust. 1, naruszenie zasad ochrony danych osobowych obowiązujących w firmie może zostać uznane za ciężkie naruszenie podstawowych obowiązków pracowniczych i skutkować odpowiedzialnością dyscyplinarną

 

Załączniki:

 

Załącznik nr 1 – wzór upoważnienia do przetwarzania danych osobowych.

Załącznik nr 2 – wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar,
w którym przetwarzane są dane osobowe.

Załącznik nr 3 – wzór sposobu zabezpieczenia poszczególnych budynków, pomieszczeń lub
ich części.

Załącznik nr 4 – arkusz aktualizacji.

Załącznik nr 5 – wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych

do przetwarzania tych danych. Opis struktury zbiorów danych wskazujący zawartość

poszczególnych pól informacyjnych i powiązania między nimi. Sposób przepływu

danych pomiędzy poszczególnymi systemami.

Załącznik nr 6 – wzór umowy powierzenia przetwarzania danych osobowych.