POLITYKA BEZPIECZEŃSTWA INFORMACJI W
Gabinet Psychologiczno-Terapeutyczny Dagmara Kasiuk |
Niniejsza Polityka Bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania,
że dane osobowe są przetwarzane i zabezpieczone zgodnie z wymogami prawa dotyczącymi
zasad przetwarzania i zabezpieczania danych osobowych osób fizycznych w [Nazwa firmy], w tym
zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia
2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i
w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Chrzanów, dnia 01.07.2023r.
Definicje
1. Administrator Danych – Dagmara Kasiuk.
2. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej. Pojęcie to odnosi się również do podmiotów
prowadzących jednoosobową działalność gospodarczą na podstawie wpisów do CEIDG.
3. System informatyczny – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji oraz narzędzi programowych zastosowanych w celu
przetwarzania danych.
4. Użytkownik – osoba upoważniona przez Administratora Danych do przetwarzania danych
osobowych.
5. Zbiór danych – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny
według określonych kryteriów.
6. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie
jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i
usuwanie w formie tradycyjnej oraz w systemach informatycznych.
7. Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie
identyfikujący Użytkownika w systemie informatycznym.
8. Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie Użytkownikowi
systemu informatycznego. Hasło powinno zawierać co najmniej 8 znaków; zaleca się, aby
nie stanowiło słowa występującego w jakimkolwiek języku.
9. Uwierzytelnianie – działanie mające na celu weryfikację deklarowanej tożsamości
Użytkownika.
I. Postanowienia ogólne
1. Polityka dotyczy wszelkich danych osobowych przetwarzanych w [Nazwa firmy],
niezależnie od formy ich przetwarzania (tradycyjne zbiory ewidencyjne, systemy
informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane w zbiorach danych.
2. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej w biurze
Administratora zlokalizowanym pod adresem: [adres].
3. Polityka została ogłoszona wszystkim pracownikom (w tym współpracownikom na
podstawie umów cywilnoprawnych), a fakt zapoznania się z nią został potwierdzony
własnoręcznym podpisem zainteresowanego.
4. Polityka jest udostępniana do wglądu osobom posiadającym upoważnienie do
przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma zostać
nadane takie upoważnienie, celem zapoznania się z jej treścią.
5. Dla skutecznej realizacji Polityki Administrator Danych zapewnia: a) Odpowiednie do
zagrożeń i kategorii danych środki techniczne i rozwiązania organizacyjne. b) Kontrolę i
nadzór nad przetwarzaniem danych osobowych. c) Monitorowanie zastosowanych
środków ochrony.
6. Monitorowanie przez Administratora Danych obejmuje działania Użytkowników,
naruszenia zasad dostępu do danych, zapewnienie integralności plików oraz ochronę
przed atakami zewnętrznymi i wewnętrznymi. Wyrazem tego jest należyte prowadzenie
dokumentacji wymaganej przez Politykę.
7. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i
zabezpieczaniem danych osobowych są zgodne z niniejszą Polityką oraz odpowiednimi
przepisami prawa.
II. Dane osobowe przetwarzane przez Administratora Danych
1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są w zbiorach
danych.
2. Administrator Danych nie podejmuje czynności przetwarzania, które mogłyby wiązać się z
wysokim ryzykiem dla praw i wolności osób. W przypadku planowania takiego działania,
Administrator wykona ocenę skutków dla ochrony danych zgodnie z art. 35 i nast. RODO.
3. Przy planowaniu nowych czynności przetwarzania, Administrator uwzględnia kwestie
ochrony danych w fazie ich projektowania.
4. Administrator Danych prowadzi rejestr czynności przetwarzania.
5. Administrator Danych prowadzi rejestr naruszeń.
6. Dane przetwarzane u Administratora Danych to dane:
a) Zwykłe.
b) Wrażliwe.
c) Służbowe.
III. Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
1. Wszystkie osoby są zobowiązane do przetwarzania danych osobowych zgodnie z
obowiązującymi przepisami oraz ustaloną przez Administratora Danych Polityką
Bezpieczeństwa, Instrukcją Zarządzania Systemem Informatycznym, a także innymi
dokumentami wewnętrznymi i procedurami związanymi z przetwarzaniem danych
osobowych w [Nazwa firmy].
2. Wszystkie dane osobowe w [Nazwa firmy] są przetwarzane z poszanowaniem zasad
przewidzianych przez przepisy prawa, poprzez spełnienie poniższych warunków: a)
Występuje co najmniej jedna z przewidzianych przepisami prawa podstaw dla
przetwarzania danych
. b) Dane są przetwarzane rzetelnie i w sposób przejrzysty.
c) Dane
są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nie są
przetwarzane dalej w sposób niezgodny z tymi celami.
d) Przetwarzanie danych jest
ograniczone do niezbędnego minimum.
e) Dane są prawidłowe i w razie potrzeby
aktualizowane.
f) Czas przechowywania danych jest ograniczony do niezbędnego okresu;
po jego upływie dane są anonimizowane lub usuwane.
g) Wobec osoby, której dane
dotyczą, wykonywany jest obowiązek informacyjny zgodnie z art. 13 i 14 RODO. h) Dane
są zabezpieczone przed naruszeniami.
3. Administrator Danych nie przekazuje osobom, których dane dotyczą, informacji w
sytuacji, gdy dane te muszą pozostać poufne zgodnie z obowiązkiem zachowania
tajemnicy zawodowej (art. 14 ust. 5 pkt d RODO).
4. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych
uważa się w szczególności:
a) Naruszenie bezpieczeństwa systemów informatycznych, w
których przetwarzane są dane.
b) Udostępnianie danych osobom lub podmiotom
nieupoważnionym.
c) Zaniechanie dopełnienia obowiązku zapewnienia ochrony danych.
d) Niedopełnienie obowiązku zachowania w tajemnicy danych osobowych oraz sposobów
ich zabezpieczenia.
e) Przetwarzanie danych niezgodnie z zakresem i celem ich zbierania.
f) Spowodowanie uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnionego
kopiowania danych.
g) Naruszenie praw osób, których dane są przetwarzane.
5. W przypadku stwierdzenia naruszenia zasad ochrony danych, Użytkownik zobowiązany
jest do podjęcia wszelkich niezbędnych kroków mających na celu ograniczenie skutków
naruszenia i do niezwłocznego powiadomienia Administratora Danych.
6. Do obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub zmiany
warunków zatrudnienia pracowników lub współpracowników należy:
a) Zapewnienie, że
pracownicy są odpowiednio przygotowani do wykonywania swoich obowiązków.
b)
Udzielenie każdemu przetwarzającemu dane osobowe pisemnego upoważnienia.
c)
Zobowiązanie każdego pracownika do zachowania danych osobowych w tajemnicy
poprzez podpisanie stosownego oświadczenia.
7. Pracownicy zobowiązani są do:
a) Przestrzegania zakresu nadanego upoważnienia.
b)
Przetwarzania i ochrony danych zgodnie z przepisami.
c) Zachowania w tajemnicy danych
oraz sposobów ich zabezpieczenia.
d) Zgłaszania incydentów związanych z naruszeniem
bezpieczeństwa danych.
IV. Obszar przetwarzania danych osobowych
1. Obszar, w którym przetwarzane są dane osobowe na terenie Gabinet Terapeutyczno
Psychologiczny Dagmara Kasiuk, obejmuje przestrzeń biurową znajdującą się w siedzibie
Administratora.
2. Dodatkowo, obszar ten obejmuje wszystkie komputery przenośne oraz inne nośniki
danych znajdujące się poza powyższym obszarem, jak również przestrzeń cyfrową
wykorzystywaną w ramach społeczeństwa informacyjnego.
V. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności, rozliczalności oraz ciągłości
przetwarzanych danych.
2. Zastosowane środki ochrony są adekwatne do poziomu ryzyka i obejmują:
a) Ograniczenie
dostępu do pomieszczeń przetwarzania danych tylko dla osób upoważnionych.
b)
Zamykanie pomieszczeń na czas nieobecności pracowników.
c) Wykorzystanie
zamykanych szafek i sejfów do zabezpieczania dokumentów.
d) Używanie niszczarki do
skutecznego usuwania dokumentów zawierających dane osobowe.
e) Ochronę sieci
lokalnej przy użyciu zapory sieciowej (firewall).
f) Wykonywanie kopii zapasowych danych
na odpowiednio zabezpieczonych nośnikach.
g) Ochronę sprzętu komputerowego przed
złośliwym oprogramowaniem.
h) Zabezpieczenie dostępu do urządzeń poprzez hasła.
i)
Wykorzystanie szyfrowania danych przy ich transmisji.
VI. Naruszenia zasad ochrony danych osobowych
1. W przypadku stwierdzenia naruszenia ochrony danych osobowych, Administrator
dokonuje oceny, czy naruszenie mogło powodować ryzyko naruszenia praw lub wolności
osób fizycznych.
2. Jeżeli istnieje takie ryzyko, Administrator zgłasza naruszenie organowi nadzorczemu bez
zbędnej zwłoki – jeżeli to wykonalne, nie później niż w ciągu 72 godzin po stwierdzeniu
naruszenia.
3. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
incydencie także osobę, której dane dotyczą.
VII. Powierzenie przetwarzania danych osobowych
1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych
innemu podmiotowi wyłącznie na podstawie umowy zawartej w formie pisemnej, zgodnie
z art. 28 RODO, i tylko jeśli są to dane, które mogą być ujawnione bez naruszenia tajemnicy
zawodowej.
2. Przed powierzeniem przetwarzania danych, Administrator w miarę możliwości uzyskuje
informacje o praktykach procesora dotyczących zabezpieczenia danych osobowych.
VIII. Współadministrowanie danymi osobowymi
Współadministrowanie danymi osobowymi następuje na podstawie art. 26 RODO i ma miejsce,
gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych. W
drodze wspólnych uzgodnień administratorzy określają odpowiednie zakresy swojej
odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, zwłaszcza w
kontekście realizacji uprawnień osób fizycznych.
IX. Przekazanie danych do państwa trzeciego
Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa
trzeciego, poza sytuacjami, w których następuje to na wniosek osoby, której dane dotyczą.
X. Postanowienia końcowe
Za niedopełnienie obowiązków wynikających z niniejszej Polityki pracownik ponosi
odpowiedzialność na podstawie Kodeksu pracy, przepisów o ochronie danych osobowych oraz
Kodeksu karnego w odniesieniu do danych osobowych objętych tajemnicą zawodową.
Zatwierdził Administrator Danych Osobowych
Dagmara Kasiuk
Chrzanów, dnia 01.07.2023r.