Szkolenia

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

 

W Definitiva

Marta Chrołowska-Klekotka

Ul. Sarmacka 20/100 02-972 Warszawa

 

 

Celem Polityki bezpieczeństwa danych osobowych  jest określenie zasad przetwarzania, ochrony i udostępniania danych osobowych, gromadzonych i przetwarzanych danych osobowych w: Definitiva, zwanym dalej również „ADO”, oraz nadzoru nad procesem przetwarzania tych danych.

Polityka bezpieczeństwa danych osobowych w podmiocie Definitiva Marta Chrołowska-Klekotka obowiązuje wszystkie osoby realizujące jakiekolwiek zadania w ADO lub na zlecenie ADO, niezależnie od podstawy wykonywania tych zadań.

 

Polityka niniejsza opracowana została w oparciu o przepisy:

 

 

  1. Użyte w niniejszej Polityce określenia oznaczają:
  1. W przypadkach, w których Administrator danych – na podstawie przepisów RODO – nie jest do tego zobowiązany i nie powoła lub nie wyznaczy IOD, zadania, które są przewidziane dla IOD w Polityce oraz w RODO, realizuje Administrator danych lub inna osoba przez niego wyznaczona.

 

 

  1. Zadania Administratora danych.
  2. Administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnianiem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
  3. Administrator danych zobowiązany jest do zapewnienia, aby dane osobowe były:
  1. Administrator danych wyznacza IOD w przypadkach, w których RODO wprowadza taki obowiązek, lub w sytuacji, gdy sam uzna to za konieczne.
  2. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora danych. Osoby te są zobowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczania.
  3. Administrator danych jest obowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.

 

  1. Zadania IOD
  2. IOD powołany przez ADO odpowiada za bezpieczeństwo, w którym przetwarzane są dane osobowe.
  3. Do obowiązków IOD należy:
  1. IOD prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera:
  2. imię i nazwisko osoby upoważnionej,
  3. datę nadania i ustania upoważnienia,
  4. podpis osoby upoważnionej, potwierdzający zapoznanie się ze wszystkimi dokumentami regulującymi bezpieczeństwo przetwarzania danych osobowych w ADO.

 

  1. Wszyscy pracownicy i współpracownicy ADO (dalej łącznie zwani „pracownikami”) mają obowiązek przestrzegać postanowień zawartych w niniejszej Polityce bezpieczeństwa.
  2. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych, każdy pracownik zobowiązany jest do zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym z niniejszą Polityką. Fakt zapoznania się zostaje potwierdzony osobiście podpisanym oświadczeniem. Oświadczenie podlega włączeniu do akt pracownika lub dokumentów związanych z inna podstawą świadczenia usług w ADO.
  3. Pracownicy zobowiązani są dbać o bezpieczeństwo powierzonych im do przetwarzania, archiwizowania lub przechowywania danych zgodnie z obowiązującą w placówce Polityką bezpieczeństwa, w tym między innymi:
  1. Zabrania się pracownikom:
  1. Pracownicy zobowiązani są do udzielania pomocy IOD oraz do realizowania jego zaleceń przy wykonywaniu zadań dotyczących ochrony danych osobowych.
  2. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych lub rażące nienależyte wykonanie zobowiązania, w szczególności przez osobę, która wobec naruszenia nie powiadomiła o tym IOD.

 

  1. Polityka niniejsza dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez ADO we wszelkiego rodzaju kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych,
  2. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), stanowi załącznik nr 1 do Polityki.
  3. Wykaz zbiorów danych osobowych stanowi załącznik nr 2 do Polityki.

 

  1. Niezależnie od praw i obowiązków, określonych w niniejszej Polityce, przetwarzanie danych osobowych zawartych w dokumentacji medycznej prowadzonej w ADO odbywa się w zakresie i zasadach określonych w:
  1. świadczeń opieki zdrowotnej finansowanych ze środków publicznych,
  2. zapobiegania oraz zwalczania zakażeń i chorób zakaźnych u ludzi,
  3. chorób zawodowych,
  4. medycyny pracy,
  5. ubezpieczeń społecznych oraz świadczeń pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa.
  6. Przepisy, o których mowa w ust. 1, wskazują w szczególności:

 

  1. W odniesieniu do danych osobowych pracowników i współpracowników ADO ich przetwarzanie może być prowadzone – na podstawie odrębnej umowy o powierzenie przetwarzania danych osobowych – z wykorzystaniem specjalistycznego oprogramowania będącego w dyspozycji wyspecjalizowanej firmy, która na zlecenie ADO prowadzi obsługę rachunkowo-księgową ADO.

 

  1. Zdarzenia naruszające bezpieczeństwo danych osobowych lub grożące takim naruszeniem dzielą się na:
  1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia ochrony danych osobowych, w tym zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności:
  1. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc i urządzeń (szaf, regałów i sejfów[1]) służących do przechowywania danych osobowych na papierowych nośnikach, wydrukach,
  1. Podstawowym sposobem zabezpieczenia danych przetwarzanych w formie tradycyjnej, tj. na papierowych nośnikach danych, w tym dokumentacji medycznej, jest ograniczenie dostępu do niej za pomocą elementów zabezpieczeń fizycznych (ograniczenie dostępu do pomieszczeń i szaf lub innego wyposażenia biurowego, w których przechowywane są te dokumenty) oraz organizacyjnych (nadawanie, weryfikowanie i kontrolowanie dostępu do tych danych przez upoważnionych pracowników).
  2. Wydruki zawierające dane osobowe powinny znajdować się w miejscu, które uniemożliwia dostęp osobom postronnym.

 

  1. Przed rozpoczęciem pracy użytkownik ma obowiązek sprawdzić, czy stan urządzenia (komputer lub pomieszczenia i urządzenia do przechowywania danych na papierowych nośnikach) nie wskazuje na naruszenie lub próbę naruszenia danych osobowych.
  2. W przypadku wykrycia korzystania z danych osobowych przez osoby nieuprawnione, każdy kto stwierdził powyższe naruszenie, winien o tym powiadomić niezwłocznie IOD.

 

  1. Każda osoba wykonująca jakiekolwiek zadania w ADO, która stwierdzi lub podejrzewa naruszenie zabezpieczenia ochrony danych osobowych, zobowiązana jest niezwłocznie informować o tym IOD i Administratora danych.
  2. Obowiązek, o którym mowa w ust. 1, dotyczy także sytuacji, gdy stan urządzenia, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakość komunikacji w sieci (w odniesieniu do elektronicznych zbiorów danych) mogą wskazywać na naruszenie zabezpieczeń tych danych.
  3. Osoba wykonująca jakiekolwiek zadania przy przetwarzaniu danych osobowych, która uzyskała informację lub sama stwierdziła naruszenie zabezpieczenia bazy danych osobowych w systemie informatycznym lub naruszenie zabezpieczenia zbioru danych przetwarzanych na papierowych nośnikach, zobowiązana jest niezwłocznie powiadomić o tym IOD, a przypadku jego nieobecności, Administratora danych.
  4. IOD w pierwszej kolejności powinien:
  1. Po wykonaniu ww. czynności, należy niezwłocznie podjąć dalsze odpowiednie kroki w celu powstrzymania lub ograniczania dostępu do danych osoby nieuprawnionej, zminimalizowania szkód i zabezpieczenia przed usunięciem śladów jej ingerencji, w szczególności przez:

 

  1. Po wyeliminowaniu bezpośredniego zagrożenia IOD powinien przeprowadzić wstępną analizę w celu potwierdzenia lub wykluczenia faktu naruszenia ochrony danych osobowych.
  2. W tym celu IOD powinien sprawdzić w szczególności:

zawartość zbioru danych osobowych,

  1. Po dokonaniu czynności, o których mowa powyżej, IOD powinien przeprowadzić szczegółową analizę obejmującego identyfikację:
  1. Po przywróceniu normalnego stanu działania systemu przetwarzania danych osobowych, jeżeli nastąpiło uszkodzenie bazy danych lub zbioru tradycyjnego, niezbędne jest odtworzenie jej z dostępnych źródeł, w tym z ostatniej kopii zapasowej, z zachowaniem wszelkich środków ostrożności, mających na celu uniknięcie ponownego dostępu tą samą drogą przez osobę nieuprawnioną.
  2. Po przywróceniu właściwego stanu bazy danych osobowych, należy przeprowadzić szczegółową analizę przyczyny naruszenia ochrony danych osobowych oraz przedsięwziąć kroki mające na celu wyeliminowanie podobnych zdarzeń w przyszłości. Jeśli przyczyną był:
  1. IOD zobowiązany jest przygotować szczegółowy raport o przyczynach, przebiegu i wnioskach ze zdarzenia
  2. Raport ten IOD niezwłocznie przekazuje Administratorowi danych, a w przypadku jego nieobecności osobie uprawnionej przez Administratora danych.

 

  1. Rejestr czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 1 RODO, stanowi załącznik nr 3 do Polityki.
  2. Rejestr, o którym mowa w ust. 1, ma formę pisemną.

 

  1. Rejestr wszystkich kategorii czynności przetwarzania dokonywanych przez pracowników w imieniu Administratora danych, o którym mowa w art. 30 ust. 2 RODO, stanowi załącznik nr 4 do Polityki.
  2. Rejestr, o którym mowa w ust. 1, ma formę pisemną

 

Rejestr przypadków naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania danych osobowych, o którym mowa w art. 33 ust. 5 RODO, stanowi załącznik nr 5 do Polityki.

 

Rejestr przypadków udostępnienia danych zawartych w dokumentacji medycznej, o którym mowa w art. 27 ust. 4 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, stanowi załącznik nr 6 do Polityki.

 

Nasze placówki

ul. Zamieniecka 25
04-158 Warszawa
Tel: +48 606 409 120

ul. Nubijska 1 (V klatka)
03-977 Warszawa
Tel: +48 606 402 520

ul. Wyczòłki 29
02-820 Warszawa
Tel: 735 982 550