Polityka Bezpieczeństwa Przetwarzania Danych Osobowych

Na podstawie art. 32 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) w celu zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ww. rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem dla zapewnienia realizacji celów i zadań podmiotu leczniczego w sposób zgodny z prawem wprowadza się niniejszą Politykę Bezpieczeństwa Przetwarzania Danych Osobowych dla Kamila Tarasa prowadzącego działalność gospodarczą pod firmą „Taras Kamil – DENTIMED” ze stałym miejscem wykonywania działalności w Lublinie przy ul. Poligonowej 12, lok. 4, 20-819 Lublin, NIP 7122848083, REGON 060446060 oraz Marcina Tarasa prowadzącego działalność gospodarczą pod firmą „MARCIN TARAS DENTIMED” ze stałym miejscem wykonywania działalności w Lublinie przy ul. Poligonowej 12, lok. 4, 20-817 Lublin, NIP 7122644759, REGON 060446054, którzy wspólnie prowadzącą działalność w ramach spółki cywilnej pod firmą „Dentimed s.c.” ze stałym miejscem wykonywania działalności w Lublinie przy ul. Poligonowej 12, lok. 4, 20-817 Lublin, NIP 7123158920 REGON 060460137, zwanymi dalej „Spółką”.

§ 1

Ilekroć w dokumencie jest mowa o:

  1. administratorze danych – rozumie się przez to Spółkę;

  2. rozporządzeniu – rozumie się przez to rozporządzenie Parlamentu Europejskiego iRady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

  3. inspektorze ochrony danych – rozumie się przez to członka personelu administratora lub osobę wykonującą zadania Inspektora na podstawie umowy
    o świadczenie usług;

  4. danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

  5. zbiorze danych – rozumie się przez to uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

  6. przetwarzaniu danych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

  7. systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych;

  8. zabezpieczeniu danych w systemie informatycznym – rozumie się przez to wdrożenie i eksploatację stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem;

  9. usuwaniu danych – rozumie się przez to zniszczenie danych osobowych lub taką ich modyfikację, która nie pozwoli na ustalenie tożsamości osoby, której dane dotyczą;

  10. zgodzie osoby, której dane dotyczą – oznacza to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych;

  11. odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią, z zastrzeżeniem, iż organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego Unii Europejskiej, nie są jednak uznawane za odbiorców, a przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

  12. państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;

  13. środkach technicznych i organizacyjnych – należy przez to rozumieć środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych;

  14. ograniczeniu przetwarzania – należy przez to rozumieć oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

  15. profilowaniu – oznacza to dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się;

  16. pseudonimizacji – oznacza to przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej;

  17. podmiocie przetwarzającym – oznacza to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

  18. naruszeniu ochrony danych osobowych – oznacza to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

§ 2

Administrator danych uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia w szczególności:

  1. wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z rozporządzeniem i aby móc to wykazać przed podmiotem trzecim;

  2. w razie potrzeby poddaje przeglądom i uaktualnia środki, o których mowa w pkt 1;

  3. prowadzi rejestr czynności przetwarzania danych osobowych, gdzie wzór rejestru stanowi Załącznik Nr 1 do niniejszej Polityki;

  4. wyznacza Inspektora Ochrony Danych (IOD).

§ 3

W celu ochrony danych spełniono wymogi, o których mowa w rozporządzeniu,
w szczególności:

  1. do przetwarzania danych zostały dopuszczone wyłącznie osoby upoważnione przez administratora danych;

  2. wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik Nr 2 do niniejszej Polityki, natomiast wzór rejestru osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik Nr 3 do niniejszej Polityki;

  3. zawarto umowy powierzenia przetwarzania danych;

  4. została opracowana i wdrożona niniejsza polityka bezpieczeństwa.

§ 4

W celu ochrony danych osobowych stosuje się następujące środki ochrony fizycznej danych osobowych:

  1. zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zwykłymi;

  2. pomieszczenia, w którym przetwarzane są zbiory danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy;

  3. dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, jest
    w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez osoby zajmujące się ochroną;

  4. dostęp do pomieszczeń, w których przetwarzane są zbiory danych osobowych, przez całą dobę jest nadzorowany przez osoby zajmujące się ochroną;

  5. zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej niemetalowej szafie;

  6. zbiory danych osobowych w formie papierowej przechowywane są
    w zamkniętej metalowej szafie;

  7. kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są
    w zamkniętej niemetalowej szafie;

  8. pomieszczenia, w których przetwarzane są zbiory danych osobowych, zabezpieczone są przed skutkami pożaru za pomocą systemu przeciwpożarowego i/lub wolnostojącej gaśnicy;

  9. dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone
    w sposób mechaniczny za pomocą niszczarek dokumentów oraz przekazywane są do zniszczenia do podmiotu zewnętrznego, gdzie są niszczone za pomocą profesjonalnych niszczarek przemysłowych.

§ 5

W celu ochrony danych osobowych stosuje się następujące środki sprzętowe infrastruktury informatycznej i telekomunikacyjnej:

  1. komputery służące do przetwarzania danych osobowych nie są połączone z lokalną siecią komputerową;

  2. dostęp do zbioru danych osobowych, który przetwarzany jest na wydzielonej stacji komputerowej/komputerze przenośnym, zabezpieczony został przed nieautoryzowanym uruchomieniem za pomocą hasła;

  3. dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe, zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;

  4. zastosowano systemowe mechanizmy wymuszające okresową zmianę haseł;

  5. zastosowano środki kryptograficznej ochrony danych dla danych osobowych przekazywanych drogą teletransmisji;

  6. dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia;

  7. zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej;

  8. zastosowano środki ochrony przed szkodliwym oprogramowaniem w postaci programu antywirusowego na każdej stacji roboczej;

  9. użyto system Firewall do ochrony dostępu do sieci komputerowej.

§ 6

W celu ochrony danych osobowych stosuje się następujące środki ochrony w ramach narzędzi programowych i baz danych:

  1. wykorzystano środki pozwalające na rejestrację zmian wykonywanych na poszczególnych elementach zbioru danych osobowych;

  2. zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych w ramach przetwarzanego zbioru danych osobowych;

  3. dostęp do zbioru danych osobowych wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła;

  4. zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego;

  5. zastosowano mechanizm wymuszający okresową zmianę haseł dostępu do zbioru danych osobowych;

  6. zastosowano kryptograficzne środki ochrony danych osobowych;

  7. zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe;

  8. zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.

§ 7

W celu ochrony danych osobowych stosuje się następujące środki organizacyjne:

  1. osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych;

  2. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;

  3. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

  4. monitory komputerów, na których przetwarzane są dane osobowe, ustawione są
    w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;

§ 8

  1. Analizę ryzyka dla zasobów biorących udział w procesach przetwarzania danych osobowych przeprowadza każdorazowy właściciel procesu wskazany przez administratora danych lub administrator danych samodzielnie z wykorzystaniem Załącznika Nr 4 do niniejszej Polityki.

  2. Analiza ryzyka jest przeprowadzana nie rzadziej niż raz w roku i stanowi podstawę do aktualizacji sposobu postępowania z ryzykiem.

  3. Na podstawie wyników przeprowadzonej analizy ryzyka, wskazani przez administratora danych właściciele procesów lub administrator danych samodzielnie wdrażają sposoby postępowania z ryzykiem.

  4. Każdorazowo administrator danych wybiera sposób postępowania z ryzykiem
    i określa, które ryzyka i w jakiej kolejności będą rozpatrywane jako pierwsze.

  5. Administrator danych nie może zlekceważyć ryzyk, których wartość przekracza 7 punktów zgodnie z Załącznikiem Nr 4 do niniejszej Polityki, lub ryzyka w stosunku do zasobu, biorącego udział w procesie.

§ 9

  1. Każdorazowe skorzystanie z usług podmiotu przetwarzającego jest poprzedzone zawarciem umowy powierzenia przetwarzania danych, a wzór umowy stanowi Załącznik Nr 5 do niniejszej Polityki, z zastrzeżeniem, że treść umowy może
    być w razie potrzeby zindywidualizowana z zachowaniem wymogów rozporządzenia.

  2. Nie rzadziej niż raz w roku oraz każdorazowo przed zawarciem umowy powierzenia przetwarzania danych osobowych administrator danych weryfikuje zgodność
    z rozporządzeniem wszystkich podmiotów przetwarzających, z których usług korzysta lub ma zamiar skorzystać z wykorzystaniem listy kontrolnej.

§ 10

W każdym przypadku tworzenia nowego produktu lub usług administrator danych uwzględnia prawa osób, których dane dotyczą, na każdym kluczowym etapie jego projektowania i wdrażania.

§ 11

  1. W każdym przypadku naruszenia ochrony danych osobowych administrator danych weryfikuje, czy naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

  2. Administrator danych w przypadku stwierdzenia, że naruszenie skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych, zawiadamia niezwłocznie organ nadzorczy, jednak nie później niż w ciągu 72 godz. od identyfikacji naruszenia.

  3. Administrator danych zawiadamia osoby, których dane dotyczą, w przypadku wystąpienia wobec nich naruszeń skutkujących ryzykiem naruszenia ich praw lub wolności, chyba że zastosował środki eliminujące prawdopodobieństwo wysokiego ryzyka wystąpienia ww. naruszenia.

  4. Administrator danych dokumentuje naruszenia, które skutkują naruszeniem praw
    i wolności osób fizycznych. Wzór zgłoszenia podejrzenia naruszenia danych osobowych stanowi Załącznik Nr 6 do niniejszej Polityki, natomiast wzór rejestru naruszeń stanowi Załącznik Nr 7 do niniejszej Polityki.

§ 12

  1. Każdy przypadek zgłoszenia przez osobę, której dane dotyczą, woli skorzystania
    z praw przewidzianych w rozporządzeniu administrator danych rozpatruje indywidualnie.

  2. Administrator danych niezwłocznie realizuje następujące prawa osób, których dane dotyczą:

  1. prawo dostępu do danych,

  2. prawo do sprostowania danych,

  3. prawo do usunięcia danych,

  4. prawo do przenoszenia danych,

  5. prawo do sprzeciwu wobec przetwarzania danych,

  6. prawo do niepodlegania decyzjom oparty wyłącznie na profilowaniu.

  1. W przypadku realizacji prawa do sprostowania, usunięcia i ograniczenia przetwarzania danych administrator danych niezwłocznie informuje odbiorców danych, którym udostępnił on przedmiotowe dane, chyba że jest to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.

  2. Administrator danych odmawia realizacji praw osób, których dane dotyczą, jeżeli możliwość taka wynika z przepisów rozporządzenia, jednak każda odmowa realizacji praw osób, których dane dotyczą, wymaga uzasadnienia z podaniem podstawy prawnej wynikającej z rozporządzenia.

§ 13

  1. W każdym przypadku pobierania danych bezpośrednio od osoby, której dane dotyczą, administrator danych realizuje obowiązek informacyjny wynikający z art. 13 rozporządzenia, a wzór karty informacyjnej stanowi Załącznik Nr 8 do niniejszej Polityki.

  2. W każdym przypadku pobierania danych z innych źródeł niż osoba, której dane dotyczą, administrator danych informuje osobę, której dane dotyczą, niezwłocznie, jednak nie później niż przy pierwszym kontakcie z osobą, której dane dotyczą.

  3. W każdym przypadku odbierania zgody od osoby, której dane dotyczą, korzysta się
    z klauzul zgody zgodnie z Załącznikiem Nr 9 do niniejszej Polityki.


§ 14

Wszelkie zasady opisane w niniejszej Polityce są przestrzegane przez wszystkich pracowników Spółki ze szczególnym uwzględnieniem dobra osób, których dane te dotyczą.