Polityka Bezpieczeństwa przetwarzania danych osobowych obowiązująca w firmie: MEDICA SPACE SP. Z O. O. 43-200 PSZCZYNA, KATOWICKA 55 Firma zarejestrowana jest w Sąd Rejonowy Katowice-Wschód w Katowicach, VIII WYDZIAŁ GOSPODARCZY KRAJOWEGO REJESTRU SĄDOWEGO pod numerem KRS 0000411349, posiada numer NIP 6381805731 oraz numer REGON 242869354. Firma jest Administratorem Danych Osobowych w zakresie danych przetwarzanych w obrębie firmy, reprezentowana przez: JOANNA HESS Określenie „Dane Osobowe” oznacza wszelkie dane, które pozwalają na zidentyfikowanie, bezpośrednio lub pośrednio, w szczególności takie jak nazwisko i imię, dane o lokalizacji, adres e-mail, numer telefonu, dane o stanie zdrowia pozwalające na zidentyfikowanie tożsamości danej osoby. Zasady ochrony danych osobowych zostały opracowane w oparciu o : Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)- zwane dalej RODO oraz o przepisy powiązane. Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi świadomymi lub nieświadomymi oraz przed nieautoryzowanym użyciem, dostępem, ujawnieniem, kradzieżą, kopiowaniem czy w innej formie naruszeniem ochrony danych osobowych. Załącznik do niniejszej polityki stanowi „Instrukcja zarządzania systemem informatycznym” służącym do przetwarzania danych osobowych ze szczególnym uwzględnieniem zapewnienia ochrony danych. Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, programy oraz poprzez samych użytkowników. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić poufność danych, integralność danych, rozliczalność danych i integralność systemu. W chwili sporządzenia dokumentu firma zatrudnia pracowników. Dokument zawiera zapisy, z którymi muszą zostać zapoznane wszystkie osoby upoważnione do przetwarzania lub wglądu do danych osobowych. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe W chwili sporządzenia dokumentu obsługa systemu komputerowego odbywa się przy wykorzystaniu 6 komputerów stacjonarnych znajdujących się w siedzibie firmy. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych Środki ochrony fizycznej danych: Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej drewnianej szafie. Kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej drewnianej szafie. Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarki dokumentów. Środki ochrony w ramach narzędzi programowych i baz danych: Dostęp do zbioru danych osobowych w formie cyfrowej wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego. Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe. Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika. Zainstalowano oprogramowanie antywirusowe. Uruchomione są zabezpieczenia systemowe „firewall”. Komputer stacjonarny/serwer jest zabezpieczony przed utratą danych w przypadku zaniku napięcia – poprzez zainstalowany podtrzymywacz napięcia. Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych. Zastosowano systemowe mechanizmy wymuszający okresową zmianę haseł. Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych. Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia. Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej. Przy transmisji danych przez internet dane są szyfrowane przy użyciu protokołu szyfrowania SSL. Środki organizacyjne: Osoby upoważnione do przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. 2. Przeszkolono osoby upoważnione do przetwarzania danych osobowych w zakresie zabezpieczeń systemu informatycznego. Osoby upoważnione do przetwarzania danych osobowych zobowiązane zostały do zachowania ich w tajemnicy. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane. Do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych przy czym: prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych, – dane osobowe mogą być przetwarzane wyłącznie w zakresie i w celu wynikającym z upoważnienia, przestrzegana jest zasada niezbędnych minimalnych uprawnień umożliwiając dostęp do zbiorów danych w zakresie wynikającym z zakresu obowiązków służbowych, każda z upoważnionych osób posługuje się niepowtarzalnym ,,loginem”; nie jest dozwolone współdzielenie dostępu do zbiorów danych. hasło dostępu przypisane do „loginu” jest znane tylko użytkownikowi, do którego dany login jest przypisany. po wygaśnięciu upoważnienia do przetwarzania danych ADMINISTRATOR w ciągu 24 godzin uniemożliwi danej osobie dalsze korzystanie z systemu. Przekazanie danych do przetwarzania innemu podmiotowi jako podwykonawcy dokonywane jest wyłącznie po wcześniejszym podpisaniu umowy o powierzeniu do przetwarzania danych osobowych oraz uzyskaniu potwierdzenia, że podwykonawca zapewnia środki ochrony danych co najmniej na równi z opisanymi w niniejszym dokumencie zasadami. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia również w przypadku wygaśnięcia ważności upoważnienia. Przekazywanie danych do przetwarzania na zasadzie podzlecenia innym podmiotom. 1. ADMINISTRATOR może powierzyć do przetwarzania dane osobowe na zasadzie podzlecenia innym podmiotom wyłącznie w oparciu o UMOWĘ O POWIERZENIU DO PRZETWARZANIA DANYCH OSOBOWYCH pod warunkiem, że PODWYKONAWCA przestrzega wszystkich obowiązków związanych z ochroną danych w stopniu co najmniej takim jak ADMINISTRATOR. Informacja o powierzeniu danych podwykonawcy (PROCESORA) jest ujawniana w wykazie „Rejestr czynności przetwarzania danych osobowych”. ADMINISTRATOR ponosi odpowiedzialność za wszelkie zaniechania lub działania niezgodnego z warunkami opisanymi w umowie przez PODWYKONAWCĘ (PORCESORA). IV. Naruszenie ochrony danych osobowych i obowiązek zgłoszenia Zgodnie z art.4. pkt.12. RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 1. Każda osoba, która podejmie informację o naruszeniu lub podejrzeniu o naruszeniu ochrony danych osobowych jest zobowiązana do niezwłocznego przekazania takiej informacji ADMINISTRATOROWI. 2. W przypadku stwierdzenia naruszenia ochrony danych osobowych ADMINISTRATOR jest zobowiązany w ciągu maximum 72 godzin poinformować o tym incydencie GIODO (od 25.05.2018 w miejsce GIODO powstanie DODO). 3. W takim zgłoszeniu administrator ma obowiązek umieścić co najmniej : opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczbę wpisów danych osobowych, których dotyczy naruszenie , imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, od której można uzyskać więcej informacji, opis możliwych konsekwencji naruszenia ochrony danych osobowych, opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków. 4.Równocześnie z obowiązkiem zgłoszenia do UODO ADMINISTRATOR jest zobowiązany powiadomić osoby, których dotyczą dane osobowe o tym, że doszło do naruszenia ich ochrony. Informacja taka musi zawierać co najmniej: a) imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, od której można uzyskać więcej informacji, b) opis możliwych konsekwencji naruszenia ochrony danych osobowych, c) opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych.