Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w KAMED Katarzyna Banach-Grzelec, ul. Bieszczadzka16B, 05-250 Słupno, NIP 825-101-84-44, prowadzącym sklep internetowy medisign.pl (zwany dalej „Sklepem”) zlokalizowanym pod adresem https://medisign.pl/,adres e-mail: kamed.kamed@wp.pl


Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w
celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z
wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w
Sklepie, w tym                                  z
Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia
2016 r.        w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych                   i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Definicje:

  1. Administrator
    Danych – Sklep;
  2. Dane osobowe
    – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
    zidentyfikowania osoby fizycznej;
  3. System
    informatyczny – zespół współpracujących ze sobą urządzeń, programów, 
    procedur przetwarzania informacji narzędzi programowych zastosowanych w
    celu przetwarzania danych;
  4. Użytkownik –
    osoba upoważniona przez Administratora Danych do Przetwarzania danych
    osobowych;
  5. Zbiór danych
    – każdy uporządkowany zestaw danych o charakterze osobowym, dostępny
    według określonych kryteriów;
  6. Przetwarzanie
    danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak
    zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
    udostępnianie i usuwanie w formie tradycyjnej oraz w systemach
    informatycznych;
  7. Identyfikator
    użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie
    identyfikujący osobę upoważnioną do przetwarzania danych osobowych w
    systemie informatycznym (Użytkownika) w razie Przetwarzania danych
    osobowych w takim systemie;
  8. Hasło – ciąg
    znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej
    do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania
    danych osobowych w takim systemie;
  9. Uwierzytelnianie
    – działanie, którego celem jest weryfikacja deklarowanej tożsamości
    podmiotu (Użytkownika).

I.
Postanowienia ogólne

  1. Polityka
    dotyczy wszystkich Danych osobowych przetwarzanych w Sklepie, niezależnie
    od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne,
    systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane
    w zbiorach danych.
  2. Polityka
    jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
    siedzibie Administratora.
  3. Polityka
    jest udostępniana do wglądu osobom posiadającym upoważnienie do
    przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma
    zostać nadane upoważnienie do przetwarzania danych osobowych, celem
    zapoznania się z jej treścią.
  4. Dla
    skutecznej realizacji Polityki Administrator Danych zapewnia:

    1. odpowiednie
      do zagrożeń i kategorii danych objętych ochroną środki techniczne i
      rozwiązania organizacyjne;
    2. kontrolę i
      nadzór nad Przetwarzaniem danych osobowych;
    3. monitorowanie
      zastosowanych środków ochrony.
  5. Monitorowanie
    przez Administratora Danych zastosowanych środków ochrony obejmuje m.in.
    działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie
    integralności plików oraz ochronę przed atakami zewnętrznymi oraz
    wewnętrznymi.
  6. Administrator
    Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i
    zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz
    odpowiednimi przepisami prawa.

II.
Dane osobowe przetwarzane u administratora danych

  1. Dane osobowe
    przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
  2. Administrator
    danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z
    poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i
    wolności osób. W przypadku planowania takiego działania Administrator
    wykona czynności określone w art. 35 i nast. RODO.
  3. W przypadku
    planowania nowych czynności przetwarzania Administrator dokonuje analizy
    ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony
    danych w fazie ich projektowania.
  4. Administrator
    danych prowadzi rejestr czynności przetwarzania.

III.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

  1. Administrator
    Danych i wszystkie osoby Upoważnione zobowiązane są do przetwarzania
    danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną
    przez Administratora Danych Polityką Bezpieczeństwa, a także innymi
    dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych
    osobowych w Sklepie.
  2. Wszystkie
    dane osobowe w Sklepie są przetwarzane z poszanowaniem zasad przetwarzania
    przewidzianych przez przepisy prawa:

    1. w każdym
      wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw
      dla przetwarzania danych;
    2. dane są
      przetwarzane są rzetelnie i w sposób przejrzysty;
    3. dane
      osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych
      celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
    4. dane
      osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla
      osiągnięcia celu przetwarzania danych;
    5. dane
      osobowe są prawidłowe i w razie potrzeby uaktualniane;
    6. czas
      przechowywania danych jest ograniczony do okresu ich przydatności do
      celów, do których zostały zebrane, a po tym okresie są one anonimizowane
      bądź usuwane;
    7. wobec
      osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
      zgodnie z treścią art. 13 i 14 RODO;
    8. dane są
      zabezpieczone przed naruszeniami zasad ich ochrony.
  3. Za
    naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
    osobowych uważa się w szczególności:

    1. naruszenie
      bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane
      osobowe, w razie ich przetwarzania w takich systemach;
    2. udostępnianie
      lub umożliwienie udostępniania danych osobom lub podmiotom do tego
      nieupoważnionym;
    3. zaniechanie,
      choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym
      ochrony;
    4. niedopełnienie
      obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich
      zabezpieczenia;
    5. przetwarzanie
      Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
    6. spowodowanie
      uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie
      Danych osobowych;
    7. naruszenie
      praw osób, których dane są przetwarzane.
  4. W przypadku
    stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych
    Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków,
    mających na celu ograniczenie skutków naruszenia i do niezwłocznego
    powiadomienia Administratora Danych.
  5. Do
    obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub
    zmiany warunków zatrudnienia pracowników lub współpracowników (osób
    podejmujących czynności na rzecz Administratora Danych na podstawie innych
    umów cywilnoprawnych) należy dopilnowanie, by:

    1. pracownicy
      i współpracownicy byli odpowiednio przygotowani do wykonywania swoich
      obowiązków;
    2. każdy z
      przetwarzających Dane osobowe pracowników i współpracowników był pisemnie
      upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania
      danych osobowych” – wzór Upoważnienia stanowi Załącznik nr 1 do
      niniejszej Polityki Bezpieczeństwa;
    3. każdy
      pracownik i współpracownik zobowiązał się do zachowania danych osobowych
      przetwarzanych w Sklepie w tajemnicy. „Oświadczenie i zobowiązanie osoby
      przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element
      „Upoważnienia do przetwarzania danych osobowych”.
  6. Pracownicy
    zobowiązani są do:

    1. ścisłego
      przestrzegania zakresu nadanego upoważnienia;
    2. przetwarzania
      i ochrony danych osobowych zgodnie z przepisami;
    3. zachowania
      w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
    4. zgłaszania
      incydentów związanych z naruszeniem bezpieczeństwa danych oraz
      niewłaściwym funkcjonowaniem systemu.

IV.
Obszar przetwarzania danych osobowych

  1. Obszar, w
    którym przetwarzane są Dane osobowe na obejmuje siedzibę  firmy zlokalizowaną na ul. Bieszczadzkiej
    16B, 05-250 Słupno oraz pomieszczenia biurowe wynajmowane przez firmę
    zlokalizowane na ul. Radzymińskiej 194, 03-674 Warszawa.
  2. Dodatkowo
    obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie
    komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem
    wskazanym powyżej.

V.
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych

  1. Administrator
    Danych zapewnia zastosowanie środków technicznych i organizacyjnych
    niezbędnych dla zapewnienia poufności, integralności, rozliczalności i
    ciągłości Przetwarzanych danych.
  2. Zastosowane
    środki ochrony (techniczne i organizacyjne) powinny być adekwatne do
    stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów
    i kategorii danych, Środki obejmują:

    1. ograniczenie
      dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie
      do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w
      pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w
      towarzystwie osoby upoważnionej;
    2. zamykanie
      pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w
      pkt IV powyżej na czas nieobecności pracowników, w sposób
      uniemożliwiający dostęp do nich osób trzecich;
    3. wykorzystanie
      zamykanych szafek i sejfów do zabezpieczenia dokumentów;
    4. wykorzystanie
      niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;
    5. ochronę
      sieci lokalnej przed działaniami inicjowanymi z zewnątrz;
    6. wykonywanie
      kopii awaryjnych danych;
    7. ochronę
      sprzętu komputerowego wykorzystywanego u administratora przed złośliwym
      oprogramowaniem;
    8. zabezpieczenie
      dostępu do urządzeń Sklepu przy pomocy haseł dostępu;
    9. Wykorzystanie
      szyfrowania danych przy ich transmisji.

VI.
Naruszenia zasad ochrony danych osobowych

  1. W przypadku
    stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje
    oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw
    lub wolności osób fizycznych.
  2. W każdej
    sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia
    praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia
    zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to
    wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
    naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
  3. Jeżeli
    ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
    incydencie także osobę, której dane dotyczą.

VII.
Powierzenie przetwarzania danych osobowych

  1. Administrator
    Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu
    podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z
    wymogami wskazanymi dla takich umów w art. 28 RODO.
  2. Przed
    powierzeniem przetwarzania danych osobowych Administrator w miarę
    możliwości uzyskuje informacje o dotychczasowych praktykach procesora
    dotyczących zabezpieczenia danych osobowych.

VIII.
Przekazywanie danych do państwa trzeciego

  1. Administrator
    Danych Osobowych nie będzie przekazywał danych osobowych do państwa
    trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której
    dane dotyczą.

 IX.

Postanowienia końcowe

  1. Za niedopełnienie
    obowiązków wynikających z niniejszego dokumentu pracownik ponosi
    odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych
    osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych
    tajemnicą zawodową.


 

 

Strona główna
Sklep
0