Polityka bezpieczeństwa informacji
Polityka bezpieczeństwa informacji w KAMED Katarzyna Banach-Grzelec, ul. Bieszczadzka16B, 05-250 Słupno, NIP 825-101-84-44, prowadzącym sklep internetowy medisign.pl (zwany dalej „Sklepem”) zlokalizowanym pod adresem https://medisign.pl/,adres e-mail: kamed.kamed@wp.pl
Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w
celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z
wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w
Sklepie, w tym z
Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia
2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (dalej RODO).
Definicje:
- Administrator
Danych – Sklep; - Dane osobowe
– wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej; - System
informatyczny – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji narzędzi programowych zastosowanych w
celu przetwarzania danych; - Użytkownik –
osoba upoważniona przez Administratora Danych do Przetwarzania danych
osobowych; - Zbiór danych
– każdy uporządkowany zestaw danych o charakterze osobowym, dostępny
według określonych kryteriów; - Przetwarzanie
danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie w formie tradycyjnej oraz w systemach
informatycznych; - Identyfikator
użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie
identyfikujący osobę upoważnioną do przetwarzania danych osobowych w
systemie informatycznym (Użytkownika) w razie Przetwarzania danych
osobowych w takim systemie; - Hasło – ciąg
znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej
do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania
danych osobowych w takim systemie; - Uwierzytelnianie
– działanie, którego celem jest weryfikacja deklarowanej tożsamości
podmiotu (Użytkownika).
I.
Postanowienia ogólne
- Polityka
dotyczy wszystkich Danych osobowych przetwarzanych w Sklepie, niezależnie
od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne,
systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane
w zbiorach danych. - Polityka
jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
siedzibie Administratora. - Polityka
jest udostępniana do wglądu osobom posiadającym upoważnienie do
przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma
zostać nadane upoważnienie do przetwarzania danych osobowych, celem
zapoznania się z jej treścią. - Dla
skutecznej realizacji Polityki Administrator Danych zapewnia:
- odpowiednie
do zagrożeń i kategorii danych objętych ochroną środki techniczne i
rozwiązania organizacyjne; - kontrolę i
nadzór nad Przetwarzaniem danych osobowych; - monitorowanie
zastosowanych środków ochrony.
- odpowiednie
- Monitorowanie
przez Administratora Danych zastosowanych środków ochrony obejmuje m.in.
działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie
integralności plików oraz ochronę przed atakami zewnętrznymi oraz
wewnętrznymi. - Administrator
Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i
zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz
odpowiednimi przepisami prawa.
II.
Dane osobowe przetwarzane u administratora danych
- Dane osobowe
przetwarzane przez Administratora Danych gromadzone są w zbiorach danych. - Administrator
danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z
poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i
wolności osób. W przypadku planowania takiego działania Administrator
wykona czynności określone w art. 35 i nast. RODO. - W przypadku
planowania nowych czynności przetwarzania Administrator dokonuje analizy
ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony
danych w fazie ich projektowania. - Administrator
danych prowadzi rejestr czynności przetwarzania.
III.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem
- Administrator
Danych i wszystkie osoby Upoważnione zobowiązane są do przetwarzania
danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną
przez Administratora Danych Polityką Bezpieczeństwa, a także innymi
dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych
osobowych w Sklepie. - Wszystkie
dane osobowe w Sklepie są przetwarzane z poszanowaniem zasad przetwarzania
przewidzianych przez przepisy prawa:
- w każdym
wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw
dla przetwarzania danych; - dane są
przetwarzane są rzetelnie i w sposób przejrzysty; - dane
osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych
celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; - dane
osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla
osiągnięcia celu przetwarzania danych; - dane
osobowe są prawidłowe i w razie potrzeby uaktualniane; - czas
przechowywania danych jest ograniczony do okresu ich przydatności do
celów, do których zostały zebrane, a po tym okresie są one anonimizowane
bądź usuwane; - wobec
osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
zgodnie z treścią art. 13 i 14 RODO; - dane są
zabezpieczone przed naruszeniami zasad ich ochrony.
- w każdym
- Za
naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
osobowych uważa się w szczególności:
- naruszenie
bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane
osobowe, w razie ich przetwarzania w takich systemach; - udostępnianie
lub umożliwienie udostępniania danych osobom lub podmiotom do tego
nieupoważnionym; - zaniechanie,
choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym
ochrony; - niedopełnienie
obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich
zabezpieczenia; - przetwarzanie
Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania; - spowodowanie
uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie
Danych osobowych; - naruszenie
praw osób, których dane są przetwarzane.
- naruszenie
- W przypadku
stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych
Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków,
mających na celu ograniczenie skutków naruszenia i do niezwłocznego
powiadomienia Administratora Danych. - Do
obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub
zmiany warunków zatrudnienia pracowników lub współpracowników (osób
podejmujących czynności na rzecz Administratora Danych na podstawie innych
umów cywilnoprawnych) należy dopilnowanie, by:
- pracownicy
i współpracownicy byli odpowiednio przygotowani do wykonywania swoich
obowiązków; - każdy z
przetwarzających Dane osobowe pracowników i współpracowników był pisemnie
upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania
danych osobowych” – wzór Upoważnienia stanowi Załącznik nr 1 do
niniejszej Polityki Bezpieczeństwa; - każdy
pracownik i współpracownik zobowiązał się do zachowania danych osobowych
przetwarzanych w Sklepie w tajemnicy. „Oświadczenie i zobowiązanie osoby
przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element
„Upoważnienia do przetwarzania danych osobowych”.
- pracownicy
- Pracownicy
zobowiązani są do:
- ścisłego
przestrzegania zakresu nadanego upoważnienia; - przetwarzania
i ochrony danych osobowych zgodnie z przepisami; - zachowania
w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia; - zgłaszania
incydentów związanych z naruszeniem bezpieczeństwa danych oraz
niewłaściwym funkcjonowaniem systemu.
- ścisłego
IV.
Obszar przetwarzania danych osobowych
- Obszar, w
którym przetwarzane są Dane osobowe na obejmuje siedzibę firmy zlokalizowaną na ul. Bieszczadzkiej
16B, 05-250 Słupno oraz pomieszczenia biurowe wynajmowane przez firmę
zlokalizowane na ul. Radzymińskiej 194, 03-674 Warszawa. - Dodatkowo
obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie
komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem
wskazanym powyżej.
V.
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych
- Administrator
Danych zapewnia zastosowanie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności, rozliczalności i
ciągłości Przetwarzanych danych. - Zastosowane
środki ochrony (techniczne i organizacyjne) powinny być adekwatne do
stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów
i kategorii danych, Środki obejmują:
- ograniczenie
dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie
do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w
pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w
towarzystwie osoby upoważnionej; - zamykanie
pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w
pkt IV powyżej na czas nieobecności pracowników, w sposób
uniemożliwiający dostęp do nich osób trzecich; - wykorzystanie
zamykanych szafek i sejfów do zabezpieczenia dokumentów; - wykorzystanie
niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe; - ochronę
sieci lokalnej przed działaniami inicjowanymi z zewnątrz; - wykonywanie
kopii awaryjnych danych; - ochronę
sprzętu komputerowego wykorzystywanego u administratora przed złośliwym
oprogramowaniem; - zabezpieczenie
dostępu do urządzeń Sklepu przy pomocy haseł dostępu; - Wykorzystanie
szyfrowania danych przy ich transmisji.
- ograniczenie
VI.
Naruszenia zasad ochrony danych osobowych
- W przypadku
stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje
oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw
lub wolności osób fizycznych. - W każdej
sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia
praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia
zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to
wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki. - Jeżeli
ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
incydencie także osobę, której dane dotyczą.
VII.
Powierzenie przetwarzania danych osobowych
- Administrator
Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu
podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z
wymogami wskazanymi dla takich umów w art. 28 RODO. - Przed
powierzeniem przetwarzania danych osobowych Administrator w miarę
możliwości uzyskuje informacje o dotychczasowych praktykach procesora
dotyczących zabezpieczenia danych osobowych.
VIII.
Przekazywanie danych do państwa trzeciego
- Administrator
Danych Osobowych nie będzie przekazywał danych osobowych do państwa
trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której
dane dotyczą.
IX.
Postanowienia końcowe
- Za niedopełnienie
obowiązków wynikających z niniejszego dokumentu pracownik ponosi
odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych
osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych
tajemnicą zawodową.