Polityka bezpieczeństwa informacji | Medisign - nici modelujące i liftingujące

Polityka bezpieczeństwa informacji

Polityka bezpieczeństwa informacji w KAMED Katarzyna Banach-Grzelec, ul. Bieszczadzka16B, 05-250 Słupno, NIP 825-101-84-44, prowadzącym sklep internetowy medisign.pl (zwany dalej „Sklepem”) zlokalizowanym pod adresem https://medisign.pl/,adres e-mail: kamed.kamed@wp.pl

Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w
celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z
wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w
Sklepie, w tym                                  z
Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia
2016 r.        w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych                  i w sprawie swobodnego przepływu takich danych
oraz uchylenia dyrektywy 95/46/WE (dalej RODO).

Definicje:

Administrator
Danych – Sklep;
Dane osobowe
– wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej;
System
informatyczny – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji narzędzi programowych zastosowanych w
celu przetwarzania danych;
Użytkownik –
osoba upoważniona przez Administratora Danych do Przetwarzania danych
osobowych;
Zbiór danych
– każdy uporządkowany zestaw danych o charakterze osobowym, dostępny
według określonych kryteriów;
Przetwarzanie
danych – jakiekolwiek operacje wykonywane na Danych osobowych, takie jak
zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie w formie tradycyjnej oraz w systemach
informatycznych;
Identyfikator
użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie
identyfikujący osobę upoważnioną do przetwarzania danych osobowych w
systemie informatycznym (Użytkownika) w razie Przetwarzania danych
osobowych w takim systemie;
Hasło – ciąg
znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej
do pracy w systemie informatycznym (Użytkownikowi) w razie przetwarzania
danych osobowych w takim systemie;
Uwierzytelnianie
– działanie, którego celem jest weryfikacja deklarowanej tożsamości
podmiotu (Użytkownika).

I.
Postanowienia ogólne

Polityka
dotyczy wszystkich Danych osobowych przetwarzanych w Sklepie, niezależnie
od formy ich przetwarzania (przetwarzane tradycyjnie zbiory ewidencyjne,
systemy informatyczne) oraz od tego, czy dane są lub mogą być przetwarzane
w zbiorach danych.
Polityka
jest przechowywana w wersji elektronicznej oraz w wersji papierowej w
siedzibie Administratora.
Polityka
jest udostępniana do wglądu osobom posiadającym upoważnienie do
przetwarzania danych osobowych na ich wniosek, a także osobom, którym ma
zostać nadane upoważnienie do przetwarzania danych osobowych, celem
zapoznania się z jej treścią.
Dla
skutecznej realizacji Polityki Administrator Danych zapewnia:
1. odpowiednie
  do zagrożeń i kategorii danych objętych ochroną środki techniczne i
  rozwiązania organizacyjne;
2. kontrolę i
  nadzór nad Przetwarzaniem danych osobowych;
3. monitorowanie
  zastosowanych środków ochrony.
Monitorowanie
przez Administratora Danych zastosowanych środków ochrony obejmuje m.in.
działania Użytkowników, naruszanie zasad dostępu do danych, zapewnienie
integralności plików oraz ochronę przed atakami zewnętrznymi oraz
wewnętrznymi.
Administrator
Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i
zabezpieczeniem danych osobowych są zgodne z niniejszą polityką oraz
odpowiednimi przepisami prawa.

II.
Dane osobowe przetwarzane u administratora danych

Dane osobowe
przetwarzane przez Administratora Danych gromadzone są w zbiorach danych.
Administrator
danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z
poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i
wolności osób. W przypadku planowania takiego działania Administrator
wykona czynności określone w art. 35 i nast. RODO.
W przypadku
planowania nowych czynności przetwarzania Administrator dokonuje analizy
ich skutków dla ochrony danych osobowych oraz uwzględnia kwestie ochrony
danych w fazie ich projektowania.
Administrator
danych prowadzi rejestr czynności przetwarzania.

III.
Obowiązki i odpowiedzialność w zakresie zarządzania bezpieczeństwem

Administrator
Danych i wszystkie osoby Upoważnione zobowiązane są do przetwarzania
danych osobowych zgodnie z obowiązującymi przepisami i zgodnie z ustaloną
przez Administratora Danych Polityką Bezpieczeństwa, a także innymi
dokumentami wewnętrznymi i procedurami związanymi z Przetwarzaniem danych
osobowych w Sklepie.
Wszystkie
dane osobowe w Sklepie są przetwarzane z poszanowaniem zasad przetwarzania
przewidzianych przez przepisy prawa:
1. w każdym
  wypadku występuje chociaż jedna z przewidzianych przepisami prawa podstaw
  dla przetwarzania danych;
2. dane są
  przetwarzane są rzetelnie i w sposób przejrzysty;
3. dane
  osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych
  celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
4. dane
  osobowe są przetwarzane jedynie w takim zakresie, jaki jest niezbędny dla
  osiągnięcia celu przetwarzania danych;
5. dane
  osobowe są prawidłowe i w razie potrzeby uaktualniane;
6. czas
  przechowywania danych jest ograniczony do okresu ich przydatności do
  celów, do których zostały zebrane, a po tym okresie są one anonimizowane
  bądź usuwane;
7. wobec
  osoby, której dane dotyczą, wykonywany jest obowiązek informacyjny
  zgodnie z treścią art. 13 i 14 RODO;
8. dane są
  zabezpieczone przed naruszeniami zasad ich ochrony.
Za
naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych
osobowych uważa się w szczególności:
1. naruszenie
  bezpieczeństwa Systemów informatycznych, w których przetwarzane są dane
  osobowe, w razie ich przetwarzania w takich systemach;
2. udostępnianie
  lub umożliwienie udostępniania danych osobom lub podmiotom do tego
  nieupoważnionym;
3. zaniechanie,
  choćby nieumyślne, dopełnienia obowiązku zapewnienia danym osobowym
  ochrony;
4. niedopełnienie
  obowiązku zachowania w tajemnicy Danych osobowych oraz sposobów ich
  zabezpieczenia;
5. przetwarzanie
  Danych osobowych niezgodnie z założonym zakresem i celem ich zbierania;
6. spowodowanie
  uszkodzenia, utraty, niekontrolowanej zmiany lub nieuprawnione kopiowanie
  Danych osobowych;
7. naruszenie
  praw osób, których dane są przetwarzane.
W przypadku
stwierdzenia okoliczności naruszenia zasad ochrony danych osobowych
Użytkownik zobowiązany jest do podjęcia wszystkich niezbędnych kroków,
mających na celu ograniczenie skutków naruszenia i do niezwłocznego
powiadomienia Administratora Danych.
Do
obowiązków Administratora Danych w zakresie zatrudniania, zakończenia lub
zmiany warunków zatrudnienia pracowników lub współpracowników (osób
podejmujących czynności na rzecz Administratora Danych na podstawie innych
umów cywilnoprawnych) należy dopilnowanie, by:
1. pracownicy
  i współpracownicy byli odpowiednio przygotowani do wykonywania swoich
  obowiązków;
2. każdy z
  przetwarzających Dane osobowe pracowników i współpracowników był pisemnie
  upoważniony do przetwarzania zgodnie z „Upoważnieniem do przetwarzania
  danych osobowych” – wzór Upoważnienia stanowi Załącznik nr 1 do
  niniejszej Polityki Bezpieczeństwa;
3. każdy
  pracownik i współpracownik zobowiązał się do zachowania danych osobowych
  przetwarzanych w Sklepie w tajemnicy. „Oświadczenie i zobowiązanie osoby
  przetwarzającej dane osobowe do zachowania tajemnicy” stanowi element
  „Upoważnienia do przetwarzania danych osobowych”.
Pracownicy
zobowiązani są do:
1. ścisłego
  przestrzegania zakresu nadanego upoważnienia;
2. przetwarzania
  i ochrony danych osobowych zgodnie z przepisami;
3. zachowania
  w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;
4. zgłaszania
  incydentów związanych z naruszeniem bezpieczeństwa danych oraz
  niewłaściwym funkcjonowaniem systemu.

IV.
Obszar przetwarzania danych osobowych

Obszar, w
którym przetwarzane są Dane osobowe na obejmuje siedzibę firmy zlokalizowaną na ul. Bieszczadzkiej
16B, 05-250 Słupno oraz pomieszczenia biurowe wynajmowane przez firmę
zlokalizowane na ul. Radzymińskiej 194, 03-674 Warszawa.
Dodatkowo
obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie
komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem
wskazanym powyżej.

V.
Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia
poufności, integralności i rozliczalności przetwarzanych danych

Administrator
Danych zapewnia zastosowanie środków technicznych i organizacyjnych
niezbędnych dla zapewnienia poufności, integralności, rozliczalności i
ciągłości Przetwarzanych danych.
Zastosowane
środki ochrony (techniczne i organizacyjne) powinny być adekwatne do
stwierdzonego poziomu ryzyka dla poszczególnych systemów, rodzajów zbiorów
i kategorii danych, Środki obejmują:
1. ograniczenie
  dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie
  do osób odpowiednio upoważnionych. Inne osoby mogą przebywać w
  pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w
  towarzystwie osoby upoważnionej;
2. zamykanie
  pomieszczeń tworzących obszar Przetwarzania danych osobowych określony w
  pkt IV powyżej na czas nieobecności pracowników, w sposób
  uniemożliwiający dostęp do nich osób trzecich;
3. wykorzystanie
  zamykanych szafek i sejfów do zabezpieczenia dokumentów;
4. wykorzystanie
  niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe;
5. ochronę
  sieci lokalnej przed działaniami inicjowanymi z zewnątrz;
6. wykonywanie
  kopii awaryjnych danych;
7. ochronę
  sprzętu komputerowego wykorzystywanego u administratora przed złośliwym
  oprogramowaniem;
8. zabezpieczenie
  dostępu do urządzeń Sklepu przy pomocy haseł dostępu;
9. Wykorzystanie
  szyfrowania danych przy ich transmisji.

VI.
Naruszenia zasad ochrony danych osobowych

W przypadku
stwierdzenia naruszenia ochrony danych osobowych Administrator dokonuje
oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw
lub wolności osób fizycznych.
W każdej
sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia
praw lub wolności osób fizycznych, Administrator zgłasza fakt naruszenia
zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki – jeżeli to
wykonalne, nie później niż w terminie 72 godzin po stwierdzeniu
naruszenia. Wzór zgłoszenia określa załącznik nr 3 do niniejszej polityki.
Jeżeli
ryzyko naruszenia praw i wolności jest wysokie, Administrator zawiadamia o
incydencie także osobę, której dane dotyczą.

VII.
Powierzenie przetwarzania danych osobowych

Administrator
Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu
podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z
wymogami wskazanymi dla takich umów w art. 28 RODO.
Przed
powierzeniem przetwarzania danych osobowych Administrator w miarę
możliwości uzyskuje informacje o dotychczasowych praktykach procesora
dotyczących zabezpieczenia danych osobowych.

VIII.
Przekazywanie danych do państwa trzeciego

Administrator
Danych Osobowych nie będzie przekazywał danych osobowych do państwa
trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której
dane dotyczą.

IX.

Postanowienia końcowe

Za niedopełnienie
obowiązków wynikających z niniejszego dokumentu pracownik ponosi
odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych
osobowych oraz Kodeksu karnego w odniesieniu do danych osobowych objętych
tajemnicą zawodową.