INFORMACJA DLA PACJENTA

ARIE Joanna Płużańska, Magda Tyrka sp.p.,

ul. Pienista 41 G m. 23, 94-109 Łódź

Zgodnie z postanowieniami

ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679

z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

(ogólne rozporządzenie o ochronie danych – RODO)

ARIE Joanna Płużańska, Magda Tyrka sp.p. informuje pacjenta:

Administratorem Twoich danych osobowych jest ARIE Joanna Płużańska, Magda Tyrka sp.p.

ul. Pienista 41 G m. 23, 94-109 Łódź zwanym dalej ARIE e-mail: rejestracja@arie-stomatologia.pl, numer telefonu : 42 307- 06-00/884-053-111 wpisana do wpisana do rejestru Centralnej Ewidencji Działalności Gospodarczej, numer NIP:727-278-3646, REGON: 101277893

Masz prawo dostępu do swoich danych, ich sprostowania, żądania ich usunięcia, prawo ograniczenia przetwarzania i prawo przenoszenia danych. Przysługuje Ci prawo wniesienia skargi do organu nadzorczego, jeżeli Twoje dane są przetwarzane niezgodnie z wymogami prawnymi.

Dane będą przetwarzane w celu prowadzenia przez Administratora działalności leczniczej, w szczególności w celu świadczenia przez Administratora usług medycznych, również drogą elektroniczną, świadczeniem usługi dostępu do prowadzonego systemu on-line. Dane będą również przetwarzane w celu prowadzenia wymaganej przepisami prawa dokumentacji medycznej, podejmowanymi działaniami marketingowymi, nawiązywaniem kontaktu za pośrednictwem dostępnych na stronach internetowych formularzy; nawiązanymi relacjami handlowymi.

Podanie danych jest dobrowolne, jednakże ich niepodanie będzie skutkowało niemożnością wykonania usługi medycznej.

Podstawą prawną przetwarzania Twoich danych w zakresie prowadzenia działalności leczniczej, w tym także w zakresie prowadzenia dokumentacji medycznej, jest art. 6 ust. 1 lit. c rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE – dalej: RODO, w zw.z przepisami ustawy z 15.04.2011 r. o działalności leczniczej oraz ustawy z 06.11.2008 r.
o prawach pacjenta i Rzeczniku Praw Pacjenta. Podstawą przetwarzania danych w zakresie, jaki jest niezbędny dla ochrony żywotnych interesów pacjenta, może być również art. 6 ust. 1 lit. d RODO. W zakresie, w jakim przetwarzane dane obejmują dane szczególnych kategorii, podstawą prawną przetwarzania danych jest art. 9 ust. 2 lit. c i h RODO.

Odbiorcami danych osobowych będą podmioty trzecie, jedynie wówczas, gdy będzie ku temu istniała odpowiednia podstawa prawna. Będą to organy państwowe, Partnerzy działający na zlecenie ARIE, np. współpracujący z nami lekarze aby w naszym imieniu mogli wykonać czynności lecznicze dla Państwa; Narodowy Fundusz Zdrowia, o ile dane te będą konieczne dla wykonania świadczenia w ramach NFZ. Dane osobowe mogą być również przekazywane współpracującym z nami firmami informatycznymi odpowiedzialnymi za prawidłowe działanie systemu informatycznego w ARIE.

Twoje dane osobowe nie będą przekazywane do państw znajdujących się poza Europejskim Obszarem Gospodarczym.

Administrator będzie stosował wobec Ciebie zautomatyzowane podejmowanie decyzji, w tym profilowanie, polegające na weryfikacji danych osobowych pod kątem wieku, płci, rodzaju schorzenia, co pozwala na automatyczne przypisanie danego pacjenta do konkretnego lekarza
z właściwa specjalizacją, w celu usprawnienia obsługi klientów w rejestracji online.

Dane osobowe zawarte w dokumentacji medycznej będą przetwarzane zgodnie z wymogami art. 29 ust. 1 ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r. poz. 1318), tj. przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem:

1. a.      dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która będzie przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon,

2. b.      dokumentacji medycznej zawierającej dane niezbędne do monitorowania losów krwi i jej składników, która będzie przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu,

3. c.       zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta, które będą przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie,

4. d.      skierowań na badania lub zleceń lekarza, które będą przechowywane przez okres 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia zdrowotnego będącego przedmiotem skierowania lub zlecenia lekarza, a przypadkach, gdy świadczenie nie zostało udzielone z powodu niezgłoszenia się pacjenta w ustalonym terminie –  przez okres 2 lat, chyba że pacjent odebrał skierowanie,

5. e.      dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia, która będzie przechowywana przez okres 22 lat.[5]

Okresy przechowywania dokumentacji medycznej wynika wprost z art. 29 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Administrator powinien przestrzegać tych terminów zarówno w zakresie dokumentacji papierowej, jak i wszelkich danych pacjenta, które są przetwarzane w formie elektronicznej. Zgodnie z art. 29 ust. 2 powyższej ustawy, po upływie wskazanych okresów Administrator powinien zniszczyć dokumentację (usunąć dane w formie elektronicznej) w sposób uniemożliwiający identyfikację pacjenta.


REGULAMIN OCHRONY DANYCH OSOBOWYCH

W

ARIE Joanna Płużańska, Magda Tyrka sp.p.

ul. Pienista 41 G m. 23

94-109 Łódź

Wstęp

Niniejszy Regulamin stanowi doprecyzowanie najistotniejszych zapisów zawartych w dokumentacji ochrony danych osobowych. Obowiązuje pracowników etatowych oraz współpracowników, posiadających ważne upoważnienia do przetwarzania danych osobowych nadane przez administratora danych.

Nadawanie upoważnień i uprawnień

1.Za nadawanie upoważnień do przetwarzania danych osobowych odpowiada osoba do tego umocowana przez Administratora Danych Osobowych – Administrator Systemu Informatycznego

2.Osoba nadająca upoważnienia jest niezwłocznie informowana o zatrudnieniu nowego pracownika łub zleceniobiorcy, jak i o zakończeniu stosunku pracy łub umowy zlecenia z  osobą upoważnioną.

3.Każda osoba przed nadaniem upoważnienia do przetwarzania danych osobowych musi:

a) zapoznać się z niniejszym regulaminem,

b) odbyć szkolenie z zasad ochrony danych osobowych,

c) podpisać oświadczenie o poufności.

4.Upoważnienie nadawane jest do przetwarzania danych osobowych w wersji papierowej i/lub systemie informatycznym.

5.W przypadku gdy upoważnienie udzielane jest do zbioru w systemie informatycznym, administrator tego systemu nadaje osobie indywidualny i unikalny identyfikator w systemie.

6.W przypadku odebrania upoważnienia do przetwarzania danych osobowych, uprawnienia przydzielone w systemie informatycznym osoby są blokowane.

7.Administrator systemu odpowiada za rejestrowanie przydzielonych uprawnień w systemie informatycznym oraz za prowadzenie rejestru osób upoważnionych.

Polityka haseł

1.Hasło dostępu do systemu informatycznego składa się co najmniej z 8 znaków (dużych i  małych liter oraz z cyfr lub znaków specjalnych)

2.Zmiana hasła dostępowego do systemu informatycznego następuje nie rzadziej niż co 30 dni oraz niezwłocznie w przypadku podejrzenia, że hasło mogło zostać ujawnione.

3.Zmianę hasła wymusza system a użytkownik zobowiązany jest do manualnej zmiany hasła.

4.Hasła nie mogą być powszechnie używanymi słowami, w szczególności nie należy jako haseł wykorzystywać: dat, imion, nazwisk, inicjałów, numerów rejestracyjnych samochodów, numerów telefonów.

5.Osoba posiadająca dostęp do systemu informatycznego zachowuje hasło w poufności, nawet po jego zmianie na nowe, w szczególności zabronione jest zapisywanie haseł w sposób jawny oraz przekazywanie ich innym osobom.

Użytkowanie systemu informatycznego

1.Sprzęt informatyczny służący do przetwarzania danych osobowych składa się w  szczególności z komputerów stacjonarnych, elektronicznych nośników danych osobowych, sieciowego sprzętu drukującego, infrastruktury sieci LAN oraz stacji serwerowych.

2.Osoba korzystająca z systemu informatycznego.

a) jest zobowiązana do użytku sprzętu w sposób zgodny z jego przeznaczeniem oraz do ochrony sprzętu przed zniszczeniem, utratą lub uszkodzeniem,

b) jest zobowiązana do informowania administratora tego systemu o każdej sytuacji zniszczenia, utraty lub uszkodzenia powierzonego sprzętu,

c) nie może instalować samowolnie żadnego oprogramowania w systemie informatycznym, ani próbować złamać lub uzyskać uprawnienia administracyjne w tym systemie,

d) nie może samowolnie otwierać (demontować) sprzętu, instalować dodatkowych urządzeń (np. twardych dysków, pamięci) lub podłączać jakichkolwiek niezatwierdzonych urządzeń do systemu informatycznego (w tym prywatnych urządzeń, nawet jedynie w celu ładowania baterii tych urządzeń).

Polityka czystego ekranu

1.Osoba korzystająca z systemu informatycznego jest zobowiązana do zachowania polityki czystego ekranu, tj. zapewnienia, by osoby nieupoważnione nie miały wglądu w treści wyświetlane na monitorach ekranowych lub ekranach komputerów przenośnych.

2.Osoba korzystająca z systemu informatycznego jest zobowiązana do manualnego uruchamia wygaszacza ekranu chronionego hasłem w każdej sytuacji, gdy pozostawia system informatyczny bez nadzoru (nawet na chwilę).

3.Zabronione jest gromadzenie danych osobowych w postaci tzw. zrzutów ekranów z systemu informatycznego, jak i wysyłanie takich informacji poza organizację bez zgody administratora tego systemu.

4.Osoby korzystające z systemu informatycznego powinny zwracać szczególną uwagę na:

a) ustawienie monitorów lub ekranów komputerów przenośnych w obszarze przetwarzania względem okien (w przypadku blisko siebie sąsiadujących budynków) oraz drzwi wejściowych, przez które mogą wejść osoby nieupoważnione,

b) uruchamianie komputerów przenośnych poza obszarem przetwarzania w miejscach publicznie dostępnych (np. lotniska, dworce, sale konferencyjne itp.),

c) osoby nieupoważnione pozostające w obszarze przetwarzania danych bez nadzoru osób upoważnionych.

Polityka czystego biurka i czystego druku

1.Osoba przetwarzająca dane osobowe jest zobowiązana do zachowania polityki czystego biurka, tj. zapewnienia by po zakończeniu pracy wszelkie dane osobowe zarówno w wersji papierowej, jak i na elektronicznych nośnikach znajdowały się poza zasięgiem wzroku i dłoni.

2.Osoba przetwarzająca dane osobowe jest zobowiązana do stosowania wszelkich zabezpieczeń danych udostępnionych przez administratora danych, tj. jeżeli pomieszczenie jest zaopatrzone w meble zamykane na klucz, to należy zamykać szafy przed zakończeniem pracy, a klucze umieszczać w bezpiecznym miejscu.

3.Ostatnia osoba opuszczająca obszar przetwarzania jest zobowiązana do sprawdzenia, czy wszystkie okna są zamknięte (ryzyko zalania pomieszczeń lub włamania) oraz czy wszelkie inne zabezpieczenia są uruchomione (np. system alarmowy należy uzbroić, drzwi należy zamknąć).

4.Zabrania się pozostawiania wydruków zawierających dane osobowe w pobliżu urządzeń drukujących bez nadzoru; dokumenty błędnie wydrukowane należy niezwłocznie niszczyć z wykorzystaniem niszczarek lub pojemników do utylizacji dokumentacji poufnej.

5.Przewożenie poza obszarem przetwarzania wersji papierowej danych osobowych musi odbywać się w sposób zapewniający ich poufność, tj. dokumenty muszą być zakryte
i  zabezpieczone przed przypadkową utratą.

Udostępnianie danych osobowych

1.Osoba przetwarzająca dane osobowe może udostępniać dane osobowe drogą telefoniczną jedynie wtedy, gdy ma pewność co do tożsamości swojego rozmówcy (w razie wątpliwości należy weryfikować tożsamość np. poprzez żądanie podania fragmentu informacji znanej tylko osobie właściwej np. PESEL, nr dokumentu, nazwisko lekarza, data ostatniej wizyty itd.).

2.Dane osobowe można udostępnić tylko osobie, której dane dotyczą, lub innej osobie za jej zgodą przechowywaną w celach dowodowych przy zachowaniu procedury przewidzianej w punkcie powyższym.

3.Udostępniając dane osobowe w miejscach publicznie dostępnych, należy zagwarantować poufność danych. Jeżeli ustne przekazanie danych nie gwarantuje poufności, należy skorzystać z udostępnienia w wersji pisemnej (do wglądu).

4.Należy zwracać uwagę na sytuacje mogące stanowić ryzyko ujawnienia danych osobowych lub informacji o stosowanych zabezpieczeniach osobie nieupoważnionej, takie jak:

a) żądanie udostępnienia danych przez osoby podszywające się (kradzież tożsamości),

b) żądanie udostępnienia informacji o stosowanych zabezpieczeniach, w tym w  szczególności udostępnienia obecnych, jak i poprzednio stosowanych haseł dostępowych do systemów informatycznych (socjotechnika telefoniczna),

c) wszelkie inne nieuzasadnione i podejrzane żądania udostępnienia informacji, w  szczególności drogą telefoniczną

Korzystanie z dostępu do Internetu

1.Osoby przetwarzające dane mają prawo korzystać z dostępu do Internetu jedynie w celu wykonywania obowiązków na zajmowanym stanowisku.

2.Przy korzystaniu z Internetu osoby przetwarzające dane mają obowiązek przestrzegać prawa własności przemysłowej i praw autorskich.

3.Osoby przetwarzające dane nie maja prawa korzystania z Internetu w celu przeglądania treści o charakterze obraźliwym, niemoralnym lub niestosownym wobec powszechnie obowiązujących zasad postępowania, a także grać w gry komputerowe w Internecie lub w systemie informatycznym.

4.W zakresie dozwolonym przepisami prawa administrator danych zastrzega sobie prawo kontrolowania sposobu korzystania przez osoby przetwarzające dane z Internetu pod kątem wyżej opisanych zasad.

5. ARIE Joanna Płużańska, Magda Tyrka sp.p., ul. Pienista 41 G m. 23, 94-109 Łódź może udostępnić internet poprzez WiFi wyłącznie na zasadach opisanych i zatwierdzonych przez Administratora Danych Osobowych w  regulaminie.

Korzystanie z poczty elektronicznej

1.Poczta elektroniczna jest przeznaczona wyłącznie do wykonywania obowiązków na zajmowanym stanowisku.

2.Przy korzystaniu z poczty elektronicznej osoby przetwarzające dane mają obowiązek przestrzegać prawa własności przemysłowej i prawa autorskiego.

3.Osoby przetwarzające dane nie mają prawa wysyłać wiadomości zawierających informacje określone jako poufne, dotyczące administratora danych, jego pracowników, klientów, dostawców lub kontrahentów za pośrednictwem internetu, w tym przy użyciu prywatnej elektronicznej skrzynki pocztowej.

4.Osoby przetwarzające dane nie powinny otwierać wiadomości przesłanych droga elektroniczną od nieznanych sobie nadawców, gdy tytuł nie sugeruje związku z wypełnianymi przez nie obowiązkami na zajmowanym stanowisku.

5.Użytkownicy nie powinni uruchamiać wykonywalnych załączników dołączonych do wiadomości przesłanych pocztą elektroniczną.

6.W przypadku przesyłania plików zawierających dane osobowe, dane wrażliwe do podmiotów zewnętrznych, osoba przetwarzająca dane zobowiązana jest do ich spakowania i  opatrzenia hasłem. Hasło należy przesłać odrębnymi środkami komunikacji ( np.SMS).

7.Udostępnianie danych musi być odnotowane a osoba przetwarzająca dane musi uzyskać potwierdzenie wystąpienia o udostępnienie danych przez właściwą osobę oraz pokwitowanie odebrania danych w postaci tworzącej stały dowód ( np. wydruk korespondencji elektronicznej).

Elektroniczne nośniki danych

1.Elektroniczne nośniki danych to np. wymienne twarde dyski, pen-drive, płyty CD, DVD, pamięci typu Flash.

2.Osoby przetwarzające dane nie mogą wynosić poza obszar przetwarzania wymiennych elektronicznych nośników informacji z zapisanymi danymi osobowymi bez zgody Administratora Danych Osobowych.

3.W przypadku uszkodzenia lub zużycia nośnika zawierającego dane osobowe należy fizycznie zniszczyć nośnik przez spalenie lub rozdrobnienie.

Instrukcja alarmowa

1. Osoba przetwarzająca dane zobowiązana jest do powiadomienia administratora danych w  przypadku stwierdzenia lub podejrzenia naruszenia ochrony danych osobowych, w  szczególności gdy:

a) ślady na drzwiach, oknach i szafach wskazują na próbę włamania,

b) dokumentacja jest niszczona bez użycia niszczarki,

c) drzwi do pomieszczeń, szaf, gdzie przechowywane są dane osobowe, pozostają otwarte,

d) ustawienie monitorów pozwala na wgląd osób nieupoważnionych,

e) ma miejsce nieautoryzowane wynoszenie danych osobowych w wersji papierowej i/lub elektronicznej poza obszar przetwarzania,

f) występują telefoniczne próby wyłudzenia danych osobowych,

g) nastąpiła kradzież komputerów lub elektronicznych nośników danych,

h) pojawia się zagrożenie notyfikowane przez program antywirusowy,

i) hasła do systemów przechowywane są w pobliżu komputera.

Postępowanie dyscyplinarne

1.Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego Regulaminu mogą zostać potraktowane jako ciężkie naruszenie obowiązków pracowniczych lub zobowiązań umownych. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego podejrzenia takiego naruszenia nie podjęła działania określonego w niniejszym Regulaminie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, można wszcząć postępowanie dyscyplinarne.

2.Kara dyscyplinarna zastosowana wobec osoby uchylającej się od powiadomienia nie wyklucza odpowiedzialności karnej tej osoby zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie
o ochronie danych). oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez administratora danych o  zrekompensowanie poniesionych strat.


POLITYKA

BEZPIECZEŃSTWA

DANYCH OSOBOWYCH

W

ARIE Joanna Płużańska, Magda Tyrka sp.p.

ul. Pienista 41 G m. 23

94-109 Łódź

Wymagania prawne:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

  1. Wykaz podstawowych skrótów

Skrót

Opis

ADO

Administrator Danych Osobowych

ASI

Administrator Systemów Informatycznych

IOD

Inspektor Ochrony Danych

SI

System Informatyczny

PBDO

Polityka Bezpieczeństwa Danych Osobowych

IZSI

Instrukcja Zarządzania Systemem Informatycznym

RODO

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)

  1.  Ilekroć w niniejszej Polityce Bezpieczeństwa Danych Osobowych mowa o:

Administratorze Danych Osobowych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

Administratorze Systemu Informatycznego – rozumie się przez to pracownika Administratora Danych Osobowych lub inne osoby odpowiedzialne za funkcjonowanie systemów i sieci teleinformatycznych oraz za przestrzeganie zasad i wymogów bezpieczeństwa systemów
i  sieci teleinformatycznych;

Inspektorze Ochrony Danych – rozumie się przez to osobę odpowiedzialną za bieżący nadzór stosowania przepisów dot. ochrony danych osobowych;

Osobie upoważnionej – rozumie się przez to osobę upoważnioną przez Administratora Danych Osobowych do przetwarzania danych osobowych. Osobą upoważnioną może być pracownik Spółki, osoba wykonująca prace na podstawie umowy zlecenia lub innej umowy cywilno-prawnej, a także osoba odbywająca wolontariat, praktykę lub staż;

Danych osobowych – rozumie się przez to informacje o zidentyfikowanej lub możliwej do  zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”);

Możliwej do zidentyfikowania osobie fizycznej – rozumie się przez to osobę, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Przetwarzaniu danych osobowych – rozumie się przez to operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Zbiorze danych osobowych – rozumie się przez to uporządkowany zestaw danych
o  charakterze osobowym, dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Podmiocie przetwarzającym – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora Danych Osobowych;

Odbiorcy danych – rozumie się przez to osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postepowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

Systemie informatycznym – rozumie się przez to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych;

Bezpieczeństwie danych osobowych – rozumie się przez to zespół zasad, jakimi należy się kierować projektując oraz wykorzystując systemy i aplikacje służące do przetwarzania danych osobowych, by w każdych okolicznościach dostęp do nich był zgodny z  założeniami i zapewniał ich poufność, integralność oraz dostępność;

Poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom lub podmiotom;

Integralności danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

Dostępności danych – rozumie się przez to właściwość zapewniającą, że dane są osiągalne i możliwe do wykorzystania na żądanie, w założonym czasie, przez uprawnioną osobę lub podmiot;

Zgodzie osoby, której dane dotyczą – rozumie się przez to dobrowolne, konkretne, świadome i jednoznaczne okazanie woli przez osobę, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwalające na przetwarzanie dotyczących jej danych osobowych;

Państwie trzecim – rozumie się przez to państwo nienależące do Europejskiego Obszaru Gospodarczego;

Incydencie – rozumie się przez to naruszenie bezpieczeństwa danych osobowych;

Zagrożeniu – rozumie się przez to potencjalną możliwość wystąpienia incydentu;

Naruszeniu ochrony danych osobowych – rozumie się przez to naruszenie bezpieczeństwa danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu
do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

  1. Wprowadzenie

Polityka Bezpieczeństwa Danych Osobowych określa reguły przetwarzania danych osobowych oraz sposobów ich zabezpieczenia, jako zestaw praw, zasad i zaleceń regulujących sposób ich zarządzania, ochrony i dystrybucji w firmie ARIE Joanna Płużańska, Magda Tyrka sp.p., ul. Pienista 41 G m. 23, 94-109 Łódź. Polityka zawiera informacje dotyczące rozpoznawania procesów przetwarzania danych osobowych oraz wprowadzonych zabezpieczeń techniczno-organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych.

Niniejszy dokument jest zgodny z obowiązującymi przepisami prawa, a w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w  sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

  1. Cele Polityki Bezpieczeństwa Danych Osobowych

Celem Polityki Bezpieczeństwa Danych Osobowych jest określenie oraz wdrożenie zasad bezpieczeństwa i ochrony danych osobowych przetwarzanych w firmie ARIE Joanna Płużańska, Magda Tyrka sp.p., ul. Pienista 41 G m. 23, 94-109 Łódź

a w szczególności:

  1. zapewnienie spełnienia wymagań prawnych;

  2. zapewnienie poufności, integralności oraz rozliczalności danych osobowych przetwarzanych w firmie;

  3. podnoszenie świadomości osób przetwarzających dane osobowe;

  4. zaangażowanie osób przetwarzających dane osobowe firmy w ich ochronę.

5. Zakres rozpowszechniania Polityki Bezpieczeństwa Danych Osobowych

1) Z treścią niniejszej Polityki Bezpieczeństwa Danych Osobowych powinny zapoznać się wszystkie podmioty przetwarzające dane osobowe w imieniu Administratora Danych Osobowych.

6. Inspektor Ochrony Danych

  1. Inspektor Ochrony Danych monitoruje przestrzeganie zasad bezpieczeństwa oraz prowadzi kontrolę przetwarzania danych osobowych.
  2. Inspektor Ochrony Danych wykonuje w szczególności następujące zadania:
  3. zapewnienia przestrzeganie przepisów o ochronie danych osobowych,
  4. opiniowanie, pod względem zgodności z PBDO oraz z przepisami prawa umów, procedur i innych wytworzonych dokumentów dotyczących bezpieczeństwa i przetwarzania danych osobowych;
  5. podejmowanie lub wnioskowanie o podjęcie odpowiednich działań w przypadku naruszenia lub podejrzenia naruszenia bezpieczeństwa danych osobowych oraz prowadzenie adekwatnej dokumentacji w tym zakresie;
  6. Inspektor Ochrony Danych może wykonywać swoje obowiązki poprzez wyznaczonych zastępców.
  7. Administrator Danych Osobowych upoważnia Inspektora Ochrony Danych do przetwarzania danych osobowych we wszystkich zbiorach Administratora Danych Osobowych oraz poza nimi w zakresie niezbędnym dla należytego wykonywania funkcji Inspektora Ochrony Danych, a także do wydawania w imieniu Administratora Danych Osobowych upoważnień do przetwarzania danych osobowych.

7. Osoby upoważnione do przetwarzania danych osobowych

  1. Do obowiązków osób upoważnionych do przetwarzania danych osobowych należy:

  • zapoznanie się z przepisami prawa w zakresie ochrony danych osobowych oraz postanowieniami Polityki Bezpieczeństwa Danych Osobowych i Instrukcji Zarządzania Systemami Informatycznymi;

  • stosowanie się do zaleceń Inspektora Ochrony Danych;

  • przetwarzania danych osobowych wyłącznie w zakresie ustalonym indywidualnie przez Administratora Danych Osobowych w pisemnym upoważnieniu i tylko w celu wykonywania nałożonych obowiązków służbowych;

  • niezwłoczne informowanie Inspektora Ochrony Danych o wszelkich nieprawidłowościach dotyczących bezpieczeństwa danych osobowych przetwarzanych w firmie;

  • ochronę danych osobowych oraz środków wykorzystywanych do przetwarzania danych osobowych przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem;

  • korzystanie z systemów informatycznych firmy w sposób zgodny ze wskazówkami zawartymi w instrukcjach obsługi urządzeń wchodzących w skład systemów informatycznych;

  • bezterminowe zachowanie w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia;

  • zachowanie szczególnej staranności w trakcie wykonywania operacji przetwarzania danych osobowych w celu ochrony interesów osób, których dane dotyczą.

8. Podstawowe zasady ochrony danych osobowych

  1. Wszystkie dane osobowe w firmie należy przetwarzać zgodnie z obowiązującymi przepisami prawa.

  2. W stosunku do osób, których dane osobowe są przetwarzane należy spełnić obowiązek informacyjny wynikający z przepisów RODO.

  3. Zebrane dane osobowe należy przetwarzać dla oznaczonych i zgodnych z prawem celów i nie poddawać dalszemu przetwarzaniu niezgodnemu z tymi celami.

  4. Należy zadbać, aby przetwarzanie danych osobowych odbywało się zgodnie z zasadami dotyczącej merytorycznej poprawności oraz adekwatnie do celów w jakich zostały zebrane.

  5. Dane osobowe w firmie można przetwarzać nie dłużej niż jest to niezbędne do osiągnięcia celu ich przetwarzania.

  6. Należy zapewnić poufność, integralność oraz rozliczalność danych osobowych przetwarzanych w firmie.

  7. Przetwarzane dane osobowe nie mogą być udostępniane bez zgody osób, których dane dotyczą, chyba że udostępnia się te dane osobom, których dane dotyczą, osobom upoważnionym do przetwarzania danych osobowych, podmiotom którym przekazano dane na podstawie umowy powierzenia oraz organom państwowym lub organom samorządu terytorialnego w związku z prowadzonym postępowaniem.

  8. Przetwarzanie danych osobowych w firmie może odbywać się zarówno w systemach informatycznych, jak i w formie tradycyjnej: kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych.

  9. W zakresie danych osobowych przetwarzanych w innych systemach niż informatyczne, obowiązują nadal dotychczasowe przepisy o tajemnicy służbowej, obiegu i zabezpieczaniu dokumentów służbowych.

  10. Wszystkim osobom, których dane są przetwarzane przysługuje prawo do ochrony danych ich dotyczących, do kontroli przetwarzania tych danych oraz do ich uaktualniania, usunięcia jak również do uzyskiwania wszystkich informacji o przysługujących im prawach.

9. Upoważnienie do przetwarzania danych osobowych

  1. Do przetwarzania danych osobowych i obsługi zbiorów informatycznych zawierających te dane mogą być dopuszczone wyłącznie osoby posiadające upoważnienie do przetwarzania danych osobowych (wzór upoważnienia stanowi załącznik 1) wydane przez Administratora Danych Osobowych oraz złożyły stosowne oświadczenie dot. właściwej realizacji przepisów RODO (wzór oświadczenia stanowi załącznik 2).

  2. Administrator Danych Osobowych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych (wzór ewidencji stanowi załącznik 3).

10. Powierzenie przetwarzania danych osobowych

  1. Administrator Danych Osobowych może zlecić innemu podmiotowi przetwarzanie danych osobowych w celu realizacji określonego zadania.

  2. W sytuacji powierzenia przetwarzania danych osobowych podmiotowi zewnętrznemu, w umowie powierzenia przetwarzania danych osobowych określa się przede wszystkim przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

11. Udostępnianie danych osobowych

  1. Dane osobowe udostępnia się na wniosek wg wzoru stanowiącego Załącznik nr 4 do niniejszej PBDO.

  2. Wniosek o udostępnienie danych, który wpłynął do firmy rozpatruje Właściciel zbioru.

  3. Wniosek o udostępnienie danych osobowych, którego sposób rozpatrzenia budzi uzasadnione wątpliwości, może zostać przesłany, wraz z informacjami niezbędnymi dla jego rozpatrzenia, do Inspektora Ochrony Danych w celu zajęcia stanowiska w sprawie. Do wniosku dołącza się projekt odpowiedzi wraz z uzasadnieniem.

  4. Informacje, zawierające dane osobowe są udostępniane uprawnionym podmiotom:

  1. w formie wydruku listem poleconym lub za potwierdzeniem osobistego odbioru,

  2. w drodze teletransmisji danych (w sposób gwarantujący poufność przesyłanych danych),

  3. na elektronicznych nośnikach informacji, za potwierdzeniem odbioru,

  4. w inny sposób określony przepisami prawa lub umową.

  5. Udostępniane dane osobowe podlegają kontroli przez Właściciela zbioru, z którego one pochodzą.

  6. Ewidencja przypadków udostepnienia danych prowadzona jest przez Właścicieli zbiorów w wersji elektronicznej lub papierowej.

  7. Ewidencja udostępnień prowadzona jest wg wzoru stanowiącego Załącznik nr 5 do niniejszej PBDO.

  8. Właściciel zbioru zobowiązany jest umożliwić dostęp Inspektorowi Ochrony Danych
    do prowadzonych ewidencji udostępnień.

12. Przekazywanie danych osobowych poza Polskę

  1. Administrator Danych Osobowych może przekazywać dane osobowe do:

  • państw Europejskiego Obszaru Gospodarczego;

  • pozostałych państw (państwa trzecie).

  1. Przekazywanie danych osobowych w ramach EOG traktuje się tak, jakby były przetwarzane na terenie Polski.

  2. W przypadku przekazywania danych osobowych do państwa trzeciego, przekazywanie następuje zgodnie z Rozdziałem V art. 44 – 49 RODO.

13. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej wykaz budynków, pomieszczeń lub części pomieszczeń tworzący obszar, w którym przetwarzane są dane osobowe zarówno w formie papierowej jak i elektronicznej. Aktualny wykaz obszarów przetwarzania danych osobowych zawarto w załączniku Z6-PBDO.

14. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych  Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej wykaz wszystkich zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych. Aktualny wykaz zbiorów danych osobowych zawarto w załączniku 7.

15. Opis struktury zbiorów danych osobowych

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej opis struktury zbiorów danych osobowych przetwarzanych w firmie. Aktualny opis struktury zbiorów danych osobowych zawarto w załączniku 8.

16. Opis sposobu przepływu danych pomiędzy poszczególnymi systemami

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej opis sposobu przepływu danych pomiędzy poszczególnymi systemami. Aktualny opis sposobu przepływu danych zawarto w załączniku 9.

17. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

Inspektor Ochrony Danych odpowiedzialny jest za prowadzenie i przechowywanie dokumentacji zawierającej określone środki techniczne i organizacyjne niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Aktualny opis stosowanych środków technicznych i organizacyjnych zawarto w Audycie (wzór w załączniku Z10-PBDO.)

18. Zarządzanie incydentami bezpieczeństwa danych osobowych

Szczegółowy sposób zarządzania incydentami dot. ochrony danych osobowych reguluje przyjęta przez firmę ARIE Joanna Płużańska, Magda Tyrka sp.p., ul. Pienista 41 G m. 23, 94-109 Łódź „Polityka zarządzania incydentami bezpieczeństwa danych osobowych”. (wzór stanowi załącznik Z11-PBDO).

19. Przepisy karne i porządkowe

Przepisy karne i porządkowe reguluje:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w  sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

20. Postanowienia końcowe

W sprawach nieuregulowanych w niniejszej Polityce Bezpieczeństwa Danych Osobowych mają zastosowanie przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).