POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

w

Fundacja na Rzecz Aktywnego Rozwoju Telemedycyny i e-Zdrowia w Polsce – „Fundacja e-medycyna”

 

I. Podstawy prawne.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE RODO (Dz. Urz. UE L119  z 4 maja 2016r.)

II. Definicje.

1. Administrator danych – „Fundacja na Rzecz Aktywnego Rozwoju Telemedycyny i e-Zdrowia w Polsce – „Fundacja e-Medycyna” z siedzibą w Szczecinie przy ul. Gombrowicza 8/5, 70-785 Szczecin, wpisana do Rejestru Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Szczecin-Centrum w Szczecinie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS 0000556694, REGON 361438283, NIP 8522613361

2. Procesor – osoba fizyczna lub prawa, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

3. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

4. Użytkownik – osoba upoważniona przez Administratora Danych do Przetwarzania danych osobowych w systemach IT.

5. System Informatyczny (system IT) – zespół współpracujących ze sobą urządzeń, systemów, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych do przetwarzania danych osobowych.

6. Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.

7. Przetwarzanie danych – operacja lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taka jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie lub niszczenie.

8. Uwierzytelnienie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu (użytkownika).

9. Identyfikator – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.

10. Hasło – ciąg znaków literowych, cyfrowych lub innych, znanych jedynie osobie uprawnionej do pracy w systemie IT – Użytkownikowi.

 

III. Postanowienia Ogólne.

 

1. Niniejsza Polityka Bezpieczeństwa zwana dalej Polityką jest wewnętrznym dokumentem określającym reguły postępowania przy przetwarzaniu danych osobowych w Fundacja na Rzecz Aktywnego Rozwoju Telemedycyny i e-Zdrowia w Polsce – „Fundacja e-medycyna”.

2. Celem Polityki jest wytyczenie działań, jakie należy podejmować oraz ustanowienie reguł, jakie należy stosować podczas przetwarzania danych osobowych, a w szczególności ich ochrona przed wszelakimi zagrożeniami zewnętrznymi czy wewnętrznymi, podejmowanymi świadomie lub nieświadomie.

3. Polityka została sporządzona w celu wykazania, że dane osobowe są przetwarzane i zabezpieczone zgodnie z prawem dotyczącymi zasad zgodnych z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanej dalej RODO.

4. Ochrona danych osobowych w postaci doboru środków technicznych i organizacyjnych została realizowana proporcjonalnie i adekwatnie do ryzyka naruszenia danych osobowych w ramach działalności i mają zastosowanie do wszystkich:

a) danych osobowych przetwarzanych za pomocą sprzętu komputerowego, takich jak komputery przenośne i laptopy oraz innych urządzeń wykorzystywanych w ramach nowych technologii,

b) danych osobowych zapisanych na wszelakich nośnikach informacji np. papierowych, magnetycznych, optycznych czy elektronicznych, w tym bazy danych i ich kopie zapasowe,

c) budynków i pomieszczeń w których przetwarzane są dane osobowe,

d) osób stanowiących personel firmy oraz innych osób mających dostęp do danych osobowych.

5. Polityka jest przechowywana w wersji elektronicznej oraz w wersji papierowej, we wszystkich budynkach, w których przetwarza się dane osobowe.

6. Polityka jest obowiązkową lekturą każdej osoby przetwarzającej dane osobowe, oraz której mają zostać nadane upoważnienia do przetwarzania danych osobowych, celem zapoznania się z jej treścią.

7. Dla prawidłowej i skutecznej realizacji Polityki Administrator Danych zapewnia:

a) adekwatne do zagrożeń i kategorii danych objętych ochroną środki techniczne i rozwiązania organizacyjne,

b) kontrolę i nadzór nad procesem Przetwarzania danych osobowych,

c) monitorowanie zastosowanych środków ochrony, uwzględniających stan wiedzy technicznej oraz koszty wdrożenia.

8. Do zadań Inspektora Danych Osobowych (IOD) należy:

a) informowanie administratora oraz użytkowników o obowiązkach, spoczywających na nich na mocy RODO, oraz doradzanie im w tej sprawie

b) monitorowanie przestrzegania RODO,

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania,

d) współpracy z organem nadzorczym,

e) pełnienie funkcji punktu kontrolnego dla organu nadzorczego w kwestiach związanych z przetwarzaniem.

9. Monitorowanie przez Administratora Danych zastosowanych środków ochrony obejmuje:

a) działania Użytkowników,

b) naruszanie zasad dostępu do danych, rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do zasobów wtedy, gdy to jest potrzebne,

c) zapewnienie integralności systemu, rozumianą jako niemożności jakiejkolwiek manipulacji,

d) zapewnienie poufności, rozumiane jako właściwość zapewniającą, że dane osobowe nie są udostępniane osobom nieupoważnionym,

e) rozliczalności danych, rozumiane jako właściwość zapewniającą, że działania Użytkownika nie mogą być przypisane innej osobie,

f) zarządzanie ryzykiem, rozumianym jako proces identyfikowania, minimalizowania i eliminowania ryzyka dotyczącego bezpieczeństwa informacji.

g) współpracy z organem nadzorczym

10. Administrator Danych zapewnia, że czynności wykonywane w związku z przetwarzaniem i zabezpieczaniem danych osobowych są zgodne z niniejszą Polityką oraz z RODO.

 

IV. Dane osobowe przetwarzane u administratora danych.

 

1. Dane osobowe przetwarzane przez Administratora Danych gromadzone są:

a) Zbiorach danych:

i. Zgodnie z Rejestrem czynności przetwarzania

b) Systemach informatycznych i aplikacjach

i. W dokumentach i arkuszach

ii. Poczta elektroniczna

c) Archiwizowanych zbiorach danych.

2. Kategorie przetwarzanych danych osobowych – pola informacyjne:

a) Imiona i nazwiska.

b) Adres zamieszkania lub pobytu.

c) Numery z istniejących rejestrów i ewidencji.

d) Adresy poczty elektronicznej.

e) Numery telefonów.

f) Informacje wrażliwe – informacje o stanie zdrowia.

g) inne

3. Administrator danych nie podejmuje czynności przetwarzania, które mogłyby się wiązać z poważnym prawdopodobieństwem wystąpienia wysokiego ryzyka dla praw i wolności osób. W przypadku planowania takiego przetwarzania, Administrator wykona wszystkie czynności określone w art. 35 RODO.

4. W przypadku planowania nowych czynności przetwarzania Administrator zwraca się do Inspektora ochrony danych (IOD) o przygotowanie analizy skutków dla ochrony danych osobowych z uwzględnieniem kwestii ochronnych danych osobowych w fazie ich projektowania. Zgodnie z zaleceniem stosowania zasady „Privacy by default”.

5. Administrator danych prowadzi rejestr czynności przetwarzania, stanowiący Załącznik nr 1 do niniejszej Polityki oraz Rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora, stanowiący Załącznik nr 2 do niniejszej Polityki.

 

V. Zarządzanie bezpieczeństwem – odpowiedzialność i obowiązki.

 

1. Wszystkie osoby zobowiązane są do przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa, obowiązującą Polityką oraz Instrukcją Zarządzania Systemem Informatycznym przyjętych i zatwierdzonych przez Administratora Danych w Fundacja na Rzecz Aktywnego Rozwoju Telemedycyny i e-Zdrowia w Polsce – „Fundacja e-medycyna”.

2. Wszystkie przetwarzane dane osobowe w Placówce uwzględniają zasady przetwarzania danych określone w art. 5 ogólnego rozporządzenia o ochronie danych:

a) Wszystkie przetwarzane dane posiadają co najmniej jedną przewidzianą przepisami prawa podstawę prawną.

b) Dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach; Administrator danych o każdym celu informuje osoby, których dane są zbierane.

c) Administrator przetwarza dane rzetelnie; informacje do osób, których dane są pozyskiwane są jasne, zwięzłe, wyraźne, nie pisane tzw. drobnym drukiem.

d) Dane osobowe są przetwarzane jedynie w zakresie niezbędnym do realizacji celu przetwarzania danych.

e) Administrator przetwarza dane tylko prawidłowe, dane nieprawidłowe są uaktualniane lub usuwane.

f) Administrator przechowuje dane w formie umożliwiającej identyfikację osoby, której dane dotyczą przez okres nie dłuży, niż jest to niezbędne do celów, w których dane są przetwarzane.

g) Administrator podczas zbierania danych dokonuje obowiązku informacyjnego wobec osób, których dane dotyczą, zgodnie z treścią art. 13 i 14 RODO, załącznik nr 3.

h) Administrator przetwarza dane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych i organizacyjnych.

3. Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony Danych osobowych uważa się w szczególności:

a) Naruszenie bezpieczeństwa Systemów IT, w których dane osobowe są przetwarzane.

b) Udostępnienie lub umożliwienie udostępnienia danych osobowych, osobom do tego nieupoważnionym.

c) Niedopełnienie lub zaniechanie (nawet nieumyślne) obowiązku zapewnienia ochrony danym osobowym.

d) Przetwarzanie Danych osobowych niezgodne z założonym celem i zakresem podczas ich zbierania.

e) Przyczynienie się do uszkodzenia, utraty, niekontrolowanej zmiany Danych osobowych.

f) Nieuprawnione pozyskiwanie, kopiowanie zbiorów danych osobowych.

g) Kopiowanie danych na niezabezpieczone nośniki lub wysłanie danych osobowych niezaszyfrowanych drogą elektroniczną.

h) Naruszenie praw osób, których dane są przetwarzane.

4. W przypadku naruszenia zasad ochronnych danych osobowych Użytkownik zobowiązany jest do podjęcia wszelkich niezbędnych kroków, mających na celu ograniczenie skutków naruszenia i do niezwłocznego poinformowania Administratora Danych oraz Inspektora Ochrony Danych.

5. Administrator danych osobowych zobowiązany jest w zakresie zatrudniania, zakończenia, zmiany warunków zatrudnienia pracowników lub współpracowników, czy osób podejmujących czynności na rzecz Administratora na podstawie innych umów cywilno-prawnych o dopilnowanie, aby:

a) pracownicy byli odpowiednio przygotowani do wykonywania swoich obowiązków,

b) każda osoba przetwarzająca Dane osobowe była pisemnie upoważniona do przetwarzania zgodnie z „Upoważnieniem do przetwarzania danych osobowych” – załącznik nr 4 niniejszej Polityki,

c) każda osoba przetwarzająca Dane osobowe została przeszkolona w zakresie prawidłowego przetwarzania ochrony danych osobowych i podpisała „Kartę szkolenia wstępnego z zakresu ochrony danych osobowych” – załącznik nr 5 niniejszej Polityki,

d) każda osoba przetwarzająca Dane osobowe zobowiązała się zachowania danych osobowych przetwarzanych w Placówce w tajemnicy własnoręcznym podpisem. „Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych” – załącznik nr 6 niniejszej Polityki,

e) powyższe oświadczenia (załącznik nr 5 i 6) zostają włączone do akt osobowych pracownika.

6. Pracownicy zobowiązani są do:

a) przetwarzania i ochrony danych osobowych zgodnie z obowiązującymi przepisami,

b) ścisłego przestrzegania zakresu nadanego upoważnienia,

c) zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczania,

d) zgłaszanie incydentów związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem systemu Inspektorowi Ochrony Danych (IOD).

 

 

VI. Obszar przetwarzania danych osobowych.

 

1. Obszar, w którym przetwarzane są Dane osobowe w Fundacja na Rzecz Aktywnego Rozwoju Telemedycyny i e-Zdrowia w Polsce – „Fundacja e-medycyna” obejmuje budynek w Szczecinie na ul. Gombrowicz 8/5, 70-785 Szczecin.

2. Dodatkowo obszar, w którym przetwarzane są Dane osobowe, stanowią wszystkie komputery przenośne oraz inne nośniki danych znajdujące się poza obszarem wskazanym w pkt. 1.

 

VII. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, dostępności i rozliczalności przetwarzanych danych.

 

1. Administrator Danych zapewnia zastosowanie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności, rozliczalności i dostępności Przetwarzanych danych.

2. Zastosowane środki ochrony (techniczne i organizacyjne) powinny być adekwatne do stwierdzonego poziomu ryzyka z przeprowadzonego Audytu dla poszczególnych systemów, rodzajów zbiorów i kategorii danych. Środki ochrony obejmują:

a) Ograniczenie dostępu do pomieszczeń, w których przetwarzane są dane osobowe, jedynie do osób upoważnionych zgodnie z „Upoważnieniem do przetwarzania danych osobowych”. Inne osoby mogą przebywać w pomieszczeniach wykorzystywanych do przetwarzania danych jedynie w towarzystwie osoby upoważnionej.

b) Zamykanie pomieszczeń tworzących obszar Przetwarzania danych osobowych określonych powyżej w pkt VI na czas nieobecności pracowników, w sposób uniemożliwiający dostęp do nich osób nieuprawnionych.

c) Przechowywanie dokumentów w zamykanych szafach.

d) Używanie niszczarki do skutecznego usuwania dokumentów zawierających dane osobowe przeznaczonych do zniszczenia.

e) Wszelkie naprawy i konserwacje sprzętu i oprogramowania mogą odbywać się tylko w obecności osób uprawnionych.

f) Zabezpieczenie laptopów linkami zabezpieczającymi.

g) Zabezpieczenie sprzętu przenośnego przez osoby użytkującej poprzez zachowanie szczególnej ostrożności podczas jego transportu, przechowywania i użytkowania poza pomieszczeniami tworzącymi obszar, w którym przetwarzane są dane osobowe.

h) Urządzenia informatyczne służące do przechowywania danych osobowych można przekazać do naprawy dopiero po uzyskaniu zgody od IOD.

i) Ochrona sieci lokalnej przed działaniami inicjowanymi z zewnątrz przy wykorzystaniu firewall programowego.

j) Wszystkie zbiory danych osobowych na laptopach umieszczone są w zaszyfrowanych dyskach za pomocą oprogramowania VeraCrypt lub Bitlocker.

k) Dostęp do laptopa zabezpieczony jest przy pomocy hasła umieszczonego na Dysk HDD oraz BIOS.

l) Wykonywanie kopii bezpieczeństwa przetwarzanych danych

m) Ochronę sprzętu komputerowego wykorzystywanego u administratora przed złośliwym oprogramowaniem przy pomocy licencjonowanego oprogramowania.

n) Zabezpieczenie dostępu do systemów operacyjnych sprzętu komputerowego przy pomocy haseł dostępu.

o) Zabezpieczenie poczty elektronicznej poprzez skonfigurowanie bezpiecznego połączenia SSL/TLS

p) Przy przesyłaniu danych osobowych po za sieć lokalną wykorzystywane jest szyfrowanie danych.

q) Wszystkie hasła są zabezpieczone za pomocą oprogramowania do bezpiecznego zarządzania hasłami np. KeePasss.

 

VIII. Naruszenie zasad ochrony danych osobowych.

 

1. Każdy pracownik, który stwierdzi fakt naruszenia bezpieczeństwa danych, ma obowiązek poinformować IOD oraz podjąć czynności niezbędne, do powstrzymania skutków naruszenia ochrony oraz współpracując z IOD ustalić przyczynę i sprawcę naruszenia ochrony.

2. W przypadku stwierdzenia naruszenia ochrony danych osobowych IOD dokonuje oceny, czy zaistniałe naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych.

3. W każdej sytuacji, w której zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych, IOD zgłasza fakt naruszenia zasad ochrony danych organowi nadzorczemu bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. W przypadku zgłoszenia po 72 godzinach, IOD zobowiązany jest do podania przyczyny opóźnienia. Wzór zgłoszenia określa załącznik nr 7 do niniejszej polityki.

4. Jeżeli IOD stwierdzi, iż ryzyko naruszenia praw i wolności jest wysokie, zawiadamia o incydencie także osobę, której dane dotyczą.

5. IOD dokumentuje zaistniały przypadek naruszenia bezpieczeństwa danych osobowych, sporządza raport wg. wzoru stanowiącego załącznik nr 8.

6. IOD zasięga potrzebnych mu opinii i proponuje działania naprawcze w celu jak najszybszego wznowienia przetwarzania danych osobowych.

7. Wobec osób, które w przypadku naruszenia ochrony danych osobowych nie podjęły działania określonego w niniejszej polityce, wszczyna się postępowanie dyscyplinarne.

 

IX. Powierzenie przetwarzania danych osobowych.

 

1. Administrator Danych Osobowych może powierzyć przetwarzanie danych osobowych innemu podmiotowi wyłącznie w drodze umowy zawartej w formie pisemnej, zgodnie z wymogami wskazanymi dla takich umów w art. 28 RODO.

2. Przed powierzeniem przetwarzania danych osobowych Administrator dokłada wszelkiej staranności w uzyskanie informacji o dotychczasowej formie i stosowanych zabezpieczeniach procesora przy przetwarzaniu danych osobowych.

3. Administrator może powierzyć przetwarzanie danych osobowych procesorowi jedynie w przypadku jeśli ten spełnia wszystkie środki organizacyjne i techniczne zgodnie z wymaganiami RODO.

 

X. Przekazywanie danych do państwa trzeciego.

 

1. Administrator Danych Osobowych nie będzie przekazywał danych osobowych do państwa trzeciego, poza sytuacjami w których następuje to na wniosek osoby, której dane dotyczą.

 

XI. Postanowienia końcowe.

 

1. Za niedopełnienie obowiązków wynikających z niniejszej polityki pracownik i podmioty wykonujące usługi na rzecz Administratora ponoszą odpowiedzialność na podstawie Kodeksu pracy, Przepisów o ochronie danych osobowych.

2. Integralną częścią niniejszej Polityki bezpieczeństwa stanowią następujące Załączniki:

Załącznik nr 1 – Rejestr czynności przetwarzania danych osobowych.

Załącznik nr 2 – Rejestr kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Załącznik nr 3 – Formularz informacji oraz oświadczenia woli w zakresie przetwarzania danych osobowych

Załącznik nr 4 – Upoważnieniem do przetwarzania danych osobowych

Załącznik nr 5 – Karta szkolenia wstępnego z zakresu ochrony danych osobowych

Załącznik nr 6 – Oświadczenie o przestrzeganiu zasad i przepisów ochrony danych osobowych i o zachowaniu tajemnicy danych osobowych.

Załącznik nr 7 – Procedura i wzór zgłoszenia naruszenia zasad ochrony danych do organu nadzorczego.

Załącznik nr 8 – Wzór raportu z naruszenia bezpieczeństwa zasad ochrony danych osobowych.