Polityka Prywatności

§ 1

Niniejsza Polityka bezpieczeństwa opracowana została w oparciu o:

1. Ustawę z dnia 10 maja 2018 roku o ochronie danych osobowych
2. Rozporządzenie Parlamentu Europejskiego (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwane jako RODO,
3. Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015r. w sprawie rodzajów, zakresu wzorów dokumentacji medycznej oraz sposobu jej przetwarzania,
4. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

 

§2

Celem Polityki bezpieczeństwa danych osobowych w salonie optycznym w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j. jest określenie zasad przetwarzania danych osobowych, gromadzonych i przetwarzanych w salonie optycznym w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j. oraz nadzoru nad procesem przetwarzania tych danych.

 

§3

Polityka bezpieczeństwa danych osobowych w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j. obowiązuje wszystkie osoby realizujące jakiekolwiek zadania lub zlecenia w ww. firmie.

 

§4

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w salonie optycznym w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j.  stanowi załącznik nr 1. do niniejszej Polityki bezpieczeństwa.

 

§5

Użyte w niniejszej polityce bezpieczeństwa określenia oznaczają:

1. Polityka bezpieczeństwa – niniejszy dokument opisujący stosowane w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j.  zasady ochrony danych osobowych,
2. Obszar przetwarzania danych – w tym dokumencie jest rozumiany jako salon optyczny z siedzibą przy ul. Żwirki 38, 83-110 w Tczewie,
3. Administrator Danych Osobowych – do nadzorowania przestrzegania zasad ochrony danych osobowych oraz przygotowania dokumentów wymaganych przez przepisy ustawy o ochronie danych osobowych w salonie optycznym. Są nimi osoby wyznaczone do reprezentowania spółki,
4. Użytkownik systemu – osoba upoważniona do przetwarzania danych osobowych
   w systemie. Użytkownikiem może być osoba zatrudniona w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j.,
5. Sieć publiczna – sieć telekomunikacyjna, niebędąca siecią wewnętrzną służąca do świadczenia usług telekomunikacyjnych w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz. 852, z poźn. zm.). 
6. Sieć telekomunikacyjna – urządzenia telekomunikacyjne zestawione i połączone w sposób umożliwiający przekaz sygnałów pomiędzy określonymi zakończeniami sieci za pomocą przewodów, fal radiowych, bądź optycznych lub innych środków wykorzystujących energię elektromagnetyczną w rozumieniu ustawy z dnia 21 lipca 2000 r. – Prawo telekomunikacyjne (Dz. U. Nr 73, poz.852, z późń. zm.). 
7. System informatyczny – zespół współpracujących ze sobą urządzeń, komputerów, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych
   w celu przetwarzania danych,
8. Przetwarzanie danych – rozumie się to w tym dokumencie jako jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. 
9. Zabezpieczenie danych w systemie informatycznym – wdrożenie i wykorzystywanie stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. 
10. Teletransmisja – przesyłanie informacji za pomocą sieci telekomunikacyjnej. 
11. Poufność danych – jest to właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom. 
12. Integralność danych – właściwość zapewniająca, że dane osobowe nie zostały zmienione, lub zniszczone w sposób nieautoryzowany.
13. Rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
14. Aplikacja – program komputerowy wykonujący konkretne zadanie. 
15. Wysoki poziom bezpieczeństwa – musi występować wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służące do przetwarzania danych osobowych, połączone jest z siecią publiczną. 

 

§6

1. Dostęp do zbioru danych osobowych oraz ich przetwarzania mają tylko osoby wpisane do ewidencji prowadzonej przez Administratora Danych Osobowych. Rejestr danych stanowi załącznik nr 1.

2. Osoby zatrudnione w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j. przy przetwarzaniu danych osobowych są zobowiązane do przechowywania danych osobowych we właściwych zbiorach, nie dłużej niż jest to niezbędne dla osiągnięcia celu ich przetwarzania.

 

§7

Zadania Administratora Danych:

1. Administrator Danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzania danych osobowych, odpowiednie do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
2. Administrator danych osobowych zobowiązany jest do zapewnienia, aby dane osobowe były:
   1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą („zgodność z prawem, rzetelność i przejrzystość”)
   2. zbieranie w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzanie dalej w sposób niezgodny z tymi celami („ograniczenie celu”)
   3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”)
   4. prawidłowe i w razie potrzeby uaktualnianie, należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”)
   5. przechowywane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem za pomocą odpowiednich środków technicznych lub organizacyjnych.
3. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych, którego wzór stanowi załącznik nr 2 do niniejszej Polityki Bezpieczeństwa.
4. Administrator danych może w każdym czasie odwołać upoważnienie nadane zgodnie z punktem 3 powyżej Wzór odwołania upoważnienia stanowi załącznik nr3.
5. Upoważnienie i jego odwołanie sporządzane są na piśmie, w dwóch jednobrzmiących egzemplarzach dla każdej ze stron.
6. Administrator Danych prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych. Wzór ewidencji stanowi załącznik nr 4 do niniejszej Polityki Bezpieczeństwa.
7. Administrator Danych jest zobowiązany zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru oraz komu przekazywane.
8. Administrator Danych odpowiada za bezpieczeństwo systemu informatycznego, w którym przetwarzane są dane osobowe.
9. Wykonywanie zadań określonych w RODO, a w szczególności w przepisach art.39 ust.1 RODO.
10. Nadzór nad przestrzeganiem Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
11. Sporządzanie raportów z naruszenia bezpieczeństwa systemu informatycznego oraz systemu przechowywania i zabezpieczenia danych osobowych zgromadzonych i utrwalonych w innej formie, niż elektroniczna.
12. Zapewnienie ochrony i bezpieczeństwa danych osobowych znajdujących się w systemie informatycznym firmy Aneta i Andrzej Pestka -Dymowscy Sp. j. oraz w tradycyjnych zbiorach danych, ze szczególnym uwzględnieniem dokumentacji medycznej.

 

§8

Zadania pracowników i współpracowników firmy Aneta i Andrzej Pestka -Dymowscy Sp. j.,

1. Wszyscy pracownicy i współpracownicy firmy Aneta i Andrzej Pestka -Dymowscy Sp. j., mają obowiązek przestrzegać postanowień zawartych w niniejszej Polityce Bezpieczeństwa i Instrukcji zarządzania systemem informacyjnym.
2. Przed dopuszczeniem do pracy przy przetwarzaniu danych osobowych, każdy pracownik zobowiązany jest do zapoznania się z przepisami dotyczącymi ochrony danych osobowych, w tym z niniejszą Polityką Bezpieczeństwa. Fakt zapoznania się zostaje potwierdzony osobiście podpisanym oświadczeniem, którego wzór stanowi załącznik nr 6. Oświadczenie podlega włączeniu do pracownika lub dokumentów związanych z inną podstawą usług.
3. Pracownicy zobowiązani są dbać o bezpieczeństwo powierzonych im do przetwarzania, archiwizowania lub przechowywania danych zgodnie z obowiązującą w placówce Polityką Bezpieczeństwa, w tym między innymi:
   1. chronić dane przed dostępem osób nieupoważnionych,
   2. chronić przed przypadkowym zniszczeniem, utratą lub modyfikacją,
   3. Chronić wszelkie nośniki zawierające dane osobowe, w szczególności nośniki magnetyczne, optyczne, nośniki pamięci półprzewodnikowej oraz wszelkiego rodzaju druki i wydruki, przed dostępem osób nieupoważnionych oraz przypadkowym zniszczeniem,
   4. utrzymywać w tajemnicy hasła, częstotliwość ich zmiany oraz szczegóły technologiczne, także po ustaniu zatrudnienia w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j.
4. Zabrania się pracownikom:
   1. ujawniać dane, w tym dane osobowe zawarte w obsługiwanych systemach,
   2. kopiować bazy danych lub ich części bez wyraźnego upoważnienia
   3. przetwarzać dane w sposób inny niż wynikający z obowiązujących przepisów prawa.
5.  Pracownicy są zobowiązani do udzielania pomocy Administratorowi Danych oraz do realizowania jego zaleceń przy wykonywaniu zadań dotyczących ochrony danych osobowych.
6. Pracownicy zobowiązani są do natychmiastowego powiadomienia Administratora Danych o wszelkich nieprawidłowościach związanych z bezpieczeństwem przetwarzania danych osobowych w firmie Aneta i Andrzej Pestka -Dymowscy Sp. j.
7. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszej Polityki bezpieczeństwa mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych lub rażące nienależyte wykonywanie zobowiązania, w szczególności przez osobę, która wobec naruszenia nie powiadomiła o tym Administratora Danych.
8. Pracownicy dodatkowo otrzymają za potwierdzeniem odbioru dokument informacyjny: „Klauzura informacyjna RODO dla pracowników”, którego wzór stanowi załącznik nr 7.

 

§9

1. Polityka niniejsza dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez firmę Aneta i Andrzej Pestka -Dymowscy Sp. j. we wszystkich rodzaju kartotekach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji firmy Aneta i Andrzej Pestka -Dymowscy Sp. j.
2. Wykaz pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe ze wskazaniem programów komputerowych zastosowanych do przetwarzania danych (w przypadku zbioru danych prowadzonych w formie elektronicznej) stanowi załącznik nr 8.