POLITYKA PRYWATNOŚCI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
PRZEZ HIRSCHMEDICAL SP. Z O.O.

z siedzibą w Mrozowie przy ul. Widokowej 4, 55-330 Miękinia (zwana dalej: Sklepem )

I.    PODSTAWA PRAWNA

Począwszy od dnia 25 maja 2018 r. podstawę prawną dla wprowadzenia niniejszej „Polityki bezpieczeństwa”  stanowi ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej zwane RODO), a tu w szczególności Art. 24 ust. 2 RODO.  

II.    CEL OPRACOWANIA DOKUMENTU

Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez  Sklep, Ponadto, celem opracowania niniejszej Polityki Bezpieczeństwa jest ustalenie , zasad ochrony danych osobowych, przetwarzanych przez Sklep, w szczególności w zakresie  ich ochrony przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji, na poziomie odpowiadającym potrzebom Sklepu i zapewniającym bezpieczne przetwarzanie danych osobowych i ochronę praw osób których dane dotyczą.

III.    DEFINICJE:

  1. Administrator danych –HIRSCHMEDICAL SP Z O.O. z siedzibą w Mrozowie, ul. Widokowa 4.
  2. Podmiot przetwarzający - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;
  3. Dane osobowe – informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej; 
  4. Zbiór danych  - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; 
  5. Przetwarzanie danych osobowych – operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  6. Ograniczenie przetwarzania -  oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania; 
  7. Usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą (”anonimizacja”),
  8. Zgoda osoby, której dane dotyczą - dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych; 
  9. Naruszenie ochrony danych osobowych - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych;
  10. Strona  trzecia– oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe
  11. Przedsiębiorca -  osoba fizyczna lub prawna prowadząca działalność gospodarczą, niezależnie od formy prawnej, w tym Instytucji osobowe lub zrzeszenia prowadzące regularną działalność gospodarczą; 
  12. RODO -  ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  13. Ustawa – ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922),
  14. Organ nadzorczy -  niezależny organ publiczny ustanowiony przez państwo członkowskie UE odpowiedzialny za monitorowanie stosowania  przepisów prawa o ochronie danych osobowych, w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych w UE, organ nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych.

IV.    ZASADY  OGÓLNE  PRZETWARZANIA DANYCH

  1. Przetwarzane danych osobowych przez Sklep realizowane jest  i może być realizowane wyłącznie zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”), z zachowaniem zasad ograniczenia celu i zakresu przetwarzania, minimalizacji danych, adekwatności i  prawidłowości, poufności i rozliczalności  ich przetwarzania.
  2. W ramach zabezpieczenia danych osobowych ochronie na zasadach określonych w niniejszej Polityce bezpieczeństwa  podlegają:
    • sprzęt komputerowy  i urządzenia przenośne – serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne (w tym  telefony komórkowe),
    • oprogramowanie,
    • dane osobowe zapisane na informatycznych nośnikach danych oraz dane  przetwarzane w systemach informatycznych,
    • hasła użytkowników,
    • bazy danych i kopie zapasowe,
    • wydruki,
    • związana z przetwarzaniem danych dokumentacja papierowa.
  3. Zabezpieczenie danych osobowych obejmuje:
    • ochronę poufności rozumianej jako zabezpieczenie informacji przed dostępem do niej osób nieuprawnionych,
    • ochronę integralności rozumianej jako zabezpieczenie informacji przed wprowadzeniem przypadkowych lub celowych zmian powodujących jej zafałszowanie,
    • ochronę dostępności rozumianej jako zabezpieczenie informacji przed jej zniszczeniem, jak również zapewnienie takiego działania systemu informatycznego, aby dane osobowe były dostępne dla osób upoważnionych do dostępu do nich, a także do ich przetwarzania
  4. Wszystkie osoby biorące bezpośredni lub pośredni udział w procesie przetwarzania danych osobowych,  w szczególności przetwarzanych w formie papierowej, w systemie informatycznym lub na urządzeniach przenośnych są odpowiedzialne za właściwe zabezpieczenie tych danych
  5. Zabezpieczenia są określone na podstawie obowiązujących wymagań prawnych i wyników analizy ryzyka. 
  6. Przetwarzanie danych osobowych w systemach informatycznych jest dopuszczalne pod warunkiem:
    • zdolności  systemu do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    • zdolności systemu do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego; 
    • regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania;
    • spełnienia szczegółowych zaleceń dotyczących systemów informatycznych opisanych w niniejszej polityce bezpieczeństwa, jak również w dokumentach z nią związanych,
    • posiadania przez systemy informatyczne mechanizmów pozwalających na realizację procesów zabezpieczenia danych osobowych opisanych w niniejszej polityce, jak również w dokumentach z nią związanych;
    • przetwarzania danych osobowych w zakresie dopuszczalnym ze względu na przepisy prawa o ochronie danych osobowych.

V.    OBSZAR PRZETWARZANIA DANYCH OSOBOWYCH

  1. Przetwarzanie danych osobowych przez Sklep odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji tradycyjnej, „papierowej”. 
  2. Zarówno zbiory przetwarzane w formie papierowej, jak i systemy informatyczne przetwarzające dane osobowe umieszczane są w wydzielonych pomieszczeniach, do których dostęp jest kontrolowany. Pracownicy upoważnieni do dostępu do pomieszczeń są zobowiązani do nie wpuszczania osób nieposiadających zgody bezpośrednich przełożonych, 
  3. Obszar przetwarzania danych osobowych przez Sklep został określony w ZAŁĄCZNIKU nr 1 do Polityki bezpieczeństwa pt.: „WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE ORAZ ZASTOSOWANE ŚRODKI OCHRONY POMIESZCZEŃ I DOSTĘPU DO  DANYCH”. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych.
  4. Dane osobowe są i mogą być przetwarzane wyłącznie w miejscach wskazanych w ZAŁĄCZNIKU nr 1 i przy zastosowaniu środków ochrony wskazanych w niniejszej Polityce bezpieczeństwa  i ZAŁĄCZNIKU nr 1. 
  5. Dane osobowe mogą być przetwarzane na komputerach i urządzeniach przenośnych znajdujących się poza wyznaczoną strefą lub pomieszczeniem pod warunkiem zastosowania szczególnych warunków bezpieczeństwa określonych dla tego rodzaju urządzeń. Osoba użytkująca komputer  lub urządzenie przenośne zawierające dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza wyznaczoną strefą lub pomieszczeniem, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. W szczególności zasady  przetwarzania danych na komputerach  i urządzeniach przenośnych określa ZAŁĄCZNIK  nr 7  do niniejszej Polityki bezpieczeństwa -  „INSTRUKCJA KORZYSTANIA Z KOMPUTERÓW  I ZEWNĘTRZNYCH URZĄDZEŃ PRZENOSNYCH PRZETWARZAJACYCH DANE OSOBOWE”.

VI.    ZBIORY DANYCH SKLEPU I ICH STRUKTURA

Opis procesów przetwarzania danych i struktury zbiorów danych Sklepu, i  wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi, a także sposób przepływu danych pomiędzy poszczególnymi systemami, przedstawia ZAŁĄCZNIK nr 2 o niniejszej Polityki bezpieczeństwa. 

VII.    ZASADY PRZEKAZYWANIA DANYCH I ICH PRZEPŁYWU MIĘDZY SYSTEMAMI 

  1. Dane osobowe przekazywane są pomiędzy systemami i modułami w sposób wskazany w ZAŁĄCZNIKU nr 2 do niniejszej Polityki bezpieczeństwa. Przekazywanie danych w celu ich przetwarzania podmiotom innym niż administrator jest objęte odrębną umową o powierzeniu przetwarzania danych osobowych.
  2. Przekazanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej może nastąpić bez specjalnego zezwolenia, wyłącznie gdy Komisja Europejska stwierdzi, że to państwo trzecie, terytorium lub określony sektor lub określone sektory w tym państwie trzecim lub dana organizacja międzynarodowa zapewniają odpowiedni stopień ochrony, lub w razie nie dokonania przez Komisję Europejską takiej kwalifikacji, wyłącznie, gdy zapewnią one odpowiednie zabezpieczenia, i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą, i skuteczne środki ochrony prawnej. W innym przypadku przekazanie wymaga specjalnego zezwolenia. 
  3. Przekazywanie danych zgromadzonych w zbiorach prowadzonych w formie papierowej/ drukowanej odbywa się to tylko w formie papierowej, przekazywanie następuje osobiście między osobami z obu stron do tego upoważnionymi.
  4. Dostęp użytkowników do systemu informatycznego przetwarzającego dane osobowe jest kontrolowany za pomocą mechanizmów uwierzytelniania, autoryzacji i rozliczalności. Podstawą uwierzytelniania użytkownika jest unikalny dla użytkownika identyfikator i hasło. Hasło nie może być przekazane przez użytkownika jakiejkolwiek innej osobie, jedynym wyjątkiem jest przekazywanie przez administratora tymczasowego hasła użytkownikowi. Autoryzacja użytkownika odbywa się na podstawie Identyfikatora i hasła. System informatyczny przetwarzający dane osobowe jest wyposażony w mechanizmy pozwalające w sposób jednoznaczny przypisać wykonanie określonych operacji na danych osobowych konkretnemu użytkownikowi. Rodzaje operacji i szczegółowość zapisu jest określana w oparciu o wyniki analizy ryzyka oraz obowiązujące regulacje prawne.
  5. Dostęp do systemu tradycyjnego/ papierowego przetwarzającego dane osobowe jest kontrolowany za pomocą mechanizmów uwierzytelniania, autoryzacji i rozliczalności. Podstawą uwierzytelniania użytkownika jest  osobiste upoważnienie do przetwarzania danych, które nie może być przekazane przez upoważnionego jakiejkolwiek innej osobie. Procedury przetwarzania danych osobowych w formie tradycyjnej/papierowej oparte są na mechanizmach pozwalających w sposób jednoznaczny przypisać wykonanie określonych operacji na danych osobowych konkretnemu użytkownikowi. Rodzaje operacji i szczegółowość zapisu jest określana w oparciu o wyniki analizy ryzyka oraz obowiązujące regulacje prawne.
  6. Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej zgodnie z instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

VIII.    FORMA LUB OPROGRAMOWANIE WYKORZYSTYWANE PRZY PRZETWARZANIU DANYCH

Opis  oprogramowania używanego do przetwarzania poszczególnych elementów struktury zbiorów danych SKW zawarty jest w ZAŁĄCZNIKU nr 2 o niniejszej Polityki bezpieczeństwa.

IX.    ŚRODKI  OCHRONY I ZABEZPIECZENIA DANYCH

  1. Wprowadza się elementy zabezpieczenia danych osobowych przez Sklep:
    1.  stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), w tym w szczególności: 
      1. wydzielenie obszaru przetwarzania danych,
      2. dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu,
      3. samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności pracowników Sklepu,
      4. przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach,
      5. kopie zapasowe zbioru danych osobowych przechowywane są w sejfie w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco,
    2. odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne), w tym w szczególności:
      1. systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają zapewniają ochronę danych  na poziomie wysokim,
      2. zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; zróżnicowane dla różnych grup użytkowników,
      3. zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe,
      4. system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
      5. tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych,
      6. zastosowano zabezpieczenia systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej (listwy przeciwzakłóceniowe),
      7. systemy informatyczne, aplikacje  i zbiory danych w nich przetwarzane projektowane są  i wdrażane w sposób zapewniający możliwość  przetwarzania danych z zachowaniem zasady, dostępności, zupełności,  poufności, integralności i rozliczalności  ochrony danych i innych zasad przyjętych w niniejszej Polityce bezpieczeństwa.
    3. zabezpieczenia organizacyjne i osobowe, w tym w szczególności:
      1. przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych poprzez wpisanie określonych kompetencji do zakresu obowiązków na danym stanowisku do ewidencji  stanowiącej ZAŁĄCZNIK 4 do Polityki bezpieczeństwa i  które zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia, szczegółowe zasady przetwarzania danych osobowych  osób fizycznych określa ZAŁĄCZNIK  NR 8 – „INSTRUKCJA W SPRAWIE PRZETWARZANIA DANYCH OSOBOWYCH OSÓB FIZYCZNYCH I ZAPEWNIENIA WYKONANA  UPRAWNIEŃ PRZYSŁUGUJĄCYCH TYM OSOBOM”
    4. środki ochrony w ramach oprogramowania urządzeń teletransmisji, w szczególności:
      1. dostęp do urządzeń teletransmisyjnych realizowany jest z wykorzystaniem dedykowanej, separowanej strefy komunikacyjnej z wykorzystaniem protokołów szyfrujących przesyłane dane. Każdy administrator i użytkownik, posiada własne konto, chronione, tylko jemu znanym hasłem lub kryptograficznym kluczem prywatnym.
      2. środki ochrony w ramach oprogramowania systemów:
        • szyfrowanie transmisji danych osobowych pomiędzy użytkownikiem, a  serwerem WWW wg standardu SSL/TLS.
        • uwierzytelnienie użytkowników za pomocą systemu haseł
        • kontrolowany dostęp do systemu operacyjnego i aplikacji,
      3. środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych:
        • zdalny dostęp do serwera bazy danych jedynie z adresu serwera WWW,
        • system dostępu do baz danych przy pomocy loginów i haseł.
    5. zabezpieczenie nośników, w szczególności:
      1. wszelkiego rodzaju nośniki danych osobowych, które są przekazywane osobom lub podmiotom nieupoważnionym do otrzymania tych danych, lub też gdy istnieje podejrzenie, że mogą się one znaleźć w rękach osób nieupoważnionych do otrzymania danych osobowych, pozbawia się danych lub też doprowadza do stanu uniemożliwiającego ich odczytanie. Za pozbawienie zapisu odpowiada osoba przekazująca nośnik lub odpowiadająca za realizację działań, w których wyniku nośnik może stać się dostępny dla osób nieupoważnionych do otrzymania danych osobowych.
      2. dane osobowe są zabezpieczane przez tworzenie kopii zapasowych. Za składowanie informacji w sposób umożliwiający wykonanie kopii, w szczególności na centralnych serwerach, odpowiadają użytkownicy systemu informatycznego.
      3. wszelkiego rodzaju nośniki danych osobowych, w tym również kopie zapasowe danych osobowych przechowywane są w sposób zapewniający odpowiednią ochronę przed dostępem do nich osób niepowołanych oraz przed celowym lub przypadkowym zniszczeniem, w tym również zniszczeniem wynikającym z warunków środowiskowych. 
      4. realizacja w/w wytycznych, polega na:
        • ich przechowywaniu w wydzielonym pomieszczeniu specjalnie do tego przeznaczonym w pomieszczeniach wymienionych w ZAŁĄCZNIKU nr 1 do niniejszej Polityki bezpieczeństwa
        • pomieszczenia te są zamykane na klucz, który jest przechowywany w …, odpowiedzialną osobą za dostęp do pomieszczeń jest ….
        • Klucze do pomieszczeń będą udostępniane jedynie osobom upoważnionym do przetwarzania danych osobowych, 
        • Przy każdorazowym pobraniu kluczy do pomieszczenia zostaje to odnotowane w ewidencji wydawania klucza.

X.    INCYDENTY ZWIĄZANE Z  ZAGROŻENIEM I NARUSZENIEM OCHRONY DANYCH OSOBOWYCH

  1. W wypadku wystąpienia przypadkowego lub celowego naruszenia bezpieczeństwa danych osobowych Administrator jest odpowiedzialny za przeprowadzenie procesu usuwania skutków naruszenia bezpieczeństwa danych osobowych z uwzględnieniem wykrycia przyczyn zaistnienia incydentu.
  2. Każda osoba która zauważy naruszenie bezpieczeństwa danych osobowych, a w szczególności:
    1. ujawnienie lub możliwość ujawnienia danych osobowych osobom nieupoważnionym,
    2. zafałszowanie danych osobowych lub możliwość wystąpienia zafałszowania danych osobowych,
    3. zniszczenie lub możliwość zablokowania pracy systemu informatycznego przetwarzającego dane osobowe zobowiązana jest natychmiast powiadomić Administratora lub osoby przez niego upoważnione. 
  3. Naruszenie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym w szczególności obejmuje wprowadzenie do systemu wirusów lub innych wrogich kodów, jak również dostęp do systemu informatycznego osób niepowołanych (fizyczny- poprzez bezpośredni dostęp do komputera, na którym przetwarzane są dane osobowe, oraz logiczny- poprzez dostęp do danych osobowych za pośrednictwem sieci informatycznych). Szczegółowe zasady reagowania na incydenty związane z naruszeniem bezpieczeństwa danych osobowych zawiera  ZAŁĄCZNIK nr 8 - „INSTRUKCJA POSTĘPOWANIA W PRZYPADKU  WYSTĄPIENIA INCYDENTU LUB NARUSZENIA OCHRONY DANYCH OSOBOWYCH”,. 
  4. Administrator, jako podmiot odpowiedzialny za prowadzenie działań mających na celu zabezpieczenie systemu informatycznego przetwarzającego dane osobowe przed zainfekowaniem wirusami lub innymi niebezpiecznymi kodami, ma prawo ograniczać uprawnienia użytkowników, w szczególności w zakresie wymiany informacji z wykorzystaniem publicznych sieci informatycznych, jeżeli może to wpłynąć na redukcję ryzyka wprowadzenia wirusów lub innych wrogich kodów do systemu informatycznego przetwarzającego dane osobowe i nie będzie miało wpływu na możliwość realizacji przez pracowników Instytucji ich obowiązków służbowych.
  5. Pracownicy Sklepu korzystający z systemu informatycznego są zobowiązani do stosowania się do szczegółowych zaleceń w zakresie ochrony antywirusowej.
  6. Administrator, informuje o naruszeniu organ nadzorczy bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, o ile zgodnie z obowiązującym prawem powstaje taki obowiązek informacyjny, przy czym zgłoszenie takie musi co najmniej: 
    1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 
    2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji; 
    3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; 
    4. opisywać środki zastosowane lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.
  7. Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator, bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
  8. W celu usprawnienia  działań podejmowanych w ramach zabezpieczenia danych przed incydentami i naruszeniami ochrony danych, Administrator może powołać specjalny  zespół reagowania na incydenty i naruszenia.
  9. Szczegółowe zasady postępowania w razie incydentu lub  naruszenia ochrony danych  zawarte są w „INSTRUKCJI POSTĘPOWANIA W PRZYPADKU  WYSTĄPIENIA INCYDENTU LUB NARUSZENIA OCHRONY DANYCH OSOBOWYCH” stanowiąca ZAŁĄCZNIK nr 9 do niniejszej Polityki bezpieczeństwa.

XI.    ZAKRES I OBOWIĄZEK STOSOWANIA POLITYKI BEZPIECZEŃSTWA

  1. Wszyscy pracownicy Sklepu mający dostęp do danych osobowych w szczególności przetwarzanych w ramach systemu informatycznego są poddawani przeszkoleniu obejmującemu zapoznanie z obowiązującymi regulacjami prawnymi w zakresie ochrony danych osobowych, jak również obowiązującymi w Sklepie zasadami bezpiecznego ich przetwarzania. Za przeprowadzenie szkolenia odpowiada Inspektor Ochrony Danych, za organizację szkolenia odpowiada przełożony szkolonych pracowników. Przeszkolenie pracownika jest warunkiem koniecznym do korzystania z systemu informatycznego przetwarzającego dane osobowe.
  2. Niniejsza polityka bezpieczeństwa obowiązuje wszystkich pracowników i zleceniobiorców Sklepu mających dostęp do systemu informatycznego przetwarzającego dane osobowe.
  3. Z uwagi na fakt, że niniejszy dokument zawiera informacje o zabezpieczeniach, dlatego też został objęty ochroną na zasadzie tajemnicy przedsiębiorstwa w myśl art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 ze zm.). Wybrane jego elementy mogą zostać udostępnione innym podmiotom po zawarciu stosownej umowy o zachowaniu poufności.
  4. Z treścią niniejszego dokumentu powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych.
  5. Za zarządzanie dokumentem Polityki Bezpieczeństwa, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny Administrator danych.
  6. Nieprzestrzeganie zasad ochrony danych osobowych zagrożone jest konsekwencjami karnymi, w szczególności na dzień wejścia w życie niniejszej Polityki, zgodnie z przepisami prawa w tym na dzień wprowadzenia niniejszej Polityki bezpieczeństwa, art.49- 54 Ustawy z dnia 29 sierpnia 1997r. O ochronie danych osobowych, zaś począwszy od dnia 25.05. 2018 r. ustawy wprowadzającej i ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
  7. Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki:
    • ZAŁĄCZNIK NR 1 – WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ TWORZĄCYCH OBSZAR, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE ORAZ ZASTOSOWANE ŚRODKI OCHRONY POMIESZCZEŃ I DOSTĘPU DO  DANYCH;
    • ZAŁĄCZNIK NR 2 – WYKAZ ZBIORÓW DANYCH I SYSTEMÓW ZASTOSOWANYCH DO ICH PRZETWARZANIA;
    • ZAŁĄCZNIK NR 3 – REJESTR CZYNNOŚCI PRZETWARZANIA
    • ZAŁĄCZNIK NR 4 – EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH;
    • Załącznik  nr 5 - INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH;
    • ZAŁĄCZNIK NR 6 - INSTRUKCJA ZARZĄDZANIA UPRAWNIENIAMI DO PRZETWARZANIA DANYCH I  DO KORZYSTANIA Z SYSTEMU INFORMATYCZNEGO;
    • ZAŁĄCZNIK  nr 7 – INSTRUKCJA KORZYSTANIA Z KOMPUTERÓW I URZĄDZEŃ  PRZENOSNYCH PRZETWARZAJACYCH DANE OSOBOWE;
    • ZAŁĄCZNIK  NR 8 – INSTRUKCJA W SPRAWIE PRZETWARZANIA DANYCH OSOBOWYCH OSÓB FIZYCZNYCH I ZAPEWNIENIA WYKONANA  UPRAWNIEŃ PRZYSŁUGUJĄCYCH TYM OSOBOM;
    • ZAŁĄCZNIK NR 9 - INSTRUKCJA POSTĘPOWANIA W PRZYPADKU  WYSTĄPIENIA INCYDENTU LUB NARUSZENIA OCHRONY DANYCH OSOBOWYCH.