Opinie
PROSZĘ O ZAPOZNANIE SIĘ Z PEŁNĄ TREŚCIĄ WYRAŻANEJ ZGODY:
„ANNA PRZYBYLSKA
RODZINNE CENTRUM POŁOŻNICZE KOALA
POLITYKA BEZPIECZEŃSTWA – POLITYKA ZARZĄDZANIA DANYMI OSOBOWYMI
Postanowienia ogólne
§1
Polityka Bezpieczeństwa – zwana również w dalszej części dokumentu PB – została wydana i wdrożona w Rodzinnym Centrum Położniczym Koala (dalej Koala) w oparciu o treść i w celu realizacji postanowień następujących aktów prawnych:
a) ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. t.j. 2002.101.926 z późn. zm.) – zwana również w dalszej części PB ustawą,
b) rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz.U. 2004.100.1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – zwane również w dalszej części PB rozporządzeniem.
§2
1. Polityka Bezpieczeństwa jest dokumentem jawnym niezawierającym szczegółów technicznych zabezpieczenia i przetwarzania danych osobowych.
2. Szczegóły techniczne, o których mowa w ust. 1 uregulowane są w Instrukcji Zarządzania Systemem Informatycznym.
§3
1. PB określa zasady postępowania przy przetwarzaniu danych osobowych:
a) pracowników, zleceniobiorców, osób, którym powierzono wykonanie dzieła, wobec których Koala jest Administratorem Danych Osobowych (dalej ADO),
b) klientów Koali, przed, w trakcie oraz po świadczenia usług, wobec których Koala jest ADO.
§4
1. Koala przestrzega zapisów Polityki Bezpieczeństwa, a także zobowiązuje do jej przestrzegania swoich pracowników oraz osoby zatrudnione na podstawie umów cywilnoprawnych.
2. Naruszenie przez pracowników Koalę lub osoby współpracujące z nią na podstawie umów cywilnoprawnych zapisów zawartych w PB lub w Instrukcji Zarządzania Systemem Informatycznym traktowane będzie przez Koalę jako ciężkie naruszenie podstawowych obowiązków umownych.
§ 5
Koala przetwarza dane osobowe w sposób zapewniający ich:
a) poufność – co oznacza, iż dane te nie są udostępniane nieupoważnionym podmiotom,
b) integralność – co oznacza, iż dane te nie zostaną zmienione lub zniszczone w nieautoryzowany sposób,
c) rozliczalność – co oznacza, iż zabezpieczenia dotyczące danych będą charakteryzowały się właściwością, która zapewnia, iż działania danego podmiotu w stosunku do danych zawsze będą przypisane, w sposób jednoznaczny, tylko temu podmiotowi.
§ 6
1. Systemy informatyczne, w których przetwarzane są dane osobowe, wobec których Koala jest Administratorem są połączone z siecią publiczną w rozumieniu prawa telekomunikacyjnego.
2. Koala w celu prawidłowego zabezpieczenia danych osobowych wdraża wysoki – w rozumieniu rozporządzenia – poziom bezpieczeństwa przetwarzania danych osobowych w użytkowanych przez siebie systemach informatycznych.
3. Koala wymaga od firmy hostingowej Krakowskie e-Centrum Informatyczne JUMP Dziedzic Pasek Przybyła s.j. przy ul. Zakopiańskiej 9 w Krakowie (30-418 Kraków) zwanej dalej „firmą hostingową” zastosowanie środków bezpieczeństwa przewidzianych dla wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych zgodnie z informacją firmy hostingowej stanowiącą Załącznik nr 1 do PB.
§ 7
Przesyłanie danych osobowych, z oraz w sieci publicznej, wobec których Koala jest Administratorem Danych Osobowych następuje wyłącznie w postaci szyfrowanej.
§ 8
Koala:
a) podejmuje stałe działania w zakresie identyfikacji i analizy zagrożeń oraz ryzyka, na które mogą być narażone przetwarzane dane osobowe,
b) określa zabezpieczenia adekwatne do zagrożeń i ryzyka,
c) zobowiązuje osoby zatrudnione lub współpracujące z Koalą do zapoznania się z PB oraz z instrukcją zarządzania systemem informatycznym.
§ 9
Koala opracowuje instrukcję określającą sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych – ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. Instrukcja zawiera w szczególności:
a) określenie procedur nadawania, zmiany uprawnień do przetwarzania danych i rejestrowania uprawień w systemach informatycznych,
b) określenie metod i środków uwierzytelniania w systemach informatycznych,
c) określenie procedur rozpoczęcia, zawieszenia i zakończenia pracy przez użytkowników systemów,
d) określenie procedury tworzenia kopii zapasowych danych,
e) określenie sposobu przechowywania nośników zawierających dane oraz kopii zapasowych,
f) określenie środków ochrony systemów informatycznych,
g) określenie sposobu monitorowania dostępu do danych,
h) określenie procedur wykonywania przeglądów i konserwacji systemów.
§ 10
1. Koala wyznacza Administratora Bezpieczeństwa Informacji (ABI). Administrator Bezpieczeństwa Informacji jest osobą odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym, a w szczególności za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe, oraz za podejmowanie odpowiednich działań w przypadku wykrycia naruszeń w systemie zabezpieczeń.
2. Ilekroć PB adresuje określone obowiązki lub kompetencje – w zakresie odnoszącym się do stosowania środków technicznych oraz organizacyjnych zapewniających ochronę przetwarzanych danych osobowych – do Koali (nazywanej również ADO), to zapisy te adresowane są również do ABI.
§ 11
1. Do przetwarzania danych osobowych dopuszczone są wyłącznie osoby, którym Koala udzielił upoważnienia do przetwarzania tych danych.
2. Przed udzieleniem danej osobie upoważnienia do przetwarzania danych osobowych bierze się pod uwagę w szczególności to, czy dana osoba charakteryzuje się cechą dyskrecji oraz czy jej dotychczasowe zachowanie i wykonywanie dotychczasowych obowiązków daje rękojmię przestrzegania PB oraz innych dokumentów regulujących zabezpieczenie i ochronę danych osobowych przetwarzanych w Koali.
3. Udzielenie danej osobie upoważnienia do przetwarzania danych osobowych uzależnione jest od uprzedniego zobowiązania się do zachowania w poufności treści danych osobowych.
§ 12
Koala wymaga od firmy hostingowej, aby serwery, na których znajdują się bazy danych osobowych były zabezpieczone przed zaprzestaniem pracy i utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.
§ 13
Koala wymaga od firmy hostingowej, aby serwery i nośniki, na których znajdują się bazy danych osobowych nie mogły być wynoszone poza obszar serwerowni w tej firmie.
§ 14
Akta pracowników oraz dane osobowe klientów i innych osób w postaci wydruków przechowywane są w zamkniętej szafie.
§ 15
Urządzenia, dyski lub inne informatyczne nośniki, zawierające dane osobowe, a przeznaczone do:
a) likwidacji – pozbawia się wcześniej zapisu danych (w tym poprzez tzw. „nadpisanie”), a w przypadku, gdy nie jest to możliwe, uszkadza się je w sposób uniemożliwiający ich odczytanie,
b) przekazania innemu podmiotowi (który nie jest uprawniony do przetwarzania danych osobowych) – pozbawia się wcześniej zapisu danych (w tym poprzez tzw. „nadpisanie”),
c) naprawy – pozbawia się przed naprawą zapisu danych (w tym poprzez tzw. „nadpisanie”) albo naprawia się je pod nadzorem osoby upoważnionej do przetwarzania danych.
§ 16
Wydruki zawierające dane osobowe przeznaczone do usunięcia niszczy się w sposób uniemożliwiający ich odczytanie.
§ 17
Kopie zapasowe wykonane samodzielnie przez Koalę:
a) sprawdza okresowo pod względem ich dalszej przydatności do odtworzenia danych w razie awarii systemu,
b) bezzwłocznie usuwa po ustaniu ich użyteczności.
§ 18
Ekrany monitorów stanowisk dostępu do danych osobowych są automatycznie wyłączane po upływie ustalonego czasu nieaktywności użytkownika – o ile tylko pozwalają na to uwarunkowania techniczne.
§ 19
System informatyczny, w którym przetwarzane są dane osobowe wyposażony jest w mechanizmy uwierzytelnienia użytkownika (weryfikacja deklarowanej tożsamości osoby ubiegającej się o dostęp do danych) oraz kontroli dostępu do danych osobowych, przy czym:
a) każdy użytkownik systemu informatycznego, w którym przetwarzane są dane osobowe posiada ustalony, odrębny identyfikator (ciąg znaków literowych, cyfrowych lub innych, a jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym) oraz hasło (ciąg znaków literowych, cyfrowych lub innych, a znanych jedynie osobie uprawnionej do pracy w systemie informatycznym),
b) częstotliwość zmiany hasła użytkownika określa Instrukcja Zarządzania Systemem Informatycznym,
c) wprowadza się rozwiązania wymuszające okresową zmianę haseł,
d) hasła użytkownika, umożliwiające dostęp do systemu informatycznego, mają charakter poufny – również po upływie terminu ich ważności,
e) identyfikator użytkownika, który utracił uprawnienia dostępu do danych osobowych, jest niezwłocznie wyrejestrowywany z systemu informatycznego, a jego hasło jest unieważniane – osoba taka nie ma dostępu do danych osobowych.
f) identyfikator użytkownika, który utracił uprawnienia dostępu do danych osobowych nie może być przydzielony innej osobie.
Siedziba ADO
§ 20
Siedziba ADO znajduje się w Krakowie przy ul. Zwierzynieckiej 11/6.
Środki ochrony fizycznej
§ 21
Pomieszczenia ADO znajdują się na pierwszym piętrze kamienicy przy ul. Zwierzynieckiej 11.
Do pomieszczeń Koali prowadzą drzwi wyposażone w podwójne zamki.
Zabezpieczenie pomieszczeń
§ 22
1. Wszystkie pomieszczenia na terenie Koali są ogólnodostępne dla pracowników i współpracowników Koali. Klienci nie mają dostępu do urządzeń, przy pomocy których można połączyć się z bazą danych zawierających dane osobowe. To samo dotyczy szaf i innych miejsc przechowywania kartotek i zbiorów w formie papierowej.
2. W pomieszczeniach Koali znajdują się zamykane na klucz szafy i szuflady, w których przechowywane są akta osobowe, dokumenty, kopie zapasowe oraz nośniki elektroniczne z danymi osobowymi oraz inne dokumenty poufne w wersji papierowej i elektronicznej.
3. Pod nieobecność pracowników i współpracowników Koali upoważnionych do przetwarzania danych osobowych, bez zgody ADO klienci nie mogą przebywać w pomieszczeniach, w których znajdują się szafy i szuflady z aktami osobowe, dokumentami, kopiami zapasowymi oraz nośnikami elektronicznymi z danymi osobowymi oraz z innymi dokumentami poufnymi w wersji papierowej i elektronicznej.
§ 23
Serwer, na którym znajduje się baza danych klientów Koali znajduje się w pomieszczeniu firmy hostingowej Krakowskie e-Centrum Informatyczne JUMP Dziedzic Pasek Przybyła s.j. przy ul. Zakopiańskiej 9 w Krakowie (30-418 Kraków) w niedostępnej dla osób trzecich serwerowni. Serwerownia zamykana jest na klucz i jest chroniona przed nieautoryzowanym dostępem z zewnątrz przez 24h na dobę, każde wejście do serwerowni, jest logowane z wykorzystaniem indywidualnej karty magnetycznej, serwerownia objęta jest systemem alarmowym, serwerownia objęta jest systemem wideo monitoringu, serwerownia wyposażona jest czujniki ruchu podłączone do głównego systemu alarmowego, wszystkie pomieszczenia centrum są wyposażone w czujniki przeciwpożarowe podłączone do głównego systemu alarmowego.
Zabezpieczenie urządzeń przed awarią
§ 24
1. Serwer, na którym znajduje się baza klientów Koali zabezpieczona jest UPS-em z monitoringiem pracy z automatycznym wyłączaniem systemu – z wykorzystaniem – urządzenia UPS typu on-line 30kVA oraz przy pomocy agregatu prądotwórczego z SZR 130kVA. Serwerownia jest klimatyzowana w celu zapewnienia odpowiedniej temperatury pracy urządzeń.
2. Serwer, na którym znajduje się baza klientów Koali zabezpieczony jest przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego oraz przed innymi zagrożeniami z wykorzystaniem rozwiązań przewidzianych w informacji firmy hostingowej stanowiącej załącznik nr 1 do PB.
Zabezpieczenie nośników informacji
§ 25
1. Nośniki danych zawierające kopie zapasowe sporządzone przez Koalę przechowywane są w metalowej kasetce. Nośniki danych zawierające kopie zapasowe sporządzone przez firmę hostingową przechowywane są w sejfie firmy hostingowej.
2. Nośniki informacji zawierające dane osobowe przechowywane są w zamkniętych szufladach lub szafach.
3. Zabrania się pozostawiania nośników zawierających dane osobowe w miejscach, do których mają dostęp osoby nieupoważnione – poza zamykanymi szafami, szufladami, kasetkami.
4. Nośniki, na których zapisane są dane osobowe mogą być wynoszone poza siedzibę Koali wyłącznie w sytuacji uzasadniającej takie postępowanie. W takim przypadku informacje zawierające dane osobowe powinny być zabezpieczone przed nieautoryzowanym dostępem. W miarę możliwości dane wynoszone poza siedzibę Koali powinny być zaszyfrowane. Przetwarzanie danych osobowych pracowników i współpracowników Koali
§ 26
1. Koala przetwarza dane osobowe swoich pracowników w zakresie, w jakim zezwala na to treść art. 221 Kodeksu pracy oraz przepisy ustawy o ochronie danych osobowych.
2. Podstawą prawną przetwarzania danych osobowych pracowników są przepisy Kodeksu pracy (art 221 Kodeksu pracy).
3. Postanowienia ust. 1 stosuje się odpowiednio do osób współpracujących z firmą Koala na podstawie umów cywilnoprawnych.
4. Dane osobowe pracowników lub współpracowników przetwarzane są wyłącznie w związku z zatrudnieniem osób, których dane dotyczą.
5. Dane osobowe pracowników lub współpracowników przetwarzane są w celu:
a) wykonania przepisów prawa pracy,
b) wykonania innych przepisów prawa takich jak przepisy prawa podatkowego i przepisy o ubezpieczeniach społecznych.
6. Dane osobowe pracowników i współpracowników pochodzą od pracowników.
7. Dane osobowe pracowników, współpracowników przetwarzane są w:
a) w systemie informatycznym zapewniającym zarządzanie w zakresie kadrowym i płacowym przy pomocy oprogramowania Buchalter oraz Płatnik (dane przepływają pomiędzy systemem Buchalter oraz Płatnik),
b) w zbiorze prowadzonym w sposób tradycyjny – w aktach osobowych pracowników.
8. Struktura zbioru danych pracowników zgromadzonych w systemie kadrowo – płacowym obejmuje: nazwiska i imiona, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer ewidencyjny NIP, obywatelstwo.
9. Struktura zbioru danych pracowników zgromadzonych w aktach osobowych obejmuje: nazwiska i imiona, data urodzenia, miejsce urodzenia, adres zamieszkania lub pobytu, numer ewidencyjny PESEL, numer ewidencyjny NIP, obywatelstwo, nr telefonu, adres e-mail, zdjęcie.
10. Dane osobowe pracowników i współpracowników przekazywane są do biura rachunkowego zgodnie z obowiązującą oddzielną umową wyłącznie w zakresie w jakim jest to niezbędne do przeprowadzenia stosownych rozliczeń określonych m. in. przepisami prawa pracy, prawa podatkowego oraz prawa ubezpieczeń społecznych itp.
11. Dane osobowe pracowników mogą być przekazywane organom władzy publicznej i podmiotom trzecim w związku z naruszeniem praw Koali, lub w związku z dochodzeniem praw Koali przed sądami lub innymi organami orzekającymi.
12. Wyjąwszy powyższe dwa punkty Koala nie udostępnia danych osobowych klientów innym osobom.
13. Koala umożliwia osobom, których dane dotyczą wgląd do danych osobowych oraz stwarza możliwość ich poprawy oraz uzupełnienia.
Przetwarzanie danych osobowych klientów Koali
§ 27
1. Koala przetwarza dane osobowe klientów w granicach przewidzianych w przepisie art. 23 ust. 1 pkt. 2 – 5 ustawy. W pozostałych przypadkach Koala przetwarza dane osobowe klientów tylko i wyłącznie po uzyskaniu zgody klienta.
2. Za przetwarzanie danych osobowych odpowiedzialni są upoważnieni pracownicy lub osoby współpracujące.
3. Dane osobowe klienta przetwarzane są tylko i wyłącznie w celu w jakim zostały udostępnione.
4. W przypadku gdy specyfika świadczonych usług wymaga ujawnienia przez klienta danych o stanie zdrowia, Koala przystępuje do świadczenia tych usług po uzyskaniu od klienta pisemnej zgody na przetwarzanie tych danych.
5. Koala nie przetwarza danych klientów ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową jak również danych o kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. 6. Koala przetwarza dane osobowe klientów:
a) w celu świadczenia usług medycznych a w tym w celu realizacji zapisu na kurs, warsztat lub innego rodzaju usługę oraz gdy jest to niezbędne do podjęcia działań przed dokonaniem takiego zapisu,
b) w celu rozliczenia usług,
c) w związku z koniecznością prowadzenia dokumentacji medycznej (tam gdzie istnieje taki obowiązek),
d) w celach marketingowych.
7. Dane osobowe klientów pochodzą od tych klientów.
8. Dane osobowe klientów Koali przetwarzane są w:
a) bazie klientów tworzonej przy zapisaniu na kurs, warsztat, zajęcia, poradę, albo wizytę. Baza prowadzona jest przy użyciu programu MySQL i znajduje się na serwerze prowadzonym przez Krakowskie e-Centrum Informatyczne JUMP Dziedzic Pasek Przybyła s.j. przy ul. Zakopiańskiej 9 w Krakowie (30-418 Kraków) – dane zawarte w tej bazie przepływają również do przestrzeni dyskowej „Google Drive” dla login-u anna.przybylska45@gmail.com prowadzonej przez Google Inc., której siedziba znajduje się pod adresem 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Baza występuje również w postaci wydruków,
b) papierowym zbiorze; formularzy zapisów na gimnastykę w ciąży i po porodzie, formularzy badań, formularzy dot. rehabilitacji, kart doula, kart porad laktacyjnych i porodów domowych,
9. Struktura zbioru bazy klientów tworzonej przy zapisaniu na kurs, warsztat, zajęcia, poradę, albo wizytę w formie pisemnej oraz poprzez stronę www obejmuje:
a) w przypadku zapisu na kurs: imię i nazwisko, imię i nazwisko osoby towarzyszącej, adres e-mail, tel. kontaktowy, wybór trybu zajęć (wieczorowy – poniedziałki, środy, wieczorowy – wtorki, czwartki, weekendowy – soboty, weekendowy – niedziele, kurs przed cięciem cesarskim, Birth school in English – kurs w języku angielskim), miesiąc zajęć, wybór co do wykorzystania pakietu, wiadomość dodatkową klienta, dane o zapłacie za usługę, dane o obecności na zajęciach,
b) w przypadku zapisu na warsztat: imię i nazwisko, imię i nazwisko osoby towarzyszącej, adres e-mail, tel. kontaktowy, wybór rodzaju i daty zajęć, wiadomość dodatkową klienta, dane o zapłacie za usługę, dane o obecności na zajęciach,
c) w przypadku zajęć, porady, wizyty poprzez wiadomość e-mailową: imię nazwisko, adres e- mail, tel. kontaktowy.
10. Struktura danych zbioru papierowego w zależności od typu karty, bądź formularza obejmuje: imię i nazwisko, PESEL, nr dowodu osobistego, dane o grupie krwi rodzącej, imię i nazwisko ew. osoby towarzyszącej w porodzie, adres e-mail, tel. kontaktowy, planowany termin porodu, tydzień ciąży, spis dolegliwości w okresie ciąży, spis leków przyjmowanych w czasie ciąży, dane o zgodzie lekarza na udział w zajęciach, typ porodu, szczegółowy opis przebiegu porodu, podsumowanie porodu, wynik badania noworodka po urodzeniu, wynik badania dna miednicy, spis dolegliwości w okresie połogu, wynik badania matki i dziecka w zw. z karmieniem, ilość wizyt/zajęć, daty wizyt/zajęć, rodzaj abonamentu – forma płatności.
11. Dane osobowe klientów przekazywane są do biura rachunkowego zgodnie z obowiązującą oddzielną umową wyłącznie w zakresie, w jakim jest to niezbędne do przeprowadzenia stosownych rozliczeń określonych m. In. przepisami prawa podatkowego itp.
12. Dane osobowe klientów mogą być przekazywane organom władzy publicznej i podmiotom trzecim w związku z naruszeniem praw Koali, lub w związku z dochodzeniem praw Koali przed sądami lub innymi organami orzekającymi.
13. Wyjąwszy powyższe dwa punkty Koala nie udostępnia danych osobowych klientów innym osobom.
14. Koala umożliwia osobom, których dane dotyczą wgląd do danych osobowych oraz stwarza możliwość ich poprawy oraz uzupełnienia. Rodzinne Centrum Położnicze Koala”