Polityka bezpieczeństwa & nota prawna
POLITYKA BEZPIECZEŃSTWA
Insieme Centrum sp. z o.o.
(Dąbrowa Górnicza, 25.05.2018)
§1
Polityka Bezpieczeństwa rozumiana jest jako wykaz praw, reguł i wewnętrznych praktyk regulujących sposób zarządzania i ochrony danych
osobowych wewnątrz
INSIEME Centrum Spółką z ograniczoną odpowiedzialnością z siedzibą w Dąbrowie Górniczej, ul. Wyspiańskiego 22, 41-300 Dąbrowa
Górnicza, wpisaną pod nr KRS 0000568329 do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Katowice-Wschód. w
Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego; NIP 6292472570; Regon 362086202, wpisaną do rejestru
Zakładów Opieki Zdrowotnej prowadzonego przez Wojewodę Śląskiego pod nr 0000001793792, zwanej dalej Spółką.
1. Dokument obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno
tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł
postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.
§2 Podstawa prawna
1. Polityka Bezpieczeństwa została opracowana na podstawie:
1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)
2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
3. Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. Nr 52 poz. 417 z 2009)
4. Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu
jej przetwarzania (Dz. U. Nr 252 poz. 1697 z 2010).
5. Art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).
6. Administratorem danych osobowych w rozumieniu Art. 7 pkt 4 Ustawy jest Insieme Centrum sp. z o.o.
7. Dane pacjentów Spółki są chronione zgodnie z polskim prawem oraz procedurami dotyczącymi bezpieczeństwa i poufności
przetwarzanych danych obowiązującymi w instytucjach publicznych.
§3 Definicje
1. Administrator Danych Osobowych – rozumie się przez to Insieme Centrum sp. z o.o..
2. Inspektor Ochrony Danych Osobowych – osoba wyznaczona przez Administratora, odpowiedzialna za bezpieczeństwo danych
osobowych.
3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
4. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie,
opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
5. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów.
6. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi
programowych zastosowanych w celu przetwarzania danych.
7. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną
do przetwarzania danych osobowych w systemie informatycznym.
8. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do
pracy w systemie informatycznym.
9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
10. Integralność danych – funkcjonalność zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób
nieautoryzowany.
11. Poufność danych – funkcjonalność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
12. Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jedn.:
Dz U 2002 nr 101, poz. 926 ze zm.).
§4 Deklaracja
1. Administrator danych mając świadomość, iż przetwarza dane wrażliwe pacjentów deklaruje dołożyć wszelkich starań, aby
przetwarzanie odbywało się w zgodności z przepisami prawa.
2. Każdy pracownik upoważniony do przetwarzania danych, świadomy odpowiedzialności, zobowiązany jest postępować zgodnie z
przyjętymi zasadami i minimalizować zagrożenia wynikające z błędów ludzkich.
3. W trosce o czytelny i uporządkowany stan materii, wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą
ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych.
§5 Wykaz zbiorów osobowych, rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania
Na podstawie § 4. pkt 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych wraz ze wskazaniem programów
komputerowych służących do ich przetwarzania zgodnie z załącznikiem nr 1 do niniejszej dokumentacji. Ponadto zgodnie z Art. 29
rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. stworzono rejestr czynności przetwarzania oraz
rejestr kategorii czynności przetwarzania (dodatek elektroniczny do Załącznika 1 – dokument w formie arkusza kalkulacyjnego excel).
§6 Wykaz miejsc przetwarzania
1. Na podstawie § 4. pkt 1. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie
dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz pomieszczeń tworzących obszar
fizyczny przetwarzania danych.
2. Obszarem przetwarzania danych są wszystkie pomieszczenia, korytarze oraz obszar Insieme Centrum sp. z o.o.
3. Szczegółowy wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik nr 2 do niniejszej dokumentacji. Dla
pomieszczeń, w których dane są gromadzone na czas nieobecności w nich osób upoważnionych opisano zastosowane środki ochrony
technicznej.
§7 Opis struktury zbiorów osobowych
Na podstawie § 4. pkt 3. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika nr 1 opis struktury poszczególnych zbiorów
osobowych.
§8 Sposób przepływu danych pomiędzy systemami
Na podstawie § 4. pkt 4. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania danych osobowych, z uwagi na fakt, iż pomiędzy systemami wykorzystywanymi do przetwarzania
zbiorów danych osobowych, przypisanymi do tych zbiorów zgodnie z załącznikiem nr 1 nie występują żadne powiązania automatycznego
przekazywania danych, nie wprowadzono opisu danych pomiędzy systemami.
§9 Ewidencja osób upoważnionych do przetwarzania danych osobowych
1. Zgodnie z art. 39. ust. 1. ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania
danych, która stanowi załącznik nr 3 do niniejszej dokumentacji.
2. Ewidencja zawiera: imię i nazwisko osoby upoważnionej, stanowisko, datę nadania i ustania uprawnień oraz zakres, a w przypadku
kiedy dane są przetwarzane za pomocą programu komputerowego również identyfikator dostępowy do tego programu.
§10 Środki organizacyjne ochrony danych osobowych
1. Przetwarzanie danych osobowych na terenie Spółi może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres
uprawnień jest ściśle proporcjonalny do tych zadań.
2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych.
3. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie. Wzór upoważnienia stanowi
załącznik nr 4 do niniejszej dokumentacji.
4. Unieważnienie upoważnienia następuje na piśmie, wg wzoru stanowiącego załącznik nr 5 do niniejszej dokumentacji.
5. Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 2 do niniejszej dokumentacji.
6. Każdy pracownik Praktyki co najmniej raz na rok musi odbyć szkolenie z zakresu ochrony danych osobowych. Nowo przyjęty pracownik
odbywa szkolenie przed przystąpieniem do przetwarzania danych.
7. Każdy upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem
wszystkich zasad bezpieczeństwa. Wzór potwierdzenia stanowi załącznik nr 6 do niniejszej dokumentacji. Podpisany dokument jest
dołączany do akt osobowych.
8. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą Administratora danych lub w
obecności osoby upoważnionej do przetwarzania danych osobowych.
9. Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz.
10. Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z biurka wszystkie
dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach.
11. Nie należy gromadzić w podręcznej dokumentacji danych osobowych. Wszystkie dane niezbędne do prawidłowej pracy powinny
znajdować się w zbiorach, zgodnie z załącznikiem nr 1 do dokumentacji.
12. Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach.
13. Każdorazowe zbieranie danych zgodnie z art. 24. oraz art. 25. ustawy o ochronie danych osobowych rodzi obowiązek informacyjny.
Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi. Wzór realizacji obowiązku
informacyjnego określa załącznik nr 7.
14. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom
postronnym w przetwarzane dane.
15. Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza obszary przetwarzania lub
przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu.
16. Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa, zapisywanych na
zewnętrznych nośnikach i przechowywanych pod zamknięciem.
17. Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku nr 1 do dokumentacji, za wyjątkiem komputerów
służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania.
18. Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i
odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym będącej częścią niniejszej
dokumentacji.
19. W celu zapewnienia danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego (np. WINDOWS) oraz
bezpośrednio do programów przetwarzających dane.
20. Szczegółowe zasady postępowania ze zbiorami przetwarzanymi elektronicznie określa Instrukcja zarządzania systemem
informatycznym.
§11 Obowiązki Administratora danych osobowych
1. Administrator danych bezpośrednio i samodzielnie nadzoruje stosowanie określonych środków organizacyjnych, zgodnie z art. 36. ust.
3. ustawy o ochronie danych osobowych.
2. Do szczegółowych zadań ADO należy:
1. nadzór nad przetwarzaniem danych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa,
2. kontrola przestrzegania zasad ochrony – systematycznie, nie rzadziej niż dwa razy do roku kontrolowanie zastosowanych środków
technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
kategorii danych objętych ochroną, a w szczególności kontrola pod kątem zabezpieczenia danych przed ich udostępnieniem
osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem, w tym:
kontrola i aktualizacja dokumentacji opisującej sposób przetwarzania oraz ochrony,
prowadzenie ewidencji osób upoważnionych do przetwarzania danych,
przygotowywanie dla ADO do podpisu Upoważnień do przetwarzania danych,
kontrola fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są informacje,
kontrola poprawności zabezpieczeń danych przetwarzanych metodami tradycyjnymi,
kontrola nadanych upoważnień,
systematyczna analiza dokumentacji pod kątem obszarów, zbiorów oraz zasad ochrony,
organizacja szkoleń z ochrony danych osobowych oraz aktów wykonawczych,
podjęcie natychmiastowych działań zabezpieczających w przypadku otrzymania informacji o naruszeniu bezpieczeństwa
informacji,
3. W przypadku kiedy ADO powoła IOD wszystkie zapisy w Polityce, które odwołują się do ADO są rozumiane jako zapisy dotyczące
IOD.
4. Dla celów obsługi i zabezpieczenia systemu informatycznego Administrator danych może powołać Administratora systemu
informatycznego i wyznaczyć mu następujący zakres zadań:
1. prowadzenie monitoringu przetwarzania danych,
2. administrowanie systemem informatycznym,
3. nadawanie uprawnień użytkownikom,
4. stosowanie środków ochrony w ramach oprogramowania użytkowego, systemów operacyjnych, urządzeń teletransmisyjnych,
programów antywirusowych oraz ochrony sprzętowej,
5. kontrola mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz
kontrola dostępu do danych osobowych,
6. kontrola systemu antywirusowego,
7. kontrola awaryjnego zasilania komputerów,
8. kontrola i wykonywanie kopii awaryjnych,
9. konserwacja oraz uaktualnienia systemów informatycznych,
10. informowanie na bieżąco ADO o przypadkach awarii programowych wynikających z posługiwania się przez użytkowników
nieautoryzowanym oprogramowaniem, nie przestrzegania zasad używania programów antywirusowych, niewłaściwego
wykorzystywania sprzętu komputerowego,
11. przedstawianie Administratorowi danych, nie rzadziej niż raz na rok, kompleksowej analizy przetwarzania danych osobowych w
systemem informatycznym oraz ewentualne potrzeby w zakresie zabezpieczeń.
12. W szczególnych przypadkach, Administrator danych może powierzyć obowiązki ASI i IOD jednej osobie, która posiada
odpowiednie kwalifikacje. W takim przypadku wszystkie zapisy w dokumentacji, które odwołują się do IOD i ASI są rozumiane jako
zadania tej osoby.
13. W przypadku kiedy ADO nie powołuje ASI wszystkie zapisy w dokumentacji, które odwołują się do ASI są rozumiane jako zapisy
dot. ADO.
§12 Środki techniczne ochrony danych osobowych
1. Spółka posiada następujący ogólny system zabezpieczeń:
1. alarm antywłamaniowy
2. całodobowy nadzór służb ochrony
3. gaśnice
4. systemy ppoż.
5. Rolety
6. Drzwi tradycyjne zamykane na klucz
7. Podwójnie zamykane drzwi wejściowe
8. Szafy tradycyjne zamykane na klucz
9. Szafy metalowe
10. Sejfy
11. Niszczarki dokumentów (do każdego gabinetu)
12. Wyposażenie komputerów w zasilacze awaryjne podtrzymujące napięcie
13. Wyposażenie komputerów w systemy antywirusowe
14. Szafy metalowe do gromadzenia danych na nośnikach elektronicznych
15. W tabeli załącznika nr 2 opisano dla każdego pomieszczenia indywidualnie, stosowane środki bezpieczeństwa.
16. Każdy komputer przetwarzający dane osobowe zabezpieczono w zasilacz awaryjny podtrzymujący napięcie na wypadek braku
zasilania oraz w system antywirusowy. Szczegółowe środki ochrony technicznej komputerów z podziałem na miejsca
przetwarzania zamieszczono w załączniku nr 2 do niniejszej dokumentacji.
17. Dodatkowe, środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego
pracy oraz zasad użytkowania, określono w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych
osobowych.
Nota prawna
Nota prawna została wydana w odniesieniu do domeny www.insieme.com.pl, której
właścicielem jest spółka Insieme Centrum Sp. z o. o. z siedzibą w Dąbrowie Górniczej, ul.
Wyspiańskiego 22, 41-300 Dąbrowa Górnicza (zwana dalej: Insieme Centrum Medyczne).
Insieme Centrum Medyczne oświadcza, że dokłada wszelkich starań, aby treści zamieszczone
w serwisie były zawsze aktualne, rzetelne oraz zgodne z prawem, jednakże Insieme Centrum
Medyczne nie ponosi odpowiedzialności za skutki działań podejmowanych w oparciu o
zamieszone na niniejszej stronie internetowej treści.
Podawane w serwisie treści i ceny nie stanowią oferty handlowej w rozumieniu przepisów
Kodeksu cywilnego (tekst jedn. Dz.U.2014.121 z późn. zm.) i są publikowane jedynie w celach
o charakterze informacyjnym. Insieme Centrum Medyczne zastrzega sobie prawo do ich
zmian. W celu uzyskania ostatecznej oferty i ceny za wykonanie poszczególnych usług
medycznych przez Insieme Centrum Medyczne, należy kontaktować się osobiście,
telefonicznie lub mailowo. Szczegóły dotyczące danych kontaktowych dostępne są na naszej
stronie internetowej, w zakładce „Kontakt”. Z uwagi na specyfikację branży medycznej, plan
oraz całkowity koszt leczenia można precyzyjnie określić dopiero na podstawie
przeprowadzonego badania i konsultacji z lekarzem specjalistą.
Wszelkie prawa w zakresie materiałów opublikowanych w serwisie, w tym prawa do nazw,
znaków towarowych, tekstów, fotografii, filmów oraz znaków graficznych przysługują spółce
Insieme Centrum Sp. z o.o., oraz objęte są ochroną wynikającą z Ustawy z dnia 4 lutego 1994
r. o prawie autorskim i prawach pokrewnych (tekst jedn. Dz.U.2006.90.631 z późn. zm.) oraz
Ustawy z dnia 30 czerwca 2000 r. prawo własności przemysłowej (tekst jedn.
Dz.U.2013.1410 z późn. zm.).
Wszelkie informacje dotyczące osób zatrudnionych lub współpracujących z Insieme Centrum
Medyczne wymienionych w serwisie, stanowią dobra osobiste tych osób w rozumieniu art.
23 Kodeksu cywilnego (tekst jedn. Dz.U.2014.121 z późn. zm.).
Użytkownik serwisu ma prawo do pobierania oraz drukowania całych stron informacji lub ich
fragmentów, pod warunkiem nienaruszania praw autorskich oraz praw wynikających z
rejestracji znaków towarowych należących do Insieme Centrum Medyczne lub
wykorzystywanych przez Insieme Centrum Medyczne, za zgodą podmiotów uprawnionych.
Informacje zawarte w serwisie nie mogą być wykorzystywane w celach komercyjnych, w
szczególności poprzez kopiowanie w całości lub części, transmitowanie elektroniczne lub w
inny sposób modyfikowane lub wykorzystywane bez uprzedniej pisemnej zgody Insieme
Centrum Medyczne.
Insieme Centrum Medyczne zastrzega sobie prawo do decydowania o treści informacji
umieszczonych w serwisie, w tym do wprowadzania zmian w całości lub w części informacji
tam zawartych, oraz do okresowego lub całkowitego ich wycofania, całkowitego bądź
częściowego wycofania informacji zawartych w serwisie z użytkowania w sieci Internet, bez
wcześniejszego powiadomienia Użytkowników.
Insieme Centrum Medyczne nie ponosi odpowiedzialności za zawartość innych stron oraz
serwisów internetowych, nie stanowiących własności Insieme Centrum Medyczne, zarówno
tych dostępnych dla Użytkowników dzięki linkom umieszczonym na stronach portalu
www.insieme.com.pl, jak i tych, które umieszczają linki do portalu www.insieme.com.pl.
Insieme Centrum Medyczne nie ponosi odpowiedzialności za jakiekolwiek szkody powstałe w
wyniku korzystania z serwisu lub braku możliwości z jego korzystania. Insieme Centrum
Medyczne nie ponosi odpowiedzialności za szkody spowodowane przez jakąkolwiek wadę
serwisu, błąd, pominięcie lub opóźnienie transmisji danych z serwisu, wirus komputerowy
lub awarię linii telekomunikacyjnej albo systemu.