ul. Wyspiańskiego 22, 41-300 Dąbrowa Górnicza PONIEDZIAŁEK-PIĄTEK 8:30-21:00 536-548-548
Insieme Centrum Medyczne
536-548-548

Kontakt

ul. Wyspiańskiego 22, 41-300 Dąbrowa Górnicza,

PONIEDZIAŁEK-PIĄTEK 8:30-21:00

536-548-548

Stay in touch:

    Ostatnie wpisy

    Najnowsze komentarze

      Archiwa

      Kategorie

      Meta

      Polityka bezpieczeństwa & nota prawna

      POLITYKA BEZPIECZEŃSTWA
      Insieme Centrum sp. z o.o.
      (Dąbrowa Górnicza, 25.05.2018) 

      §1

      Polityka Bezpieczeństwa rozumiana jest jako wykaz praw, reguł i wewnętrznych praktyk regulujących sposób zarządzania i ochrony danych
      osobowych wewnątrz
      INSIEME Centrum Spółką z ograniczoną odpowiedzialnością z siedzibą w Dąbrowie Górniczej, ul. Wyspiańskiego 22, 41-300 Dąbrowa
      Górnicza, wpisaną pod nr KRS 0000568329 do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy Katowice-Wschód. w
      Katowicach, VIII Wydział Gospodarczy Krajowego Rejestru Sądowego; NIP 6292472570; Regon 362086202, wpisaną do rejestru
      Zakładów Opieki Zdrowotnej prowadzonego przez Wojewodę Śląskiego pod nr 0000001793792, zwanej dalej Spółką.
      1. Dokument obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno
      tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł
      postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.

      §2 Podstawa prawna

      1. Polityka Bezpieczeństwa została opracowana na podstawie:
      1. Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, ze zm.)
      2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania
      danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
      informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024),
      3. Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. Nr 52 poz. 417 z 2009)
      4. Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu
      jej przetwarzania (Dz. U. Nr 252 poz. 1697 z 2010).
      5. Art. 29 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób
      fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia
      dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1).
      6. Administratorem danych osobowych w rozumieniu Art. 7 pkt 4 Ustawy jest Insieme Centrum sp. z o.o.
      7. Dane pacjentów Spółki są chronione zgodnie z polskim prawem oraz procedurami dotyczącymi bezpieczeństwa i poufności
      przetwarzanych danych obowiązującymi  w instytucjach publicznych.
      §3 Definicje
      1. Administrator Danych Osobowych – rozumie się przez to Insieme Centrum sp. z o.o..
      2. Inspektor Ochrony Danych Osobowych – osoba wyznaczona przez Administratora, odpowiedzialna za bezpieczeństwo danych
      osobowych.
      3. Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
      4. Przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych, takie jak: zbieranie, utrwalanie, przechowywanie,
      opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.
      5. Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów.
      6. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi
      programowych zastosowanych w celu przetwarzania danych.
      7. Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną
      do przetwarzania danych osobowych w systemie informatycznym.
      8. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do
      pracy w systemie informatycznym.
      9. Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
      10. Integralność danych – funkcjonalność zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób
      nieautoryzowany.
      11. Poufność danych – funkcjonalność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
      12. Ustawa – rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (tekst jedn.:
      Dz U 2002 nr 101, poz. 926 ze zm.).

      §4 Deklaracja

      1. Administrator danych mając świadomość, iż przetwarza dane wrażliwe pacjentów deklaruje dołożyć wszelkich starań, aby
      przetwarzanie odbywało się w zgodności z przepisami prawa.
      2. Każdy pracownik upoważniony do przetwarzania danych, świadomy odpowiedzialności,  zobowiązany jest postępować zgodnie z
      przyjętymi zasadami i minimalizować zagrożenia wynikające z błędów ludzkich.
      3. W trosce o czytelny i uporządkowany stan materii, wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą
      ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych.

      §5 Wykaz zbiorów osobowych, rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania
      Na podstawie § 4. pkt 2. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
      przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
      informatyczne służące do przetwarzania danych osobowych tworzy się wykaz zbiorów osobowych wraz ze wskazaniem programów
      komputerowych służących do ich przetwarzania zgodnie z załącznikiem nr 1 do niniejszej dokumentacji. Ponadto zgodnie z Art. 29
      rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. stworzono rejestr czynności przetwarzania oraz
      rejestr kategorii czynności przetwarzania (dodatek elektroniczny do Załącznika 1 – dokument w formie arkusza kalkulacyjnego excel).

      §6 Wykaz miejsc przetwarzania

      1. Na podstawie § 4. pkt 1. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia  29 kwietnia 2004 r. w sprawie
      dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać
      urządzenia i systemy informatyczne służące do przetwarzania danych osobowych tworzy się wykaz pomieszczeń tworzących obszar
      fizyczny przetwarzania danych.
      2. Obszarem przetwarzania danych są wszystkie pomieszczenia, korytarze oraz obszar Insieme Centrum sp. z o.o.
      3. Szczegółowy wykaz pomieszczeń, w których przetwarzane są dane osobowe, stanowi załącznik nr 2 do niniejszej dokumentacji. Dla
      pomieszczeń, w których dane są gromadzone na czas nieobecności w nich osób upoważnionych opisano zastosowane środki ochrony
      technicznej.

      §7 Opis struktury zbiorów osobowych

      Na podstawie § 4. pkt 3. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia  29 kwietnia 2004 r. w sprawie dokumentacji
      przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
      informatyczne służące do przetwarzania danych osobowych wprowadza się do załącznika nr 1 opis struktury poszczególnych zbiorów
      osobowych.

      §8 Sposób przepływu danych pomiędzy systemami

      Na podstawie § 4. pkt 4. Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji
      przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy
      informatyczne służące do przetwarzania danych osobowych, z uwagi na fakt, iż pomiędzy systemami wykorzystywanymi do przetwarzania
      zbiorów danych osobowych, przypisanymi do tych zbiorów zgodnie z załącznikiem nr 1 nie występują żadne powiązania automatycznego
      przekazywania danych, nie wprowadzono opisu danych pomiędzy systemami.

      §9 Ewidencja osób upoważnionych do przetwarzania danych osobowych

      1. Zgodnie z art. 39. ust. 1. ustawy o ochronie danych osobowych wprowadza się ewidencję osób upoważnionych do przetwarzania
      danych, która stanowi załącznik nr 3 do niniejszej dokumentacji.
      2. Ewidencja zawiera: imię i nazwisko osoby upoważnionej, stanowisko, datę nadania i ustania uprawnień oraz zakres, a w przypadku
      kiedy dane są przetwarzane za pomocą programu komputerowego również identyfikator dostępowy do tego programu.

      §10 Środki organizacyjne ochrony danych osobowych

      1. Przetwarzanie danych osobowych na terenie Spółi może odbywać się wyłącznie w ramach wykonywania zadań służbowych. Zakres
      uprawnień jest ściśle proporcjonalny do tych zadań.
      2. Prowadzona jest ewidencja osób upoważnionych do przetwarzania danych.
      3. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie. Wzór upoważnienia stanowi
      załącznik nr 4 do niniejszej dokumentacji.
      4. Unieważnienie upoważnienia następuje na piśmie, wg wzoru stanowiącego załącznik nr 5 do niniejszej dokumentacji.
      5. Zabrania się przetwarzania danych poza obszarem określonym w załączniku nr 2 do niniejszej dokumentacji.
      6. Każdy pracownik Praktyki co najmniej raz na rok musi odbyć szkolenie z zakresu ochrony danych osobowych. Nowo przyjęty pracownik
      odbywa szkolenie przed przystąpieniem do przetwarzania danych.
      7. Każdy upoważniony do przetwarzania danych potwierdza pisemnie fakt zapoznania się z niniejszą dokumentacją i zrozumieniem
      wszystkich zasad bezpieczeństwa. Wzór potwierdzenia stanowi załącznik nr 6 do niniejszej dokumentacji. Podpisany dokument jest
      dołączany do akt osobowych.
      8. Przebywanie osób nieuprawnionych w obszarze przetwarzania danych jest dopuszczalne za zgodą Administratora danych lub w
      obecności osoby upoważnionej do przetwarzania danych osobowych.
      9. Pomieszczenia stanowiące obszar przetwarzania danych powinny być zamykane na klucz.
      10. Przed opuszczeniem pomieszczenia stanowiącego obszar przetwarzania danych należy zamknąć okna oraz usunąć z biurka wszystkie
      dokumenty i nośniki informacji oraz umieścić je w odpowiednich zamykanych szafach lub biurkach.
      11. Nie należy gromadzić w podręcznej dokumentacji danych osobowych. Wszystkie dane niezbędne do prawidłowej pracy powinny
      znajdować się w zbiorach, zgodnie z załącznikiem nr 1 do dokumentacji.
      12. Dokumenty zawierające dane osobowe należy niszczyć w specjalistycznych niszczarkach.
      13. Każdorazowe zbieranie danych zgodnie z art. 24. oraz art. 25. ustawy o ochronie danych osobowych rodzi obowiązek informacyjny.
      Obowiązek należy realizować umieszczając odpowiednią treść informacyjną pod formularzem z danymi. Wzór realizacji obowiązku
      informacyjnego określa załącznik nr 7.
      14. Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom
      postronnym w przetwarzane dane.
      15. Dokumenty w wersji elektronicznej, które zapisywane są na nośniki zewnętrzne, przenoszone poza obszary przetwarzania lub
      przesyłane pocztą elektroniczną, należy zabezpieczyć poprzez nadanie im haseł odczytu.
      16. Zbiory osobowe przetwarzane elektronicznie należy zabezpieczać poprzez wykonywanie kopii bezpieczeństwa, zapisywanych na
      zewnętrznych nośnikach i przechowywanych pod zamknięciem.
      17. Komputery, które przetwarzają zbiory osobowe wyszczególnione w załączniku nr 1 do dokumentacji, za wyjątkiem komputerów
      służących jedynie do edycji tekstu, należy wyposażyć w urządzenia podtrzymujące napięcie na wypadek braku zasilania.
      18. Pliki edytorów tekstu lub arkuszy kalkulacyjnych należy traktować jak kopie zbiorów, z których pochodzą przetwarzane w nich dane i
      odpowiednio zabezpieczać stosując wytyczne zawarte w Instrukcji zarządzania systemem informatycznym będącej częścią niniejszej
      dokumentacji.
      19. W celu zapewnienia danych przetwarzanych elektronicznie należy zapewnić logowanie do systemu operacyjnego (np. WINDOWS) oraz
      bezpośrednio do programów przetwarzających dane.
      20. Szczegółowe zasady postępowania ze zbiorami przetwarzanymi elektronicznie określa Instrukcja zarządzania systemem
      informatycznym.

      §11 Obowiązki Administratora danych osobowych

      1. Administrator danych bezpośrednio i samodzielnie nadzoruje stosowanie określonych środków organizacyjnych, zgodnie z art. 36. ust.
      3. ustawy o ochronie danych osobowych.
      2. Do szczegółowych zadań ADO należy:
      1. nadzór nad przetwarzaniem danych zgodnie z ustawą o ochronie danych osobowych i innymi przepisami prawa,
      2. kontrola przestrzegania zasad ochrony – systematycznie, nie rzadziej niż dwa razy do roku kontrolowanie zastosowanych środków
      technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz
      kategorii danych objętych ochroną, a w szczególności kontrola pod kątem zabezpieczenia danych przed ich udostępnieniem
      osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą,
      uszkodzeniem lub zniszczeniem, w tym:
       kontrola i aktualizacja dokumentacji opisującej sposób przetwarzania oraz ochrony,
       prowadzenie ewidencji osób upoważnionych do przetwarzania danych,
       przygotowywanie dla ADO do podpisu Upoważnień do przetwarzania danych,
       kontrola fizycznych zabezpieczeń pomieszczeń, w których przetwarzane są informacje,
       kontrola poprawności zabezpieczeń danych przetwarzanych metodami tradycyjnymi,
       kontrola nadanych upoważnień,
       systematyczna analiza dokumentacji pod kątem obszarów, zbiorów oraz zasad ochrony,
       organizacja szkoleń z ochrony danych osobowych oraz aktów wykonawczych,
       podjęcie natychmiastowych działań zabezpieczających w przypadku otrzymania informacji o naruszeniu bezpieczeństwa
      informacji,
      3. W przypadku kiedy ADO powoła IOD wszystkie zapisy w Polityce, które odwołują się do ADO są rozumiane jako zapisy dotyczące
      IOD.
      4. Dla celów obsługi i zabezpieczenia systemu informatycznego Administrator danych może powołać Administratora systemu
      informatycznego i wyznaczyć mu następujący zakres zadań:
      1. prowadzenie monitoringu przetwarzania danych,
      2. administrowanie systemem informatycznym,
      3. nadawanie uprawnień użytkownikom,
      4. stosowanie środków ochrony w ramach oprogramowania użytkowego, systemów operacyjnych, urządzeń teletransmisyjnych,
      programów antywirusowych oraz ochrony sprzętowej,
      5. kontrola mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane osobowe oraz
      kontrola dostępu do danych osobowych,
      6. kontrola systemu antywirusowego,
      7. kontrola awaryjnego zasilania komputerów,
      8. kontrola i wykonywanie kopii awaryjnych,
      9. konserwacja oraz uaktualnienia systemów informatycznych,
      10. informowanie na bieżąco ADO o przypadkach awarii programowych wynikających z posługiwania się przez użytkowników
      nieautoryzowanym oprogramowaniem, nie przestrzegania zasad używania programów antywirusowych, niewłaściwego
      wykorzystywania sprzętu komputerowego,
      11. przedstawianie Administratorowi danych, nie rzadziej niż raz na rok, kompleksowej analizy przetwarzania danych osobowych w
      systemem informatycznym oraz ewentualne potrzeby w zakresie zabezpieczeń.
      12. W szczególnych przypadkach, Administrator danych może powierzyć obowiązki ASI i IOD jednej osobie, która posiada
      odpowiednie kwalifikacje. W takim przypadku wszystkie zapisy w dokumentacji, które odwołują się do IOD i ASI są rozumiane jako
      zadania tej osoby.
      13. W przypadku kiedy ADO nie powołuje ASI wszystkie zapisy w dokumentacji, które odwołują się do ASI są rozumiane jako zapisy
      dot. ADO.

      §12 Środki techniczne ochrony danych osobowych

      1. Spółka posiada następujący ogólny system zabezpieczeń:
      1. alarm antywłamaniowy
      2. całodobowy nadzór służb ochrony
      3. gaśnice
      4. systemy ppoż.
      5. Rolety
      6. Drzwi tradycyjne zamykane na klucz
      7. Podwójnie zamykane drzwi wejściowe
      8. Szafy tradycyjne zamykane na klucz
      9. Szafy metalowe
      10. Sejfy
      11. Niszczarki dokumentów (do każdego gabinetu)
      12. Wyposażenie komputerów w zasilacze awaryjne podtrzymujące napięcie
      13. Wyposażenie komputerów w systemy antywirusowe
      14. Szafy metalowe do gromadzenia danych na nośnikach elektronicznych
      15. W tabeli załącznika nr 2 opisano dla każdego pomieszczenia indywidualnie, stosowane środki bezpieczeństwa.
      16. Każdy komputer przetwarzający dane osobowe zabezpieczono w zasilacz awaryjny podtrzymujący napięcie na wypadek braku
      zasilania oraz w system antywirusowy. Szczegółowe środki ochrony technicznej komputerów z podziałem na miejsca
      przetwarzania zamieszczono w załączniku nr 2 do niniejszej dokumentacji.
      17. Dodatkowe, środki ochrony technicznej systemu informatycznego, jak również wszystkie niezbędne informacje dotyczące jego
      pracy oraz zasad użytkowania, określono w Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych
      osobowych.

       

       

      Nota prawna

      Nota prawna została wydana w odniesieniu do domeny www.insieme.com.pl, której
      właścicielem jest spółka Insieme Centrum Sp. z o. o. z siedzibą w Dąbrowie Górniczej, ul.
      Wyspiańskiego 22, 41-300 Dąbrowa Górnicza (zwana dalej: Insieme Centrum Medyczne).
      Insieme Centrum Medyczne oświadcza, że dokłada wszelkich starań, aby treści zamieszczone
      w serwisie były zawsze aktualne, rzetelne oraz zgodne z prawem, jednakże Insieme Centrum
      Medyczne nie ponosi odpowiedzialności za skutki działań podejmowanych w oparciu o
      zamieszone na niniejszej stronie internetowej treści.
      Podawane w serwisie treści i ceny nie stanowią oferty handlowej w rozumieniu przepisów
      Kodeksu cywilnego (tekst jedn. Dz.U.2014.121 z późn. zm.) i są publikowane jedynie w celach
      o charakterze informacyjnym. Insieme Centrum Medyczne zastrzega sobie prawo do ich
      zmian. W celu uzyskania ostatecznej oferty i ceny za wykonanie poszczególnych usług
      medycznych przez Insieme Centrum Medyczne, należy kontaktować się osobiście,
      telefonicznie lub mailowo. Szczegóły dotyczące danych kontaktowych dostępne są na naszej
      stronie internetowej, w zakładce „Kontakt”. Z uwagi na specyfikację branży medycznej, plan
      oraz całkowity koszt leczenia można precyzyjnie określić dopiero na podstawie
      przeprowadzonego badania i konsultacji z lekarzem specjalistą.
      Wszelkie prawa w zakresie materiałów opublikowanych w serwisie, w tym prawa do nazw,
      znaków towarowych, tekstów, fotografii, filmów oraz znaków graficznych przysługują spółce
      Insieme Centrum Sp. z o.o., oraz objęte są ochroną wynikającą z Ustawy z dnia 4 lutego 1994
      r. o prawie autorskim i prawach pokrewnych (tekst jedn. Dz.U.2006.90.631 z późn. zm.) oraz
      Ustawy z dnia 30 czerwca 2000 r. prawo własności przemysłowej (tekst jedn.
      Dz.U.2013.1410 z późn. zm.).
      Wszelkie informacje dotyczące osób zatrudnionych lub współpracujących z Insieme Centrum
      Medyczne wymienionych w serwisie, stanowią dobra osobiste tych osób w rozumieniu art.
      23 Kodeksu cywilnego (tekst jedn. Dz.U.2014.121 z późn. zm.).
      Użytkownik serwisu ma prawo do pobierania oraz drukowania całych stron informacji lub ich
      fragmentów, pod warunkiem nienaruszania praw autorskich oraz praw wynikających z
      rejestracji znaków towarowych należących do Insieme Centrum Medyczne lub
      wykorzystywanych przez Insieme Centrum Medyczne, za zgodą podmiotów uprawnionych.
      Informacje zawarte w serwisie nie mogą być wykorzystywane w celach komercyjnych, w
      szczególności poprzez kopiowanie w całości lub części, transmitowanie elektroniczne lub w
      inny sposób modyfikowane lub wykorzystywane bez uprzedniej pisemnej zgody Insieme
      Centrum Medyczne.
      Insieme Centrum Medyczne zastrzega sobie prawo do decydowania o treści informacji
      umieszczonych w serwisie, w tym do wprowadzania zmian w całości lub w części informacji
      tam zawartych, oraz do okresowego lub całkowitego ich wycofania, całkowitego bądź
      częściowego wycofania informacji zawartych w serwisie z użytkowania w sieci Internet, bez
      wcześniejszego powiadomienia Użytkowników.

      Insieme Centrum Medyczne nie ponosi odpowiedzialności za zawartość innych stron oraz
      serwisów internetowych, nie stanowiących własności Insieme Centrum Medyczne, zarówno
      tych dostępnych dla Użytkowników dzięki linkom umieszczonym na stronach portalu
      www.insieme.com.pl, jak i tych, które umieszczają linki do portalu www.insieme.com.pl.
      Insieme Centrum Medyczne nie ponosi odpowiedzialności za jakiekolwiek szkody powstałe w
      wyniku korzystania z serwisu lub braku możliwości z jego korzystania. Insieme Centrum
      Medyczne nie ponosi odpowiedzialności  za szkody spowodowane przez jakąkolwiek wadę
      serwisu, błąd, pominięcie lub opóźnienie transmisji danych z serwisu, wirus komputerowy
      lub awarię linii telekomunikacyjnej albo systemu.