Szukaj
biuro@testowo.pzdigitals.com
+48 74 664 83 62
Sklep medyczny ZAKMED
Sklep medyczny ZAKMED
biuro@testowo.pzdigitals.com
+48 74 664 83 62
Sklep medyczny ZAKMED

I WPROWADZENIE

Polityka Bezpieczeństwa Danych Osobowych, zwana dalej Polityką, została sporządzona w związku z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych – dalej Rozporządzenie UE, dalej jako rozporządzenie RODO lub RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U z 2019 poz. 1781).

Niniejszy dokument stanowi zbiór spójnych, precyzyjnych reguł i procedur, według Zakmed Spółka z ograniczoną odpowiedzialnością Spółka Komandytowa, ul. Bolesława Chrobrego 14, 58-300 Wałbrzych, NIP 886 299 07 66, nr KRS  0000616740  (dalej jako: Zakmed, Spółka, Podmiot, Jednostka, Administrator), buduje zarządza oraz udostępnia zasoby danych osobowych i systemy informacyjne i informatyczne. Ustanawia przewidziane do wykonania działania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych. Polityka ustanawia zasady bezpieczeństwa przetwarzania danych osobowych, które powinny być przestrzegane i stosowane w Zakmed. przez wszystkie osoby przetwarzające dane osobowe, wraz z powołaniem na właściwe podstawy prawne. Polityka reguluje zasady organizacji pracy przy zbiorach danych osobowych przetwarzanych w systemie informatycznym oraz metodami tradycyjnymi. Opisano w niej również zagrożenia bezpieczeństwa przetwarzanych danych osobowych oraz sposoby reakcji na przypadki naruszeń bezpieczeństwa.

 

Niniejszy dokument pełni również funkcję informacyjną i edukacyjną, poprzez zaprezentowanie obowiązków i odpowiedzialności osób związanych z przetwarzaniem danych osobowych. 

 

II PODSTAWA PRAWNA

 

Zasadniczym aktem prawnym w zakresie przetwarzania danych osobowych jest Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne Rozporządzenie o ochronie danych) (Dz.Urz.UE. z 2016 r. Nr 119, str. 1), w dalszej części nazywane Rozporządzeniem lub RODO oraz ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U z 2019 poz. 1781 t.j).

 

III SŁOWNICZEK

 

ADO – Administrator Danych Osobowych, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. 

 

IODO – Inspektor Ochrony Danych, osobę wyznaczoną przez Administratora Danych Osobowych osobą nadzorującą stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. 

Podmiot przetwarzający (procesor) – podmiot, który w imieniu Administratora przetwarza dane osobowe.  

ASI – Administrator Systemu Informatycznego, będący wyznaczoną przez Administratora Danych Osobowych osobą odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i ich konserwację, w zakresie wskazanym przez ADO.

 

Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

 

Szczególna kategoria danych osobowych  (tzw. dane wrażliwe, szczególne) – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa.

 

PUODO – Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa, będący organem powołanym do spraw z zakresu ochrony danych osobowych.

 

Podmiot Zakmed Spółka z ograniczoną odpowiedzialnością Spółka Komandytowa, ul. Bolesława Chrobrego 14, 58-300 Wałbrzych, NIP 886 299 07 66, nr KRS  0000616740.

 

Polityka – niniejszy dokument Polityki Bezpieczeństwa Danych Osobowych.

 

Przetwarzanie danych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 

System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

 

Upoważniony – osoba posiadająca formalne upoważnienie wydane przez Administratora Danych Osobowych lub przez osobę wyznaczoną, uprawniona do przetwarzania danych osobowych.

 

Usuwanie danych – zniszczenie danych osobowych lub ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dane dotyczą.

 

Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem.

 

Zbiór danych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. 

 

Zgoda osoby, której dane dotyczą – oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

 

Naruszenie ochrony danych osobowych – oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

 

Naruszenie – oznacza wadliwe stosowanie przepisów w zakresie ochrony danych osobowych, które nie jest naruszeniem ochrony danych osobowych.

 

IV PRZETWARZANIE DANYCH OSOBOWYCH 

 

Dane osobowe

 

Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Przy rozstrzyganiu czy określona informacja lub informacje stanowią dane osobowe, Podmiot dokonuje zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.

 

Przetwarzanie danych osobowych

 

Przetwarzanie danych osobowych zgodnie z art. 4 pkt 2 RODO, oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

 

Powyższe wyliczenie czynności, które mogą składać się na przetwarzanie danych osobowych, ma charakter przykładowy (w celu egzemplifikacji kategorii operacji, które uznane zostały za stanowiące przetwarzanie danych).

Ustawodawca wyszedł z założenia, że nie byłaby racjonalna próba wyliczenia wszystkich operacji na danych osobowych uznanych za przetwarzanie. Na potrzeby Jednostki wskazać należy, że przetwarzaniem jest każde działanie (aktywne, pasywne) na danych osobowych. 

Prawidłowe przetwarzanie danych osobowych wymaga odpowiedniej podstawy prawnej. Jest to warunek niezbędny.

Przepisy RODO wskazują na podstawy prawne przetwarzania w art. 6 i art. 9 , a rozróżnieniem jest rodzaj przetwarzanych danych tj. tzw. „zwykłe” bądź „szczególne”.

Przetwarzanie danych osobowych (tzw. zwykłych), zgodnie z art. 6 ust. 1 Rozporządzenia, jest dopuszczalne (podstawa prawna przetwarzania) tylko wtedy: 

  1. kiedy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;
  2. kiedy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy; 
  3. kiedy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze; 
  4. kiedy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;
  5. kiedy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej Administratorowi; 
  6. kiedy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez Administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

Podmiot może przetwarzać  dane szczególnych kategorii, o których mowa w art. 9 ust. 1 Rozporządzenia (podstawa prawna przetwarzania), gdy:

  1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, 
  2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, 
  3. przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody,
  4. przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą,
  5. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą; 
  6. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy;
  7. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą;
  8. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego 
  9. przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową;
  10. przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

 

 

Zakmed jako pracodawca, kontrahent

Na potrzeby niniejszej Polityki, wskazać należy, że Zakmed  występuje w obrocie gospodarczym, prawnym jako pracodawca lub procesor lub jako kontrahent. Takie rozróżnienie jest przydatne pod kątem rozwiązań prawnych w Spółce  w zakresie ochrony danych osobowych.

Zakmed jako pracodawca przetwarza dane osobowe zatrudnionych pracowników (obecnych, byłych pracowników). Przetwarzając dane osobowe pracowników, Administrator zobowiązany jest stosować przepisy w zakresie ochrony danych osobowych z uwzględnieniem przepisów prawa pracy, ubezpieczeń społecznych. W szczególności przepisy art. 94 pkt 9 b , art. 22 do 22 3   kodeksu pracy , tj w zakresie przechowania dokumentacji pracowniczej, naboru do pracy, udostępniania pracodawcy danych osobowych, czy też przepisy w zakresie ubezpieczeń społecznych. Jako pracodawca, jest uprawniona także do przetwarzania danych szczególnych kategorii (tzw „danych wrażliwych”) pracowników, np. w związku ze zwolnieniami lekarskimi pracowników.

Załącznikiem do niniejszej Polityki jest klauzula informacyjna, która powinna być przekazana pracownikowi. W tej klauzuli informacyjnej, Administrator jako pracodawca informuje pracownika między innymi o podstawach prawnych przetwarzania danych osobowych pracownika, celu, okresu przetwarzania.

W klauzuli informacyjnej  (art. 13 RODO) dla pracownika, wskazano następujące podstawy prawne przetwarzania danych osobowych:

  1. art. 6 ust. 1 lit b) Rozporządzenia RODO tj w celu wykonania umowy o pracę,
  2. art. 6 ust. 1 lit. c) Rozporządzenia RODO, w celu wypełnienia obowiązków prawnych ciążących na Administratorze wynikających  z prawa pracy, art. 94 pkt 9 b , art. 22 do 22 3   kodeksu pracy , prawa podatkowego, ustawy z dnia 27.08.1997 r ustawy Ordynacja podatkowa (Dz.U. z 2023 r , poz. 2383),
  3.  art.6 ust. 1 lit f) Rozporządzenia tj. realizacja prawnie uzasadnionych interesów Administratora –  np.  w celu ewentualnej obrony praw i dochodzenia roszczeń,
  4. art. 6 ust. 1 lit a) Rozporządzenia tj w oparciu o zgodę w zakresie objętym zgodą
  5. art. 9 ust. 2 lit b) Rozporządzenia tj w celu wypełnienia obowiązków i wykonywania szczególnych praw przez Administratora w dziedzinie prawa pracy.

 

Podkreślenia wymaga, że zgoda pracownika na przetwarzanie danych osobowych jest podstawą „niszową”. Stosowana jest rzadko, w celu przetwarzania danych osobowych do osiągnięcia celów fakultatywnych, które nie wynikają z przepisów prawa pracy, niebędących obowiązkiem pracodawcy. Tytułem przykładu wskazać należy na zgodę na: udział pracownika w fakultatywnym szkoleniu, w programie lojalnościowym.

 

Zgoda osoby, której dane osobowe dotyczą, jest jedną z  podstaw prawnych przetwarzania danych o której mowa  w art. 6 ust. 1 lit a RODO.

Zgoda powinna zostać udzielona dobrowolnie, zatem wszelkie formy „przymusu” wyłączają dobrowolność zgody. Podkreślić trzeba, że w razie wątpliwości co do faktu udzielenia zgody bądź co do jej treści Administrator może w celu wykazania uzyskania takiej zgody, skorzystać z wszelkich dostępnych środków dowodowych.

Istotną kwestią jest także to, że zgoda może być w każdej chwili wycofana. Skutkiem wycofania zgody jest brak możliwości przetwarzania danych osobowych na podstawie zgody w przyszłości.

 

Administrator Danych Osobowych stosuje określony wzór Zgody na przetwarzanie danych osobowych.

 

Załącznik nr 2 do Polityki Bezpieczeństwa

Załącznik nr 6 do Polityki Bezpieczeństwa

 

Zakmed Sp. z o.o. S.K. występuje w obrocie prawnym nie tylko jako pracodawca – administrator, ale także jako sprzedawca lub  nabywca (kontrahent), zatem przetwarza (choćby poprzez posiadanie)  dane osobowe swoich kontrahentów.

Załącznikiem do niniejszej Polityki jest klauzula informacyjna, która powinna być przekazana kontrahentowi. W tej klauzuli informacyjnej, Zakmed jako Administrator  informuje kontrahenta  między innymi o podstawach prawnych przetwarzania jego  danych osobowych, celu, okresu przetwarzania.

W klauzuli informacyjnej (art. 13 RODO) dla kontrahenta, wskazano następujące podstawy prawne przetwarzania danych osobowych:

 

  1. art. 6 ust. 1 lit a) Rozporządzenia RODO tj w oparciu o zgodę
  2. art. 6 ust. 1 lit b) Rozporządzenia RODO tj w celu wykonania umowy, w tym np. kontaktowanie się z klientem w związku z jej realizacją;
  3. art. 6 ust. 1 lit. c) Rozporządzenia RODO, w celu wypełnienia obowiązków prawnych ciążących na Administratorze wynikających  z prawa podatkowego, ustawy z dnia 27.08.1997 r ustawy Ordynacja podatkowa (Dz.U. z 2023 r , poz. 2383),
  4.  art.6 ust. 1 lit f) Rozporządzenia tj. realizacja prawnie uzasadnionych interesów Administratora –  np.  w celu ewentualnej obrony praw i dochodzenia roszczeń,

 

Załącznik nr 1 do Polityki Bezpieczeństwa

 

Podstawowe obowiązki Zakmed Sp. z o.o. S.K.  w zakresie ochrony danych osobowych w stosunku do osób których dane osobowe przetwarza  jako administrator.

 

Poniżej omówione są najważniejsze  obowiązki Administratora tj Zakmed względem osób, których dane osobowe przetwarza jako pracodawca lub kontrahent. .

 

1) obowiązek informacyjny w przypadku zbierania danych od osoby, której dane dotyczą (art. 13 RODO) (motyw 60, 61, 62 RODO);

2) obowiązek informacyjny w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą (art. 14 RODO);

3) udostępnienia danych (art. 15 RODO);

4) sprostowania, uzupełnienia danych (art. 16 RODO);

5) obowiązek usunięcia danych (art. 17 RODO);

6) obowiązek ograniczenia przetwarzania danych (art. 18 RODO);

7) obowiązek powiadomienia o sprostowaniu albo usunięciu danych (art. 19 RODO);

8) obowiązek przeniesienia danych (art. 20 RODO);

9)obowiązek wstrzymania przetwarzania danych na skutek sprzeciwu (art. 21 RODO).

Ad. 1 

Spełnienie obowiązku informacyjnego następuję poprzez udostępnianie podmiotom danych klauzuli informacyjnej, która może być udostępniona np. mailem, w formie papierowej (w umowie, fakturze, rachunku itd.), listem, na stronie internetowej Spółki,  w siedzibie Spółki itd. Klauzula może mieć charakter warstwowy, tj poprzez przedstawienie jedynie części informacji z jednoczesnym umożliwieniem zapoznania się z pełną treścią klauzuli informacyjnej np. na stronie internetowej , poprzez wskazany link.

Przykład klauzuli warstwowej do stosowania w korespondencji e-mail:

„Zgodnie z art. 13 i art. 14 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady(UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE z dnia 27 kwietnia 2016 r. (DZ. Urz. UE L 119 z 04. 05. 2016), zwanego dalej „Rozporządzeniem RODO”, Administratorem danych osobowych jest Zakmed spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Bolesława Chrobrego 14, 58-300 Wałbrzych, NIP 886 299 07 66, nr KRS  0000616740 Pani/Pana dane osobowe są przetwarzane na podstawie art.6 ust. 1 lit f) Rozporządzenia tj. w celu realizacji prawnie uzasadnionych interesów Administratora. Pełna treść klauzuli informacyjnej dostępna jest https://testowo.pzdigitals.com/

Załącznik nr 17 do Polityki Bezpieczeństwa

 

Zgodnie z przepisem art. 13 RODO, na Administratora danych został nałożony tzw. obowiązek informacyjny, tj. obowiązek przekazania osobie, której dane dotyczą, pewnych informacji w sytuacji zbierania danych osobowych od osoby, której dane dotyczą. Obowiązek ten jest bardzo istotny zarówno z punktu widzenia Administratora danych jak i osoby, której dane osobowe dotyczą. 

Dla osoby, której te dane dotyczą, spełnienie tego obowiązku umożliwia zaznajomienie się z podstawowymi zagadnieniami związanymi z przetwarzaniem jego danych osobowych. Z klauzuli informacyjnej osoba ta dowie się przede wszystkim kto jest Administratorem danych osobowych jej dotyczących oraz  jakie są cele przetwarzania danych osobowych, a także jak jest podstawa prawna przetwarzania danych osobowych.  

Ponadto bardzo ważną informacją skierowaną do osoby, której dane mają być przetwarzane jest czas przetwarzania. Wskazanie okresu przetwarzania powinno nastąpić  za pomocą odpowiednich jednostek czasu, (np. dzień, miesiąc, lata). Jeśli  ustalenie okresu czasu, przez który będą przechowywane dane osobowe, nie jest możliwe, wówczas należy wskazać kryteria ustalania tego okresu (np.  wtedy gdy dane osobowe będą przetwarzane do momentu ewentualnego odwołania zgody przez osobę, której dane dotyczą).

Obowiązek podania informacji o prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych, ma na celu poinformowanie osobę, której dane dotyczą, o faktycznych możliwościach skorzystania z tych praw. Analogicznie należy ocenić konieczność informowania o prawie do odwołania zgody na przetwarzanie danych (jeżeli została wcześniej udzielona). 

Nieprzekazanie informacji o prawach osobie fizycznej nie wpływa na istnienie tych praw, ponieważ wynikają one wprost z przepisów Rozporządzenia RODO. Ze strony Administratora, przekazanie informacji zgodnie z art. 13 i art. 14 RODO powoduje wywiązanie się z obowiązku wynikającego z  przepisów Rozporządzenia.

 

W udzielonej informacji, powinna być także ta, która wskazuje prawo wniesienia skargi do organu nadzorczego. Informacja ta ma na celu zapewnienie w praktyce możliwości skorzystania przez osobę, której dane dotyczą, z ochrony prawnej przewidzianej przepisami RODO.

 

Istotne znaczenie dla osoby, której dane dotyczą, ma informacja, czy podanie przez nią danych osobowych jest dobrowolne, czy też wynika z nałożonego na nią obowiązku. Jeżeli konieczność podania danych osobowych nie jest wymogiem ustawowym, ale umownym lub warunkiem zawarcia umowy, o tym fakcie również należy poinformować osobę, której dane dotyczą. Podobnie w sytuacji, w której Administrator danych uzależnia dokonanie czynności prawnej od podania określonych danych osobowych, na Administratorze danych ciąży obowiązek powiadomienia o tym fakcie osób, których dane zbiera.

 

W przypadku zmiany celu przetwarzania danych osobowych na inny cel niż cel, dla którego dane osobowe zostały zebrane, Administrator danych powinien przed takim przetwarzaniem poinformować osobę, której dane dotyczą, o tym innym celu. Administrator danych powinien także przekazać takiej osobie wszelkie inne „stosowne informacje”, o których mowa w ust. 2 art. 13 RODO.

 

Z punktu widzenia Administratora danych osobowych, spełnienie obowiązku informowania jest bardzo ważne ze względu na brzmienie art. 24 RODO, który nakłada obowiązek przedsięwzięcia właściwych działań w celu ochrony danych osobowych oraz co bardzo ważne – obowiązek wykazania tych działań. Dlatego w razie np. kontroli w zakresie ochrony danych osobowych, obowiązek wykazania właściwych działań obciąża Administratora. Inaczej rzecz ujmując, na Administratorze ciąży obowiązek wykazania spełnienia obowiązku informacyjnego.

 

Zwrócić uwagę należy, na brzmienie art. 13 ust. 1 RODO, który stanowi, że „w przypadku zbierania danych od osoby, której te dane dotyczą”. Należy ten przepis rozumieć jako obowiązek informacji w chwili wejścia w posiadanie danych osobowych (zapoznanie się z danymi osobowymi) z zamiarem (celem) ich dalszego przetwarzania.

Zatem, z przepisu art. 13 RODO wynika, że obowiązek informacyjny ma być spełniony w chwili (podczas) zbierania informacji (niejako „na samym początku” przetwarzania).

 

Obowiązek informowania nie jest uzależniony od zachowania osoby której te dane dotyczą, zatem to Administrator powinien przyjąć postawę aktywną i z własnej inicjatywy poinformować zgodnie z art. 13 RODO.

 

Wobec powyższego, biorąc pod uwagę brzmienie art. 13 RODO, w przypadku zbierania danych od osoby, której te dane dotyczą, Administrator Danych Osobowych podaje jej wszystkie następujące informacje  zgodnie z treścią art. 13 Rozporządzenia:

  1. swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
  2. gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
  3. cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) Rozporządzenia UE – prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią;
  5. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
  6. gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję odpowiedniego stopnia ochrony;
  7. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  8. okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
  9. informacje o prawie do żądania od Administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
  10. jeżeli przetwarzanie odbywa się na podstawie zgody – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
  11. informacje o prawie wniesienia skargi do organu nadzorczego;
  12. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
  13. informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 Rozporządzenia RODO oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

Klauzula informacyjna może być udostępniona mailem, w formie papierowej, listem, w siedzibie Spółki itd. Klauzula może mieć charakter warstwowy, tj przedstawienie informacji jedynie hasłowo z jednoczesnym odesłaniem (np. link) do strony internetowej. 

Podanych wyżej zasad nie stosuje się, jeżeli  osoba, której dane dotyczą, posiada już te informacje.

 

Załącznik nr 1 do Polityki Bezpieczeństwa

Załącznik nr 2 do Polityki Bezpieczeństwa

Załącznik nr 5 do Polityki Bezpieczeństwa

 

Ad.2

Artykuł 14 RODO (podobnie jak art. 13 RODO) nakłada na Administratora obowiązek informacyjny, w stosunku do osoby, której dane dotyczą, ale wtedy gdy nie zostały od niej pozyskane. Częściowo zakresy tych informacji się pokrywają. Różnicą w przekazywanych informacjach na podstawie art. 14 w stosunku do art. 13 RODO jest chociażby podanie kategorii odnośnych danych oraz źródła pochodzenia danych. Przez kategorie odnośnych danych należy rozumieć, jakie kategorie danych się przetwarza, a nie konkretne wskazanie tych danych. Natomiast wskazaniem źródła informacji jest określenie, kto przekazał te dane, albo z jakiego ogólnodostępnego źródła zostały uzyskane.

Ze względu na podobny cel stosowania przepisu art. 14 RODO, wyżej wymienione uwagi dot. art. 13 RODO zachowują aktualność do obowiązku informowania osoby o przetwarzaniu jej danych osobowych, gdy dane te nie pochodzą od tej osoby.

Zatem, zgodnie z art. 14 RODO w przypadku zbierania danych nie od osoby, której te dane dotyczą, Administrator Danych Osobowych jest zobowiązany poinformować tę osobę dodatkowo, zgodnie z art. 14 w zw. z art. 13  Rozporządzenia o: 

  1. źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych;
  2. kategoriach odnośnych danych osobowych.

Informację w powyższym zakresie należy podać:

 

Załącznik nr 4 do Polityki Bezpieczeństwa 

Podanych wyżej zasad nie stosuje się, jeżeli: 

  1. poinformowanie wymaga niewspółmiernie dużego wysiłku – w szczególności, gdy dane przetwarzane są w celach archiwizacyjnych, statystycznych, badań naukowych, 
  2. przekazanie informacji okazuje się niemożliwe,
  3. pozyskanie lub ujawnienie danych jest wyraźnie nakazane prawem UE lub prawa krajowego,
  4. dotyczy to tajemnicy zawodowej wynikającej z prawa UE lub prawa krajowego.

 

Naruszenie praw osób, których dane dotyczą min w zakresie informowania ich w oparciu o art. 13 i 14 RODO, jest zagrożone karą pieniężną w wysokości do 20.000.000 EURO lub w wysokości do 2% całkowitego rocznego światowego obrotu z roku poprzedniego, co wynika z art. 83 ust. 5 lit b RODO.

 

Ad.3

Zgodnie z art. 15 ust. 1 RODO, osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji (…). 

Przepis ten reguluje prawo dostępu osoby, której dane dotyczą, do jej danych osobowych. Jego zakresem objęte są wszystkie przypadki przetwarzania danych osobowych. Rezultatem wykonania prawa dostępu do danych osobowych, powinno być udzielenie osobie, której dane dotyczą, żądanych przez nią informacji. Na zasadzie art. 12 ust. 3 RODO udzielenie informacji powinno nastąpić bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania. Należy przy tym wskazać, że na administratorze danych ciąży obowiązek weryfikacji tożsamości wnioskodawcy, celem wyeliminowania ryzyka związanego z udostępnieniem danych osobom nieuprawnionym. Elementem prawa dostępu do danych osobowych jest uprawnienie osoby, której dane dotyczą, do otrzymania od administratora danych kopii danych osobowych. 

Udzielenie powyższych informacji nie jest równoznaczne z obowiązkiem wydania kopii dokumentów (nośników) z na których utrwalone są dane osobowe.

Wykonanie prawa do uzyskania kopii danych osobowych nie powinno wiązać się z koniecznością ponoszenia opłat przez osobę, której dane dotyczą. Jednak za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę „w rozsądnej wysokości wynikającej z kosztów administracyjnych”.

Ad 4 

Zgodnie z art. 16 rozporządzenia RODO, osoba, której dane dotyczą, ma prawo żądania od Administratora niezwłocznego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe. Z uwzględnieniem celów przetwarzania, osoba, której dane dotyczą, ma prawo żądania uzupełnienia niekompletnych danych osobowych, w tym poprzez przedstawienie dodatkowego oświadczenia. 

W przypadku skorzystania przez osobę, której dane dotyczą, z jednego bądź obydwu uprawnień(sprostowanie, uzupełnienie) o charakterze korekcyjnym, Administrator danych zobowiązany jest do spełnienia żądań tej osoby wyłącznie w sytuacji, gdy wnioskodawca wykaże, że dane osobowe dotyczące jego osoby są nieprawidłowe lub niekompletne. Spółka  zobligowana będzie skorygować lub uzupełnić przetwarzane dane osobowe konkretnej osoby, wtedy gdy osoba ta oficjalnie o wadliwych danych poinformuje Administratora.

 

Ad 5 

Przepis art. 17 rozporządzenia RODO stanowi podstawę prawną do realizacji prawa do usunięcia danych osobowych tzw „prawo do bycia zapomnianym”.

„Prawo do bycia zapomnianym” nie ma charakteru absolutnego. Prawo to może zostać skutecznie zrealizowane gdy zaistnieją przesłanki określone w art. 17 ust. 1 RODO:

  1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
  1. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

 

Ad 6

Przepis art. 18 rozporządzenia RODO dotyczy uprawnienia do żądania od Administratora ograniczenia przetwarzania danych osobowych.

Prawo do ograniczenia przetwarzania nie ma charakteru absolutnego. Prawo to może zostać skutecznie zrealizowane gdy zaistnieją przesłanki określone w art. 18 ust. 1  RODO:

  1. a)  osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych – na okres pozwalający administratorowi sprawdzić prawidłowość tych danych;
  2. b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;
  3. c) administrator nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony roszczeń;
  4. d) osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania – do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie administratora są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

 

Ad 7 

Przepis art. 19 rozporządzenia RODO, dotyczy obowiązku Administratora powiadomienia o sprostowaniu lub usunięciu danych osobowych lub o ograniczeniu przetwarzania.

Przepis ten stanowi, że „administrator informuje o sprostowaniu lub usunięciu danych osobowych lub ograniczeniu przetwarzania, których dokonał zgodnie z art. 16, art. 17 ust. 1 i art. 18, każdego odbiorcę, któremu ujawniono dane osobowe, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku. Administrator informuje osobę, której dane dotyczą, o tych odbiorcach, jeżeli osoba, której dane dotyczą, tego zażąda.” 

 

Ad. 8

Przepis art. 20 rozporządzenia RODO, dotyczy prawa do przenoszenia danych osobowych.

Art. 20 ust. 1 lit a i b rozporządzenia RODO stanowi że osoba, której dane dotyczą, ma prawo otrzymać w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego dane osobowe jej dotyczące, które dostarczyła Administratorowi, oraz ma prawo przesłać te dane osobowe innemu Administratorowi bez przeszkód ze strony Administratora, któremu dostarczono te dane osobowe, jeżeli:

  1. a)      przetwarzanie odbywa się na podstawie zgody w myśl art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) (zgoda osoby fizycznej) lub na podstawie umowy w myśl art. 6 ust. 1 lit. b); oraz
  2. b)      przetwarzanie odbywa się w sposób zautomatyzowany.

Podkreślenia wymaga, że do realizacji tego uprawnienia muszą zaistnieć kumulatywnie przesłanki określone w pkt a) i b) w przepisu. Z informacji uzyskanych podczas audytu w Zakmed wynika, że Administrator nie przetwarza danych osobowych w sposób zautomatyzowany.

 

Ad 9

Przepis art. 21 rozporządzenia RODO dotyczy prawa do sprzeciwu .

Zgodnie z tym przepisem, osoba, której dane dotyczą, ma prawo w dowolnym momencie wnieść sprzeciw – z przyczyn związanych z jej szczególną sytuacją – wobec przetwarzania dotyczących jej danych osobowych opartego na art. 6 ust. 1 lit. e) lub f), w tym profilowania na podstawie tych przepisów.  Administratorowi nie wolno już przetwarzać tych danych osobowych, chyba że wykaże on istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli administrator danych uzna sprzeciw za pozbawiony podstaw, w szczególności z takiej przyczyny, że w jego ocenie nie zachodzi szczególna sytuacja uzasadniająca wniesienie sprzeciwu, nakaz uwzględnienia sprzeciwu może zostać wydany przez organ nadzorczy na podstawie art. 58 ust. 2 lit. c RODO, na skutek skargi wniesionej przez zainteresowaną osobę.

 

ZASADY PRZETWARZANIA DANYCH

 

Zakmed na każdym etapie przetwarzania danych osobowych zobowiązana  jest uwzględniać zasady przetwarzania danych osobowych. Zasady przetwarzania  danych osobowych określone są w art. 5 rozporządzenia RODO. Przepisy dotyczące zasady przetwarzania danych osobowych pełnią funkcje nie tylko regulacyjną (naruszenie jest zagrożone sankcja administracyjną) ale i funkcje dyrektyw interpretacyjnych co oznacza, że wszystkie przepisy rozporządzenia RODO powinny być wykładane i stosowane z uwzględnieniem tychże zasad. W tym miejscu konieczne jest  wskazanie i krótkie omówienie zasad wynikających z art. 5 RODO, którymi Spółka zawsze powinna kierować się przetwarzając dane osobowe.

 

Przetwarzanie danych osobowych jest zgodne z wszelkimi normami prawa, zarówno tymi już istniejącymi w momencie wejścia w życie Rozporządzenia, jak i tymi, które dopiero później zostały wprowadzone do porządku prawnego. Zgodność z prawem dotyczy przestrzegania zarówno przepisów prawa materialnego, jak i przepisów dotyczących postępowania.

Przetwarzanie danych osobowych ma się odbywać w sposób rzetelny i przejrzysty, z poszanowaniem  praw osoby, której to dotyczy.

 

Dane osobowe są zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.

 

Administrator Danych Osobowych przetwarza dane tylko w takim zakresie, w jakim jest to niezbędne do wypełnienia celu, w jakim dane są przez niego przetwarzane.

 

Informacje wynikające z danych przetwarzanych przez Administratora są zgodne z prawdą, kompletne oraz odpowiadają aktualnemu stanowi rzeczy. 

 

Dane osobowe są przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

 

Administrator Danych Osobowych stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem Rozporządzenia oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

 

Dodatkowo Podmiot zapewnia bezpieczeństwo informacji stosując zasady określone w art. 32 Rozporządzenia:

informacje nie są udostępniane lub wyjawiane osobom nieupoważnionym, osoby nieuprawnione nie mają dostępu do danych,

informacje są kompletne i niezmieniane w sposób nieuprawniony,

wszystkie istotne czynności wykonane przy przetwarzaniu danych zostały zarejestrowane i jest możliwe zidentyfikowanie osoby, która daną czynność wykonała,

wykonywanie czynności prowadzi do zamierzonych skutków.

 

 

 

Powierzenie przetwarzania danych – art. 28 Rozporządzenia

 

W przypadku gdy Spółka zleca (w szerokim tego słowa znaczeniu) wykonanie działań innemu podmiotowi, a wykonanie tego zlecenia wiąże się z koniecznością przetwarzania danych osobowych dla których Spółka jest administratorem, przez podmiot który wykonuje to zlecenie, koniecznym jest zawarcie umowy powierzenia pomiędzy Spółką a podmiotem zewnętrznym. W umowie takiej Spółka występuje jako administrator danych osobowych a druga strona umowy jako podmiot przetwarzający (procesor). Istnieje prawna możliwość dalszego zlecenia (podzlecenia) przez Spółkę, która działa jako podmiot przetwarzający na rzecz podwykonawcy, wówczas Spółka powinna zawrzeć z podwykonawcą umowę dalszego powierzenia przetwarzania danych osobowych (umowa podpowierzenia)

 

Powierzenie przetwarzania odbywa się:

Artykuł 28 RODO reguluje instytucję powierzenia przetwarzania danych osobowych. Zgodnie z ust. 1 tego  przepisu w ramach powierzenia przetwarzania danych, tj. przetwarzania w imieniu Administratora przez inny podmiot, administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego Rozporządzenia i chroniło prawa osób, których dane dotyczą. Takie brzmienie przepisów RODO wskazuje na to, że Administrator powinien dokonać uprzedniego zbadania, czy podmiot przetwarzający spełnia wymogi określone w art. 28 ust. 1. Jednocześnie podmioty przetwarzające powinny zadbać o to, by móc wykazać spełnienie tych przesłanek. Jak bowiem wskazuje motyw (81) preambuły do RODO, Administrator powinien korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania.

Umowa o powierzeniu przetwarzania danych osobowych powinna być sporządzona w formie pisemnej (w tym formie elektronicznej).

Umowę powierzenia przetwarzania danych  osobowych, podmiot powinien zawrzeć z każdym podmiotem który w imieniu Administratora będzie przetwarzał dane osobowe.

Audytor rekomenduje stosowanie załączony do niniejszej Polityki wzór umowy Powierzenia danych osobowych.

 

Załącznik nr 7 do Polityki Bezpieczeństwa

 

Administrator Danych Osobowych prowadzi Ewidencję podmiotów, którym powierza dane osobowe do przetwarzania. 

 

Załącznik nr 8 do Polityki Bezpieczeństwa 

 

 

 Rejestrowanie czynności przetwarzania – art. 30 Rozporządzenia

 

Rejestr czynności przetwarzania zawiera w ujęciu syntetycznym wskazanie procesów przetwarzania danych. 

Rejestracja czynności przetwarzania polegać ma na dokumentowaniu procesów przetwarzania danych przez Administratora. Rezultaty tej aktywności w postaci rejestru czynności przetwarzania powinny umożliwić organowi nadzorczemu monitorowanie działań jednostki i  sprawowanie nadzoru nad zgodnością przetwarzania danych z przepisami ogólnego Rozporządzenia. Rejestracja czynności przetwarzania może pozwolić Administratorowi na ustalenie zakresu przetwarzanych danych (inwentaryzacja zasobów), ocenę spełnienia wymogów wynikających z przepisów o ochronie danych (weryfikacja realizacji obowiązków), a także na wykazanie (udowodnienie) zgodności ich działań z przepisami o ochronie danych osobowych.

 

Regulacje prawne w tym zakresie zawiera art. 30 RODO – Administrator Danych Osobowych prowadzi rejestr czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza wszystkie następujące informacje: 

  1. imię i nazwisko lub nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela Administratora oraz inspektora ochrony danych; 
  2. cele przetwarzania; 
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi Rozporządzenia UE, dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; 
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1.

Zgodnie z art. 30 ust. 5 RODO  podmiot nie ma obowiązku prowadzenia rejestru czynności przetwarzania danych jeśli 

Załącznik nr 22 do Polityki Bezpieczeństwa

 

V UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 

 

Upoważnienie do przetwarzania danych osobowych jest  jednym ze sposobów przetwarzania danych w imieniu Administratora Danych Osobowych lub w imieniu Podmiotu Przetwarzającego. Korzystają z tego instrumentu osoby podporządkowane Administratorowi Danych Osobowych  lub Procesorowi,  mające dostęp do danych osobowych za jego wiedzą i zgodą.

Wobec powyższego:

  1. do przetwarzania danych osobowych uprawnione są wyłącznie osoby upoważnione do przetwarzania danych osobowych;
  2. celem niniejszej procedury jest minimalizacja ryzyka nieuprawnionego dostępu do danych osobowych i utraty ich poufności przez osoby nieupoważnione;
  3. Administrator Danych Osobowych lub Procesor jest uprawniony do przyznawania upoważnień w przedmiocie przetwarzania danych osobowych, w drodze pisemnego Upoważnienia do przetwarzania danych osobowych;
  4. upoważnienie do przetwarzania danych osobowych następuje wyłącznie na podstawie indywidualnego upoważnienia nadanego zgodnie z przepisami Rozporządzenia;
  5. nadanie upoważnienia do przetwarzania danych osobowych musi nastąpić przed Rozpoczęciem przetwarzania danych przez osobę upoważnioną;
  6. Administrator Danych Osobowych lub Procesor prowadzi dokument Ewidencji osób upoważnionych do przetwarzania danych osobowych; 
  7. w przypadku konieczności nadania bądź zmiany uprawnień (np. z powodu zatrudnienia osoby lub zmiany stanowiska pracy), Administrator Danych Osobowych lub Procesor zobowiązany jest do sprawdzenia, czy dana osoba:
  1. odbyła szkolenie z zakresu przestrzegania zasad bezpieczeństwa danych osobowych,
  2. będzie przetwarzała dane osobowe w zakresie i celu określonym w Polityce 

 

  1. nadanie upoważnienia do przetwarzania danych osobowych wymaga zaznajomienia się z przepisami dotyczącymi ochrony danych osobowych, w zakresie niezbędnym do czynności wykonywanych w ramach udzielonego upoważnienia;
  2. Administrator Danych Osobowych lub Procesor jest odpowiedzialny za organizację i przeprowadzenie szkoleń lub zaznajomienie w innej formie osób upoważnionych z przepisami dotyczącymi ochrony danych osobowych.
  3. odbycie szkolenia z zakresu ochrony danych osobowych zostaje potwierdzone przez osobę w nim uczestniczącą w formie pisemnego Potwierdzenia uczestnictwa w szkoleniu.

 

Co do zasady, upoważnienie do przetwarzania danych wykorzystywane jest w stosunku do pracowników Administratora lub Procesora. Natomiast umowa powierzenia przetwarzania danych jest wykorzystywana w stosunkach z podmiotem zewnętrznym. Zawarta w art. 4 pkt 8 Rozporządzenia RODO definicja podmiotu przetwarzającego  wskazuje bowiem, że podmiotem przetwarzającym jest także osoba prawna, która przetwarza dane osobowe w imieniu Administratora. 

Jednakże w praktyce dopuszcza się zastosowanie upoważnienia w stosunku do osób, które przetwarzają dane osobowe a nie są pracownikami Administratora lub Procesora. Chodzi o sytuacje takie, że np. osoba fizyczna współpracuje z Administratorem lub Procesorem na podstawie umowy innej niż umowa o pracę, jest organizacyjnie ściśle powiązana z Administratorem lub Procesorem np. wykonuje zlecone działania w jego siedzibie, używa komputera Administratora lub Procesora, jego zaplecza organizacyjnego i technicznego. W stosunku do takich osób można zastosować upoważnienie zamiast umowy powierzenia przetwarzania. 

Spółka powinna wszystkich swoich pracowników zaopatrzyć w upoważnienie i klauzulę informacyjną. Dotyczy to także praktykantów, stażystów, a także osób niebędących pracownikami Administratora lecz wykonujących na jego rzecz usługi „tak jak pracownik”.

 

Załącznik nr 9 do Polityki Bezpieczeństwa

Załącznik nr 10 do Polityki Bezpieczeństwa

Załącznik nr 3 do Polityki Bezpieczeństwa

 

VI OBOWIĄZKI PODMIOTOWE W OBSZARZE OCHRONY DANYCH OSOBOWYCH 

 

Obowiązki Administratora Danych Osobowych

 

    1. dokonanie podziału zadań i obowiązków związanych z organizacją ochrony danych osobowych; 
    2. podejmowanie odpowiednich i niezbędnych działań mających na celu zapewnienie prawidłowej ochrony danych osobowych, w szczególności poprzez sporządzanie i wdrażanie właściwych warunków organizacyjnych i technicznych;
    3. wprowadzenie do stosowania procedur zapewniających prawidłowe przetwarzanie danych osobowych;
    4. w przypadku naruszenia ochrony danych osobowych, Administrator bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu  chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
  1. poddawanie przeglądom skuteczność Polityki bezpieczeństwa przetwarzania danych osobowych,
  2. zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: organizację i nadzorowanie przestrzegania zasad ochrony danych osobowych zarówno w systemach informatycznych, jak również w zbiorach danych osobowych prowadzonych w formie papierowej i elektronicznej,
  3. prowadzenie dokumentacji opisującej zastosowaną politykę bezpieczeństwa przetwarzania danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury),
  4. zapewnienie kontroli nad tym, jakie dane osobowe, przez kogo są (były) przetwarzane,
  5. nadawanie i uchylanie uprawnień do przetwarzania danych osobowych w Podmiocie,
  6. prowadzenie rejestru osób upoważnionych do przetwarzania danych, zawierającego imię i nazwisko upoważnionego, datę nadania i ustania, zakres upoważnienia do przetwarzania danych osobowych, identyfikator w przypadku gdy upoważniony został zarejestrowany w systemie informatycznym, służącym do przetwarzania danych osobowych,
  7. zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych,
  8. analiza sytuacji, okoliczności i przyczyn, które doprowadziły do naruszenia ochrony danych osobowych i przygotowanie zaleceń i rekomendacji dotyczących eliminacji ryzyka ich ponownego wystąpienia,
  9. analiza sytuacji, okoliczności i przyczyn, które doprowadziły do przetwarzania danych osobowych w sposób sprzeczny z przepisami prawa (naruszenie),
  10. prowadzenie zgodnych z Polityką działań w przypadku stwierdzenia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych,
  11. zapewnienie podstaw prawnych do przetwarzania danych osobowych od chwili zebrania danych osobowych do chwili ich usunięcia, 
  12. dbałość o prawidłowe przetwarzanie danych osobowych, w szczególności poprzez zapewnienie aktualności, adekwatności oraz merytorycznej poprawności danych osobowych przetwarzanych w określonym przez nich celu, 

 

Załącznik nr 14 do Polityki Bezpieczeństwa

Załącznik nr 15 do Polityki Bezpieczeństwa

 

Obowiązki Upoważnionych

 

Poniższe obowiązki dotyczą upoważnionych przez Zakmed Sp. z o.o. S.K.  działającą jako Administrator lub Procesor.

 

    1. znajomość i stosowanie przyjętych przez Zakmed wewnętrznych regulacji dotyczących przetwarzania danych osobowych oraz przepisów powszechnie obowiązującego prawa w obszarze ochrony danych osobowych przetwarzanych przez Podmiot,
    2. znajomość, zrozumienie i stosowanie w możliwie największym zakresie wszelkich dostępnych środków ochrony danych osobowych oraz uniemożliwienie osobom nieuprawnionym dostępu do   danych osobowych przetwarzanych przez Zakmed.
    3. przetwarzanie danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami, w granicach przyznanego upoważnienia,
    4. zachowanie w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia, również po ustaniu współpracy,
    5. ochrona danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją, zniszczeniem lub zniekształceniem, 
  1. dbanie o czyste biurko.

 

Obowiązki Procesorów 

 

Poniższe obowiązki dotyczą Procesorów którym Spółka  powierzyła przetwarzanie danych osobowych, jak i Spółki działającej jako Procesor.

    1. zakaz podpowierzania przetwarzania danych osobowych innym podmiotom bez pisemnej zgody Administratora tych danych,
    2. przetwarzanie danych przez procesora wyłącznie na udokumentowane polecenie Administratora tych danych,
    3. Procesor powinien zapewnić by osoby które zostały upoważnione do przetwarzania powierzonych danych osobowych zachowały je w tajemnicy,
    4. Procesor powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić właściwy stopień bezpieczeństwa ryzyku,
    5. Procesor powinien przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego,
    6. Procesor powinien w miarę możliwości pomagać Administratorowi danych wywiązać się z obowiązku odpowiadania na żądania osób, których dane dotyczą,

 

Załącznik nr 7 do Polityki Bezpieczeństwa

Załącznik nr 8 do Polityki Bezpieczeństwa

Załącznik nr 18 do Polityki Bezpieczeństwa

 

Jeżeli Spółka Zakmed będzie wykonywać w imieniu administratora czynności przetwarzania danych osobowych, występować będzie w obrocie prawnym jako podmiot przetwarzający (procesor).

Wówczas dodatkowym obowiązkiem jest ten, który został określony w art. 30 ust. 2 rozporządzenia RODO. Nakłada on obowiązek prowadzenia rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora. Zgodnie natomiast z art. 30 ust. 5 rozporządzenia RODO Zgodnie z art. 30 ust. 5 RODO  podmiot nie ma obowiązku prowadzenia tego rejestru jeśli :

Załącznik nr 18 do Polityki Bezpieczeństwa

Jeżeli natomiast, Zakmed działająca jako procesor, posłuży się podwykonawcą (dalszy podmiot przetwarzający, podprocesor) , Spółka powinna zawrzeć umowę dalszego powierzenia przetwarzania danych osobowych.

Załącznik nr 23 do Polityki Bezpieczeństwa

 

VII PRZEGLĄDY

 

Uwzględniając kategorie przetwarzanych danych Spółka działając jako administrator lub podmiot przetwarzający stosuje się następujące narzędzia:

 

  1. przegląd stanu ochrony przetwarzanych przez Spółkę –  przeprowadzany przynajmniej  raz w roku;
  2. przegląd obejmuje wszystkie obszary działalności i elementy infrastruktury Zakmed, w których wymagane jest przestrzeganie zasad przetwarzania danych osobowych, w szczególności systemy informatyczne, zabezpieczenia fizyczne oraz organizacyjne (w tym np. UPS, prawidłowość i regularność backupów, zabezpieczenia antywirusowe, prawidłowość stosowania zabezpieczeń prawnych);
  3. Spółka sporządza Sprawozdanie ze sprawdzenia/kontroli zgodności przetwarzania danych osobowych;
  4. Na podstawie Sprawozdania ze sprawdzenia/kontroli zgodności przetwarzania danych osobowych Spółka inicjuje działania zapobiegawcze lub naprawcze. 
  5. Przegląd ma na celu sprawdzenie, czy Zakmed przetwarza dane osobowe zgodnie z prawem, w szczególności czy podstawy prawne przetwarzania danych osobowych są właściwe, czy przetwarzanie danych osobowych odbywa się zgodnie z zasadami przetwarzania przewidzianymi w art. 5 RODO, czy zabezpieczenia prawne i techniczne są wystarczające, czy uprawnienia osób, których dane dotyczą są należycie realizowane.

 

Załącznik nr 11 do Polityki Bezpieczeństwa

 

VIII ZAGROŻENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH ORAZ INCYDENTY 

 

Na bezpieczeństwo procesu przetwarzania danych osobowych istotny wpływ mają reguły, które powinny być zawsze stosowane: rozliczalność, poufność i integralność przetwarzanych danych. 

 

Rozliczalność oznacza możliwość przypisania działań osoby, jednoznacznie i wyłącznie tej osobie, w kontekście art. 5 ust. 2 Rozporządzenia;

 

Poufność wyraża się zapewnieniem, że przetwarzane dane osobowe nie są udostępniane nieupoważnionym podmiotom – art. 5 ust. 1 lit. f  Rozporządzenia;

 

Integralność oznacza zapewnienie niemożliwości zmiany lub nieautoryzowanego zniszczenia danych osobowych – art. 5 ust. 1 lit. f Rozporządzenia.

 

W przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, pracownik, osoba współpracująca powinna poinformować o tym fakcie Spółkę, właściwą osobę przez nią upoważnioną. 

 

 

Naruszenie oznacza wadliwe stosowanie przepisów w zakresie ochrony danych osobowych, które nie jest naruszeniem ochrony danych osobowych a jest zagrożeniem bezpieczeństwa danych. Przykładowy katalog naruszeń.:

  1. nieprzestrzeganie Polityki przez osoby przetwarzające dane, np. niezamykanie pomieszczeń, szaf, biurek, brak stosowania zasad ochrony haseł; 
  2. niewłaściwe zabezpieczenie fizyczne dokumentów, urządzeń lub pomieszczeń;
  3. niewłaściwe zabezpieczenie oprogramowania lub sprzętu IT przed wyciekiem, kradzieżą lub utratą danych osobowych;
  4. brak należytego przestrzegania zasad dotyczących udostępniania i powierzania danych szczególnych kategorii.

Przykładem naruszenia jest brak spełnienia obowiązku informacyjnego względem osoby fizycznej, której dane osobowe przetwarzane są przez Administratora.

 

Postępowanie Spółki w przypadku stwierdzenia wystąpienia zagrożenia, naruszenia:

 

  1. ustalenie zakresu i przyczyn zagrożenia oraz jego ewentualnych skutków, 
  2. przywrócenie stanu zgodnego z zasadami ochrony danych osobowych,
  3. w razie konieczności zainicjowanie działań „dyscyplinarnych”,
  4.  zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń  w przyszłości,
  5. udokumentowanie prowadzonego postępowania w Ewidencji  naruszeń bezpieczeństwa.

 

Załącznik nr 12, 13, 19  do Polityki Bezpieczeństwa 

 

 

Naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (ze względu na dostępność, integralność i poufność).

Przykładowy katalog naruszeń ochrony danych osobowych:

– ślady włamania  lub próba włamania do pomieszczeń, w których odbywa się przetwarzanie i przechowywanie danych (np. wybite szyby w oknach, wyłamane drzwi wejściowe lub zamki lub ich naruszenie, lub ślady próby naruszenia,  aktywność systemów alarmowych),

– włamanie lub próby włamania do biurek/szafek, w których przechowywane są w postaci elektronicznej lub papierowej nośniki lub dokumenty zawierające dane osobowe,

– kradzież komputera (lub innego nośnika danych ) w którym przechowywane są dane osobowe, rozkręcona obudowa, uruchomiony komputer pomimo jego prawidłowego wyłączenia po zakończeniu pracy,

– brak możliwości uruchomienia aplikacji pozwalającej na dostęp do danych osobowych, brak możliwości zalogowania się do komputera/aplikacji,

– ograniczone lub poszerzone w stosunku do normalnej sytuacji uprawnienia użytkownika w strukturze aplikacji (np. brak możliwości wykonania w obrębie aplikacji w stosunku do dotychczas przyznanych, wgląd do szerszego niż zwykle zakresu danych),

– inny zakres lub różnice w zawartości zbioru danych osobowych dostępnych dla użytkownika ,

– zagubienie bądź kradzież nośnika z zawartością danych osobowych,

– stan komputera (np. problem z uruchomieniem, rozkręcona obudowa itp.)

– błędy w funkcjonowaniu systemu (np. komunikaty informujące o niespójności i błędach w danych, brak dostępu do funkcji programu, nieprawidłowości w wykonywanych operacjach),

– znaczne spowolnienie działania sytemu informatycznego,

– pojawienie się niestandardowych komunikatów generowanych przez system informatyczny.

– atak hackerski,

– zgubienie dokumentów zawierających dane osobowe,

– nieuprawnione udostępnienie danych osobowych (np. wydanie dokumentów osobie nieuprawnionej, wysyłka poczty do nieuprawnionego adresata, ujawnienie w sieci internet danych osobowych). 

 

Przyczyną naruszeń ochrony danych osobowych może być:

 

  1. losowe zdarzenie wewnętrzne, np. awaria komputera, serwera, twardego dysku, błąd użytkownika, informatyka, zgubienie danych,
  2. losowe zdarzenie zewnętrzne, np. klęski żywiołowe, zalanie, awaria zasilania, pożar,
  3. incydent umyślny, np. wyciek informacji, ujawnienie danych nieupoważnionym osobom, świadome zniszczenie danych, działanie wirusów komputerowych w wyniku braku zabezpieczeń, włamanie do pomieszczeń lub systemu informatycznego (wewnętrzne i zewnętrzne).

 

Naruszenie ochrony danych powoduje konieczność zgłoszenia tego faktu do organu nadzorczego z uwzględnieniem regulacji art. 33 rozporządzenia RODO.

Zgłoszenie następuje do Urzędu Ochrony danych Osobowych przy ul. Stawki 2 w Warszawie. Formularz zgłoszeniowy jest dostępny na stronie Urzędu Ochrony Danych  (https://uodo.gov.pl/pl/134/233).

 

Ogólne Rozporządzenie o ochronie danych w art. 33 przewiduje dwa rodzaje obowiązków w zakresie zgłoszenia naruszania ochrony danych:

1) zgłoszenie przez Administratora organowi nadzorczemu (art. 33 ust. 1);

2) zgłoszenie przez podmiot przetwarzający Administratorowi (art. 33 ust. 2).

 

Natomiast w stosunku do osoby, której dane dotyczą, obowiązek jej zawiadomienia został określony w art. 34 RODO. Treść zawiadomienia powinna zgodna z art. 34 RODO.

Załącznik nr 13, 19 do Polityki Bezpieczeństwa 

 

Zarówno w przypadku naruszenia (zagrożenia bezpieczeństwa danych osobowych), jak i w przypadku naruszenia ochrony danych osobowych

– osoba, która zauważyła niepokojące zdarzenia (np. wyżej wymienione) zobowiązana jest do natychmiastowego poinformowania o tym Administratora

– informacja do Administratora powinna być przekazywana przez pracownika osobiście, telefonicznie, pocztą elektroniczną, 

 

Postępowanie Administratora  w przypadku stwierdzenia naruszenia (incydentu):

 

  1. ustalenie czasu zdarzenia będącego incydentem, 
  2. zapisanie wszelkich informacji związanych z danym zdarzeniem, a w szczególności dokładnego czasu uzyskania informacji o naruszeniu lub czasu samodzielnego wykrycia tego faktu,
  3. ustalenie zakresu incydentu,
  4. określenie przyczyn, skutków oraz szacowanych zaistniałych szkód,
  5. zabezpieczenie dowodów, miejsca zdarzenia przed ingerencja osób postronnych aż do pełnego wyjaśnienia zdarzenia lub udokumentowania stanu miejsca zdarzenia za pomocą zdjęć, notatek, nagrań itd.,
  6. zabezpieczenie nośników papierowych jak i elektronicznych,
  7. ustalenie osób odpowiedzialnych za naruszenie,
  8. usunięcie skutków incydentu,
  9. ograniczenie szkód wywołanych incydentem,
  10. zainicjowanie działań dyscyplinarnych,
  11. zarekomendowanie działań zapobiegawczych w kierunku wyeliminowania podobnych zagrożeń w przyszłości,
  12. udokumentowanie prowadzonego postępowania w Ewidencji  naruszeń bezpieczeństwa.

 

Po wyeliminowaniu bezpośredniego zagrożenia należy:

– dokonać analizy stanu systemu informatycznego, urządzeń wykorzystywanych do przetwarzania danych osobowych,

– sprawdzenie zawartości zbiorów danych osobowych,

– sprawdzenie kompletności kartotek/dokumentów,

– przeprowadzenie analizy spójności przetwarzanych danych osobowych,

– sprawdzenie sposobu działania programów, poczty elektronicznej,

– dokonanie sprawdzenia jakości komunikacji w sieci telekomunikacyjnej, 

– sprawdzenie obecności wirusów komputerowych,

– przywrócenie normalnego stanu działania systemu.

– ewentualne odtworzenie kopii zapasowych danych 

– powtórne zabezpieczanie danych przetwarzanych w systemie informatycznym, papierowym

 

Ponadto, zgodnie z art. 33 ust. 1 RODO w przypadku naruszenia ochrony danych osobowych:

  1. Administrator bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia  zgłasza je organowi nadzorczemu. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia,
  2. nie dokonuje powyższego zgłoszenia w sytuacji, gdy jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

 

Zatem, obowiązek zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu przez Administratora nie powstanie w sytuacji, gdy jest mało prawdopodobne, by skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. 

 

Załącznik nr13 do Polityki Bezpieczeństwa 

Załącznik nr 12 do Polityki Bezpieczeństwa

 

Podstawowym obowiązkiem podmiotu przetwarzającego po stwierdzeniu naruszenia ochrony danych osobowych  jest zgłoszenie naruszenia  bez zbędnej zwłoki Administratorowi. Zgłoszenie to musi co najmniej: 

  1. opisywać charakter naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazywać kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie; 
  2. zawierać imię i nazwisko oraz dane kontaktowe inspektora ochrony danych (jeśli jest ustanowiony)  lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji;
  3. opisywać możliwe konsekwencje naruszenia ochrony danych osobowych; 
  4. opisywać środki zastosowane lub proponowane w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków. 
  5. uwzględnić regulacje zawarte w umowie z sprzedawca energii.

 

Jeżeli informacji powyższych nie da się udzielić w tym samym czasie, można je udzielać sukcesywnie bez zbędnej zwłoki.

 

Obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych.

 

Obowiązek ten powinien być wykonany bez zbędnej zwłoki. Zatem, Administrator powinien bez zbędnej zwłoki poinformować osobę, której dane dotyczą, o naruszeniu ochrony danych osobowych, jeżeli może ono powodować wysokie ryzyko naruszenia praw lub wolności tej osoby, tak aby umożliwić tej sobie podjęcie niezbędnych działań zapobiegawczych.  

Ponadto, warunkiem koniecznym do wykonania tego obowiązku Administratora jest okoliczność, że naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Zatem nie o każdym naruszeniu ochrony danych osobowych należy zawiadamiać osobę której dane dotyczą.

Zawiadomienie osoby powinno zawierać co najmniej:

  1. opis charakteru naruszenia ochrony danych osobowych,
  2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub oznaczenie innego punktu kontaktowego, od którego można uzyskać więcej informacji,
  3. opis możliwych konsekwencji naruszenia ochrony danych osobowych,
  4. opis środków zastosowanych lub proponowanych przez Administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środki w celu zminimalizowania jego ewentualnych negatywnych skutków.

 

Postępowanie Upoważnionego w przypadku stwierdzenia wystąpienia naruszenia lub naruszenia ochrony danych osobowych 

do czasu przybycia Administratora Danych Osobowych lub upoważnionej przez niego osoby:

  1. powstrzymanie się od rozpoczęcia lub kontynuowania pracy, jak również od podejmowania jakichkolwiek czynności, mogących spowodować zatarcie śladów naruszenia bądź innych dowodów;
  2. zabezpieczenie elementów systemu informatycznego lub kartotek, przede wszystkim poprzez uniemożliwienie dostępu do nich osób nieupoważnionych;
  3. podjęcie, stosownie do zaistniałej sytuacji, wszelkich niezbędnych działań celem zapobieżenia dalszym zagrożeniom, które mogą skutkować utratą danych osobowych.
  4. stosowanie przedmiotowej Polityki i przepisów dotyczących ochrony danych osobowych.

 

 

IX POSTANOWIENIA KOŃCOWE

 

  1. Została opracowana i wdrożona polityka bezpieczeństwa wraz załącznikami;
  2. Została opracowana i wdrożona Instrukcja Zarządzania Systemem Informatycznym służącym do przetwarzania danych osobowych w Zakmed.
  3. Do przetwarzania danych zostały dopuszczone powinny być wyłącznie osoby umocowane (upoważnienie, powierzenie danych) przez Administratora danych;
  4. Prowadzona powinna być ewidencja osób upoważnionych do przetwarzania danych;
  5. Osoby zatrudnione, osoby współpracujące  przy przetwarzaniu danych powinni zostać   zaznajomieni z przepisami dotyczącymi ochrony danych osobowych;
  6. Należy przeszkolić osoby współpracujące przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego;
  7. Osoby współpracujące przy przetwarzaniu danych osobowych powinni być zobowiązani do zachowania ich w tajemnicy;
  8. Przetwarzanie danych osobowych dokonywane powinno być w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
  9. Przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe powinno być dopuszczalne tylko w obecności Administratora bądź upoważnionej  osoby zatrudnionej;
  10. Należy prowadzić ewidencje osób umocowanych do przetwarzania danych na podstawie umowy przetwarzania danych osobowych;
  11. Należy prowadzić ewidencję osób upoważnionych do przetwarzania danych;
  12. W Zakmed należy prowadzić politykę czystego biurka.
  13. Administrator powinien ściśle współpracować z osobą wykonującą obsługę informatyczną w Spółce.
  14. Administrator zobowiązany jest dokonywać regularnego sprawdzenia legalności przetwarzania danych osobowych, stosowanych zabezpieczeń przetwarzanych danych osobowych, 
  15. Administrator zapewnia pracownikom, współpracującym dostęp do wiedzy w zakresie ochrony danych osobowych poprzez np.  szkolenia.
  16. Administrator powinien regularnie sprawdzać zabezpieczenia środowiska IT w celu ochrony danych osobowych
  17. Administrator powinien sprawdzać skuteczność tworzenia kopii zapasowych zasobów Spółki.

 

Załączniki do niniejszej Polityki stanowią jej część, pod warunkiem uzupełnienia. Lista załączników:

– Klauzula informacyjna dla kontrahenta (zał. nr 1),

– Klauzula informacyjna dla pracownika (zał. nr 2)

– Odwołanie upoważnienia (zał. nr 3)

– Klauzula informacyjna dla osoby trzeciej (zał. nr 4)

– Zobowiązanie do poufności (zał. nr 5)

– Zgoda na przetwarzanie danych osobowych (zał. nr 6),

– Umowa powierzenia przetwarzania danych osobowych (zał. nr 7),

– Ewidencja podmiotów którym powierzono dane osobowe (zał. nr 8 )

– Upoważnienie do przetwarzania danych osobowych (zał. nr 9)

– Ewidencja osób upoważnionych do przetwarzania danych osobowych (zał. nr 10)

– Sprawozdanie ze sprawdzenia/kontroli  zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych (zał. nr 11)

– Zgłoszenie naruszenia (zał. nr 12)

– Ewidencja naruszeń (zał. nr 13)

– Potwierdzenie uczestnictwa w szkoleniu z zakresu ochrony danych osobowych (zał. nr14)

– Polityka czystego biurka (zał. nr 15)

– Regulamin korzystania z komputera (zał. nr 16)

– Klauzula informacyjna w stopce e-mail (zał. nr 17)

– Rejestr Kategorii Czynności Przetwarzań – wzór (zał. nr 18)

– Instrukcja Zarządzania Systemem Informatycznym (zał. nr 19)

– Regulamin monitoringu wizyjnego (zał. nr 20)

– Klauzula informacyjna dotycząca rekrutacji (zał. nr 21)

– Rejestr Czynności Przetwarzania (zał. nr 22)

– Umowa dalszego powierzenia przetwarzania danych osobowych (zał. nr 23)

 

To są wyroby medyczne. Używaj ich zgodnie z instrukcją użytkowania lub etykietą.

ZAKMED Sp. z o.o. sp.k.

ul. Bolesława Chrobrego 14
58-300 Wałbrzych
KRS: 0000616740
NIP: 8862990766
REGON: 363741956

Na Skróty

Regulamin Sklepu
Polityka Prywatności 
Moje Konto

ZAKMED Sp. z o.o. sp.k.

2024

Projekt i realizacja: PZDIGITALS