1. Polityka ochrony danych osobowych została opracowana w celu zapewnienia zgodności procesu przetwarzania danych osobowych z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, a także ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych. Polityka ochrony danych osobowych rozumiana jest jako wykaz praw, reguł i praktycznych doświadczeń regulujących zasady przetwarzania, sposób zarządzania, ochrony i dystrybucji danych osobowych. Polityka ochrony danych osobowych obejmuje całokształt zagadnień związanych z problemem zabezpieczenia danych osobowych przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Wskazuje działania przewidziane do wykonania oraz sposób ustanowienia zasad i reguł postępowania koniecznych do zapewnienia właściwej ochrony przetwarzanych danych osobowych.
2. W celu zabezpieczenia danych osobowych przed nieuprawnionym udostępnieniem Administrator Danych Osobowych wprowadza określone niniejszym dokumentem zasady przetwarzania danych. Dokument ten jest uzupełniany załącznikami do dokumentacji, na które składają się m.in. wykazy zbiorów, miejsc ich przetwarzania oraz osób upoważnionych do przetwarzania danych.
3. W związku z powyższym wprowadza się stosowne środki organizacyjne i techniczne zapewniające właściwą ochronę danych oraz nakazuje ich bezwzględne stosowanie, zwłaszcza przez osoby dopuszczone do przetwarzania danych.
4. Polityka ochrony danych osobowych ma zastosowanie do wszystkich pracowników i współpracowników Administratora Danych Osobowych, którzy w zakresie swoich obowiązków służbowych przetwarzają dane osobowe, jak również innych osób, które z upoważnienia Administratora Danych Osobowych uzyskały dostęp do danych osobowych. Każda z tych osób została zapoznana z najważniejszymi procedurami bezpieczeństwa danych opisanymi w Polityce ochrony danych osobowych i zobowiązana do ich przestrzegania w zakresie wynikającym z przydzielonych zadań.
5. Wszelkie wątpliwości dotyczące sposobu interpretacji zapisów Polityki ochrony danych osobowych, powinny być rozstrzygane na korzyść zapewnienia możliwie najwyższego poziomu ochrony danych osobowych oraz realizacji praw osób, których dane dotyczą.
W niniejszym dokumencie użyto następujących pojęć, które oznaczają:
Polityka – niniejsza polityka ochrony danych osobowych.
Ustawa – ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.
RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Dane osobowe – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizyczne (art. 4 pkt. 1 RODO).
Administrator Danych Osobowych lub Administrator danych lub ADO – DC INTEGRO Spółka z ograniczoną odpowiedzialnością, ul. Ławica 2, 60-186 Poznań, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, pod nr KRS 0001208819, NIP 7792598346, REGON 543399361, która prowadzi INTEGRO. Ośrodek terapii i diagnozy psychologicznej, ul. Marszałkowska 20,60-327 Poznań.
Inspektor Danych Osobowych lub IOD – osoba powołana przez ADO, odpowiedzialna za zapewnienie przestrzegania przepisów o ochronie danych osobowych
Personel, Pracownicy, Osoby świadczące usługi – osoby zatrudnione na podstawie stosunku pracy, umów cywilnoprawnych (umowa o dzieło, umowa zlecenia), przedsiębiorcy wykonujący działalność osobiście i jednoosobowo, osoby odbywające praktyki, stażyści, osoby skierowane do pracy w ramach umów z agencjami pracy tymczasowej wykonujące prace związane z przetwarzaniem danych osobowych u ADO.
Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie.
Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Dane wrażliwe lub szczególne kategorie danych osobowych – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.
Identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym.
Hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.
Uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.
System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.
Integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
Rozliczalność – właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi.
Poufność danych – właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.
Państwo trzecie – państwo nienależące do Europejskiego Obszaru Gospodarczego.
PUODO – Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy.
Podmiot powierzający – podmiot, któremu ADO powierza przetwarzanie danych osobowych w drodze umowy.
Upoważnienie do przetwarzania danych osobowych – dokument wydany przez ADO lub podmiot powierzający, upoważniający wskazaną w nim osobę do przetwarzania danych osobowych administrowanych przez ADO.
Publiczna sieć telekomunikacyjna – sieć telekomunikacyjna wykorzystywana głównie do świadczenia publicznie dostępnych usług telekomunikacyjnych.
1. Przetwarzanie danych osobowych odbywa się zgodnie z ogólnymi zasadami przetwarzania danych osobowych określonymi w art. 5 RODO. Oznacza to, że dane osobowe przetwarza się:
a) zgodnie z prawem, w oparciu o co najmniej jedną przesłankę legalności przetwarzania danych osobowych wskazaną w art. 6 lub 9 RODO (zasada legalności),
b) w sposób rzetelny przy uwzględnieniu interesów i rozsądnych oczekiwań osób, których dane dotyczą (zasada rzetelności),
c) w sposób przejrzysty dla osób, których dane dotyczą (zasada przejrzystości),
d) w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
e) w zakresie adekwatnym, stosownym oraz niezbędnym dla celów, w których są przetwarzane (zasada minimalizacji danych),
f) przy uwzględnieniu ich prawidłowości i ewentualnego uaktualniania (zasada prawidłowości),
g) przez okres nie dłuższy, niż jest to niezbędne dla celów, w których są przetwarzane (zasada ograniczenia przechowywania),
h) w sposób zapewniający odpowiednie bezpieczeństwo (integralność i poufność).
2. Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające indywidualne upoważnienie nadane przez ADO. Wzór upoważnienia stanowi załącznik nr 1 do Polityki.
3. Osoby upoważnione do przetwarzania danych osobowych mają obowiązek:
a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami prawa oraz przyjętymi regulacjami wewnętrznymi (tj. m.in. postanowieniami Polityki),
b) zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia,
c) ochrony danych osobowych oraz środków przetwarzających dane osobowe przed nieuprawnionym dostępem, ujawnieniem, modyfikacją zniszczeniem lub zniekształceniem, tak aby zapewnić ochronę praw i wolności osób, których dane osobowe są przekształcane,
d) informowania ADO o wszelkich podejrzeniach naruszenia lub zauważonych naruszeniach.
4. Za bieżącą, operacyjną ochronę danych osobowych odpowiada każda osoba przetwarzająca te dane w zakresie zgodnym z obowiązkami służbowymi oraz rolą sprawowaną w procesie przetwarzania danych.
5. Ochronie podlegają dane osobowe przetwarzane (niezależnie od tego czy są to dane przetwarzane w zbiorach danych, w zestawach czy stanowią one pojedyncze informacje osobowe):
a) papierowo np. w kartotekach, skorowidzach, księgach i w innych zbiorach ewidencyjnych,
b) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych.
6. Do przetwarzania danych są dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez ADO.
7. Ewidencja upoważnień do przetwarzania danych osobowych stanowi załącznik nr 2 do niniejszej Polityki.
8. ADO uwzględnia w zachodzących w jego strukturze procesach przetwarzania danych osobowych procedury i zasady ułatwiające osobie, której dane dotyczą, wykonywanie praw przysługujących jej na mocy przepisów RODO, w tym w szczególności:
a) prawo do wycofania wyrażonej zgody (art. 7 ust. 3 RODO),
b) prawo dostępu przysługujące osobie, której dane dotyczą (art. 15 RODO),
c) prawo do sprostowania danych (art. 16 RODO),
d) prawo do usunięcia danych (prawo do bycia zapomnianym) (art. 17 RODO),
e) prawo do ograniczenia przetwarzania (art. 18 RODO),
f) prawo do przenoszenia danych (art. 20 RODO),
g) prawo sprzeciwu (art. 21 RODO),
h) prawo do niepodlegania decyzjom opartym na zautomatyzowanym przetwarzaniu (art. 22 RODO).
ADO nie przewiduje przekazywania danych osobowych do państw trzecich.
ADO realizując Politykę dopuszcza, by dane osobowe, których jest administratorem były przekazywane innym administratorom w formie udostępnienia danych. Udostępnienie danych osobowych może nastąpić tylko w oparciu o co najmniej jedną przesłankę spośród wskazanych w art. 6 RODO i / lub art. 9 RODO. Podmioty lub kategorie podmiotów, którym udostępnia się dane osobowe muszą zostać obligatoryjnie wskazane w rejestrze czynności przetwarzania danych osobowych.
ADO dokonuje powierzenia przetwarzania danych osobowych innym podmiotom na podstawie odrębnych umów. ADO ma prawo kontroli podmiotów przetwarzających, którym powierzył przetwarzanie danych osobowych.
Zawierana przez ADO umowa powierzenia przetwarzania danych osobowych musi być zgodna z postanowieniami art. 28 RODO, tj. w szczególności określać:
1) przedmiot powierzenia,
2) czas trwania powierzenia,
3) charakter i cel przetwarzania,
4) rodzaj powierzanych danych osobowych,
5) kategorie osób, których dane dotyczą,
6) warunki podpowierzenia przetwarzania danych,
7) obowiązki i prawa ADO,
8) obowiązki podmiotu przetwarzającego.
ADO w zakresie prowadzonej przez siebie działalności może przetwarzać również dane osobowe powierzone przez podmioty, na rzecz których świadczy usługi. Przyjęcie danych w powierzenie przez Administratora Danych musi zostać obligatoryjnie odnotowane w rejestrze kategorii czynności przetwarzania danych osobowych.
Obowiązki ADO, IOD i Personelu Za przetwarzanie danych osobowych oraz ich ochronę zgodnie z postanowieniami RODO, Ustawy, Polityki oraz procedur wewnętrznych z zakresu ochrony danych osobowych wdrożonych w strukturze ADO, odpowiadają:
1) ADO,
2) IOD,
3) Personel i inne osoby upoważnione do przetwarzania danych osobowych.
Obowiązki ADO:
1) zapewnienie środków technicznych i organizacyjnych do ochrony przetwarzanych danych osobowych, odpowiednio do zagrożeń oraz kategorii danych objętych ochroną, w szczególności zabezpieczeniem danych przed:
2) zapewnienie legalności przetwarzania danych osobowych, a w szczególności zadbanie, by:
3) wdrożenie procedur ochrony danych osobowych o prowadzenie dokumentacji opisującej sposób przetwarzania danych osobowych, w szczególności:
4) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w punkcie 3 powyżej, oraz przestrzegania zasad w niej określonych,
5) udzielanie stosownych upoważnień i dopuszczanie do przetwarzania danych osobowych wyłącznie osób upoważnionych,
6) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami RODO i ustawy oraz Polityki,
7) wydawanie i ewidencjonowanie upoważnień,
8) zapewnienie i nadzorowanie zgodnego z prawem przekazywanie danych osobowych (udostępnianie i powierzanie),
9) respektowanie prawa osób, których dane są przetwarzane, a w szczególności prawa do:
10) zapewnienie przeglądów, konserwacji oraz uaktualniania systemów służących do przetwarzania danych,
11) zapewnienie bezpieczeństwa danych osobowych przechowywanych za pomocą systemu informatycznego,
12) dokumentowanie wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia, jego skutków oraz podjętych działań zaradczych
13) zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu,
14) współpracowanie z organem nadzorczym (PUODO) w ramach wykonywania przez niego swoich zadań,
15) nadzorowanie działań IOD i wydawanie mu zaleceń co do sposobu wykonywania obowiązków wynikających z Polityki.
Obowiązki IOD:
1) informowanie o obowiązkach wynikających z RODO oraz innych właściwych przepisów Unii lub państw członkowskich o ochronie danych osobowych oraz doradzanie w tym zakresie,
2) monitorowanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO,
3) aktualizowanie Polityki oraz przestrzegania określonych w niej zasad,
4) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych,
5) nadzorowanie obiegu oraz przechowywania dokumentów zawierających dane osobowe,
6) podejmowanie działań zwiększających świadomość pracowników ADO w zakresie obowiązków wynikających z RODO lub przyjętych procedur,
7) uczestniczenie w czynnościach kontrolnych PUODO,
8) współpraca z organem nadzorczym oraz pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych,
9) pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO,
10) nadzorowanie bieżących procesów przetwarzania danych, w tym analizę sytuacji, które doprowadziły do naruszenia zasad bezpieczeństwa, nadzorowanie stosowania procedur w tym zakresie.
Obowiązki Personelu (i innych osób upoważnionych przez ADO):
1) przestrzeganie zasad ochrony danych osobowych ustanowionych przez ADO i wynikających z aktualnie obowiązujących przepisów prawa,
2) przetwarzanie danych osobowych wyłącznie w zakresie uprawnień przyznanym przez ADO,
3) zgłaszanie do IOD i/lub ADO wszelkich incydentów związanych z naruszeniem ochrony danych osobowych w szczególności:
4) zgłaszanie do IOD i/lub ADO wszelkich nieprawidłowości i potencjalnych przyczyn wystąpienia incydentów związanych z naruszeniem ochrony danych osobowych,
5) niszczenie wszelkich zawierających dane osobowe dokumentów i nośników, których okres przydatności minął,
6) zapisywanie haseł wyłącznie w specjalnym oprogramowaniu przeznaczonym do ich przechowywania,
7) przechowywanie dokumentów zawierających dane osobowe w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym.
W celu zapewnienia kontroli nad zakresem przetwarzanych danych osobowych przez DC INTEGRO Sp. z o.o. prowadzącą INTEGRO. Ośrodek terapii i diagnozy psychologicznej, w wyniku inwentaryzacji zbiorów danych utworzony został wykaz zbiorów danych osobowych wraz ze wskazaniem programów komputerowych służących do ich przetwarzania, obejmujący także wykaz miejsc, w których dane zawarte w zbiorach są przetwarzane oraz zakres informacji gromadzonych w poszczególnych zbiorach danych osobowych. Wykaz stanowi załącznik nr 3 do niniejszej dokumentacji.
W związku z wprowadzeniem przez przepisy RODO obowiązku prowadzenia rejestru czynności przetwarzania przez ADO oraz rejestru kategorii przetwarzania przez podmiot przetwarzający, w celu zapewnienia stosowania przez DC INTEGRO Sp. z o.o. prowadzącą INTEGRO. Ośrodek terapii i diagnozy psychologicznej, jako administratora i jako podmiot przetwarzający zgodności z RODO, a także w celu umożliwienia organowi nadzorczemu monitorowania prowadzonego przetwarzania, ADO prowadzi rejestr czynności przetwarzania według wzoru w załączniku nr 4 oraz rejestr kategorii czynności przetwarzania według wzoru w załączniku nr 5.
1. Dane osobowe mogą być przetwarzane w miejscach przetwarzania danych osobowych wskazanych w wykazie stanowiącym załącznik nr 6.
2. Dane osobowe mogą być przetwarzane także poza miejscem przetwarzania wskazanym w wykazie stanowiącym załącznik nr 6 w sytuacji, gdy dla takiego przetwarzania zachowane są procedury bezpieczeństwa danych opisane poniżej.
3. Osoby przetwarzające dane poza miejscem przetwarzania, w szczególności osoby użytkujące komputer przenośny, są zobowiązane do zachowania ostrożności podczas jego transportu, przechowania i użytkowania, w tym:
4. Kopia chmury zawierającej dane osobowe przechowywana jest w drugiej (innej) lokalizacji.
ADO dokonuje oceny skutków dla ochrony danych w celu opisania przetwarzania danych osobowych oraz oceny jego konieczności i proporcjonalności, a także w celu wspomagania zarządzania ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania ich danych osobowych. W strukturze ADO ocena skutków dla ochrony danych osobowych stanowi narzędzie rozliczalności ułatwiające przestrzeganie wymogów określonych w RODO, a także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO. Procedura oceny skutków dla ochrony danych osobowych (data protection impact assessment) stanowi załącznik nr 7 do Polityki.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia DC INTEGRO Sp. z o.o. prowadząca INTEGRO. Ośrodek terapii i diagnozy psychologicznej, wdrożyła opisane poniżej środki techniczne i organizacyjne, w celu zapewnienia stopnia bezpieczeństwa odpowiadającego zidentyfikowanemu ryzyku.
1. Ochrona pomieszczeń wykorzystanych do przetwarzania danych osobowych:
1. Budynek i wszystkie pomieszczenia, w których zlokalizowano przetwarzanie danych osobowych zabezpieczone są przed dostępem osób nieuprawnionych. Budynek i pomieszczenia zamykane są na klucz.
2. Pomieszczenia, w których przetwarzane są dane osobowe są bezwzględnie zamykane podczas nieobecności osób upoważnionych do przetwarzania danych osobowych (nawet w przypadku krótkotrwałego opuszczenia pomieszczenia), w sposób ograniczający możliwość dostępu do nich osobom nieupoważnionym. Klucze nie mogą być pozostawione w zamku drzwi. Nie można wynosić ww. kluczy po zakończeniu pracy poza miejsca przeznaczone do ich przechowywania.
3. Wydruki i nośniki elektroniczne zawierające dane osobowe są przechowywane w zamykanych pomieszczeniach, które znajdują się w obszarach przetwarzania danych osobowych. Niepotrzebne wydruki lub inne dokumenty są niszczone za pomocą niszczarki niezwłocznie po ustaniu celu, dla którego dane osobowe zostały objęte wydrukiem.
4. Przebywanie wewnątrz obszarów przetwarzania danych osobowych osób nieuprawnionych jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania tych danych lub za zgodą ADO;
5. Dane osobowe będą przetwarzane w pomieszczeniach, do których będą miały dostęp wyłącznie osoby upoważnione. Osoby trzecie (np. goście, klienci, interesanci) będą przyjmowane wyłączniew obecności osoby upoważnionej.
2. Zabezpieczenie sprzętu komputerowego:
1. Dla zapewnienia ciągłości działania systemów informatycznych służących do przetwarzania danych osobowych zabezpiecza się sprzęt przed awarią zasilania lub zakłóceniami w sieci zasilającej. Stosowane są listwy z filtrami przeciwprzepięciowymi;
2. Zbiory danych osobowych oraz programy służące do przetwarzania danych osobowych są zabezpieczane przed przypadkową utratą albo celowym zniszczeniem poprzez wykonywanie kopii zapasowych na nośniku zewnętrznym, do którego dostęp ma wyłącznie administrator, a kopie zapasowe są usuwane niezwłocznie po ustaniu ich użyteczności.
3. Środki ochrony przy teletransmisji danych:
W celu ochrony systemów informatycznych, służących do przetwarzania danych osobowych przed zagrożeniami pochodzącymi z Internetu, stosuje się zabezpieczenia chroniące przed nieuprawnionym dostępem. Komputery nie są połączone z siecią publiczną, dostęp jest wyłącznie do sieci wewnętrznej. W ramach zabezpieczenia stosuje się oprogramowanie antywirusowe oraz „bramę ogniową”.
4. Środki ochrony w ramach oprogramowania systemów:
1. W celu zapewnienia rozliczalności operacji dokonywanych przez użytkowników systemu informatycznego, w systemie tym dla każdego użytkownika rejestrowany jest odrębny identyfikator i hasło.
2. W przypadku, gdy do uwierzytelnienia użytkowników używa się identyfikatora i hasła, składa się ono z co najmniej 8 znaków i zawiera małe i duże litery, cyfry, znaki specjalne.
3. W przypadku, gdy system informatyczny służący do przetwarzania danych osobowych nie wymusza zmiany haseł, użytkownik jest zobowiązany do samodzielnej zmiany hasła po upływie 90 dni.
5. Środki ochrony w ramach narzędzi baz danych i innych narzędzi programowych:
1. W celu ochrony zbiorów danych osobowych prowadzonych w systemach informatycznych przed nieuprawnionym dostępem, stosuje się mechanizmy kontroli dostępu do tych danych.
2. Stosuje się oprogramowanie umożliwiające trwałe usunięcie danych osobowych z urządzeń, dysków lub innych elektronicznych nośników informacji, które przeznaczone są do naprawy, przekazania lub likwidacji przez osobę nieuprawnioną.
6. Środki ochrony w ramach systemu użytkowego:
1. W celu ochrony danych osobowych przetwarzanych na elektronicznych urządzeniach roboczych (komputery/laptopy) na czas krótkotrwałego opuszczenia stanowiska pracy przez użytkownika systemu, użytkownik urządzenia zobowiązany jest zastosować mechanizm blokady urządzenia zabezpieczony hasłem.
2. Stosuje się mechanizmy kontroli dostępu użytkowników do systemów – ogranicza się dostęp do katalogów.
3. Na urządzeniach roboczych użytkownikom zabrania się instalowania nieautoryzowanego oprogramowania;
4. Monitory urządzeń, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane;
5. Stosuje się oprogramowanie antywirusowe w celu ochrony systemu przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego;
6. Kontrola antywirusowa jest przeprowadzana na wszystkich nośnikach magnetycznych i optycznych, służących zarówno do przetwarzania danych osobowych w systemie jak i do celów instalacyjnych.
7. Środki organizacyjne:
1. Wszelkie zbiory danych osobowych o charakterze roboczym, tworzone w ramach przetwarzania danej bazy danych osobowych muszą być usuwane / niszczone niezwłocznie po wykorzystaniu.
2. Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające stosowne upoważnienie.
3. Upoważnienia przechowywane są w aktach i obowiązują do czasu ustania stosunku pracy / współpracy, chyba że wcześniej nastąpi ustanie obowiązków związanych z przetwarzaniem danych osobowych lub upoważnienie zostanie odwołane.
4. Upoważnienie oraz unieważnienie upoważnienia następuje na piśmie według wzoru stanowiącego załącznik do niniejszej dokumentacji (załącznik nr 1).
5. Każdy pracownik co najmniej raz na 2 lata zobowiązany jest odbyć szkolenie z zakresu ochrony danych osobowych. Za organizację szkoleń odpowiedzialny jest ADO.
6. Nowo przyjęty pracownik odbywa szkolenie przed przystąpieniem do przetwarzania danych, przed udzieleniem mu upoważnienia.
7. Ponadto każdy upoważniony do przetwarzania danych potwierdza pisemnie na dokumencie upoważnienia do przetwarzania danych fakt zapoznania się z niniejszym Polityką i potwierdza, iż rozumie wszystkie zasady bezpieczeństwa dotyczące przetwarzania danych osobowych oraz zobowiązuje się do postępowania zgodnie z wytycznymi.
8. Osoby upoważnione do przetwarzania danych zobowiązane są bezterminowo do zachowania w tajemnicy przetwarzanych danych osobowych oraz sposobu ich zabezpieczenia.
9. Dostęp do danych osobowych jest przyznawany tylko w takim zakresie, w jakim wymaga tego zakres powierzonych obowiązków służbowych.
10. Z uwagi na obowiązek zapewnienia zgodności przetwarzania danych osobowych w DC INTEGRO Sp. z o.o. prowadzącej INTEGRO. Ośrodek terapii i diagnozy psychologicznej, z RODO i Ustawą, ADO lub osoba przez niego upoważniona ma prawo zobowiązać każdą osobę dopuszczoną do przetwarzania danych osobowych w ww. Spółce i Ośrodku do stosowania się do przyjętych zasad oraz wstrzymać procesy w zakresie, w jakim godziłyby w bezpieczeństwo danych osobowych. O każdym takim przypadku osoba upoważniona przez ADO zobowiązana jest niezwłocznie powiadomić ADO, który wskaże działania konieczne do spełnienia wymagań bezpieczeństwa.
11. Przypadki naruszenia lub podejrzenia naruszenia bezpieczeństwa przetwarzania danych np. w przypadku niedostępności, awarii, uszkodzeń, ostrzeżeń i alarmów bezpieczeństwa systemów informatycznych, urządzeń teleinformatycznych oraz danych, powinny być niezwłocznie zgłaszane do ADO.Rejestr naruszeń ochrony danych osobowych stanowi załącznik do Polityki (załącznik nr 8).
Osobami odpowiedzialnymi za bezpieczeństwo danych osobowych, w tym w szczególności za przeciwdziałanie dostępowi osób niepowołanych do pomieszczeń oraz systemów, w których przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadku wykrycia incydentów ochrony danych osobowych jest ADO oraz IOD. Procedura postępowania z incydentami ochrony danych osobowych stanowi Załącznik nr 9 do Polityki.
Polityka podlega okresowemu przeglądowi pod kątem jej adekwatności, nie rzadziej niż raz do roku. Przegląd powinien obejmować w szczególności ocenę adekwatności Polityki do:
1) procesów funkcjonujących w strukturach ADO,
2) obowiązujących przepisów prawa odnoszących się do ochrony danych osobowych, którym podlega ADO.
W każdym przypadku, gdy zmianie ulegają przepisy prawa, będące źródłem wskazanych w Polityce obowiązków lub zaistnieją istotne zmiany faktyczne w ramach struktury ADO, przegląd Polityki wykonywany jest niezwłocznie. Jeżeli w wyniku przeglądu Polityki stwierdzona zostanie konieczność aktualizacji jej zapisów, aktualizacja dokonywana jest bez zwłoki.
ZAŁĄCZNIKI DO POLITYKI OCHRONY DANYCH OSOBOWYCH
Załączniki są dostępne do wglądu w recepcji Ośrodka.
