Polityka ochrony danych osobowych
Centrum Psychoterapii, Psychodietetyki i edukacji Olga Rymkiewicz, ul. Świeradowska 73/2, 50-559 Wrocław
1. Metryka
Informacje ogólne | ||
1 | Data sporządzenia Polityki ochrony danych: | 24.05.2018 |
2 | Sporządził: | Administrator danych |
3 | Data aktualizacji Polityki ochrony danych: | |
4 | Zaktualizowali: |
2. Definicje
1. | Administrator danych | Podmiot, który samodzielnie lub wspólnie z innym podmiotem decyduje o celach i środkach przetwarzania danych osobowych tj. Centrum Psychoterapii, Psychodietetyki i edukacji Olga Rymkiewicz, ul. Świeradowska 73/2, 50-559 Wrocław, posiadająca numer identyfikacji podatkowej NIP 8992683229, REGON 022249840. |
2. | Dane osobowe/dane | Informacje pozwalające na identyfikację osoby fizycznej bezpośrednio (np. imię i nazwisko, numer telefonu oraz adres e-mail) lub pośrednio (stanowisko, firma oraz wiek) w tym dane wrażliwe; |
3. | Dokumentacja przetwarzania danych | dokumentacja opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; |
4. | Naruszenie ochrony danych osobowych | naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych; |
5. | Integralności danych | właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; |
6. | Legalność | właściwość zapewniającą, że przetwarza się dane po spełnieniu przynajmniej jednej przesłanki z art. 6 ust 1 RODO lub art. 9 ust 2 RODO lub art. 10 RODO; |
7. | Okresowość | właściwość zapewniająca, że dane są przetwarzane przez określony czas, póki istnieje cel i podstawa przetwarzania danych osobowych; |
8. | Osoba upoważniona | osoba upoważniona przez administratora danych do przetwarzania danych osobowych; |
9. | Poufności danych | właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom; |
10. | Procesor | podmiot, któremu powierzono przetwarzanie danych osobowych w rozumieniu art. 28 RODO; |
11. | Rozliczalność | właściwość zapewniającą, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi; |
12. | Rzetelność | właściwość zapewniającą merytoryczną poprawność danych osobowych poprzez ich zgodność ze stanem faktycznym, kompletność i aktualność; |
13. | RODO | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; |
14. | Zbiór danych | oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie; |
15. | Przetwarzanie danych | operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany; |
16. | Organ nadzorczy | niezależny organ publiczny powołany do monitorowania stosowania prawa ochrony danych osobowych i mogący nakładać kary. |
3. Wstęp
Administrator uprawniony jest do modyfikacji niniejszej polityki oraz jej załączników, w oparciu o zmieniające się okoliczności faktyczne i/lub prawne.
Celem wdrożenia Polityki bezpieczeństwa jest określenie sposobów przetwarzania danych z zachowaniem następujących zasad:
- zgodność z prawem;
- rzetelności przetwarzania;
- przejrzystość przetwarzania;
- celowości przetwarzania;
- adekwatności przetwarzania;
- prawidłowości przetwarzania;
- okresowości przetwarzania.
4. Sposoby zapewnienia: integralności, poufności oraz rozliczalności danych osobowych
Zastosowane środki zostały wytypowane w celu ograniczenia ryzyka powstania ewentualnych incydentów związanych z naruszeniem zasad ochrony danych osobowych.
W celu spełnienia powyższych wymogów zostały wprowadzone następujące środki organizacyjne:
- Każda z osób zatrudnionych/współpracujących przy przetwarzaniu danych osobowych została upoważniona do przetwarzania danych.
- Jest prowadzona ewidencja upoważnień do przetwarzania danych.
- Od każdej z osób zatrudnionych/współpracujących przy przetwarzaniu danych osobowych zostało odebrane oświadczenie o zachowaniu danych w poufności.
- Z podmiotami trzecimi przetwarzającymi dane w imieniu administratora danych zostały zawarte umowy powierzenia.
- Osoby trzecie przebywają w obszarze przetwarzania danych wyłącznie w obecności osoby upoważnionej.
- Osoby upoważnione zostały przeszkolone z zasad przetwarzania danych osobowych.
- Została określona odpowiedzialność za działania związane z bezpieczeństwem danych osobowych.
- Od osób przetwarzających dane osobowe zostało odebrane oświadczenie o zachowaniu w poufności danych osobowych i sposobów zabezpieczenia danych osobowych.
- Osoby upoważnione do przetwarzania zostały zobowiązane do ustawienia monitorów komputerów w sposób, który uniemożliwi innym osobom zobaczenie wyświetlanych na monitorze informacji — należy używać ekranu chroniącego prywatność, jeśli używany monitor znajduje się w miejscu, w którym osoby odwiedzające lub pracownicy z innych niepowiązanych oddziałów firmy mogą łatwo zobaczyć monitor lub laptop podczas pracy;
- Osoby upoważnione do przetwarzania zostały zobowiązane do blokowania ekranów komputerów w przypadku opuszczenia swojego miejsca pracy;
- Osoby upoważnione do przetwarzania zostały zobowiązane do wyłączania komputerów na koniec dnia.
5. Środki techniczne
W celu spełnienia powyższych wymogów zostały wprowadzone następujące środki techniczne:
Wybrane zabezpieczenia techniczne:
- Obszar przetwarzania danych jest zabezpieczony przed dostępem osób nieupoważnionych;
- Dane osobowe w formie papierowej są przechowywane w zamykanych szafkach/szafach/szufladach;
- Dostęp do danych w systemie informatycznym jest możliwy wyłącznie po udanym uwierzytelnieniu oraz autoryzacji użytkownika;
- Stosuje się szyfrowanie danych przesyłanych za pomocą sieci publicznej;
- Na komputerach, na których są przetwarzane dane osobowe, zainstalowano oprogramowanie antywirusowe automatycznie ściągające najnowsze sygnatury wirusów;
- Logiczny dostęp do danych osobowych z sieci publicznej ograniczony jest poprzez zastosowanie zapory ogniowej (firewall). Chroni ona wszystkie systemy informatyczne przed nieuprawnionym dostępem i atakami z zewnątrz;
- Zabezpieczenie sprzętu przenośnego i nośników przed kradzieżą.
- Ochrona przed nieautoryzowanym dostępem;
Dopuszczalne jest przetwarzanie danych osobowych poza obszarem przetwarzania wyłącznie po spełnieniu poniższych przesłanek:
- Należy zachować szczególną ostrożność podczas transportu, przechowywania i użytkowania nośników zawierających dane osobowe;
- Nie należy pozostawiać nośników zawierających dane osobowe w miejscach powszechnie dostępnych;
- Nośniki mogą być wykorzystywane wyłącznie do celów służbowych;
- Nie należy używać prywatnych komputerów ani urządzeń przenośnych w pracy.
Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
- Likwidacji — pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
- Naprawy — pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.
- Przekazania podmiotowi nieuprawnionemu do przetwarzania danych — pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
6. Określenie obowiązków Administratora danych
- Zapewnienie niezbędnych środków do stworzenia i funkcjonowania systemu ochrony danych osobowych.
- Zapewnienie, aby osoby dopuszczone do przetwarzania danych osobowych przestrzegały przepisów o ochronie danych osobowych, a w szczególności, aby:
- została zapewniona podstawa przetwarzania danych;
- został spełniony obowiązek informacyjny;
- zostały wyodrębnione w dokumentacji ochrony danych osobowych i w razie potrzeby zgłoszone do rejestracji zbiory danych osobowych;
- zostały wdrożone niezbędne środki organizacyjne i techniczne zapewniające rozliczalność, integralność oraz poufność przetwarzanych danych osobowych.
- Zapewnienie odpowiednich technicznych środków bezpieczeństwa;
- Zapewnienie, by systemy informatyczne wykorzystywane do przetwarzania danych spełniały wymogi określone w rozporządzeniu;
- Zapewnienie odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania;
- Zapewnienie, że podczas opracowywania, projektowania, wybierania i użytkowania aplikacji, usług i produktów, które opierają się na przetwarzaniu danych osobowych albo przetwarzają dane osobowe w celu realizacji swojego zadania, bierze się pod uwagę prawo do ochrony danych osobowych;
- Korzystanie wyłącznie z usług podmiotów przetwarzających (procesorów), które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie chroniło prawa osób, których dane dotyczą i spełniało wymogi RODO;
- Zapewnienie, by dostęp do danych osobowych udzielany był wyłącznie osobom upoważnionym do ich przetwarzania.
- Dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane są przetwarzane;
- Zapewnienie sprawnej i skutecznej realizacji praw wyrażonych w Rozdziale III RODO przysługujących osobie, której dane osobowe są przetwarzane przez Poradnię, a w szczególności prawo do sprostowania danych osobowych, prawo do usunięcia danych osobowych, prawo do ograniczenia przetwarzania, prawo do sprzeciwu, prawo do przenoszenia danych;
- Współpraca z organem nadzorczym w szczególności w zakresie zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego zgodnie z art. 33 RODO.
- Zapewnienie kontroli, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane.
7. Określenie obowiązków Osoby upoważnionej.
- Przestrzeganie przyjętych u administratora danych zasad ochrony danych osobowych ze szczególnym uwzględnieniem zasady bezpieczeństwa;
- Informowanie Administratora danych o naruszeniach ochrony danych osobowych;
- Dochowanie szczególnej staranności przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane są przetwarzane;
- Przetwarzanie danych osobowych w zakresie wynikającym z otrzymanego upoważnienia do przetwarzania danych osobowych;
- Zachowanie w poufności przetwarzanych danych osobowych oraz sposobów ich zabezpieczania.
8. Sposób zapewnienia transparentności
Zgodnie z zasadą transparentności przetwarzanie danych osobowych powinno być przejrzyste dla osób fizycznych, których dane dotyczą. Oznacza to, że osoby, których dane dotyczą powinny być informowane w przystępnej i zrozumiałej formie o sposobie, w jakim ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.
Administrator danych zapewnia, że informacje przewidziane w art. 13 i art. 14 RODO zostaną podane osobie, której dane dotyczą, w łatwo dostępnej i zrozumiałej formie, jasnym i prostym językiem.
Administrator danych zobowiązuje się dążyć do tego, aby wszelkie informacje i komunikacja dotycząca przetwarzania danych, skierowana do osób, których dane dotyczą była prowadzona z zachowanie zasady transparentności.
Administrator danych zapewnia, że informacje podawane w ramach obowiązku informacyjnego będą aktualne.
9. Odpowiedzialność
Wobec osoby, która w przypadku wykrycia naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania powstania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także gdy nie udokumentowała takiego przypadku, można wszcząć postępowanie dyscyplinarne.
Kara dyscyplinarna nałożona na osobę uchylającą się od powiadomienia, o którym mowa powyżej, nie wyklucza odpowiedzialności karnej tej osoby zgodnie z ustawą oraz możliwości skorzystania z innych uprawnień pracodawcy określonych w przepisach prawa pracy.
10. Procedura zgłaszania naruszeń ochrony danych osobowych
Procedura definiuje katalog zagrożeń i incydentów mogących prowadzić do naruszenia ochrony danych osobowych przetwarzanych przez administratora danych, osoby upoważnione lub stronę trzecią (również tych danych, które zostały powierzone na rzecz administratora danych przez inny podmiot) oraz sposób reagowania na ww. zagrożenia i incydenty. Celem opracowania instrukcji jest:
- Skuteczna ocena zaistniałych zdarzeń i ich zakwalifikowanie jako naruszenia ochrony danych osobowych;
- Ocena konieczności zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego lub do osoby, której dane dotyczą;
- Prowadzenie rejestru naruszeń ochrony danych osobowych;
- Ograniczenie skutków wystąpienia naruszeń ochrony danych osobowych oraz zmniejszenie ryzyka ich powstania w przyszłości.
- Każdy pracownik lub współpracownik administratora danych, w przypadku stwierdzenia zagrożenia lub podejrzenia naruszenia ochrony danych osobowych, jest zobowiązany do niezwłocznego poinformowania Administratora danych.
- Rodzaje najczęściej występujących zagrożeń bezpieczeństwa danych osobowych:
- niewłaściwe zabezpieczenie stacji roboczych, komputerów przenośnych, tabletów, smartphonów, nośników przenośnych oraz oprogramowania IT przed kradzieżą, zniszczeniem lub utratą danych osobowych;
- przesyłanie niezaszyfrowanej wiadomości poczty elektronicznej zwierającej załączniki pliki z danymi osobowymi, w szczególności pliki programu Microsoft Excel i Word;
- niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń oraz dokumentów;
- nieprzestrzeganie przyjętych zasad ochrony danych osobowych przez upoważnione osoby.
- Przykładowe zdarzenia stanowiące naruszenie ochrony danych osobowych:
- incydenty losowe zewnętrzne (np. pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności);
- incydenty losowe wewnętrzne (np. awarie stacji roboczych, serwera, oprogramowania, utrata/zagubienia danych zawartych na nośnikach przenośnych, wysyłka maila do niewłaściwej osoby);
- incydenty umyślne (np. ataki hakerskie, włamania do pomieszczeń,
- w których są przetwarzane dane osobowe, celowe i świadome zniszczenie dokumentów, szkodliwe oprogramowanie).
- W przypadku podejrzenia wystąpienia zagrożenia lub incydentu Administrator prowadzi postępowanie wstępne w toku którego:
- ustala zakres i przyczyny zagrożenia/incydentu oraz jego ewentualne skutki;
- inicjuje ewentualne postępowanie dyscyplinarne;
- rekomenduje działania prewencyjne zmierzające do eliminacji podobnych naruszeń w przyszłości;
- dokumentuje prowadzone postępowanie;
- przedstawia notatkę z przeprowadzonego postępowania administratorowi danych.
- W przypadku stwierdzenia incydentu lub powzięcia uzasadnionej informacji o podejrzeniu naruszenia ochrony danych osobowych, IOD niezwłocznie informuje administratora danych o stwierdzeniu naruszenia. W ramach czynności niezbędnych do stwierdzenia naruszanie ochrony danych osobowych oraz przygotowanie zgłoszenia do Organu nadzoru:
- określa sposób dokumentowania naruszenia ochrony danych osobowych;
- zabezpiecza ewentualne dowody związane z naruszeniem ochrony danych osobowych;
- ustala osoby odpowiedzialne za powstanie incydentu;
- wskazuje możliwe sposoby przywrócenia stanu zgodnego z prawem;
- wnioskuje o wszczęcie postępowań dyscyplinarnych;
- odnotowuje naruszenie w rejestrze naruszeń ochrony danych osobowych;
- jeżeli to konieczne przygotowuje zgłoszenie naruszenia ochrony danych osobowych.
- Gotowe zgłoszenie naruszenia ochrony danych osobowych jest niezwłocznie jednak nie później niż w terminie 48 godzin od powzięcia informacji o podejrzeniu naruszenia jest przekazywane administratorowi danych.
- Administrator danych niezwłocznie jednak nie później niż w terminie 24 godzin od dostarczenia przygotowanego zgłoszenie ochrony danych osobowych przesyła je do Organu Nadzoru lub osoby, której naruszenie dotyczy.
11. Procedura udostępnienia danych
- W przypadku wniosku o udostępnienie danych osobowych, każda osoba, do której wpłynie taki wniosek, jest zobowiązana przekazać do Administratora Danych.
- Administrator wskazuje osobę, która rozpatruje przekazany wniosek oraz ustala czy wniosek o udostępnienie:
- jest sporządzony w formie pisemnej;
- wystarczająco identyfikuje osobę, której dane mają być udostępnione;
- wskazuje odpowiednią podstawę prawną udostępnienia danych;
- określa zakres danych osobowych, których wniosek o udostępnienie danych osobowych dotyczy.
- Przed udzieleniem informacji Administrator danych ocenia czy można legalnie udostępnić dane osobowe i podejmuje decyzję, którą następnie przekazuje odbiorcy wniosku.
- Po pozytywnym rozpatrzeniu wniosku Administrator udostępnienia dane osobowe. Dane osobowe powinny być udostępnione w sposób zapewniający ich poufność wobec osób postronnych.
- Po negatywnym rozpatrzeniu wniosku, Administrator nie udostępnia danych osobowych.
- Odbiorca wniosku zleca lub samodzielnie odnotowuje w systemie IT, w którym dane są przetwarzane, fakt udostępnienia danych. Jeżeli Poradnia posiada system IT dedykowany do odnotowywania przypadków udostępnień danych osobowych, fakt udostępnienia danych osobowych odnotowuje się właśnie w tym systemie.
12. Procedura udzielania odpowiedzi na wnioski osób, których dane dotyczą
- W przypadku wniosku o dostęp do danych osobowych, wniosku o sprostowanie danych, wniosku o usunięcie danych, wniosku dot. skorzystania z prawa do przenoszenia danych, wniosku o ograniczenie przetwarzania, sprzeciwu wobec przetwarzania danych, każda osoba do której wpłynie taki wniosek jest zobowiązana przekazać go Administratorowi danych.
- Administrator rozpatruje przekazany wniosek oraz ustala czy:
- Wniosek wystarczająco identyfikuje osobę występującą z żądaniem;
- Występują przewidziane prawem okoliczności zobowiązujące administratora danych do podjęcia działania zgodnego z żądaniem osoby.
- Administrator danych ocenia, czy zachodzą okoliczności zobowiązujące do podjęcia działania zgodnego z żądaniem osoby i podejmuje decyzję, która następnie jest przekazywana do odbiorcy wniosku;
- Administrator danych bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądanie;
- Jeżeli administrator przetwarza duże ilości informacji o osobie, której dane dotyczą, Administrator przed podaniem informacji, zwraca się do wnioskodawcy z żądaniem sprecyzowania informacji lub czynności przetwarzania, których dotyczy żądanie;
- W razie wystąpienia uzasadnionej wątpliwość co do tożsamości osoby fizycznej składającej żądanie, Administrator zwraca się do wnioskodawcy z żądaniem przekazania dodatkowych informacji niezbędnych do potwierdzenie tożsamości osoby;
- Informacje udzielane osobie, której dane dotyczą powinny zostać przekazane w zwięzłej, przejrzystej, zrozumiałej, łatwo dostępnej formie, a także jasnym i prostym językiem;
- Administrator danych odmawia podjęcia działań na żądanie osoby, której dane dotyczą, jeżeli nie jest w stanie zidentyfikować osoby, której dane dotyczą;
- Administrator danych odmawia podjęcia działań na żądanie osoby, jeżeli nie występują przewidziane prawem okoliczności zobowiązujące administratora danych do podjęcia działania zgodnego z żądaniem osoby;
- Jeżeli administrator danych nie podejmuje działań zgodnych z żądaniem osoby, informuje osobę, której dane dotyczą, o powodach niepodjęcia działań oraz o możliwości wniesienia skargi do organu nadzorczego oraz skorzystania ze środków ochrony prawnej przed sądem;
- Dane osobowe powinny być udostępnione w sposób zapewniający ich poufność wobec osób postronnych;
13. Procedura usuwania danych osobowych
- Poradnia sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych.
- Usuwanie danych osobowych możliwe jest po spełnieniu warunków wskazanych w art. 17 RODO, a polega na niszczeniu lub takiej ich modyfikacji, aby traciły one cechy danych osobowych określonych w art. 4 pkt. 1 RODO.
- Niszczenie zbędnych danych osobowych polega w szczególności na:
- fizycznym, trwałym ich zniszczeniu wraz z nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie,
- pozbawienie ich cech pozwalających na identyfikację osoby fizycznej (anonimizacja);
- Istnieje dowolność w wyborze środków służących usuwaniu danych.
- W celu usunięcia danych można skorzystać z niszczarki lub zanonimizować dokument, czyli usunąć z niego dane osobowe, np. zaczerniając je, tak aby nie było możliwe ich odtworzenie.
- Naruszenie przez osoby upoważnione do przetwarzania danych osobowych, procedur niszczenia zbędnych danych osobowych i ich zbiorów, prowadzić będzie do wszczęcia właściwego postępowania wobec tej osoby.
14. Postanowienia końcowe
- Polityka ochrony danych jest dokumentem wewnętrznym i osoby, które uzyskały wgląd w jej treść, zobowiązane są do zachowania jej w pełnej poufności.
- Polityka ochrony danych może być udostępniana podmiotom trzecim wyłącznie w formie papierowej.
- Modyfikacja załączników do polityki ochrony danych nie wymaga akceptacji przez administratora danych.