Polityka bezpieczeństwa

Polityka bezpieczeństwa

Polityka bezpieczeństwa
w zakresie przetwarzania danych osobowych i środków służących ich ochronie

obowiązująca w: Polskim Towarzystwie Onkologii i Hematologii Dziecięcej z siedzibą w Zabrzu, ul. 3 Maja 13/15, 41-800 (dalej: PTOHD)

PTOHD będące administratorem danych osobowych przetwarzanych w związku z prowadzeniem działalności statutowej, jest świadome wagi zagrożeń prywatności, a zwłaszcza zagrożeń danych osobowych przetwarzanych w związku z wykonywaniem zadań administratora danych. PTOHD deklaruje swoje zaangażowanie w zapewnienie bezpieczeństwa przetwarzanych danych osobowych i podejmowanie wszelkich działań koniecznych do zapobiegnięcia zagrożeniom z tym związanych.

Niniejsza polityka bezpieczeństwa danych osobowych zwana dalej „Polityką” obowiązująca w PTOHD sporządzona została w poszanowaniu zasad dotyczących przetwarzania danych osobowych określonych w art. 5 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

Niniejsza Polityka określa środki techniczne i organizacyjne służące zapewnieniu:

  • zgodności z prawem, rzetelności i przejrzystości;
  • ograniczenia celu przetwarzania danych osobowych;
  • minimalizacji danych;
  • prawidłowości przetwarzania;
  • ograniczenia przechowywania;
  • integralności, poufności i rozliczalności przetwarzanych danych,

odpowiednie do potencjalnie mogących pojawić się zagrożeń, wskazanych w pkt. IV niniejszej Polityki bezpieczeństwa oraz kategorii danych objętych ochroną, przetwarzanych tradycyjnie, jak i w systemach informatycznych.

Zagrożenia bezpieczeństwa

Dane osobowe przetwarzane przez PTOHD zagrożone są przez:

  • Zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu, wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, błędy ekip remontowych, nadmierna wilgotność lub wysoka temperatura), których występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, a ciągłość systemu zostaje zakłócona, lecz nie dochodzi do naruszenia poufności danych,
  • Zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora systemu, awarie sprzętowe, błędy oprogramowania, błędy i zakłócenia systemu), przy których może dojść do zniszczenia danych, a ciągłość pracy systemu może zostać zakłócona oraz może nastąpić naruszenie poufności danych,
  • Zagrożenia zamierzone, świadome i celowe – najpoważniejsze zagrożenia, gdzie występuje naruszenie poufności danych (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy). Zagrożenia te możemy podzielić na:
    1. nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu, nieautoryzowany dostęp do systemu)
    2. nieuprawniony dostęp do systemu z jego wnętrza,
    3. nieuprawniony przekaz danych,
    4. pogorszenie jakości sprzętu i oprogramowania,
    5. bezpośrednie zagrożenie materialnych składników systemu.

Środki organizacyjne ochrony danych osobowych

 PTOHD realizuje zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  • podejmuje decyzje o celach i środkach przetwarzania danych osobowych, zwłaszcza z uwzględnieniem zmian w obowiązującym prawie, organizacji oraz technik zabezpieczenia danych osobowych;
  • upoważnia poszczególne osoby do przetwarzania danych osobowych w indywidualnie określonym zakresie;
  • podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpiecznego przetwarzania danych osobowych;
  • sprawuje nadzór nad wdrożeniem stosownych środków w celu zapewnienia bezpieczeństwa danych;
  • nadzoruje udostępnianie danych osobowych odbiorcom danych i innym podmiotom;
  • zatwierdza wzory dokumentów dotyczących ochrony danych osobowych;
  • nadzoruje prowadzenie dokumentacji z zakresu ochrony danych osobowych;
  • prowadzi oraz aktualizuje dokumentacje opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych;
  • zapewnia zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

Członkowie PTOHD, którzy z racji pełnionej funkcji lub realizowanego projektu, a także osoby upoważnione do przetwarzania danych osobowych przez PTOHD realizują zadania w zakresie ochrony danych osobowych, w tym zwłaszcza:

  • przestrzegają Polityki bezpieczeństwa i poleceń PTOHD w zakresie ochrony danych osobowych;
  • zachowują w tajemnicy powierzone im dane osobowe oraz sposoby zabezpieczeń danych osobowych, w szczególności hasła;
  • przetwarzają dane osobowe wyłącznie w zakresie niezbędnym do wykonania zadań związanych z działalnością PTOHD;
  • przed opuszczeniem pomieszczenia, po zakończeniu pracy niszczą w niszczarce lub chowają do akt odkładanych na przeznaczone dla nich miejsce wszelkie wykonane wydruki zawierające dane osobowe,
  • przed opuszczeniem pokoju, po zakończeniu pracy zamykają okna;
  • pieczątki przechowują w zamykanych na klucz szufladach, a klucze lub karty dostępowe zabezpieczają przed nieuprawnionym użyciem;
  • nie pozostawiają wydruków zawierających dane osobowe na drukarce.

Środki techniczne ochrony danych osobowych

Zbiory danych przetwarzane w PTOHD zabezpiecza się poprzez:

  • Zbiory danych osobowych przechowywane są w pomieszczeniu zabezpieczonym drzwiami zamykanymi na klucz.
  • Klucze do pomieszczeń, w których przechowywane są zbiory danych osobowych są w posiadaniu tylko uprawnionych osób.
  • Dokumenty w formie papierowej zawierające dane osobowe, po ustaniu swojej przydatności niszczone są w sposób mechaniczny za pomocą niszczarki do dokumentów lub przez profesjonalne podmioty zajmujące się niszczeniem dokumentów.
  • W przypadku przetwarzania danych osobowych w pomieszczeniach, w których mogą przebywać osoby nieupoważnione do przetwarzania danych osobowych, członek PTOHD ma obowiązek wykonywać swoje czynności w taki sposób, aby nie umożliwić dostępu do danych osobowych, np.: nie można zostawiać dokumentów w łatwo dostępnych miejscach, stanowiska komputerowe powinny być ustawione w taki sposób, aby uniemożliwić osobom nieupoważnionym wgląd w ekran.
  • Dokumenty papierowe i nośniki komputerowe, kiedy nie są używane przechowuje się w wyznaczonych segregatorach, teczkach oraz szafach.
  • W przypadku prowadzenia rozmowy lub rozmowy telefonicznej, w której wymieniane są dane osobowe należy zadbać o to, aby odbywa się ona w sposób uniemożliwiający dostęp do danych osobom nieupoważnionym.

Uprawnienia do przetwarzania danych osobowych

W PTOHD osobami upoważnionymi do przetwarzania danych osobowych są członkowie władz statutowych Towarzystwa. Osoby uprawnione do reprezentacji PTOHD mogą upoważnić także inne osoby do przetwarzania danych osobowych, jeśli jest to konieczne dla wypełnienia ich funkcji w Towarzystwie. Ponadto, PTOHD zawiera z osobami trzecimi umowy powierzenia przetwarzania danych osobowych, jeśli jest to uzasadnione dla wykonania umowy na rzecz PTOHD – np.: księgowość, obsługa prawna, obsługa biurowa, itp.

Osoba upoważniona do przetwarzania danych osobowych może przetwarzać dane osobowe wyłącznie w zakresie, w jakim konieczne jest to dla realizacji statutowych zadań PTOHD oraz w zakresie jej kompetencji. Osoba upoważniona do przetwarzania danych osobowych zobowiązana jest:

  • zapoznać się z niniejszą Polityką bezpieczeństwa oraz z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
  • do stosowania wszystkich zapewnionych przez PTOHD środków technicznych i organizacyjnych zapewniających zabezpieczenie danych osobowych, ochronę nośników danych oraz dokumentów przed ich udostępnieniem osobom nieupoważnionym, nieuzasadnioną modyfikacją, utratą lub zniszczeniem;
  • do stosowania wszelkich dostępnych jej w miejscu, w którym przetwarza dane osobowe środków bezpieczeństwa chroniących dane osobowe przed ich udostępnieniem osobom nieupoważnionym, nieuzasadnioną modyfikacją, utratą lub zniszczeniem;
  • zachowania w tajemnicy powierzonych jej danych osobowych oraz wszelkich innych informacji, których ujawnienie mogłoby narazić administratora danych osobowych na szkodę, w szczególności informacji o stosowanych środkach bezpieczeństwa, powierzonym identyfikatorze systemowym, haśle dostępu;
  • informować natychmiast Zarząd PTOHD o każdym przypadku naruszenia zasad przetwarzania danych osobowych, korzystając z udostępnionego wzoru raportu z naruszenia danych osobowych (załącznik nr 1).

Zasady bezpiecznego przetwarzania danych osobowych w systemie informatycznym (komputerze, laptopie, smartfonie, tablecie) 

  • Używaj indywidualnej nazwy użytkownika (loginu) i hasła.
  • Zmieniaj hasło – postaraj się nie rzadziej, niż co 6 miesięcy.
  • Zachowaj swój login i hasło w tajemnicy.
  • Jeśli masz podejrzenie, że Twoje hasło poznała osoba nieupoważniona, zmień je.
  • Hasło nie powinno zawierać: imion osób z najbliższej rodziny, ogólnie dostępnych informacji o użytkowniku, takich jak numer telefonu, numer rejestracyjny samochodu, jego marka, numer dowodu osobistego, nazwa ulicy, na której mieszka lub pracuje, przewidywanych sekwencji z klawiatury (np.: „QWERTY” i „12345” itp.).
  • Nie stosuj opcji zapamiętania hasła w systemie.
  • Jeśli kończysz pracę lub ją przerywasz i odchodzisz od sprzętu, wyloguj się.
  • Zapisuj dokumenty, nad którymi pracujesz na bieżąco.
  • Wykonuj kopie zapasowe na osobnym nośniku danych i przechowuj go w bezpiecznym miejscu.
  • Chroń swój sprzęt przed dostępem osób nieupoważnionych.
  • Jeśli dzielisz sprzęt z innymi osobami, zabezpiecz swoje pliki hasłem.
  • Zainstaluj oprogramowanie antywirusowe pracujące w trybie monitora (ciągła praca w tle).
  • Każdy e-mail oraz załączniki muszą być sprawdzone przez program antywirusowy pod kątem obecności wirusów.
  • Jeżeli oprogramowanie antywirusowe pozwala, to ustaw harmonogram zadań tak, aby raz w tygodniu lub więcej razy sprawdzał komputer pod kątem obecności wirusów.
  • Nie używaj nośników danych (pendrivów, dysków) bez wcześniejszego sprawdzenia ich programem antywir
  • Nie pobieraj z Internetu plików niewiadomego pochodzenia.
  • Udostępniaj dane osobowe tylko uprawnionym osobom.
  • Używaj sprzęt informatyczny zgodnie z instrukcją użytkowania.
  • Naprawę sprzętu informatycznego powierzaj tylko sprawdzonym i rzetelnym podmiotom.
  • Jeśli podejrzewasz, że zostało naruszone bezpieczeństwo danych osobowych przetwarzanych przez PTOHD:
    1. zgłoś to Zarządowi – skorzystaj ze wzoru raportu z naruszenia danych osobowych (załącznik nr 1) – wypełniony prześlij na adres: sekretariat@ptohd.pl,
    2. jeżeli istnieje taka możliwość, niezwłocznie podejmij czynności niezbędne do powstrzymania niepożądanych skutków zaistniałego zdarzenia,: odłącz stanowisko od sieci komputerowej,
    3. wstrzymaj bieżącą pracę na urządzeniu do czasu ustalenia przyczyn zdarzenia,
    4. zastosuj się do instrukcji i regulaminów lub dokumentacji aplikacji, jeśli odnoszą się one do zaistniałego przypadku.

Załączniki:

  • Raport z naruszenia danych osobowych.