Kurier przelew 12 pln
Kurier pobranie 14,5 pln
Darmowa wysyłka pow. 160 pln
Wysyłka zagraniczna
wyceniana indywidualnie
lub przelewem tradycyjnym na konto
81 2490 0005 0000 4600 9352 4137
Polityka Bezpieczeństwa
przetwarzania danych osobowych
obowiązująca w firmie :
MEDICALINE Konrad Malitka
Ostrówiec 150, 05-480 Karczew
Firma wpisana do Centralnej Ewidencji i Informacji Gospodarczej pod numerami ewidencyjnymi: NIP: 5321690962, REGON: 142830480
Firma jest Administratorem Danych Osobowych w zakresie danych przetwarzanych w obrębie firmy.
Określenie “Dane Osobowe” oznacza wszelkie dane, które pozwalają na zidentyfikowanie , bezpośrednio lub pośrednio, w szczególności takie jak nazwisko i imię, dane o lokalizacji, adres e-mail lub jeden lub kilka czynników specyficznych dla fizycznej, fizjologicznej, genetycznej, psychicznej, ekonomicznej, kulturowej lub społecznej tożsamości danej osoby.
Zasady ochrony danych osobowych zostały opracowane w oparciu o :
- Ustawa z dnia 10 maja 2018 r o ochronie danych osobowych (Dz.U. z 24 maja 2018 poz. 1000 );
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – zwane dalej RODO;
oraz o przepisy powiązane.
Celem Polityki Bezpieczeństwa jest zapewnienie ochrony danych osobowych przed wszelakiego rodzaju zagrożeniami, tak wewnętrznymi, jak i zewnętrznymi, świadomymi lub nieświadomymi oraz przed nieautoryzowanym użyciem, dostępem, ujawnieniem, kradzieżą, kopiowaniem czy w innej formie naruszeniem ochrony danych osobowych.
Załącznik do niniejszej polityki stanowi „Instrukcja zarządzania systemem informatycznym” służącym do przetwarzania danych osobowych ze szczególnym uwzględnieniem zapewnienia ochrony danych.
Ochrona danych osobowych jest realizowana poprzez: zabezpieczenia fizyczne, procedury organizacyjne, oprogramowanie systemowe, aplikacje oraz poprzez samych użytkowników.
Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić poufność danych, integralność danych, rozliczalność danych i integralność systemu.
W chwili sporządzenia dokumentu firma zatrudnia pracowników. Dokument zawiera zapisy, z którymi muszą zostać zapoznane wszystkie osoby upoważnione do przetwarzania lub wglądu do danych osobowych.
1.Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
W chwili sporządzenia dokumentu firma prowadzi działalność w lokalu pod adresem siedziby firmy Ostrówiec 150, 05-480 Karczew. Obsługa systemu komputerowego odbywa się przy wykorzystaniu 6 komputerów przenośnych (laptopów) w biurze firmy + 3 przedstawicieli farmaceutycznych (tu będzie przybywać) + 1 Regionalny Dyrektor Sprzedaży (pracuje w terenie).
Przedstawiciele farmaceutyczni oraz Regionalny Dyrektor Sprzedaży używają komputerów do tworzenia bazy danych firm (kontrahentów) kupujących produkty naszej firmy, do przesyłania drogą mailową zamówień, które zbiorą od kontrahentów oraz do wszelkiej komunikacji mailowej z kontrahentami oraz firmą
- Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
Środki ochrony fizycznej danych:
- Zbiory danych osobowych w formie papierowej przechowywane są w zamkniętej
szafie.
- Kopie zapasowe/archiwalne zbiorów danych osobowych przechowywane są w zamkniętej szafie.
- Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny.
- Pomieszczenia, w których są przechowywane dokumenty są chronione przez system alarmowy. Podpisana jest umowa z firma ochroniarska – ochrona całą dobę.
Środki ochrony w ramach narzędzi programowych i baz danych:
- Dostęp do zbioru danych osobowych w formie cyfrowej wymaga uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła.
- Zastosowano systemowe środki pozwalające na określenie odpowiednich praw dostępu do zasobów informatycznych, w tym zbiorów danych osobowych dla poszczególnych użytkowników systemu informatycznego.
- Zainstalowano wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe.
- Zastosowano mechanizm automatycznej blokady dostępu do systemu informatycznego służącego do przetwarzania danych osobowych w przypadku dłuższej nieaktywności pracy użytkownika.
- Zainstalowano oprogramowanie antywirusowe.
- Uruchomione są zabezpieczenia systemowe „firewall”.
- Komputery stacjonarne są zabezpieczone przed utratą danych w przypadku zaniku napięcia – poprzez zainstalowanie podtrzymywaczy napięcia.
- Zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych.
- Zastosowano system rejestracji dostępu do systemu/zbioru danych osobowych.
- Dostęp do środków teletransmisji zabezpieczono za pomocą mechanizmów uwierzytelnienia.
- Zastosowano macierz dyskową w celu ochrony danych osobowych przed skutkami awarii pamięci dyskowej.
- Przy transmisji danych przez internet dane są szyfrowane przy użyciu protokołu
szyfrowania SSL.
Środki organizacyjne:
- Osoby upoważnione do przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych.
- Przeszkolono osoby upoważnione do przetwarzania danych osobowych w zakresie zabezpieczeń systemu informatycznego.
- Osoby upoważnione do przetwarzania danych osobowych zobowiązane zostały do zachowania ich w tajemnicy.
- Monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób uniemożliwiający wgląd osobom postronnym w przetwarzane dane.
- Do przetwarzania danych osobowych zostały dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez Administratora Danych Osobowych przy czym:
- prowadzona jest ewidencja osób upoważnionych do przetwarzania danych osobowych,
- dane osobowe mogą być przetwarzane wyłącznie w zakresie i w celu wynikającym z upoważnienia,
- przestrzegana jest zasada niezbędnych minimalnych uprawnień umożliwiając dostęp do zbiorów danych w zakresie wynikającym z zakresu obowiązków służbowych,
- każda z upoważnionych osób posługuje się niepowtarzalnym „loginem”. Nie jest dozwolone współdzielenie dostępu do zbiorów danych.
- hasło dostępu przypisane do „loginu” jest znane tylko użytkownikowi, do którego dany login jest przypisany.
- po wygaśnięciu upoważnienia do przetwarzania danych ADMINISTRATOR w ciągu 24 godzin uniemożliwi danej osobie dalsze korzystanie z systemu,
- Przekazanie danych do przetwarzania innemu podmiotowi jako podwykonawcy dokonywane jest wyłącznie po wcześniejszym podpisaniu umowy o powierzeniu do przetwarzania danych osobowych oraz uzyskaniu potwierdzenia, że podwykonawca zapewnia środki ochrony danych co najmniej na równi z opisanymi w niniejszym dokumencie zasadami.
- Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia również w przypadku wygaśnięcia ważności upoważnienia.
III. Przekazywanie danych do przetwarzania na zasadzie podzlecenia innym podmiotom.
1.ADMINISTRATOR może powierzyć do przetwarzania dane osobowe na zasadzie podzlecenia innym podmiotom wyłącznie w oparciu o UMOWĘ O POWIERZENIU DO PRZETWARZANIA DANYCH OSOBOWYCH pod warunkiem, że PODWYKONAWCA przestrzega wszystkich obowiązków związanych z ochroną danych w stopniu co najmniej takim jak ADMINISTRATOR. Wzór umowy stanowi załącznik do niniejszej instrukcji.
- Informacja o powierzeniu danych podwykonawcy (PROCESORA) jest ujawniana w wykazie „Rejestr czynności przetwarzania danych osobowych”.
- ADMINISTRATOR ponosi odpowiedzialność za wszelkie zaniechania lub działania niezgodnego z warunkami opisanymi w umowie przez PODWYKONAWCĘ (PORCESORA) .
- NARUSZENIE OCHRONY DANYCH OSOBOWYCH I OBOWIĄZEK ZGŁOSZENIA
Zgodnie z art.4. pkt.12. RODO „naruszenie ochrony danych osobowych” oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych .
- Każda osoba, która podejmie informację o naruszeniu lub podejrzeniu o naruszeniu ochrony danych osobowych jest zobowiązana do niezwłocznego przekazania takiej informacji ADMINISTRATOROWI.
- W przypadku stwierdzenia naruszenia ochrony danych osobowych ADMINISTRATOR jest zobowiązany w ciągu maximum 72 godzin poinformować o tym incydencie GIODO (od 25.05.2018 w miejsce GIODO powstanie UODO).
- W takim zgłoszeniu administrator ma obowiązek umieścić co najmniej :
- opis charakteru naruszenia ochrony danych osobowych, w tym w miarę możliwości wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczbę wpisów danych osobowych, których dotyczy naruszenie,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, od której można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.
- Równocześnie z obowiązkiem zgłoszenia do UODO ADMINISTRATOR jest zobowiązany powiadomić osoby, których dotyczą dane osobowe o tym, że doszło do naruszenia ich ochrony. Informacja taka musi zawierać co najmniej :
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innej osoby, od której można uzyskać więcej informacji,
- opis możliwych konsekwencji naruszenia ochrony danych osobowych,
- opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych, w tym w stosownych przypadkach środków w celu zminimalizowania jego ewentualnych negatywnych skutków.