POLITYKA BEZPIECZEŃSTWA 

PRZETWARZANIA DANYCH OSOBOWYCH

 

INFORMACJE WSTĘPNE

 

  • Niniejsza Polityka bezpieczeństwa przetwarzania danych osobowych (dalej także: „Polityka bezpieczeństwa” lub „Polityka”) stanowi zestaw zasad regulujących przetwarzanie danych osobowych z uwzględnieniem zabezpieczeń, które zmniejszyć mają ryzyko wystąpienia w tym zakresie wszelkich nieprawidłowości. Polityka określa procedury przetwarzania danych osobowych w formie tradycyjnej jak i w systemach informatycznych ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji u Administratora, a także konsekwencje, jakie mogą ponieść osoby nie stosujące się do zasad. 
  • Celem przygotowania i wdrożenia dokumentu Polityki bezpieczeństwa jest podniesienie poziomu bezpieczeństwa dokumentów i systemów informatycznych, w których są gromadzone i przetwarzane dane osobowe oraz określenie odpowiedzialności pracowników za prawidłowe działanie tych systemów i bezpieczeństwo przetwarzanych w nim danych. 
  • Zasady wyrażone w niniejszym dokumencie powinny być bezwzględnie stosowane przez pracowników i zleceniobiorców firmy „Instytut Dietetyki i Promocji Zdrowia Katarzyna Kaszyca” (Administratora danych osobowych).
  • Polityka bezpieczeństwa została przygotowana z uwzględnieniem Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „Rozporządzeniem” lub „RODO”
  • Użyte w Polityce zwroty oznaczają:
  • Administrator – Katarzyna Kaszyca prowadząca działalność gospodarczą pod firmą „Instytut Dietetyki i Promocji Zdrowia Katarzyna Kaszyca” (adres stałego miejsca wykonywania działalności: ul. Kosztowska 27, 41-409 Mysłowice)
  • Organ Nadzorczy – Prezes Urzędu Ochrony Danych Osobowych
  • Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
  • Przetwarzanie  - oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
  • Naruszenie ochrony danych -oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych. 
  • Podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora;
  • Odbiorca danych - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców.
  • Strona trzecia - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe; 
  • Zbiór danych - oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. RODO ma zastosowanie do przetwarzania danych osobowych w sposób całkowicie lub częściowo zautomatyzowany oraz do przetwarzania w sposób inny niż zautomatyzowany danych osobowych stanowiących część zbioru danych lub mających stanowić część zbioru danych

 

ORGANIZACJA PRZETWARZANIA DANYCH

 

  • Administrator realizuje zadania w zakresie ochrony danych osobowych, w tym w szczególności:
  • podejmuje decyzje o celach i środkach przetwarzania danych osobowych 

    wdraża odpowiednie środki techniczne i organizacyjne celem zabezpieczania danych, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób których dane dotyczą;

    upoważnia poszczególne osoby do przetwarzania danych osobowych w zakresie odpowiadającym zakresowi ich obowiązków;

    w razie potrzeby, może wyznaczyć Inspektora Ochrony Danych oraz wyznaczyć zakres jego zadań i obowiązków;

    w razie potrzeby, może wyznaczyć Administratora Systemu Informatycznego oraz określić zakres jego zadań i obowiązków;

    podejmuje odpowiednie działania w przypadku naruszenia lub podejrzenia naruszenia procedur bezpieczeństwa przetwarzania danych osobowych.

 

  • Osoby upoważnione do przetwarzania danych przez Administratora realizują zadania w zakresie ochrony danych osobowych, do których mają dostęp, a w szczególności zobowiązani są do:
  • przestrzegania zasad przetwarzania danych osobowych zapisanych w dokumentacji bezpieczeństwa przetwarzania danych osobowych;

    przekazywania Administratorowi informacji o wszelkich nieprawidłowościach w zakresie  ochrony danych osobowych;

    informowania Administratora o zmianach w przetwarzanych zbiorach;

    niezwłocznego powiadomienia bezpośredniego przełożonego i Administratora, gdy pracownik uzna, że dane osobowe były lub są przetwarzane z naruszeniem prawa.

 

OBOWIĄZEK INFORMACYJNY I DOSTĘP DO DANYCH OSOBOWYCH

 

  • Informacje podawane w przypadku pozyskiwania danych osobowych:
  • Jeżeli dane osobowe osoby, której dane dotyczą, zbierane są bezpośrednio od tej osoby, Administrator podczas pozyskiwania danych osobowych podaje jej wszystkie następujące informacje:

    swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;

    gdy ma to zastosowanie – dane kontaktowe IOD;

    cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;

    jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnione interesy realizowane przez Administratora lub przez stronę trzecią;

    informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;

    gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;

    okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

    informacje o prawie do żądania od Administratora dostępu do danych osobowych, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

    jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a) – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;

    informacje o prawie wniesienia skargi do Organu Nadzorczego;

    informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

    informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

 

  • Jeżeli danych osobowych nie pozyskano od osoby, której dane dotyczą, Administrator podaje osobie dodatkowo informacje o źródle pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.

 

  • Wzór klauzuli informacyjnej w przypadku gdy dane zbierane są bezpośrednio od osoby stanowi załącznik do niniejszej Polityki. W przypadku zbierania danych z innych źródeł, wzór należy uwzględnić informację określone w pkt 2 powyżej oraz art. 14 RODO.

 

  • Prawo dostępu przysługujące osobie, której dane dotyczą:
  • Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji:
  • cele przetwarzania;

    kategorie danych osobowych;

    informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione;

    w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu;

    informacje o prawie do żądania od Administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania;

    informacje o prawie wniesienia skargi do Organu Nadzorczego;

    jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle;

    informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.

 

 

PRZETWARZANIE Z UPOWAŻNIENIA ORAZ W IMIENIU ADMINISTRATORA

 

  • Administrator zezwala na  przetwarzanie  danych osobowych w systemie informatycznym lub w wersji papierowej tym osobom, które uzyskały uprzednie, stosowne upoważnienie do przetwarzania danych osobowych, nadawane przez Administratora lub osobę przez niego upoważnioną. Upoważnienie  udzielane jest w formie pisemnej, indywidualnie, w zakresie zgodnym z zakresem obowiązków danego pracownika. Wzór upoważnienia stanowi załącznik do Polityki.

 

  • Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych przechowywana. Wzór ewidencji załącznik do Polityki.

 

  • Powierzenie przetwarzania danych osobowych innemu podmiotowi może nastąpić wyłącznie w drodze umowy zawartej w formie pisemnej przez administratora z podmiotem przetwarzającym z uwzględnieniem wymagań określonych w art. 28 RODO. Wzór umowy powierzenia przetwarzania danych osobowych stanowi załącznik do niniejszej Polityki. 

 

  • Administrator prowadzi ewidencję umów powierzenia, wzór ewidencji stanowi załącznik do niniejszej Polityki.

 

 

UDOSTĘPNIANIE DANYCH OSOBOWYCH

 

  • Udostępnianie przetwarzanych danych osobowych podmiotom spoza struktury organizacyjnej przedsiębiorstwa Administratora powinno odbywać się za wiedzą i zgodą Administratora. W szczególności Administrator powinien być powiadamiany o spływających wnioskach dotyczących udostępniania danych osobowych.
  • Osoba, której dane dotyczą, jest uprawniona do uzyskania od Administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz następujących informacji: 

    cele przetwarzania; 

    kategorie odnośnych danych osobowych; 

    informacje o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych; 

    w miarę możliwości planowany okres przechowywania danych osobowych, a gdy nie jest to możliwe, kryteria ustalania tego okresu; 

    informacje o prawie do żądania od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania; 

    informacje o prawie wniesienia skargi do organu nadzorczego; 

    jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą – wszelkie dostępne informacje o ich źródle; 

    informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu, o którym mowa w art. 22 ust. 1 i 4 RODO

  • Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną. 4. Prawo do uzyskania kopii przetwarzanych danych nie może niekorzystnie wpływać na prawa i wolności innych. 
  • Podczas przekazywania dane zabezpiecza się przed ich nieuprawnionym dostępem. W szczególności dane przesyłane drogą teleinformatyczną muszą być odpowiednio zabezpieczone przed utratą ich poufności i integralności.

 

 

REJESTROWANIE CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH

 

  • Z uwagi na to, że Administrator przetwarza szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, a to dane dotyczące zdrowia klientów, Administrator prowadzi rejestr czynności przetwarzania danych osobowych.
  • W rejestrze, o którym mowa w pkt 18, zamieszcza wszystkie następujące informacje:

a. swoją nazwę oraz dane kontaktowe oraz dane kontaktowe Inspektora Ochrony Danych; 

b. cele przetwarzania; 

c. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;

d. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; 

e. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej; 

f. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;

g. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa, o których mowa w art. 32 ust. 1 rozporządzenia.

 

  • Wzór rejestru czynności przetwarzania danych stanowi załącznik do niniejszej Polityki.
  • Rejestr ma formę pisemną, w tym w formę elektroniczną.
  • Administrator udostępnia rejestr na żądanie Organu Nadzorczego.

 

POSTĘPOWANIE W PRZYPADKU WYSTĄPIENIA NARUSZENIA OCHRONY DANYCH

 

  • Postępowanie w sprawie wystąpienia naruszenia ochrony danych reguluje odrębna instrukcja (INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH)

 

ANALIZA RYZYKA

 

  • Proces zarządzania ryzykiem w bezpieczeństwie informacji składa się z ustanowienia kontekstu, szacowania ryzyka, postępowania z ryzykiem, wyznaczeniu kryteriów akceptowania ryzyka, monitorowania i przeglądu ryzyka.
  • Administrator tworzy odrębny dokument zwany „Analizą ryzyka”, w którym zawiera elementy określona w pkt. 21. Dokument ten powinien być okresowo aktualizowany.

 

 

POSTANOWIENIA KOŃCOWE

 

  • Wobec osoby, która w przypadku naruszenia ochrony danych osobowych, zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszej Polityce lub Instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, a także nie podjęła stosownych działań zmierzających do udokumentowania tego przypadku, stosuje się proporcjonalne konsekwencje zgodnie z przepisami kodeksu pracy lub umowy wiążącej tę osobą z Administratorem.
  • Administrator lub upoważniona przez niego osoba powinni dokonywać przeglądu Polityki bezpieczeństwa oraz dokumentów wydanych na jej podstawie przynajmniej raz w roku. Przegląd powinien się opierać przede wszystkim na zgodności Polityki bezpieczeństwa z obowiązującymi przepisami prawa oraz innymi wewnętrznymi dokumentami przedsiębiorstwa.
  • Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu mogą być potraktowane jako naruszenie obowiązków pracowniczych, w szczególności przez osobę, która wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomiła o tym Administratora lub osoby przez niego upoważnionej.
  • Postanowienia dotyczące pracowników stosuje się odpowiednio także do zleceniobiorców, stażystów, praktykantów oraz innych osób, które mają dostęp do przetwarzania danych osobowych u Administratora.
  • W sprawach nieuregulowanych niniejszą Polityką mają zastosowanie przepisy Rozporządzenia oraz Ustawy o ochronie danych osobowych.

 

 

UPOWAŻNIENIE

Na podstawie art. 29 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane dalej „Rozporządzeniem (RODO)”. 

 

Upoważniam Panią/Pana ……………………………………………………………………………………………………………………

zatrudnioną/zatrudnionego na stanowisku ………………………………………………………………………………………..

 

do przetwarzania danych osobowych w formie papierowej oraz do obsługi systemu informatycznego służącego do przetwarzania danych osobowych u Administratora w zakresie zgodnym z wykonywaną pracą oraz otrzymanymi poleceniami służbowymi. Upoważnienie traci moc z chwilą ustania stosunku pracy/stażu/praktyki.

 

Zadania i czynności do wykonywania

  • Ochrona danych osobowych przetwarzanych w systemie informatycznym i tradycyjnym, a w szczególności zapobieganie dostępowi osób nieuprawnionych do przetwarzanych danych osobowych oraz przeciwdziałanie skutkom naruszeń ochrony danych osobowych. 
  • Przestrzeganie zasad określonych w Polityce bezpieczeństwa oraz w Instrukcji postępowania w sytuacji stwierdzenia naruszania ochrony danych.

 

 

........................................

Miejscowość, data

.........................................

Podpis Administratora

 

Oświadczam, że zapoznałem(łam) się z przepisami prawa dotyczącymi ochrony danych osobowych,a w szczególności z Rozporządzeniem (RODO) oraz Ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych i zobowiązuję się do ich przestrzegania.

Oświadczam ponadto, że zapoznałem(łam) się z wewnętrzną dokumentacją to jest: Polityką bezpieczeństwa przetwarzania danych osobowych oraz Instrukcją postępowania w sytuacji stwierdzenia naruszenia ochrony danych.

Świadomy(a) odpowiedzialności porządkowej i karnej oświadczam, że znane mi dane osobowe będę przetwarzać zgodnie z prawem oraz zobowiązuję się zachować poufność w zakresie danych osobowych przetwarzanych w związku z wykonywaniem obowiązków pracowniczych tak w okresie zatrudnienia przez Administratora, jak również po ustaniu zatrudnienia u Administratora.

 

 

........................................

Miejscowość, data

....................................................................

Podpis osoby otrzymującej upoważnienie

 

 

 

 

 

 

FORMULARZE I KLAUZULE DO WGLĄDU

INSTRUKCJA POSTĘPOWANIA W SYTUACJI 
STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

ANALIZA RYZYKA

Wszelkie prawa zastrzeżone dla Instytut Dietetyki i Promocji Zdrowia by SPECTRUM MARKETING © 2016

  +48 787 323 370

 

    rejestracja@instytutdietetyki.pl

 

GABINET W TYCHACH

 

ul. Owczarska 9
43-100 Tychy

 

 

 

 

 

GABINET W KATOWICACH

 

ul. Podgórna 4
40-008
Katowice

GABINET W ZABRZU

 

ul. Wolności 338b
41-811 Zabrze

Niedługo znajdziesz nas także w Sosnowcu, Gliwicach i Bielsku-Białej.

GODZINY OTWARCIA:

 

poniedziałek 08:00 – 20:00
wtorek 08:00 – 20:00
środa 08:00 – 20:00
czwartek 08:00 – 20:00
piątek 08:00 – 16:00

 

NASZE SIEDZIBY

DOŁĄCZ DO NAS W SIECI:

KONTAKT:

Nasi Partnerzy:

 

DANE DO PRZELEWÓW:

 

Instytut Dietetyki i Promocji Zdrowia

41-409 Mysłowice, Kosztowska 27

ING BANK ŚLĄSKI: 50 1050 1399 1000 0091 4749 5429


Kod Swift ING Banku Śląskiego czyli: INGBPLPW
IBAN tworzymy poprzez dodanie tylko liter PL przed numerem rachunku.

CHCESZ BYĆ NA BIEŻĄCO Z NOWINAMI O ZDROWYM ŻYCIU?

ZAPISZ SIĘ DO
ZDROWEGO NEWSLETTERA

ZAPISZ MNIE
ZAPISZ MNIE
Witaj w Naszym gronie :)
Jeżeli nie podasz nam swojego maila, to nie
mamy jak do Ciebie pisać.

tel. 787 323 370

NAPISZ DO NAS

SKLEP ONLINE