Ustawa — rozumie się przez to ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z dnia 29 sierpnia 1997r. (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.).

Administrator Danych Osobowych – rozumie się przez to właściciela firmy

Pracownik Przetwarzający Dane – pracownicy administracji, nauczyciele.

Administrator Bezpieczeństwa Informacji – osoba powołana zarządzeniem dyrektora lub firma na podstawie umowy, która odpowiada za bezpieczeństwo danych osobowych, egzekwuje zgodnie z prawem przetwarzanie danych osobowych w Medicus Group Sp. z o.o. w imieniu ADO oraz określa uprawnienia osób do przetwarzania danych osobowych a także rozpoznaje potrzeby w zakresie stosowanych zabezpieczeń.

Dane osobowe – w rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Przetwarzanie danych – rozumie się przez to jakiekolwiek operacje wykonywane
na danych osobowych, takie jak gromadzenie, wytwarzanie, archiwizowanie i usuwanie, oraz te, które wykonuje się w systemach informatycznych.

Zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów.

System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Identyfikator użytkownika (login) – ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych
w systemie informatycznym.

Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym.

Uwierzytelnianie — rozumie się przez to działanie, którego celem jest weryfikacja deklarowanej tożsamości podmiotu.

Integralność danych – rozumie się przez to właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Poufność danych – rozumie się przez to własność zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom.

Polityka bezpieczeństwa przetwarzania danych osobowych w Medicus Group Sp. z o.o. zwana dalej „Polityką bezpieczeństwa", określa podstawowe zasady dotyczące zapewnienia bezpieczeństwa w zakresie danych osobowych przetwarzanych
w zbiorach danych:

– tradycyjnych, w szczególności kartotekach, księgach, skorowidzach, aktach osobowych, wykazach, w zbiorach ewidencyjnych;

– w systemach informatycznych, w szczególności deklaracje ZUS, ewidencje płacowe, stypendialne, informacje skarbowe, ewidencje statystyczne, plany organizacyjne.

Realizując Politykę bezpieczeństwa informacji zapewnia się ich:

1. poufność – informacja nie jest udostępniana lub ujawniana nieupoważnionym osobom, podmiotom i procesom,
2. integralność – dane nie zostają zmienione lub zniszczone w sposób nie autoryzowany,
3. dostępność – istnieje możliwość wykorzystania ich na żądanie, w założonym czasie, przez autoryzowany podmiot,
4. autentyczność – zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana,
5. niezaprzeczalność – uczestnictwo w całości lub części wymiany danych przez jeden z podmiotów uczestniczących w tej wymianie jest niepodważalne,
6. niezawodność – zamierzone zachowania i skutki są spó
7. rozliczalność – przetwarzanie zgodnie z prawem

Polityka bezpieczeństwa w Medicus Group Sp. z o.o. ma na celu zredukowanie możliwości wystąpienia negatywnych konsekwencji naruszeń w tym zakresie, tj.:

1. naruszeń danych osobowych rozumianych jako prywatne dobro powierzone Medicus Group Sp. z o.o.
2. naruszeń przepisów prawa oraz innych regulacji;
3. utraty lub obniżenia reputacji;
4. strat finansowych ponoszonych w wyniku nałożonych kar;
5. zakłóceń organizacji pracy spowodowanych nieprawidłowym działaniem systemó

Realizując Politykę bezpieczeństwa w zakresie ochrony danych osobowych Medicus Group Sp. z o.o. dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą,
a w szczególności zapewnia warunki, aby dane te były:

1. przetwarzane zgodnie z prawem,
2. zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami,
3. merytorycznie poprawne i adekwatne w stosunku do celu, w jakim są przetwarzane,
4. przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Medicus Group Sp. z o.o. dąży do systematycznego unowocześniania stosowanych na terenie placówki informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnianiem osobom nieupoważnionym, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, uszkodzeniem lub zniszczeniem.

Za przetwarzanie danych osobowych niezgodnie z prawem, celami przetwarzania lub przechowywaniem ich w sposób niezapewniający ochrony interesów osób, których te dane dotyczą grozi odpowiedzialność karna wynikająca z przepisów ustawy o ochronie danych osobowych lub pracownicza na zasadach określonych w kodeksie pracy.

Administrator Danych Osobowych (ADO) – Medicus Group Sp. z o.o.:

1. formułuje i wdraża warunki techniczne i organizacyjne służące ochronie danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
2. decyduje o zakresie, celach oraz metodach przetwarzania i ochrony danych osobowych,
3. odpowiada za zgodne z prawem przetwarzanie danych osobowych w Medicus Group Sp. z o.o.
4. określa potrzeby w zakresie stosowanych zabezpieczeń, wnioskuje do ADO
   o zatwierdzenie proponowanych rozwiązań i nadzoruje prawidłowość ich wdrożenia,
5. udziela wyjaśnień i interpretuje zgodność stosowanych rozwiązań w zakresie ochrony danych osobowych z przepisami prawa,
6. bierze udział w podnoszeniu świadomości i kwalifikacji osób przetwarzających dane osobowe w Medicus Group Sp. z o.o. i zapewnia odpowiedni poziom przeszkolenia w tym zakresie.
7. zarządza bezpieczeństwem przetwarzania danych osobowych w systemie informatycznym zgodnie z wymogami prawa,
8. doskonali i rozwija metody zabezpieczenia danych przed zagrożeniami związanymi z ich przetwarzaniem,
9. generuje identyfikatory użytkownikom systemu informatycznego oraz zaznajamia ich z procedurami ustalania i zmiany haseł dostępu,
10. nadzoruje prace związane z rozwojem, modyfikacją, serwisowaniem i konserwacją systemu,
11. zapewnia bezpieczeństwo wewnętrznego i zewnętrznego obiegu informacji w sieci
    i zabezpieczenie łączy zewnętrznych,
12. prowadzi nadzór nad archiwizacją zbiorów danych oraz zabezpiecza elektroniczne nośniki informacji zawierających dane osobowe.

Dostęp do danych osobowych może mieć wyłącznie osoba zaznajomiona
z przepisami Ustawy o ochronie danych osobowych oraz zasadami zawartymi
w obowiązującej w Medicus Group Sp. z o.o. Polityce bezpieczeństwa
i Instrukcji zarządzania systemem informatycznym. Osoba zaznajomiona z zasadami ochrony danych potwierdza to w pisemnym oświadczeniu. Dostęp do danych osobowych może mieć wyłącznie osoba posiadająca pisemne oraz imienne upoważnienie wydane przez ADO i ABI.

Dane osobowe mogą być udostępnione osobom i podmiotom z mocy przepisów prawa lub jeżeli w sposób wiarygodny uzasadnią one potrzebę ich posiadania, a ich udostępnienie nie naruszy praw i wolności osób, których one dotyczą.

Udostępnienie danych może nastąpić na pisemny wniosek zawierający następujące elementy:

1. adresata wniosku (ADO),
2. wnioskodawcę,
3. podstawę prawną (wskazanie potrzeby),
4. wskazanie przeznaczenia,
5. zakres informacji.

Administrator Danych Osobowych odmawia udostępnienia danych jeżeli spowodowałoby to naruszenie dóbr osobistych osób, których dane dotyczą lub innych osób.

Powierzenie danych może nastąpić w drodze pisemnej umowy, w której osoba przyjmująca dane zobowiązuje się do przestrzegania obowiązujących przepisów ustawy
o ochronie danych osobowych. Umowa powinna zawierać informacje o podstawie prawnej powierzenia danych, celu i sposobie ich przetwarzania.

Każda osoba fizyczna, której dane przetwarzane są w Medicus Group Sp. z o.o. ma prawo zwrócić się z wnioskiem o udzielenie informacji związanych z przetwarzaniem tych danych i wnieść do nich zmiany. Sprawy związane z udzielaniem informacji w tym zakresie prowadzi Medicus Group Sp. z o.o.

Pomieszczenia, w których znajdują się przetwarzane zbiory danych osobowych pozostają zawsze pod bezpośrednim nadzorem pracownika upoważnionego do ich przetwarzania. Opuszczenie pomieszczenia, w których znajdują się zbiory danych osobowych musi być poprzedzone przeniesieniem zbioru danych do odpowiednio zabezpieczonego miejsca. Każdorazowo po opuszczeniu pomieszczenia, powinno być ono zamknięte na klucz.

Klucze do szaf, w których przechowywane są dane osobowe mają jedynie pracownicy upoważnieni do przetwarzania danych osobowych w zakresie zgodnym
z kategorią danych.

Korzystanie ze zbiorów danych osobowych przez osoby niezatrudnione
w Medicus Group Sp. z o.o. powinno odbywać się po uzyskaniu upoważnienia w przypadku osób upoważnionych do przetwarzania tych danych na podstawie ogólnie obowiązujących przepisów. Dokumentacji, która zawiera zbiory danych osobowych, nie można wynosić poza teren Medicus Group Sp. z o.o.. Osoby prowadzące dokumentację zobowiązane są do niezwłocznego poinformowania Medicus Group Sp. z o.o. o podejrzeniu dostępu do dokumentacji przez osoby nieupoważnione.

Ponadto zabrania się:

1. wyrzucania dokumentów zawierających dane osobowe bez uprzedniego ich trwałego zniszczenia,
2. pozostawiania dokumentów, kopii dokumentów zawierających dane osobowe w drukarkach, kserokopiarkach,
3. pozostawiania kluczy w drzwiach, szafach, biurkach, zostawiania otwartych pomieszczeń, w których przetwarza się dane osobowe,
4. pozostawiania bez nadzoru osób trzecich przebywających w pomieszczeniach nazwa firmy y, w których przetwarzane są dane osobowe,
5. pozostawiania dokumentów na biurku po zakończonej pracy, pozostawiania otwartych dokumentów na ekranie monitora,
6. ignorowania nieznanych osób z zewnątrz poruszających się w obszarze przetwarzania danych osobowych,
7. przekazywania informacji będącymi danymi osobowymi osobom nieupoważnionym
8. ignorowania zapisów Polityki Bezpieczeństwa Medicus Group Sp. z o.o.

1. 1. Zagrożenia losowe:

• Zewnętrzne np. klęski żywiołowe, przerwy w zasilaniu, ich wystąpienie może prowadzić do utraty integralności danych lub ich zniszczenia lub uszkodzenia infrastruktury technicznej systemu: ciągłość zostaje naruszona, nie dochodzi jednak do naruszenia danych osobowych.
• Wewnętrzne np. niezamierzone pomyłki operatorów, awarie sprzętowe, błędy oprogramowania – w wyniku ich wystąpienia może dojść do zniszczenia danych, może nastąpić zakłócenie ciągłości pracy systemu i naruszenia poufności danych.

1. 2. Zagrożenia zamierzone (świadome i celowe naruszenia poufności danych) –
   w wyniku ich wystąpienia zazwyczaj nie występuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy. W ramach tej kategorii zagrożeń mogą wystąpić:

• nieuprawniony dostęp do systemu z zewnątrz,
• nieuprawniony dostęp do systemu z wewnątrz,
• nieuprawnione przekazanie danych,
• bezpośrednie zagrożenie materialnych składników np. kradzież, zniszczenie.

1. 3. Okoliczności zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenie zabezpieczenia systemu informatycznego, w którym gromadzone, przetwarzane i archiwizowane są dane osobowe to w szczególności :

• sytuacje losowe lub nieprzewidywalne oddziaływanie czynników zewnętrznych na zasoby systemu np. wybuch gazu, pożar, zalanie pomieszczeń, uszkodzenia wskutek prowadzonych prac remontowych;
• niewłaściwe parametry środowiska np. nadmierna wilgotność, temperatura, wstrząsy, oddziaływania pola elektromagnetycznego, przeciążenia napięcia;
• awarie sprzętu lub oprogramowania, które są celowym działaniem na potrzeby naruszenia ochrony danych osobowych;
• pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu,
• pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub niepożądaną modyfikację w systemie,
• naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie;
• modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia;
• ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony ich przetwarzania;
• podmienienie lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych;
• rażące naruszenie obowiązków w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowywanie się przed opuszczeniem stanowiska pracy, pozostawienie danych w drukarce lub kserokopiarce, niewykonanie kopii zapasowych, prace na danych osobowych w celach prywatnych itp.);
• nieprawidłowości w zakresie przechowywania danych osobowych, znajdujących się na dyskach, płytach CD, kartach pamięci, wydrukach komputerowych
  w formie niezabezpieczonej (otwarte szafy, biurka, regały, archiwum).

1. 4. Szczegółowe zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych reguluje Instrukcja zarządzania systemem informatycznym służącym do gromadzenia, przetwarzania, archiwizowania informacji.

1. 1. Formy zabezpieczeń pomieszczeń, w których są przetwarzane dane osobowe:

• wszystkie pomieszczenia, w których są przetwarzane dane osobowe zamykane są na klucz, w przypadku opuszczenia przez ostatnią osobę upoważnioną – także w godzinach pracy.
• dane osobowe przechowywane w wersji papierowej lub elektronicznej (pamięć flash, płyty CD, DVD, dyskietki) po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam gdzie jest możliwe – w sejfie.
• nieaktualne lub błędne wydruki zawierające dane osobowe – są niszczone
  w niszczarkach.

1. 2. Formy zabezpieczeń przed nieautoryzowanym dostępem do danych osobowych:

• podłączenie urządzenia końcowego (komputera, drukarki) do sieci komputerowej dokonywane jest przez administratora sieci;
• udostępnienie użytkownikowi zasobów sieci zawierających dane osobowe przez administratora sieci następuję na podstawie upoważnienia do przetwarzania danych osobowych;
• identyfikacja użytkownika w systemie następuje poprzez zastosowanie uwierzytelniania;
• przydzielenie indywidualnego identyfikatora każdemu użytkownikowi;
• udostępnienie kluczy do pomieszczeń, w których przetwarzane są dane osobowe tylko osobom upoważnionym
• ustawienie monitorów na stanowiskach pracy w sposób uniemożliwiający wgląd w dane osobowe;
• zmiana hasła co 30 dni;

1. 3. Formy zabezpieczeń przed utratą danych osobowych w wyniku awarii:

• odrębne zasilanie sprzętu komputerowego lub zastosowanie zasilaczy UPS;
• ochrona przed utratą danych poprzez co miesięczne wykonywanie kopii zapasowych;
• zapewnienie właściwej temperatury i wilgotności w pomieszczeniach;
• zastosowanie ochrony przeciwpożarowej poprzez umieszczenie w dostępnej odległości gaśnic.

1. 4. Organizację ochrony danych osobowych realizuje się poprzez:

• zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych przed dopuszczeniem do pracy;
• przeszkolenie osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z gromadzeniem, przetwarzaniem i archiwizowaniem danych
  i programów;
• kontrolowanie pomieszczeń budynku;
• prowadzenie ewidencji osób upoważnionych do gromadzenia, przetwarzania
  i archiwizowania danych osobowych;
• wyznaczenie administratora bezpieczeństwa informacji.

Zasady bezpiecznego użytkowania systemu informatycznego zawarte są
w Instrukcji zarządzania systemem informatycznym, obligatoryjnej do zapoznania się
i stosowania przez wszystkich użytkowników systemu informatycznego.

Zbiory danych przetwarzanych w systemach informatycznych i opis struktury przetwarzanych danych osobowych:

Polityka Bezpieczeństwa Medicus Group Sp. z o.o. obowiązuje z dniem 21 maja 2018 r.

Zatwierdził

Medicus Group Sp. z o.o.