{"id":1278,"date":"2024-08-29T14:56:13","date_gmt":"2024-08-29T12:56:13","guid":{"rendered":"http:\/\/123.hospicjumojcapio.pl\/?page_id=1278"},"modified":"2024-09-21T09:05:54","modified_gmt":"2024-09-21T07:05:54","slug":"polityka-prywatnosci-2","status":"publish","type":"page","link":"https:\/\/25lat.hospicjumojcapio.pl\/?page_id=1278","title":{"rendered":"Polityka prywatno\u015bci"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t

Polityka prywatno\u015bci Hospicjum \u015bw. Ojca Pio <\/h2>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t

Za\u0142\u0105cznik do Zarz\u0105dzenia nr 1 z dnia 02.09.2019 r.
Dyrektora Hospicjum \u015aw. Ojca Pio w Pszczynie<\/p>

AKTUALIZACJA POLITYKI BEZPIECZE\u0143STWA<\/h4>

WST\u0118P<\/h5>

Hospicjum \u015bw. Ojca Pio, ul. M. Sk\u0142odowskiej-Curie 1, 43-200 Pszczyna, zwanego dalej w skr\u00f3cie Hospicjum, s\u0105 niezb\u0119dne w celu realizacji dzia\u0142alno\u015bci leczniczej, \u015bwiadczenia us\u0142ug medycznych i dzia\u0142alno\u015bci stowarzyszenia. Informacje mog\u0105 by\u0107 przetwarzane tradycyjnie, jak i przy u\u017cyciu system\u00f3w informatycznych. Niezale\u017cnie od rodzaju i sposobu przetwarzania informacje musz\u0105 by\u0107 chronione.<\/p>

Przez bezpiecze\u0144stwo informacji rozumiemy jej ochron\u0119 przed r\u00f3\u017cnymi zagro\u017ceniami w celu zapewnienia ci\u0105g\u0142o\u015bci dzia\u0142ania organizacji, ochrony wizerunku, zapewnienia zgodno\u015bci z prawem podejmowanych dzia\u0142a\u0144, rozwoju.<\/p>

Jednym z podstawowych element\u00f3w zabezpiecze\u0144 jest uporz\u0105dkowany spos\u00f3b zarz\u0105dzania bezpiecze\u0144stwem przetwarzanych danych, udokumentowany polityk\u0105 bezpiecze\u0144stwa informacji.<\/p>

Celem polityki bezpiecze\u0144stwa informacji jest podstawa do opracowania procedur i wymaga\u0144 niezb\u0119dnych dla zapewnienia w\u0142a\u015bciwej ochrony informacji w organizacji. Swoim zakresem polityka bezpiecze\u0144stwa informacji obejmuje wszelkie regu\u0142y i zasady post\u0119powania wprowadzone w organizacji celem zabezpieczenia przetwarzanych i gromadzonych danych, w tym danych osobowych. Budow\u0105 polityki bezpiecze\u0144stwa informacji realizowan\u0105 przez Administratora Danych Osobowych mo\u017ce zajmowa\u0107 si\u0119 prawny przedstawiciel Hospicjum lub powo\u0142any Inspektor Ochrony Danych (IOD), konsultuj\u0105c wszelkie aspekty tej polityki z Zarz\u0105dem.<\/p>

Opracowana polityka bezpiecze\u0144stwa informacji w Hospicjum podlega sta\u0142ej kontroli i modyfikacji w zale\u017cno\u015bci od zmieniaj\u0105cych si\u0119 warunk\u00f3w wewn\u0119trznych i zewn\u0119trznych w tym z uwzgl\u0119dnieniem zmian struktury organizacyjnej, zatrudnienia, zmian systemu informatycznego oraz zmian technologicznych.<\/p>

W realizacji polityki bezpiecze\u0144stwa bardzo wa\u017cn\u0105 rol\u0119 odgrywa \u015bwiadomo\u015b\u0107 zagro\u017ce\u0144 i znajomo\u015b\u0107 zasad bezpiecze\u0144stwa w\u015br\u00f3d wszystkich pracownik\u00f3w.<\/p>

Dokument ten zosta\u0142 utworzony w zwi\u0105zku z wymaganiami zawartymi w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych z 10.5.2018 r. (Dz. U. 2018 poz.1000) oraz Rozporz\u0105dzenia Parlamentu Europejskiego i Rady (UE) nr 2016\/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem danych osobowych
i w sprawie swobodnego przep\u0142ywu takich danych oraz uchylenia dyrektywy 95\/49\/WE (og\u00f3lne rozporz\u0105dzenie o ochronie danych osobowych) (Dz. U. L 119\/1 z 4.5.2016
Polityka Bezpiecze\u0144stwa Informacji jest dokumentem nadrz\u0119dnym nad wszystkimi dokumentami dotycz\u0105cymi bezpiecze\u0144stwa informacji w Hospicjum.<\/p>

O\u015aWIADCZENIE KIEROWNICTWA<\/h5>

Maj\u0105c \u015bwiadomo\u015b\u0107 znaczenia informacji oraz system\u00f3w informacyjnych dla realizacji misji i cel\u00f3w Hospicjum zapewniam, \u017ce podejmowane przez Hospicjum dzia\u0142ania d\u0105\u017c\u0105
do zapewnienia bezpiecze\u0144stwa informacji i ochrony danych osobowych.<\/p>

\u00a7 1
DEFINICJE<\/h5>

W polityce bezpiecze\u0144stwa zosta\u0142y okre\u015blone definicje, kt\u00f3re maj\u0105 r\u00f3wnie\u017c zastosowanie
do wszystkich za\u0142\u0105cznik\u00f3w niniejszego dokumentu:
1. Administrator Danych Osobowych<\/strong> \u2013 rozumie si\u0119 przez to organ, jednostk\u0119 organizacyjn\u0105, podmiot lub osob\u0119 decyduj\u0105ce o celach i \u015brodkach przetwarzania danych osobowych;
2. Inspektor ochrony danych <\/strong>– osoba wyznaczona przez administratora danych osobowych, nadzoruj\u0105c\u0105 przestrzeganie zasad ochrony danych osobowych,
w szczeg\u00f3lno\u015bci zabezpieczenia danych przed ich udost\u0119pnieniem osobom nieupowa\u017cnionym, zabraniem przez osob\u0119 nieuprawnion\u0105, przetwarzaniem
z naruszeniem ustawy oraz zmian\u0105, utrat\u0105, uszkodzeniem lub zniszczeniem;
3. Dane osobowe<\/strong> \u2013 wszelkie informacje dotycz\u0105ce zidentyfikowanej lub mo\u017cliwej
do zidentyfikowania osoby fizycznej, kt\u00f3rej to\u017csamo\u015b\u0107 mo\u017cna okre\u015bli\u0107 po\u015brednio lub bezpo\u015brednio, powo\u0142uj\u0105c si\u0119 na numer identyfikacyjny, jej cechy fizyczne, umys\u0142owe, fizjologiczne, ekonomiczne, spo\u0142eczne, kulturowe itp.
4. Zbi\u00f3r danych osobowych<\/strong> \u2013 ka\u017cdy posiadaj\u0105cy struktur\u0119 zestaw danych i informacji o charakterze osobowym, dost\u0119pny wed\u0142ug okre\u015blonych kryteri\u00f3w, niezale\u017cnie od tego czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.
5. Przetwarzanie danych<\/strong> \u2013 jakiekolwiek operacje wykonywane na danych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udost\u0119pnianie i usuwanie, a zw\u0142aszcza te wykonywane w systemach informatycznych.
6. Forma tradycyjna<\/strong> – spos\u00f3b utrwalenia danych osobowych lub innych informacji
na papierze;
7. Identyfikator<\/strong> – ci\u0105g znak\u00f3w literowych, cyfrowych lub innych, jednoznacznie identyfikuj\u0105cy osob\u0119 upowa\u017cnion\u0105 do przetwarzania danych osobowych w systemach informatycznych;
8. Has\u0142o<\/strong> – ci\u0105g znak\u00f3w literowych, cyfrowych lub innych, przypisany do identyfikatora u\u017cytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym;
9. Usuwanie danych<\/strong> – trwa\u0142e zniszczenie danych osobowych lub ich taka modyfikacja, kt\u00f3re nie pozwala na ustalenie to\u017csamo\u015bci osoby, kt\u00f3rej dane dotycz\u0105;
10. Pseudonimizacja danych<\/strong> – spos\u00f3b modyfikacji danymi osobowymi, kt\u00f3ry nie pozwala na odczytanie danych osobowych bez dost\u0119pu do okre\u015blonego wcze\u015bniej klucza;
11. Osoba trzecia<\/strong> – osoba spoza struktury organizacyjnej Hospicjum tj. osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot kt\u00f3rym na podstawie upowa\u017cnienia administratora lub podmiotu przetwarzaj\u0105cego mog\u0105 przetwarza\u0107 dane osobowe;
12. Administrator systemu informatycznego<\/strong> \u2013 osoba lub osoby upowa\u017cnione przez
Administratora Danych Osobowych do zarz\u0105dzania systemami informatycznymi;
13. System informatyczny<\/strong> – zesp\u00f3\u0142 wsp\u00f3\u0142pracuj\u0105cych ze sob\u0105 urz\u0105dze\u0144, program\u00f3w, procedur przetwarzania informacji i narz\u0119dzi programowych zastosowanych w celu przetwarzania danych w systemach
14. System Bezpiecze\u0144stwa<\/strong> – zestaw \u015brodk\u00f3w wykorzystywanych do zabezpieczenia
system\u00f3w przed nieautoryzowanym dost\u0119pem wraz z organizacj\u0105 i przyj\u0119t\u0105
dokumentacj\u0105 w zakresie bezpiecze\u0144stwa.
15. Bezpiecze\u0144stwo informacji<\/strong> – zachowanie poufno\u015bci, integralno\u015bci i dost\u0119pno\u015bci
informacji w systemach.
16. Incydent zwi\u0105zany z bezpiecze\u0144stwem informacji<\/strong> – pojedyncze zdarzenie lub seria niepo\u017c\u0105danych lub niespodziewanych zdarze\u0144 zwi\u0105zanych z naruszeniem bezpiecze\u0144stwa informacji, kt\u00f3re zagra\u017caj\u0105 bezpiecze\u0144stwu informacji i us\u0142ug realizowanych
w Med5.
17. Zabezpieczenie<\/strong> \u2013 wdro\u017cenie i eksploatacja stosownych \u015brodk\u00f3w technicznych
i organizacyjnych, zapewniaj\u0105cych ochron\u0119 danych przed ich nieuprawnionym przetwarzaniem
18. \u015arodki techniczne i organizacyjne<\/strong> – \u015brodki s\u0142u\u017c\u0105ce zarz\u0105dzaniu ryzykiem zwi\u0105zanym z utrat\u0105 bezpiecze\u0144stwa informacji, \u0142\u0105cznie z politykami, procedurami, zaleceniami, praktyk\u0105 lub strukturami organizacyjnymi, kt\u00f3re mog\u0105 mie\u0107 natur\u0119 administracyjn\u0105, techniczn\u0105, zarz\u0105dcz\u0105 lub prawn\u0105.
19. U\u017cytkownik<\/strong> – ka\u017cda osoba, posiadaj\u0105ca upowa\u017cnienie do przetwarzania danych
wydane przez Administratora Danych lub Inspektora Ochrony Danych, zarejestrowana w systemie (posiadaj\u0105ca unikalny identyfikator i has\u0142o), przetwarzaj\u0105ca dane.<\/p>

\u00a7 2<\/h5>
  1. G\u0142\u00f3wnym za\u0142o\u017ceniem \u201ePolityki bezpiecze\u0144stwa\u201d jest przetwarzanie danych osobowych zgodnie z obowi\u0105zuj\u0105cymi przepisami oraz ich ochrona przed udost\u0119pnieniem osobom
    nieupowa\u017cnionym, zabraniem przez osob\u0119 nieuprawion\u0105, przetwarzaniem z naruszeniem przepis\u00f3w okre\u015blaj\u0105cych zasady post\u0119powania przy przetwarzaniu danych osobowych oraz przed uszkodzeniem, zniszczeniem lub nieupowa\u017cnion\u0105 zmian\u0105.<\/li>
  2. W celu wykonania za\u0142o\u017ce\u0144 Polityki nale\u017cy zastosowa\u0107 zabezpieczenia oparte
    na poni\u017cszych cechach:
    \u2022\u00a0poufno\u015bci danych \u2013 okre\u015blona w\u0142a\u015bciwo\u015b\u0107, kt\u00f3ra zapewnia \u017ce dane nie s\u0105 udost\u0119pniane osobom nieupowa\u017cnionym;
    \u2022\u00a0integralno\u015bci danych – w\u0142a\u015bciwo\u015b\u0107, kt\u00f3ra zapewnia, \u017ce dane osobowe nie zosta\u0142y zniszczone, zmienione, uszkodzone w spos\u00f3b nieautoryzowany;
    \u2022\u00a0zgodno\u015b\u0107 z procedurami \u2013 ka\u017cdy u\u017cytkownik w ramach wykonywanych obowi\u0105zk\u00f3w s\u0142u\u017cbowych winien post\u0119powa\u0107 zgodnie z przyj\u0119tymi w poradni wzorami i procedurami;
    \u2022\u00a0przejrzysto\u015b\u0107 \u2013 udzielenie osobie, kt\u00f3rej dane dotycz\u0105 wszelkich informacji w spos\u00f3b zrozumia\u0142y nie budz\u0105cy dalszych w\u0105tpliwo\u015bci;
    \u2022\u00a0ograniczenia celu – zbieranie danych wy\u0142\u0105cznie w konkretnych, wcze\u015bniej okre\u015blonych i prawnie uzasadnionych celach i nieprzetwarzane dalej w spos\u00f3b niezgodny z wcze\u015bniej okre\u015blonymi celami;
    \u2022\u00a0zgodno\u015bci z prawem i rzetelno\u015b\u0107 – dane osobowe mog\u0105 by\u0107 przetwarzane wy\u0142\u0105cznie wtedy gdy okre\u015blono podstaw\u0119 prawn\u0105 ich przetwarzania (zgoda, umowa, obowi\u0105zek prawny, ochrona \u017cywotnych interes\u00f3w osoby, wykonanie zada\u0144 realizowanych w interesie publicznym lub w ramach w\u0142adzy publicznej);
    \u2022\u00a0minimalizacji danych – zbieranie i przetwarzanie danych osobowych wy\u0142\u0105czenie w takiej ilo\u015bci by za\u0142o\u017cone cele zosta\u0142y zrealizowane;
    \u2022\u00a0prawid\u0142owo\u015bci – przetwarzanie danych, kt\u00f3re s\u0105 prawdziwe, aktualne a w razie ich nieprawid\u0142owego przetwarzania, ich natychmiastowe usuni\u0119cie lub sprostowanie
    \u2022\u00a0ograniczenia przechowywania- przetwarzamy dane osobowe wy\u0142\u0105cznie w wyznaczonym czasookresie, po ustaniu tego czasu dane te nale\u017cy usun\u0105\u0107.<\/li>
  3. Miar\u0105 bezpiecze\u0144stwa jest wielko\u015b\u0107 ryzyka zwi\u0105zanego z ochron\u0105 danych osobowych a zarz\u0105dzaniem ryzykiem kt\u00f3re okre\u015bla proces identyfikacji, kontrolowania oraz ograniczenia lub ca\u0142kowitej eliminacji ryzyka dotycz\u0105cego bezpiecze\u0144stwa, kt\u00f3re mo\u017ce dotyczy\u0107 system\u00f3w informacyjnych s\u0142u\u017c\u0105cych do przetwarzania danych osobowych.<\/li>
  4. W celu zapewnienia bezpiecze\u0144stwa informacji stosuje si\u0119 nast\u0119puj\u0105ce og\u00f3lne zasady:
    \u2022 \u201eminimalnych przywilej\u00f3w\u201d – tzn. przydzielania praw dost\u0119pu tylko w zakresie niezb\u0119dnym do wykonania okre\u015blonego zadania,
    \u2022 \u201eseparacji obowi\u0105zk\u00f3w\u201d – polegaj\u0105cej na tym, \u017ce zadania krytyczne z punktu widzenia bezpiecze\u0144stwa systemu nie mog\u0105 by\u0107 realizowane przez jedn\u0105 osob\u0119,
    \u2022 \u201edomniemanej odmowy\u201d – tzn. przyj\u0119cia, jako standardowych najbardziej restrykcyjnych uprawnie\u0144 i ustawie\u0144 w systemach, kt\u00f3re mo\u017cna zwolni\u0107 jedynie w okre\u015blonych sytuacjach (\u201eto, co nie jest dozwolone, jest zabronione\u201d).
    a. system informatyczny jest zabezpieczony przed nieupowa\u017cnionym dost\u0119pem, modyfikacj\u0105 lub zniszczeniem. Sie\u0107 wewn\u0119trzna jest zabezpieczona przed nieupowa\u017cnionym dost\u0119pem z zewn\u0105trz.
    b. informacje s\u0105 chronione w spos\u00f3b proporcjonalny do ich wra\u017cliwo\u015bci, zagro\u017ce\u0144 lub wymaga\u0144 stawianych przez odpowiednie przepisy prawne i zapisy um\u00f3w z innymi podmiotami.
    c. ka\u017cdy u\u017cytkownik dysponuje indywidualnym identyfikatorem, za po\u015brednictwem, kt\u00f3rego mo\u017ce korzysta\u0107 z udost\u0119pnianych zasob\u00f3w i us\u0142ug. W\u0142\u0105czone w systemie informatycznym mechanizmy oraz procedury zapewniaj\u0105 rozliczalno\u015b\u0107 u\u017cytkownik\u00f3w zarejestrowanych w systemie.
    d. ka\u017cdy u\u017cytkownik ma obowi\u0105zek informowania prze\u0142o\u017conego lub Inspektora Ochrony Danych o wyst\u0105pieniu incydentu zwi\u0105zanego z bezpiecze\u0144stwem informacji.
    e. w przypadku wyst\u0105pienia incydentu zwi\u0105zanego z bezpiecze\u0144stwem informacji, kierownictwo spowoduje podj\u0119cie szybkich dzia\u0142a\u0144 zaradczych w celu zmniejszenia potencjalnych strat.<\/li><\/ol>
    \u00a7 3<\/h5>

    Zapisy \u201ePolityki bezpiecze\u0144stwa\u201d maj\u0105 zastosowanie do:
    a. wszystkich istniej\u0105cych, wdra\u017canych obecnie lub w przysz\u0142o\u015bci system\u00f3w informatycznych, w kt\u00f3rych s\u0105 lub b\u0119d\u0105 przetwarzane informacje podlegaj\u0105ce ochronie,
    b. wszystkich istniej\u0105cych i utworzonych w przysz\u0142o\u015bci zbior\u00f3w danych osobowych,
    c. informacji b\u0119d\u0105cych w\u0142asno\u015bci\u0105 Hospicjum, um\u00f3w podlegaj\u0105cych ochronie zgodnie z Polityk\u0105 Bezpiecze\u0144stwa Informacji lub na mocy zawartych um\u00f3w zwi\u0105zanych ze \u015bwiadczeniem us\u0142ug,
    d. wszystkich no\u015bnik\u00f3w, na kt\u00f3rych s\u0105 lub b\u0119d\u0105 znajdowa\u0107 si\u0119 informacje podlegaj\u0105ce ochronie,
    e. wszystkich lokalizacji \u2013 budynk\u00f3w i pomieszcze\u0144, w kt\u00f3rych s\u0105 lub b\u0119d\u0105 przetwarzane informacje podlegaj\u0105ce ochronie,
    f. wszystkich klient\u00f3w i u\u017cytkownik\u00f3w systemu,
    Do stosowania zasad okre\u015blonych przez dokument Polityki Bezpiecze\u0144stwa zobowi\u0105zani s\u0105 wszyscy u\u017cytkownicy.<\/p>

    \u00a7 4
    System informatyczny<\/h5>

    Spos\u00f3b zarz\u0105dzania, przetwarzania oraz zabezpieczenie danych w systemie informatycznym okre\u015bla Instrukcja Zarz\u0105dzania Systemem Informatycznym stanowi\u0105cy za\u0142\u0105cznik nr 1<\/strong> do Polityki Bezpiecze\u0144stwa.<\/p>

    \u00a7 5
    Inspektor Ochrony Danych<\/h5>
    1. Administrator danych osobowych kt\u00f3rym jest Hospicjum \u015aw. Ojca Pio w Pszczynie celem prawid\u0142owego nadzorowania i przestrzegania zasad ochrony danych osobowych oraz wykonywania polityki bezpiecze\u0144stwa powo\u0142a\u0142a z dniem 16.08.2019 r. Inspektora Ochrony Danych Osobowych (IOD).<\/li>
    2. Zadania Inspektora Ochrony Danych Osobowych okre\u015bla art. 39 Rozporz\u0105dzenia Parlamentu Europejskiego (UE) 2016\/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony os\u00f3b fizycznych w zwi\u0105zku z przetwarzaniem danych osobowych i w sprawie swobodnego przep\u0142ywu takich danych oraz uchylenia dyrektywy 95\/46\/WE (Og\u00f3lne Rozporz\u0105dzenie o Ochronie Danych- RODO). Do jego g\u0142\u00f3wnych zada\u0144 nale\u017cy:
      \u2022 organizacja bezpiecze\u0144stwa i ochrony danych osobowych zgodnie z wymogami ww. Rozporz\u0105dzenia i Ustawy o ochronie danych osobowych;
      \u2022 zapewnienie przetwarzania danych osobowych zgodnie z przyj\u0119t\u0105 Polityk\u0105 bezpiecze\u0144stwa;
      \u2022 nadzorowanie wydawania i anulowania upowa\u017cnie\u0144 do przetwarzania danych osobowych oraz prowadzenie stosownego rejestru upowa\u017cnie\u0144;
      \u2022 prowadzenie post\u0119powania wyja\u015bniaj\u0105cego w przypadku naruszenia ochrony danych osobowych;
      \u2022 prowadzenie szkole\u0144 personelu uczestnicz\u0105cego w operacjach przetwarzania danych osobowych;
      \u2022 prowadzenie okresowych audyt\u00f3w przetwarzania danych osobowych w poradni;
      \u2022 przeprowadzenia cyklicznej oceny ryzyka prowadzonych w Poradni czynno\u015bci przetwarzania danych osobowych oraz dokonywanie niezb\u0119dnej oceny skutk\u00f3w;
      \u2022 wsp\u00f3\u0142praca z organem nadzorczym.<\/li><\/ol>
      \u00a7 6
      Obowi\u0105zek informacyjny<\/h5>
      1. Celem prawid\u0142owego obiegu informacji zar\u00f3wno wewn\u0105trz Hospicjum jak i os\u00f3b, kt\u00f3re korzystaj\u0105 z us\u0142ug tej plac\u00f3wki, dostosowano form\u0119 komunikacji Administrator z odbiorcami poprzez obowi\u0105zek informacyjny, kt\u00f3ra zosta\u0142 umieszczona na stronie internetowej Hospicjum oraz wewn\u0105trz budynku w miejscu og\u00f3lnodost\u0119pnym dla klient\u00f3w oraz pracownik\u00f3w<\/li>
      2. Zgodnie z art. 13 RODO Administrator realizuje obowi\u0105zek informacyjny wobec podmiot\u00f3w danych w momencie pozyskiwania od nich tych danych.<\/li>
      3. Wz\u00f3r obowi\u0105zku informacyjnego, stanowi za\u0142\u0105cznik nr 2 do Polityki Bezpiecze\u0144stwa.<\/li>
      4. Zgodnie z art. 14 RODO Administrator, je\u017celi taka sytuacja b\u0119dzie mia\u0142a miejsce, realizuje obowi\u0105zek informacyjny r\u00f3wnie\u017c wzgl\u0119dem podmiot\u00f3w danych, kt\u00f3rych dane uzyska\u0142 z innych \u017ar\u00f3de\u0142 ni\u017c bezpo\u015brednio od podmiotu danych.<\/li><\/ol>
        \u00a7 7<\/h5>

        Wykaz pomieszcze\u0144 w kt\u00f3rych przetwarzane s\u0105 dane osobowe oraz wykaz program\u00f3w
        zastosowanych do przetwarzania tych danych w Hospicjum \u015aw. Ojca Pio w Pszczynie zawiera za\u0142\u0105cznik nr 3<\/strong> do niniejszego dokumentu.<\/p>

        \u00a7 8
        Upowa\u017cnienie do przetwarzania danych osobowych<\/h5>
        1. Ka\u017cda osoba posiadaj\u0105ce dost\u0119p do danych osobowych Hospicjum przed przyst\u0105pieniem do przetwarzania danych w systemie informatycznym jak i tradycyjnym musi zapozna\u0107 si\u0119 zasadami dotycz\u0105cymi niniejszej Polityki bezpiecze\u0144stwa.<\/li>
        2. Zapoznanie si\u0119 z powy\u017cszymi informacjami pracownik potwierdza w\u0142asnor\u0119cznym podpisem na o\u015bwiadczeniu, kt\u00f3rego wz\u00f3r stanowi za\u0142\u0105cznik nr 4<\/strong>.<\/li>
        3. Do przetwarzania danych osobowych mog\u0105 by\u0107 dopuszczone wy\u0142\u0105cznie osoby posiadaj\u0105ce upowa\u017cnienie nadane przez Administratora Danych lub Inspektora Ochrony Danych. Osobami upowa\u017cnionymi mog\u0105 by\u0107 pracownicy Hospicjum, osoby zewn\u0119trzne, zast\u0119puj\u0105ce okresowo pracownik\u00f3w lub wykonuj\u0105ce prace na rzecz Administratora Danych na podstawie innych um\u00f3w oraz wolontariusze. Wz\u00f3r upowa\u017cnienia stanowi za\u0142\u0105cznik nr 5<\/strong> do Polityki Bezpiecze\u0144stwa.<\/li>
        4. Administratora Danych Osobowych przekazuje u\u017cytkownikowi ustnie identyfikator (login) dost\u0119powy do komputera, b\u0105d\u017a konkretnego programu (mMedica, EDM) wraz z has\u0142em, kt\u00f3ry obj\u0119ty jest tajemnic\u0105, r\u00f3wnie\u017c po up\u0142ywie jego wa\u017cno\u015bci i znany jest jedynie osobie do tego upowa\u017cnionej oraz Administratorowi Danych Osobowych.<\/li>
        5. Pracownicy zobowi\u0105zani s\u0105 r\u00f3wnie\u017c do:
          a. \u015bcis\u0142ego przestrzegania zakresu nadanego im upowa\u017cnienia;
          b. zachowa\u0107 w tajemnicy udost\u0119pnione dane osobowe oraz sposob\u00f3w ich zabezpieczenia u Administratora;
          c. natychmiastowego zg\u0142aszania wszelkich incydent\u00f3w, zdarze\u0144 mog\u0105cych stanowi\u0107 naruszenie bezpiecze\u0144stwa danych bezpo\u015brednio do Administratora.<\/li>
        6. Naruszenie przyj\u0119tych w plac\u00f3wce zasad i przepis\u00f3w ochrony danych osobowych mo\u017ce stanowi\u0107 ci\u0119\u017ckie naruszenie podstawowych obowi\u0105zk\u00f3w pracowniczych.<\/li>
        7. Za naruszenie lub pr\u00f3b\u0119 naruszenia zasad przetwarzania i ochrony danych osobowych zwanych dale \u201edanymi\u201d uwa\u017ca si\u0119 m.in:
          a. naruszenie bezpiecze\u0144stwa system\u00f3w informatycznych (m.in. niezmienianie lub przyj\u0119cie has\u0142a poni\u017cej ustalonych u Administratora standard\u00f3w, dzielenie si\u0119 swoimi loginami i has\u0142ami, logowanie si\u0119 do system\u00f3w sieciowych przez niezabezpieczone sieci publiczne, otwieranie podejrzanych za\u0142\u0105cznik\u00f3w, pozostawienie otwartych komputer\u00f3w bez opieki);
          b. umo\u017cliwienie dost\u0119pu lub udost\u0119pnienie danych podmiotom do tego nieupowa\u017cnionym;
          c. zaniechanie, nawet nieumy\u015blne, dope\u0142nienia obowi\u0105zku ochrony przetwarzanych danych;
          d. nie przestrzeganie obowi\u0105zku zachowania w tajemnicy danych oraz sposob\u00f3w ich zabezpieczenia;
          e. przetwarzanie danych niezgodnie z za\u0142o\u017conym zakresem i celem ich zbierania;
          f. spowodowanie uszkodzenia, zgub\u0119, niekontrolowan\u0105 zmian\u0119 lub nieuprawnione kopiowanie danych;
          g. naruszenie praw os\u00f3b, kt\u00f3rych dane dotycz\u0105 i s\u0105 przetwarzane.<\/li>
        8. Administrator prowadzi ewidencj\u0119 os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych w plac\u00f3wce, kt\u00f3rej wz\u00f3r stanowi za\u0142\u0105cznik nr 6<\/strong> do Polityki Bezpiecze\u0144stwa.<\/li>
        9. Odebranie uprawnie\u0144 pracownikowi nast\u0119puje na pisemny wniosek prze\u0142o\u017conego, kt\u00f3remu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnie\u0144.<\/li><\/ol>
          \u00a7 9<\/h5>
          1. Administrator danych osobowych celem skutecznej realizacji zapisk\u00f3w Polityki Bezpiecze\u0144stwa jest obowi\u0105zany do wprowadzenia odpowiednich \u015brodk\u00f3w technicznych, organizacyjnych oraz fizycznych.<\/li>
          2. Do zastosowanych \u015brodk\u00f3w technicznych nale\u017cy:
            \u2022 przetwarzanie danych osobowych w wydzielonych pomieszczeniach po\u0142o\u017conych w strefie administracyjnej.
            \u2022 pomieszczenia, w kt\u00f3rych u\u017cywany jest sprz\u0119t komputerowy, b\u0105d\u017a przetwarzane s\u0105 dane osobowe zamykane s\u0105 na klucz. Po zako\u0144czeniu pracy pracownicy zamykaj\u0105 biuro, po godzinach pracy wst\u0119p do pokoju mo\u017cliwy jest tylko przez pracownika posiadaj\u0105cego zezwolenie Dyrektora na prac\u0119 w godzinach poza harmonogramem lub w dniach wolnych od pracy.
            \u2022 wyposa\u017cenie pomieszcze\u0144 w zamykane na klucz szafy daj\u0105ce gwarancj\u0119 bezpiecze\u0144stwa dokumentacji,
            \u2022 zastosowano \u015brodki ochrony przed szkodliwym oprogramowaniem (antywirus),
            \u2022 zabezpieczenie sprz\u0119tu komputerowego przed mo\u017cliwo\u015bci\u0105 u\u017cytkowania przez osoby nieuprawnione do przetwarzania danych osobowych poprzez indywidualny identyfikator u\u017cytkowania i cykliczne zmiany has\u0142a.<\/li>
          3. Do zastosowanych \u015brodk\u00f3w organizacyjnych nale\u017c\u0105 przede wszystkim nast\u0119puj\u0105ce zasady:
            \u2022 Zapoznanie ka\u017cdej osoby z dokumentacj\u0105 prawn\u0105 dotycz\u0105c\u0105 ochrony danych osobowych, przed dopuszczeniem jej do pracy przy przetwarzaniu danych osobowych oraz zobowi\u0105zanie jej do zachowania tajemnicy s\u0142u\u017cbowej,
            \u2022 Prowadzenie ewidencji os\u00f3b upowa\u017cnionych do przetwarzania danych osobowych,
            \u2022 Przeszkolenie os\u00f3b, o kt\u00f3rych mowa w pkt. 1 \u00a7 9, w zakresie bezpiecznej obs\u0142ugi urz\u0105dze\u0144 i program\u00f3w zwi\u0105zanych z przetwarzaniem i ochron\u0105 danych osobowych,
            \u2022 Wyznaczenie inspektora danych osobowych,
            \u2022 Kontrolowanie otwierania i zamykania pomieszcze\u0144, w kt\u00f3rych s\u0105 przetwarzane dane osobowe, polegaj\u0105ce na otwarciu pomieszczenia przez pierwsz\u0105 osob\u0119, kt\u00f3ra rozpoczyna prac\u0119 oraz zamkni\u0119ciu pomieszczenia przez ostatni\u0105 wychodz\u0105c\u0105 osob\u0119.
            \u2022 Administrator wraz z powo\u0142anym Inspektorem Ochrony Danych zobowi\u0105zuje si\u0119 do cyklicznego przegl\u0105du obowi\u0105zuj\u0105cych w plac\u00f3wce zabezpiecze\u0144.<\/li>
          4. Niezale\u017cnie od niniejszych zasad opisanych w dokumencie „Polityka bezpiecze\u0144stwa\u201d w Hospicjum \u015aw. Ojca Pio w Pszczynie w zakresie bezpiecze\u0144stwa maj\u0105 zastosowanie wszelkie wewn\u0119trzne regulaminy lub instrukcje dotycz\u0105ce bezpiecze\u0144stwa ludzi i zasob\u00f3w informacyjnych oraz indywidualne zakresy zada\u0144 os\u00f3b zatrudnionych przy przetwarzaniu danych osobowych w okre\u015blonym systemie.<\/li>
          5. W celu ochrony przed utrat\u0105 danych w Hospicjum stosowane s\u0105 nast\u0119puj\u0105ce zabezpieczenia:
            – Ochrona przed utrat\u0105 zgromadzonych danych przez robienie kopii zapasowych na dyskach zewn\u0119trznych, b\u0105d\u017a p\u0142ytach CD\/DVD, z kt\u00f3rych w przypadku awarii odtwarzane s\u0105 dane;
            – w systemie informatycznym Hospicjum w Pszczynie zastosowano autoryzacj\u0119 u\u017cytkownika tj. uruchamiaj\u0105c stanowisko komputerowe, wymagane jest podanie loginu u\u017cytkownika i has\u0142a;
            – obj\u0119cie ochron\u0105 antywirusow\u0105 wszystkich danych \u015bci\u0105ganych z Internetu na stacjach lokalnych.<\/li>
          6. Wykonanie postanowie\u0144 tego dokumentu ma zapewni\u0107 w\u0142a\u015bciw\u0105 reakcj\u0119, ocen\u0119 i udokumentowanie przypadk\u00f3w naruszania bezpiecze\u0144stwa system\u00f3w oraz zapewni\u0107 w\u0142a\u015bciwy tryb dzia\u0142ania w celu przywr\u00f3cenia bezpiecze\u0144stwa danych przetwarzanych w Hospicjum \u015aw. Ojca Pio w Pszczynie.<\/li><\/ol>
            \u00a7 10<\/h5>
            1. Wszyscy pracownicy Hospicjum \u015aw. Ojca Pio w Pszczynie przed przyst\u0105pieniem do pracy w systemie tradycyjnym i systemie elektronicznym przetwarzaj\u0105cym dane osobowe lub zbiorami danych osobowych zostaj\u0105 poddani przeszkoleniu w zakresie ochrony danych osobowych. Potwierdzeniem uczestnictwa w szkoleniu jest karta szkolenia (za\u0142\u0105cznik nr 7<\/strong>), kt\u00f3ra zostaje do\u0142\u0105czona do akt osobowych ka\u017cdego pracownika.<\/li>
            2. Za organizacj\u0119 szkolenia odpowiada administrator danych osobowych a w jego imieniu Inspektor Ochrony Danych.<\/li>
            3. Zakres szkolenia powinien obejmowa\u0107 zaznajomienie u\u017cytkownika z przepisami Rozporz\u0105dzenia, Ustawy o ochronie danych osobowych oraz wydawanymi na tej podstawie aktami wykonawczymi oraz instrukcjami obowi\u0105zuj\u0105cymi u administratora danych osobowych.<\/li>
            4. Zgodnie z wymogami Ustawy o ochronie danych osobowych pracownicy zostaj\u0105 zapoznani z przepisami z zakresu ww. ustawy w ka\u017cdym przypadku istotnych zmian w przepisach dotycz\u0105cych przetwarzania danych.<\/li>
            5. Administrator winien prowadzi\u0107 rejestr odbytych szkole\u0144 dla pracownik\u00f3w Hospicjum. Wz\u00f3r rejestru okre\u015bla za\u0142\u0105cznik nr 8<\/strong> do niniejszej polityki.<\/li><\/ol>
              \u00a7 11<\/h5>
              1. Administrator Danych Osobowych ma obowi\u0105zek monitorowania zastosowanych \u015brodk\u00f3w ochrony.<\/li>
              2. W ramach kontroli nale\u017cy zwraca\u0107 szczeg\u00f3ln\u0105 uwag\u0119 na:
                1) okresowe sprawdzanie kopii bezpiecze\u0144stwa pod wzgl\u0119dem przydatno\u015bci do mo\u017cliwo\u015bci odtwarzania danych;
                2) kontrola w\u0142a\u015bciwej cz\u0119stotliwo\u015bci zmiany hase\u0142;
                3) skuteczno\u015b\u0107 zastosowanych zabezpiecze\u0144 fizycznych, technicznych i organizacyjnych.<\/li>
              3. Administrator Danych ma obowi\u0105zek \u015bledzi\u0107 zagro\u017cenia wewn\u0119trzne i zewn\u0119trzne z szczeg\u00f3lnym uwzgl\u0119dnieniem przepis\u00f3w prawa oraz wsp\u00f3\u0142pracowa\u0107 z Inspektorem Danych Osobowych.<\/li><\/ol>
                \u00a7 12
                Naruszenie przetwarzania danych osobowych<\/h5>
                1. W przypadku stwierdzenia prawdopodobie\u0144stwa wyst\u0105pienia naruszenia zasad ochrony danych osobowych, osoba kt\u00f3ra powzi\u0119\u0142a tak\u0105 informacj\u0119 zobowi\u0105zana jest niezw\u0142ocznie powiadomi\u0107 o swoich przypuszczeniach Administratora a ten Inspektora Ochrony Danych, w terminie nie p\u00f3\u017aniej ni\u017c do ko\u0144ca dnia, w kt\u00f3rym to wyst\u0105pi\u0142o.<\/li>
                2. Administrator lub Inspektor Ochrony Danych dokonuje oceny zg\u0142oszenia w zakresie wyst\u0105pienia ewentualnego naruszenia w szczeg\u00f3lno\u015bci:
                  – Zapoznaje si\u0119 z zaistnia\u0142\u0105 sytuacj\u0105 i dokonuje wyboru metody dalszego post\u0119powania maj\u0105c na uwadze ewentualne zagro\u017cenia dla prawid\u0142owo\u015bci pracy Hospicjum \u015aw. Ojca Pio w Pszczynie,
                  – Mo\u017ce \u017c\u0105da\u0107 dok\u0142adnej relacji z zaistnia\u0142ego naruszenia od osoby powiadamiaj\u0105cej, jak r\u00f3wnie\u017c od ka\u017cdej innej osoby, kt\u00f3ra mo\u017ce posiada\u0107 informacje zwi\u0105zane z zaistnia\u0142ym naruszeniem,
                  – Rozwa\u017ca celowo\u015b\u0107 i potrzeb\u0119 powiadomienia o zaistnia\u0142ym naruszeniu organowi, kt\u00f3remu podlega,
                  – Nawi\u0105zuje bezpo\u015bredni kontakt, je\u017celi zachodzi taka potrzeba, ze specjalistami spoza plac\u00f3wki.<\/li>
                3. Ka\u017cdorazowo w przypadku naruszenia, kt\u00f3re mog\u0142o powodowa\u0107 ryzyko naruszenia praw lub wolno\u015bci os\u00f3b fizycznych, Administrator (Inspektor Ochrony Danych) zg\u0142asza bez zb\u0119dnej zw\u0142oki fakt naruszenia zasad ochrony danych osobowych w poradni organowi nadzorczemu, tj. nie p\u00f3\u017aniej ni\u017c w terminie 72 godzin po stwierdzeniu naruszenia (po stwierdzeniu, \u017ce dosz\u0142o do naruszenia).<\/li>
                4. Je\u017celi ryzyko naruszenia praw i wolno\u015bci oka\u017ce si\u0119 wysokie, Administrator winien zawiadomi\u0107 o incydencie tak\u017ce osob\u0119, kt\u00f3rej dane dotycz\u0105.<\/li>
                5. Administrator dokumentuje wszelkie czynno\u015bci podj\u0119te w ramach naruszenia przetwarzania danych osobowych i wpisuje je do rejestru narusze\u0144 i uchybie\u0144, kt\u00f3ry okre\u015bla za\u0142\u0105cznik nr 9<\/strong> do Polityki Bezpiecze\u0144stwa (wy\u0142\u0105cznie w formie elektronicznej).<\/li>
                6. Rejestru narusze\u0144 sporz\u0105dzony w formie elektronicznej prowadzi Inspektor Ochrony Danych Osobowych.<\/li>
                7. Procedur\u0119 post\u0119powania w przypadku naruszenia okre\u015bla za\u0142\u0105cznik nr 10<\/strong>.<\/li>
                8. Do najwa\u017cniejszych zagro\u017ce\u0144 nale\u017c\u0105:
                  – przechwycenie informacji – naruszenie poufno\u015bci,
                  – modyfikacja informacji – naruszenie integralno\u015bci,
                  – zniszczenie informacji – naruszenie dost\u0119pno\u015bci,
                  – blokowanie dost\u0119pu do informacji – naruszenie dost\u0119pno\u015bci,
                  – ca\u0142kowitej utraty danych,
                  – cz\u0119\u015bciowej utraty danych,
                  – uszkodzenia danych podczas przetwarzania,
                  – celowego wprowadzania b\u0142\u0119dnych danych przez osoby nieuprawnione,
                  – wej\u015bcia w posiadanie danych przez osoby nieuprawnione,
                  – r\u00f3\u017cne inne zagro\u017cenia<\/li>
                9. Podzia\u0142 zagro\u017ce\u0144.
                  – zagro\u017cenia losowe zewn\u0119trzne (np. kl\u0119ski \u017cywio\u0142owe, przerwy w zasilaniu), ich wyst\u0119powanie mo\u017ce prowadzi\u0107 do utraty integralno\u015bci danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu, ci\u0105g\u0142o\u015b\u0107 systemu zostaje zak\u0142\u00f3cona, nie dochodzi do naruszenia poufno\u015bci danych.
                  – zagro\u017cenia losowe wewn\u0119trzne (np. niezamierzone pomy\u0142ki operator\u00f3w, administratora, awarie sprz\u0119towe, b\u0142\u0119dy oprogramowania), mo\u017ce doj\u015b\u0107 do zniszczenia danych lub zosta\u0107 zak\u0142\u00f3cona ci\u0105g\u0142o\u015b\u0107 pracy systemu czy nast\u0105pi\u0107 naruszenie poufno\u015bci danych.
                  – zagro\u017cenia zamierzone, \u015bwiadome i celowe – najpowa\u017cniejsze zagro\u017cenia, naruszenia poufno\u015bci danych, (zazwyczaj nie nast\u0119puje uszkodzenie infrastruktury technicznej i zak\u0142\u00f3cenie ci\u0105g\u0142o\u015bci pracy), zagro\u017cenia te mo\u017cemy podzieli\u0107 na: nieuprawniony dost\u0119p do systemu z zewn\u0105trz (w\u0142amanie do systemu), nieuprawniony dost\u0119p do systemu z jego wn\u0119trza, nieuprawniony przekaz danych, pogorszenie jako\u015bci sprz\u0119tu i oprogramowania, bezpo\u015brednie zagro\u017cenie materialnych sk\u0142adnik\u00f3w systemu.<\/li>
                10. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w kt\u00f3rym przetwarzane s\u0105 dane osobowe to g\u0142\u00f3wnie:
                  – sytuacje losowe lub nieprzewidziane oddzia\u0142ywanie czynnik\u00f3w zewn\u0119trznych na zasoby systemu jak np.: wybuch gazu, po\u017car, zalanie pomieszcze\u0144, katastrofa budowlana, napad, niepo\u017c\u0105dana ingerencja ekipy remontowej itp.,
                  – niew\u0142a\u015bciwe parametry \u015brodowiska, jak np. nadmierna wilgotno\u015b\u0107 lub wysoka temperatura, oddzia\u0142ywanie pola elektromagnetycznego, wstrz\u0105sy lub wibracje pochodz\u0105ce od urz\u0105dze\u0144 przemys\u0142owych,
                  – awaria sprz\u0119tu lub oprogramowania, kt\u00f3re wyra\u017anie wskazuj\u0105 na umy\u015blne dzia\u0142anie w kierunku naruszenia ochrony danych lub wr\u0119cz sabota\u017c, a tak\u017ce niew\u0142a\u015bciwe dzia\u0142anie serwisu, a w tym sam fakt pozostawienia serwisant\u00f3w bez nadzoru,
                  – pojawienie si\u0119 odpowiedniego komunikatu alarmowego od tej cz\u0119\u015bci systemu, kt\u00f3ra zapewnia ochron\u0119 zasob\u00f3w lub inny komunikat o podobnym znaczeniu,
                  – jako\u015b\u0107 danych w systemie lub inne odst\u0119pstwo od stanu oczekiwanego wskazuj\u0105ce na zak\u0142\u00f3cenia systemu lub inn\u0105 nadzwyczajn\u0105 i niepo\u017c\u0105dan\u0105 modyfikacj\u0119 w systemie,
                  – nast\u0105pi\u0142o naruszenie lub pr\u00f3ba naruszenia integralno\u015bci systemu lub bazy danych w tym systemie,
                  – stwierdzono pr\u00f3b\u0119 lub modyfikacj\u0119 danych lub zmian\u0119 w strukturze danych bez odpowiedniego upowa\u017cnienia (autoryzacji),
                  – nast\u0105pi\u0142a niedopuszczalna manipulacja danymi osobowymi w systemie,
                  – ujawniono osobom nieupowa\u017cnionym dane osobowe lub obj\u0119te tajemnic\u0105 procedury ochrony przetwarzania albo inne strze\u017cone elementy systemu zabezpiecze\u0144,
                  – praca w systemie lub jego sieci komputerowej wykazuje nieprzypadkowe odst\u0119pstwa od za\u0142o\u017conego rytmu pracy wskazuj\u0105ce na prze\u0142amanie lub zaniechanie ochrony danych osobowych – np. praca przy komputerze lub w sieci osoby, kt\u00f3ra nie jest formalnie dopuszczona do jego obs\u0142ugi, sygna\u0142 o uporczywym nieautoryzowanym logowaniu, itp.,
                  – ujawniono istnienie nieautoryzowanych kont dost\u0119pu do danych lub tzw. „bocznej furtki”, itp.,
                  – podmieniono lub zniszczono no\u015bniki z danymi osobowymi bez odpowiedniego upowa\u017cnienia lub w spos\u00f3b niedozwolony skasowano lub skopiowano dane osobowe,
                  – ra\u017c\u0105co naruszono dyscyplin\u0119 pracy w zakresie przestrzegania procedur bezpiecze\u0144stwa informacji (nie wylogowanie si\u0119 przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamkni\u0119cie pomieszczenia z komputerem, nie wykonanie w okre\u015blonym terminie kopii bezpiecze\u0144stwa, prace na danych osobowych w celach prywatnych, itp.).<\/li><\/ol>

                  Za naruszenie ochrony danych uwa\u017ca si\u0119 r\u00f3wnie\u017c stwierdzone nieprawid\u0142owo\u015bci w zakresie zabezpieczenia miejsc przechowywania danych osobowych (otwarte szafy, biurka, rega\u0142y, urz\u0105dzenia archiwalne i inne) na no\u015bnikach tradycyjnych tj. na papierze (wydrukach), kliszy, folii, zdj\u0119ciach, no\u015bnikach elektronicznych w formie niezabezpieczonej itp.<\/span><\/p>

                  \u00a7 13
                  [Powierzenie przetwarzania danych]<\/h5>
                  1. Hospicjum jako Administrator Danych mo\u017ce powierzy\u0107 przetwarzanie danych osobowych podmiotowi zewn\u0119trznemu, pod warunkiem zawarcia z nim stosownej pisemnej umowy okre\u015blaj\u0105cej w szczeg\u00f3lno\u015bci zakres w jakim dane mog\u0105 by\u0107 przetwarzane przez podmiot i cel przetwarzania danych. Umowa ta musi okre\u015bla\u0107 r\u00f3wnie\u017c zakres odpowiedzialno\u015bci podmiotu zewn\u0119trznego z tytu\u0142u niewykonania lub nienale\u017cytego wykonania umowy oraz sposobu jej rozwi\u0105zania. Wz\u00f3r umowy powierzenia stanowi za\u0142\u0105cznik nr 11<\/strong> do niniejszej Polityki bezpiecze\u0144stwa.<\/li>
                  2. Administrator przed zawarciem umowy powierzenia ma obowi\u0105zek sprawdzi\u0107 stan zabezpiecze\u0144 i poziom ochrony przetwarzania danych osobowych okre\u015blony przez podmiot zewn\u0119trzny i zapewnia sobie mo\u017cliwo\u015b\u0107 kontroli stanu przetwarzania powierzonych danych w trakcie trwania umowy. Przetwarzaj\u0105cemu nie wolno udost\u0119pni\u0107 powierzonych danych, a w szczeg\u00f3lno\u015bci powierza\u0107 ich innemu podmiotowi.<\/li>
                  3. Administrator Danych prowadzi kontrol\u0119 nad przekazywaniem zbior\u00f3w lub danych osobowych zgodnie z za\u0142\u0105cznikiem nr 12<\/strong>.<\/li>
                  4. Dane osobowe w zakresie dokumentacji medycznej s\u0105 gromadzone i przetwarzane w Hospicjum na podstawie Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta w zwi\u0105zku z prowadzon\u0105 dzia\u0142alno\u015bci\u0105 lecznicz\u0105, okre\u015blon\u0105 na podst. Art. 10 oraz Art. 11 Ustawy o dzia\u0142alno\u015bci leczniczej. W zwi\u0105zku z powy\u017cszym na podstawie Art. 23.1 pkt. 5 Ustawy o ochronie danych osobowych, dane osobowe pacjent\u00f3w mog\u0105 by\u0107 przetwarzane bez zgody na przetwarzanie wyra\u017conej przez pacjenta, gdy\u017c jest to niezb\u0119dne dla wype\u0142nienia prawnie usprawiedliwionych cel\u00f3w przez Hospicjum, a przetwarzanie nie narusza praw i wolno\u015bci osoby, kt\u00f3rej dane dotycz\u0105. W przypadku przetwarzania danych osobowych z innych powod\u00f3w i zakresie ni\u017c wynikaj\u0105ce z ww. akt\u00f3w prawa, dane osobowe mog\u0105 by\u0107 przetwarzane przez Hospicjum tylko za zgod\u0105 osoby kt\u00f3rej dane dotycz\u0105. Wz\u00f3r zgody osoby fizycznej na przetwarzanie danych osobowych zawiera za\u0142\u0105cznik nr 13<\/strong>.<\/li>
                  5. Hospicjum mo\u017ce przekazywa\u0107 informacje zawarte w dokumentacji medycznej tylko osobom, kt\u00f3rych dane dotycz\u0105 oraz instytucjom i organom pa\u0144stwowym na podstawie oraz w spos\u00f3b regulowany przez inne akty prawne. Innym osobom mog\u0105 zosta\u0107 informacje udost\u0119pnione lub przekazane tylko na podstawie pisemnej zgody udzielonej przez osob\u0119, kt\u00f3rej dane dotycz\u0105.<\/li>
                  6. Hospicjum \u015bwiadcz\u0105c us\u0142ugi medyczne w zakresie bada\u0144 diagnostycznych pacjent\u00f3w, pobrane pr\u00f3bki materia\u0142u badawczego wraz z niezb\u0119dnymi do tego celu informacjami dotycz\u0105cymi pacjenta, mo\u017ce przekazywa\u0107 innym podmiotom (np. laboratorium lub lekarzom specjalistom) w celu wykonania badania lub dokonania opisu wynik\u00f3w na podstawie zawartej umowy. Przekazanie pr\u00f3bek do bada\u0144 wraz z niezb\u0119dnymi danymi pacjenta innym podmiotom oraz wynik\u00f3w bada\u0144 lub opisu do Hospicjum powinno uwzgl\u0119dnia\u0107 zasady ochrony danych osobowych, a szczeg\u00f3lnie zapewnia\u0107 ich bezpiecze\u0144stwo, w tym ogranicza\u0107 dost\u0119p os\u00f3b nieuprawnionych. Spos\u00f3b przekazywania pr\u00f3bek, danych i wynik\u00f3w powinny okre\u015bla\u0107 zawarte w tym celu umowy.<\/li>
                  7. W celu \u015bwiadczenia us\u0142ug medycznych w ramach prowadzonych wizyt domowych, uprawnieni pracownicy mog\u0105 pobra\u0107 z rejestracji kartoteki lub ich fragmenty, druki zawieraj\u0105ce dane odwiedzanego pacjenta (kupony, recepty, druki kartotek do dokonania wpisu w dokumentacji medycznej itp.). Po wykonaniu wizyt domowych pracownik jest zobowi\u0105zany do zwr\u00f3cenia, pobranych kartotek, niewykorzystanych druk\u00f3w oraz wykonanych wpis\u00f3w do dokumentacji medycznej w tym samym dniu. Je\u017celi wykonana wizyta zako\u0144czy\u0142a si\u0119 po godzinie zamkni\u0119cia poradni, pracownik powinien dokona\u0107 zwrotu dokument\u00f3w najszybciej jak to mo\u017cliwe w pierwszym dniu, w kt\u00f3rym poradnia jest czynna.<\/li>
                  8. Punkt nr 13 nie ma zastosowania do przekazywania danych podmiotom upowa\u017cnionym do ich przetwarzania na mocy przepis\u00f3w prawa, w tym szczeg\u00f3lno\u015bci ZUS, Prokuraturze, Policji, Sadom, Komornikom itp.<\/li><\/ol>
                    \u00a7 14
                    [Postanowienia ko\u0144cowe]<\/h5>
                    1. Za bezpiecze\u0144stwo informacji odpowiedzialny jest ka\u017cdy pracownik i u\u017cytkownik system\u00f3w informatycznych. Wszyscy pracownicy zobowi\u0105zani s\u0105 do zapoznania si\u0119 z niniejszym dokumentem oraz do stosowania zawartych w nich regu\u0142.<\/li>
                    2. Wobec osoby, kt\u00f3ra w przypadku naruszenia zabezpiecze\u0144 systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podj\u0119\u0142a dzia\u0142ania okre\u015blonego w niniejszym dokumencie, a w szczeg\u00f3lno\u015bci nie powiadomi\u0142a odpowiedniej osoby zgodnie z okre\u015blonymi zasadami, a tak\u017ce gdy nie zrealizowa\u0142a stosownego dzia\u0142ania dokumentuj\u0105cego ten przypadek, mo\u017cna wszcz\u0105\u0107 post\u0119powanie dyscyplinarne.<\/li>
                    3. Przypadki nieuzasadnionego zaniechania obowi\u0105zk\u00f3w wynikaj\u0105cych z niniejszego dokumentu mog\u0105 by\u0107 potraktowane jako ci\u0119\u017ckie naruszenie obowi\u0105zk\u00f3w pracowniczych, w szczeg\u00f3lno\u015bci przez osob\u0119, kt\u00f3ra wobec naruszenia zabezpieczenia systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie powiadomi\u0142a o tym Administratora Bezpiecze\u0144stwa.<\/li>
                    4. Kara dyscyplinarna orzeczona wobec osoby uchylaj\u0105cej si\u0119 od powiadomienia nie wyklucza odpowiedzialno\u015bci karnej tej osoby, zgodnie z Ustaw\u0105 o ochronie danych osobowych oraz mo\u017cliwo\u015bci wniesienia wobec niej sprawy z pow\u00f3dztwa cywilnego przez pracodawc\u0119 o zrekompensowanie poniesionych strat.<\/li>
                    5. W sprawach nieuregulowanych w niniejszym dokumencie maj\u0105 zastosowanie przepisy Rozporz\u0105dzenia oraz Ustawy o ochronie danych osobowych.<\/li>
                    6. Integraln\u0105 cz\u0119\u015bci\u0105 Polityki Bezpiecze\u0144stwa stanowi\u0105 jej za\u0142\u0105czniki.<\/li>
                    7. Polityka Bezpiecze\u0144stwa wchodzi w \u017cycie z dniem jej podpisania przez Dyrektora i obowi\u0105zuje do czasu jej zmiany lub uchylenia.<\/li><\/ol>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                      \n\t\t\t\t
                      \n\t\t\t\t\t
                      \n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                      \n\t\t\t\t
                      \n\t\t\t\t\t\t\t

                      Za\u0142\u0105cznik Nr 1 do \u201ePolityki Bezpiecze\u0144stwa\u201d<\/p>

                      INSTRUKCJA ZARZ\u0104DZANIA SYSTEMEM INFORMATYCZNYM<\/h4>

                      Cel i zakres instrukcji<\/h5>

                      Instrukcja Zarz\u0105dzania Systemem Informatycznym zwana dalej \u201eInstrukcj\u0105\u201d jest integraln\u0105 cz\u0119\u015bci\u0105 Polityki Bezpiecze\u0144stwa, kt\u00f3ra obowi\u0105zuje w Hospicjum \u015aw. Ojca Pio w Pszczynie. Instrukcja obejmuj\u0119 przede wszystkim:<\/p>

                      1. procedury nadawania uprawnie\u0144 do przetwarzania danych, ich rejestrowania w systemie informatycznym oraz okre\u015blenie osoby odpowiedzialnej za te czynno\u015bci,<\/li>
                      2. metody rejestrowania i wyrejestrowywania u\u017cytkownik\u00f3w oraz wskazania os\u00f3b odpowiedzialnych za te czynno\u015bci,<\/li>
                      3. procedury rozpocz\u0119cia, zawieszenia i zako\u0144czenia pracy,<\/li>
                      4. cz\u0119stotliwo\u015b\u0107 oraz metody tworzenia kopii awaryjnych,<\/li>
                      5. spos\u00f3b sprawdzania obecno\u015bci wirus\u00f3w w komputerach, ich usuwania oraz okre\u015blenie czasookresu tych czynno\u015bci,<\/li>
                      6. okre\u015blenie czasu i sposobu przechowywania no\u015bnik\u00f3w informacji, w tym m. in. kopii informatycznych i wydruk\u00f3w,<\/li>
                      7. monitorowanie i konserwacja systemu oraz zbioru danych osobowych,<\/li>
                      8. post\u0119powania w przypadku stwierdzenia naruszenia bezpiecze\u0144stwa systemu informatycznego.<\/li><\/ol>

                        Administratorem danych osobowych zawartych i przetwarzanych w systemach informatycznych Hospicjum \u015aw. Ojca Pio w Pszczynie jest Dyrektor.<\/p>

                        Instrukcja ma zastosowanie do ka\u017cdego obszaru danych osobowych, kt\u00f3ry jest przetwarzany w systemach informatycznych plac\u00f3wki lub zapisany jest w formie elektronicznej na no\u015bnikach zewn\u0119trznych.<\/p>

                        G\u0142\u00f3wnymi zagro\u017ceniami, kt\u00f3re b\u0119d\u0105 mia\u0142y wp\u0142yw dla poprawnego funkcjonowania system\u00f3w informatycznych zwi\u0105zane s\u0105 z awaryjno\u015bci\u0105 sprz\u0119tu komputerowego, oprogramowania, czynnika ludzkiego oraz zdarze\u0144 losowych.<\/p>

                        W celu wprowadzenia odpowiednich zabezpiecze\u0144 zar\u00f3wno technicznych jak i organizacyjnych Administrator na wst\u0119pie winien przeprowadzi\u0107 ocen\u0119 ryzyka, kt\u00f3ry obejmuje analiz\u0119 zagro\u017ce\u0144, podatno\u015bci, skutk\u00f3w wyst\u0105pienia zagro\u017ce\u0144 oraz istniej\u0105cych zabezpiecze\u0144.<\/p>

                        Dzia\u0142aniem Instrukcji obj\u0119ci s\u0105:<\/p>

                        1. administrator danych osobowych,<\/li>
                        2. inspektor ochrony danych,<\/li>
                        3. osoby zatrudnione przy przetwarzaniu danych osobowych,<\/li>
                        4. osoby, kt\u00f3re przetwarzaj\u0105 dane osobowe w systemach informatycznych.<\/li><\/ol>
                          I. Procedura nadawania uprawnie\u0144 do przetwarzania danych oraz procedury rejestracji tych uprawnie\u0144 w systemie informatycznym oraz wyznaczenie osoby odpowiedzialnej za te czynno\u015bci.<\/h5>
                          • Ka\u017cdy u\u017cytkownik systemu przed przyst\u0105pieniem do przetwarzania danych w systemie informatycznym musi zapozna\u0107 si\u0119 zasadami dotycz\u0105cymi Polityki Bezpiecze\u0144stwa przetwarzania danych osobowych w Hospicjum \u015aw. Ojca Pio w Pszczynie.<\/li>
                          • Zapoznanie si\u0119 z powy\u017cszymi informacjami pracownik potwierdza w\u0142asnor\u0119cznym podpisem na o\u015bwiadczeniu, kt\u00f3rego wz\u00f3r stanowi za\u0142\u0105cznik nr 4<\/strong>.<\/li>
                          • Dost\u0119p do komputer\u00f3w Hospicjum, gdzie przetwarzane s\u0105 dane osobowe, mo\u017ce uzyska\u0107 wy\u0142\u0105cznie osoba posiadaj\u0105ca upowa\u017cnienie do przetwarzania danych osobowych, wydane przez Administratora Danych.<\/li>
                          • Administrator Danych Osobowych przekazuje u\u017cytkownikowi identyfikator (login) dost\u0119powy do komputera, b\u0105d\u017a konkretnego programu wraz z has\u0142em, kt\u00f3ry obj\u0119ty jest tajemnic\u0105, r\u00f3wnie\u017c po up\u0142ywie jego wa\u017cno\u015bci i znany jest jedynie osobie do tego upowa\u017cnionej.<\/li>
                          • U\u017cytkownik, kt\u00f3ry otrzyma\u0142 upowa\u017cnienie i identyfikator (login) oraz po raz pierwszy has\u0142o, jest zobowi\u0105zany do niezw\u0142ocznej zmiany has\u0142a oraz zachowania go w tajemnicy. Ponadto ka\u017cdy u\u017cytkownik jest zobowi\u0105zany do okresowej zmiany has\u0142a co 30 dni (mMedica). Dopuszcza si\u0119 skr\u00f3cenie okresu zmiany has\u0142a zale\u017cnie od potrzeb lub zaistnia\u0142ych sytuacji, a tak\u017ce w przypadku powzi\u0119cia podejrzenia o mo\u017cliwo\u015bci posiadania has\u0142a przez osoby trzecie.<\/li>
                          • Odebranie uprawnie\u0144 pracownikowi nast\u0119puje na pisemny wniosek prze\u0142o\u017conego, kt\u00f3remu pracownik podlega z podaniem daty oraz przyczyny odebrania uprawnie\u0144. Identyfikator u\u017cytkownika, kt\u00f3ry utraci\u0142 uprawnienia do przetwarzania danych nie mo\u017ce by\u0107 przydzielony innej osobie, nie mo\u017ce umo\u017cliwi\u0107 autoryzacji do systemu informatycznego, a tak\u017ce nie mo\u017ce zosta\u0107 skasowany.<\/li>
                          • Rejestr, kt\u00f3rego wz\u00f3r stanowi za\u0142\u0105cznik nr 6<\/strong> powinien zawiera\u0107:
                            – identyfikator u\u017cytkownika,
                            – imi\u0119 i nazwisko u\u017cytkownika system\u00f3w informatycznych,
                            – rodzaj i zakres uprawnienia,
                            – dat\u0119 nadania uprawnienia,
                            – dat\u0119 odebrania uprawnienia,
                            – przyczyn\u0119 odebrania uprawnienia,
                            – podpis administratora bezpiecze\u0144stwa informacji;<\/li>
                          • W przypadku, gdy istnieje podejrzenie, \u017ce has\u0142o mog\u0142a pozna\u0107 osoba nieuprawniona, u\u017cytkownik zobowi\u0105zany jest do natychmiastowej zmiany has\u0142a i poinformowania o zaistnia\u0142ym fakcie Administratora Danych.<\/li>
                          • U\u017cytkownik ponosi pe\u0142n\u0105 odpowiedzialno\u015b\u0107 za zmienianie i przechowywanie hase\u0142 dost\u0119powych, a tak\u017ce za poufno\u015b\u0107 has\u0142a.<\/li>
                          • Has\u0142a u\u017cytkownika utrzymuje si\u0119 w tajemnicy r\u00f3wnie\u017c po up\u0142ywie ich wa\u017cno\u015bci.<\/li>
                          • Has\u0142a u\u017cytkownika s\u0105 zmieniane w okre\u015blonym z g\u00f3ry czasookresie, o ile Administrator nie zdecyduje o innym przedziale czasowym zmiany.<\/li>
                          • Has\u0142a nie mog\u0105 by\u0107 zapisywane i pozostawiane w miejscach, gdzie osoby nieuprawnione mog\u0105 je odczyta\u0107. Zabrania si\u0119 u\u017cytkownikom systemu udost\u0119pniania swojego identyfikatora i has\u0142a innym osobom.<\/li>
                          • Dla identyfikator\u00f3w krytycznych dla dzia\u0142ania danego systemu \u2013 np. takich jak identyfikatory administratora \u2013 has\u0142o sk\u0142adowane jest w zaklejonej kopercie w sejfie. Tak sk\u0142adowane has\u0142o mo\u017ce by\u0107 wykorzystywane w sytuacjach kryzysowych wy\u0142\u0105cznie przez Administratora Danych.<\/li>
                          • W uzasadnionych przypadkach koperty z has\u0142ami s\u0105 komisyjnie otwierane, a na t\u0105 okoliczno\u015b\u0107 nale\u017cy spisa\u0107 stosowny protok\u00f3\u0142.<\/li><\/ul>

                            \u00a0<\/p>

                            II. Stosowane metody i \u015brodki uwierzytelniania oraz procedury zwi\u0105zane z ich zarz\u0105dzaniem i u\u017cytkowaniem.<\/h5>
                            1. Uwierzytelnienie dost\u0119pu do systemu informatycznego s\u0142u\u017c\u0105cego do przetwarzania danych osobowych nast\u0119puje po podaniu identyfikatora u\u017cytkownika i has\u0142a dost\u0119pu.<\/li>
                            2. Ka\u017cdy identyfikator u\u017cytkownika zabezpieczony jest has\u0142em.<\/li>
                            3. W Hospicjum obowi\u0105zuj\u0105 nast\u0119puj\u0105ce zasady tworzenia has\u0142a:
                              \u2022 has\u0142o nie mo\u017ce sk\u0142ada\u0107 si\u0119 z \u017cadnych danych personalnych (imienia, nazwiska, adresu zamieszkania u\u017cytkownika lub najbli\u017cszych os\u00f3b) lub ich fragment\u00f3w,
                              \u2022 has\u0142o winno sk\u0142ada\u0107 si\u0119 z co najmniej 12 znak\u00f3w, zawiera\u0107 ma\u0142e i wielkie litery oraz cyfry i znaki specjalne,
                              \u2022 has\u0142o nie mo\u017ce sk\u0142ada\u0107 si\u0119 z identycznych znak\u00f3w lub ich ci\u0105gu i nie mo\u017ce by\u0107 to\u017csame z identyfikatorem u\u017cytkownika,
                              \u2022 has\u0142o winno by\u0107 unikalne, tj. takie, kt\u00f3re nie by\u0142o poprzednio stosowane przez u\u017cytkownika.<\/li>
                            4. Has\u0142o, w trakcie wpisywania jest ukryte. U\u017cytkownik jest zobowi\u0105zany do utrzymania has\u0142a w tajemnicy, r\u00f3wnie\u017c po utracie jego wa\u017cno\u015bci.<\/li>
                            5. Has\u0142o musi by\u0107 cyklicznie zmieniane, jednak\u017ce nie rzadziej ni\u017c raz na 1 miesi\u0105c.<\/li>
                            6. Je\u017celi zmiana has\u0142a nie jest mo\u017cliwa w wymaganym czasie, nale\u017cy jej dokona\u0107 w najbli\u017cszym mo\u017cliwym terminie.<\/li>
                            7. W przypadku z\u0142amania poufno\u015bci has\u0142a, u\u017cytkownik zobowi\u0105zany jest do natychmiastowej zmiany has\u0142a i poinformowaniu o tym fakcie Dyrektora Hospicjum i\/lub Inspektora Ochrony Danych Osobowych.<\/li>
                            8. Identyfikator u\u017cytkownika sta\u0142y i nie mo\u017ce by\u0107 zmieniany, a po wyrejestrowaniu u\u017cytkownika z systemu informatycznego s\u0142u\u017c\u0105cego do przetwarzania danych osobowych nie mo\u017ce by\u0107 przydzielany innej osobie. Identyfikator u\u017cytkownika, kt\u00f3ry z r\u00f3\u017cnej przyczyny utraci\u0142 uprawnienia do przetwarzania danych osobowych, nale\u017cy niezw\u0142ocznie zablokowa\u0107 w systemie informatycznym s\u0142u\u017c\u0105cym do przetwarzania danych osobowych oraz uniewa\u017cni\u0107 przypisane mu has\u0142o.<\/li><\/ol>
                              \u00a0<\/h5>
                              III. Procedura rozpocz\u0119cia, zawieszenia i zako\u0144czenia pracy przeznaczona dla u\u017cytkownik\u00f3w systemu informatycznego s\u0142u\u017c\u0105cego do przetwarzania danych osobowych.<\/h5>
                              1. Przed przyst\u0105pieniem do pracy w systemie informatycznym osoba dopuszczona do przetwarzania danych osobowych obowi\u0105zana jest dokona\u0107 sprawdzenia stanu urz\u0105dze\u0144 komputerowych oraz ogl\u0119dzin swojego stanowiska pracy, ze zwr\u00f3ceniem szczeg\u00f3lnej uwagi, czy nie zasz\u0142y okoliczno\u015bci wskazuj\u0105ce na naruszenie danych osobowych. W przypadku wyst\u0105pienia jakichkolwiek nieprawid\u0142owo\u015bci, nale\u017cy powiadomi\u0107 Dyrektora i\/lub Inspektora Ochrony Danych osobowych.<\/li>
                              2. Kolejno u\u017cytkownik zobowi\u0105zany jest do sprawdzenia czy komputer nie wymaga aktualizacji oprogramowania, gdy jest taka potrzeba wykona\u0107 j\u0105.<\/li>
                              3. Rozpocz\u0119cie pracy w systemie odbywa si\u0119 poprzez:
                                \u2022\u00a0przygotowanie stanowiska pracy;
                                \u2022\u00a0w\u0142\u0105czenie stacji roboczej;
                                \u2022\u00a0wprowadzenie identyfikatora ora has\u0142a dost\u0119pu;
                                \u2022 uruchomienie systemu.<\/li>
                              4. Zabrania si\u0119 wykonywania jakichkolwiek operacji w systemie informatycznym s\u0142u\u017c\u0105cym do przetwarzania danych osobowych z wykorzystaniem identyfikatora i has\u0142a dost\u0119pu innego u\u017cytkownika.<\/li>
                              5. U\u017cytkownik w przypadku konieczno\u015bci kr\u00f3tkotrwa\u0142ego zawieszania pracy powinien u\u017cy\u0107 opcji zablokowania stacji roboczej przez jednoczesne naci\u015bni\u0119cie klawisza \u201eWIN\u201d i \u201eL\u201d, b\u0105d\u017a przej\u015b\u0107 do stanu wstrzymania systemu \u2013 hibernacji \u2013 przez u\u017cycie opcji \u201ewy\u0142\u0105cz komputer\u201d a nast\u0119pnie \u201eStan wstrzymania\u201d dost\u0119pnej w menu \u201eStart\u201d.<\/li>
                              6. Zako\u0144czenie pracy w systemie odbywa si\u0119 poprzez:
                                \u2022\u00a0wylogowanie si\u0119 z systemu;
                                \u2022\u00a0zamkni\u0119cie systemu operacyjnego;
                                \u2022 wy\u0142\u0105czenie stacji roboczej.<\/li>
                              7. Niedopuszczalne jest zako\u0144czenie pracy w systemie bez wykonania pe\u0142nej i poprawnej operacji wylogowania z systemu i poprawnego zamkni\u0119cia systemu operacyjnego.<\/li>
                              8. U\u017cytkownik w pe\u0142nym zakresie odpowiada za powierzony mu sprz\u0119t komputerowy i wykonywane czynno\u015bci a\u017c do momentu rozliczenia ze sprz\u0119tu komputerowego.<\/li><\/ol>

                                \u00a0<\/p>

                                IV. Procedura tworzenia kopii zapasowych zbior\u00f3w danych oraz program\u00f3w
                                i narz\u0119dzi programowych s\u0142u\u017c\u0105cych do ich przetwarzania.<\/h5>
                                1. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza si\u0119 przez wykonywanie kopii bezpiecze\u0144stwa. Kopie wszystkich baz danych system\u00f3w informatycznych wykonywane s\u0105 raz w miesi\u0105cu przez u\u017cytkownik\u00f3w po zako\u0144czeniu pracy lub automatycznie przez oprogramowanie i s\u0105 zapisywane na zewn\u0119trznym no\u015bniku.<\/li>
                                2. No\u015bniki informatyczne zawieraj\u0105ce dane osobowe lub kopie system\u00f3w informatycznych s\u0142u\u017c\u0105cych do przetwarzania danych osobowych musz\u0105 by\u0107 przechowywane w spos\u00f3b uniemo\u017cliwiaj\u0105cy ich utrat\u0119, uszkodzenie lub dost\u0119p os\u00f3b nieuprawnionych.<\/li>
                                3. Serwis oprogramowania wykonywany mo\u017ce by\u0107 przez firm\u0119 serwisow\u0105 na podstawie zawartej umowy lub przez upowa\u017cnionego informatyka.
                                  \u2022 Do prowadzenia prac przez zewn\u0119trzn\u0105 firm\u0119 serwisow\u0105 mog\u0105 by\u0107 dopuszczeni serwisanci, posiadaj\u0105cy stosowne upowa\u017cnienie wystawione przez Hospicjum.
                                  \u2022 Kopia bazy danych serwisowanego oprogramowania jest wykonywana przez upowa\u017cnionego serwisanta lub informatyka przed ka\u017cd\u0105 aktualizacj\u0105 oprogramowania oraz pracami serwisowymi. Za wykonanie poprawnej kopii bezpiecze\u0144stwa odpowiada osoba wykonuj\u0105ca kopi\u0119.
                                  \u2022 Dopuszczalne jest zdalne prowadzenie prac serwisowych przez upowa\u017cnionego serwisanta. Zdalne prowadzenie prac odbywa si\u0119 na \u017c\u0105danie Hospicjum lub z inicjatywy serwisu w celu aktualizacji oprogramowania. Upowa\u017cniony serwisant \u0142\u0105czy si\u0119 zdalnie z serwerem z wykorzystaniem oprogramowania zapewniaj\u0105cego poprawno\u015b\u0107 i bezpiecze\u0144stwo po\u0142\u0105czenia (np. imPcRemote, TeamViewer lub podobne oprogramowanie). Zaleca si\u0119, aby serwisant przed rozpocz\u0119ciem zdalnego serwisu poinformowa\u0142 Administratora Danych o zamiarze wykonania prac serwisowych i uzyska\u0142 na to zgod\u0119 osoby uprawnionej. Po zako\u0144czeniu prac serwisowych, serwisant jest zobowi\u0105zany do pisemnego (np. w formie email\u2019a) poinformowania osob\u0119 upowa\u017cnion\u0105 w Hospicjum o zako\u0144czeniu prac serwisowych i ich zakresie.<\/li><\/ol>

                                  \u00a0<\/p>

                                  V. Spos\u00f3b, miejsce i okres przechowywania elektronicznych no\u015bnik\u00f3w informacji zawieraj\u0105cych dane osobowe oraz kopii zapasowych.<\/h5>
                                  1. Nie zaleca si\u0119 przechowywa\u0107 zb\u0119dnych no\u015bnik\u00f3w informacji zawieraj\u0105cych dane osobowe oraz kopii zapasowych, a tak\u017ce wydruk\u00f3w i innych dokument\u00f3w zawieraj\u0105cych dane osobowe.<\/li>
                                  2. Po okresie przechowywania lub u\u017cyteczno\u015bci, dane osobowe powinny zosta\u0107 zniszczone tak, aby nie by\u0142o mo\u017cliwe ich odczytanie.<\/li>
                                  3. Dane osobowe zapisane na no\u015bnikach elektronicznych, kopie zapasowe oraz wydruki i inne dokumenty zawieraj\u0105ce dane osobowe przechowywane s\u0105 w zamykanej na klucz szafie. Dost\u0119p do klucza posiada wy\u0142\u0105cznie Dyrektor lub jego zast\u0119pca.<\/li>
                                  4. W przypadku uszkodzenia lub zu\u017cycia no\u015bnika informacji, kt\u00f3ry zawiera dane osobowe nale\u017cy go fizycznie zniszczy\u0107 w taki spos\u00f3b, aby nie by\u0142o mo\u017cliwe odczytanie danych osobowych.<\/li><\/ol>

                                    \u00a0<\/p>

                                    VI. Procedura zabezpieczenia systemu informatycznego s\u0142u\u017c\u0105cego do przetwarzania danych osobowych przed dzia\u0142alno\u015bci\u0105 oprogramowania, kt\u00f3rego celem jest uzyskanie nieuprawnionego dost\u0119pu do systemu informatycznego s\u0142u\u017c\u0105cego do przetwarzania danych osobowych.<\/h5>
                                    1. Do ochrony przed dzia\u0142alno\u015bci\u0105 oprogramowania, kt\u00f3rego celem jest uzyskanie nieuprawnionego dost\u0119pu do systemu informatycznego jest oprogramowanie antywirusowe.<\/li>
                                    2. Ka\u017cdy zbi\u00f3r wczytywany do komputera, w tym tak\u017ce wiadomo\u015b\u0107 e-mail, musi \u201eprzej\u015b\u0107\u201d przez program antywirusowy.<\/li>
                                    3. Na ka\u017cdym stanowisku z dost\u0119pem do sieci Internet musi by\u0107 zainstalowanie oprogramowanie antywirusowe. Niedopuszczalne jest stosowanie dost\u0119pu do sieci Internet bez aktywnej ochrony antywirusowej oraz zabezpieczenia przed dost\u0119pem szkodliwego oprogramowania.<\/li>
                                    4. Administratora Danych Osobowych odpowiada za zainstalowanie, aktualizowanie i prowadzenie oprogramowania sprz\u0119tu oraz bezpiecze\u0144stwa sieci w plac\u00f3wce w spos\u00f3b zapewniaj\u0105cy adekwatny poziom bezpiecze\u0144stwa. Administrator Danych ma obowi\u0105zek zadba\u0107 o dobry stan techniczny sprz\u0119tu informatycznego oraz aktualno\u015b\u0107 wykorzystywanego oprogramowania, system\u00f3w informatycznych, oprogramowania zabezpieczaj\u0105cego itp.<\/li>
                                    5. Sie\u0107 wewn\u0119trzna (LAN) ma zabezpieczone \u0142\u0105cze internetowe na styku sieci LAN z internetem przez zastosowanie routera, kt\u00f3ry musi mie\u0107 wbudowany firewall (program zabezpieczaj\u0105cy przed nieautoryzowanym dost\u0119pem do sieci LAN) oraz ograniczaj\u0105cym ataki z internetu. Administrator Danych powinien zapewni\u0107 w\u0142a\u015bciw\u0105 konfiguracj\u0119 Firewalla. W\u0142a\u015bciwa konfiguracja Firewalla dotyczy r\u00f3wnie\u017c konfiguracji na stacjach roboczych. Zabezpieczenie komputer\u00f3w w sieci wewn\u0119trznej, dotyczy tak\u017ce rozbudowy sieci oraz komputer\u00f3w pod\u0142\u0105czanych do tej sieci w przysz\u0142o\u015bci.<\/li>
                                    6. System informatyczny zabezpiecza si\u0119 przed utrat\u0105 danych spowodowan\u0105 awari\u0105 zasilania lub zak\u0142\u00f3ceniami pochodz\u0105cymi z sieci zasilaj\u0105cej przez zastosowanie zasilacza awaryjnego UPS. Zasilacz UPS powinien zabezpiecza\u0107 co najmniej zasilanie g\u0142\u00f3wnego komputera oraz urz\u0105dze\u0144 sieciowych, a tak\u017ce zaleca si\u0119 stosowanie takich zasilaczy przy zasilaniu innych komputer\u00f3w (stacji roboczych). W przypadku wyst\u0105pienia awarii zasilania u\u017cytkownicy wykorzystuj\u0105cy do pracy stacje robocze z zasilaczem UPS powinni niezw\u0142ocznie zako\u0144czy\u0107 prac\u0119 wylogowuj\u0105c si\u0119 z u\u017cywanego programu oraz wy\u0142\u0105czy\u0107 komputer. Serwer powinien by\u0107 wyposa\u017cony w zasilacz UPS umo\u017cliwiaj\u0105cy automatyczne zako\u0144czenie jego pracy. W przypadku zastosowania innego zasilacza UPS, osoba upowa\u017cniona powinna w spos\u00f3b bezpieczny zako\u0144czy\u0107 prac\u0119 serwera.<\/li><\/ol>

                                      \u00a0<\/p>

                                      VII. Procedura zbierania informacji o odbiorcach, kt\u00f3rym dane osobowe zosta\u0142y udost\u0119pnione, dacie i zakresie tego udost\u0119pnienia.<\/h5>
                                      1. W systemie informatycznym s\u0142u\u017c\u0105cym do przetwarzania danych osobowych zapisywane s\u0105 informacje o odbiorcach danych, w tym imi\u0119 i nazwisko lub nazwa odbiorcy, data udost\u0119pnienia oraz zakres udost\u0119pnienia. W przypadku, gdy w systemie informatycznym s\u0142u\u017c\u0105cym do przetwarzania danych osobowych nie jest mo\u017cliwe odnotowywanie takich informacji, u\u017cytkownik odnotowuje je w rejestrze odbiorc\u00f3w danych osobowych.<\/li>
                                      2. Rejestr ten prowadzi si\u0119 w formie elektronicznej.<\/li>
                                      3. Rejestr dotyczy tylko u\u017cytkownik\u00f3w uprawnionych do udost\u0119pniania danych osobowych, w tym pracuj\u0105cych i obs\u0142uguj\u0105cych programy (czy dane) umo\u017cliwiaj\u0105ce takie udost\u0119pnienie.<\/li><\/ol>

                                        \u00a0<\/p>

                                        VIII. Przegl\u0105dy i konserwacja system\u00f3w oraz no\u015bnik\u00f3w informacji s\u0142u\u017c\u0105cych do przetwarzania danych osobowych.<\/h5>
                                        1. W razie potrzeby przegl\u0105d i konserwacja sprz\u0119tu komputerowego oraz no\u015bnik\u00f3w informacji s\u0142u\u017c\u0105cych do przetwarzania danych osobowych, jak r\u00f3wnie\u017c sieci komputerowej, dokonywana jest przez wykonawc\u00f3w na podstawie zawartej umowy. Umowa ta musi mie\u0107 zapis o powierzeniu danych osobowych.
                                          \u2022 Urz\u0105dzenia, dyski i inne elektroniczne no\u015bniki danych, zawieraj\u0105ce dane osobowe, a przeznaczone do:
                                          – likwidacji \u2013 pozbawia si\u0119 skutecznie zapisu tych danych, a gdy jest to niemo\u017cliwe, nale\u017cy uszkodzi\u0107 no\u015bnik tak, aby nie by\u0142o mo\u017cliwe ich odczytanie
                                          – naprawy \u2013 pozbawia si\u0119 wcze\u015bniej zapisu danych tak, aby nie by\u0142o mo\u017cliwe ich odczytanie, albo naprawa powinna by\u0107 dokonywana pod nadzorem osoby upowa\u017cnionej przez Administratora Danych lub Inspektora Ochrony Danych, albo dokonywana osobi\u015bcie przez osob\u0119 upowa\u017cnion\u0105.
                                          – sprzeda\u017cy lub przekazania podmiotowi nieuprawnionemu do przetwarzania danych \u2013 pozbawia si\u0119 zapisu tych danych, w spos\u00f3b uniemo\u017cliwiaj\u0105cy ich skuteczne odzyskanie.
                                          \u2022 Zaleca si\u0119 dokonywanie okresowych przegl\u0105d\u00f3w sprz\u0119tu co 30 dni, oraz przegl\u0105d\u00f3w generalnych raz w roku. W przypadku stwierdzenia usterek technicznych nale\u017cy podj\u0105\u0107 dzia\u0142ania, maj\u0105ce na celu usuni\u0119cie usterek. O zauwa\u017conych usterkach przez u\u017cytkownik\u00f3w systemu, u\u017cytkownicy maj\u0105 obowi\u0105zek niezw\u0142ocznie powiadomi\u0107 o tym fakcie Administratora Danych lub dzia\u0142aj\u0105cego w jego imieniu Inspektora Ochrony Danych.<\/li><\/ol>

                                          \u00a0<\/p>

                                          IX. Zasady kontroli na podstawie Instrukcji Zarz\u0105dzania Systemem Informatycznym<\/h5>
                                          1. Administrator oraz Inspektor Ochrony Danych Osobowych ma prawo do kontroli stanu zabezpiecze\u0144 oraz przestrzegania zasad ochrony danych osobowych w dowolnym terminie.<\/li>
                                          2. Kontrola winna by\u0107 zako\u0144czona protoko\u0142em z wykonani czynno\u015bci sprawdzaj\u0105cych.<\/li><\/ol>

                                            \u00a0<\/p>

                                            X. Procedura post\u0119powania w przypadku stwierdzenia naruszenia bezpiecze\u0144stwa systemu informatycznego.<\/h5>
                                            1. Ka\u017cdy u\u017cytkownik w przypadku stwierdzenia uchybienia lub wyst\u0105pienia zagro\u017cenia bezpiecze\u0144stwa systemu informatycznego ma obowi\u0105zek niezw\u0142ocznie powiadomi\u0107 o tym fakcie Dyrektora Hospicjum i\/lub Inspektora Ochrony Danych Osobowych.<\/li>
                                            2. Procedur\u0119 post\u0119powania z naruszeniami reguluje za\u0142\u0105cznik nr 10<\/strong> do Polityki Bezpiecze\u0144stwa, kt\u00f3ra znajduje zastosowanie do przypadk\u00f3w naruszenia bezpiecze\u0144stwa systemu informatycznego.<\/li><\/ol>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t
                                              \n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t\t\t

                                              Za\u0142\u0105cznik Nr 2 do Polityki Bezpiecze\u0144stwa<\/p>

                                              Klauzule obowi\u0105zku informacyjnego (pobierz)<\/a><\/h4>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t
                                              \n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t\t\t

                                              Za\u0142\u0105cznik nr 3 do Polityki Bezpiecze\u0144stwa<\/p>


                                              Wykaz zbior\u00f3w danych osobowych przetwarzanych przez Hospicjum \u015bw. Ojca Pio jako Administratora Danych oraz ich lokalizacje i spos\u00f3b przetwarzania<\/a><\/h4>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t
                                              \n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t\t\t

                                              Za\u0142\u0105cznik nr 3 do Polityki Bezpiecze\u0144stwa<\/p>


                                              Wykaz budynk\u00f3w, pomieszcze\u0144 lub cz\u0119\u015bci pomieszcze\u0144, tworz\u0105cych obszar przetwarzania danych osobowych<\/a><\/h4>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t
                                              \n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
                                              \n\t\t\t\t
                                              \n\t\t\t\t\t\t\t

                                              Za\u0142\u0105cznik nr 4<\/p>

                                              O\u015bwiadczenie o zapoznaniu si\u0119 z tre\u015bci\u0105 Aktualizacji nr 2 Polityki Bezpiecze\u0144stwa<\/a><\/h4>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

                                              Polityka prywatno\u015bci Hospicjum \u015bw. Ojca Pio Za\u0142\u0105cznik do Zarz\u0105dzenia nr 1 z dnia 02.09.2019 r.Dyrektora Hospicjum \u015aw. Ojca Pio w Pszczynie AKTUALIZACJA POLITYKI BEZPIECZE\u0143STWA WST\u0118P Hospicjum \u015bw. Ojca Pio, ul. M. Sk\u0142odowskiej-Curie 1, 43-200 Pszczyna, zwanego dalej w skr\u00f3cie Hospicjum, s\u0105 niezb\u0119dne w celu realizacji dzia\u0142alno\u015bci leczniczej, \u015bwiadczenia us\u0142ug medycznych i dzia\u0142alno\u015bci stowarzyszenia. Informacje mog\u0105 […]<\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"class_list":["post-1278","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/pages\/1278","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1278"}],"version-history":[{"count":13,"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/pages\/1278\/revisions"}],"predecessor-version":[{"id":1524,"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=\/wp\/v2\/pages\/1278\/revisions\/1524"}],"wp:attachment":[{"href":"https:\/\/25lat.hospicjumojcapio.pl\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1278"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}