Dokumenty prawne

Polityka bezpieczeństwa

w zakresie ochrony danych osobowych · Obowiązuje od: 1 czerwca 2026 · WAVEDURANCE P.S.A., ul. Gospodarcza 26, 20-213 Lublin

Uwaga!!!

Niniejsza Polityka obejmuje przetwarzanie danych osobowych w bieżącej działalności Administratora, tj. prowadzenie serwisu www.wavedurance.com (strona informacyjna z formularzem kontaktowym), komunikację z osobami zainteresowanymi i kontrahentami oraz czynności wspierające (organizacja pracy, bezpieczeństwo, dokumentacja). Polityka nie obejmuje przetwarzania danych pacjentów ani danych o stanie zdrowia (w tym zapisów EEG) w docelowej platformie telemedycznej. Uruchomienie tego przetwarzania będzie wymagać odrębnego, rozszerzonego reżimu ochrony danych szczególnej kategorii (art. 9 RODO), w tym oceny obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), oceny obowiązku wyznaczenia inspektora ochrony danych oraz analizy ról wobec podmiotów współpracujących (szpitale, placówki). Do tego czasu Polityka pozostaje polityką bazową dla działalności wskazanej powyżej.

WPROWADZENIE

Wavedurance Prosta Spółka Akcyjna z siedzibą w Lublinie, adres: ul. Gospodarcza 26, 20-213 Lublin, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS 0001220491, NIP 9462763323, jest administratorem danych osobowych (dalej: Administrator).

Niniejsza Polityka określa zasady organizacji ochrony danych osobowych, role i odpowiedzialność osób uczestniczących w ich przetwarzaniu, podstawowe zasady postępowania przy przetwarzaniu danych osobowych oraz ramy stosowania środków technicznych i organizacyjnych służących ich ochronie w postaci elektronicznej i papierowej.

Polityka ma zastosowanie do wszystkich osób upoważnionych do przetwarzania danych osobowych w imieniu Administratora oraz do wszystkich środowisk przetwarzania danych wykorzystywanych przez Administratora, w szczególności: systemów i narzędzi informatycznych, urządzeń i nośników danych, poczty elektronicznej i innych kanałów komunikacji, a także dokumentacji prowadzonej w postaci papierowej. Polityka ma charakter nadrzędny wobec szczegółowych procedur i instrukcji wewnętrznych dotyczących bezpieczeństwa przetwarzania danych.

Administrator przetwarza dane osobowe w związku z prowadzoną działalnością, w szczególności w ramach:

  • prowadzenia serwisu internetowego www.wavedurance.com (strona informacyjna, formularz kontaktowy) oraz obsługi zapytań kierowanych przez ten serwis;
  • prowadzenia komunikacji z osobami zainteresowanymi ofertą, kontrahentami, dostawcami oraz innymi osobami pozostającymi z Administratorem w relacjach zawodowych lub handlowych, w tym za pośrednictwem poczty elektronicznej i telefonu;
  • realizacji obowiązków prawnych Administratora, w szczególności rozliczeniowych i podatkowych;
  • zapewnienia bezpieczeństwa i prawidłowego działania serwisu oraz wykorzystywanych narzędzi;
  • ustalenia, dochodzenia lub obrony roszczeń.

Zakres i sposób stosowania środków ochrony danych są każdorazowo dostosowywane do charakteru procesów przetwarzania, kategorii danych oraz ryzyka naruszenia praw lub wolności osób, których dane dotyczą.

Ochrona danych osobowych stanowi proces ciągły. Administrator monitoruje i doskonali stosowane środki techniczne i organizacyjne, dostosowując je do charakteru przetwarzania, skali działalności oraz ryzyka, w szczególności po istotnych zmianach procesów, systemów lub modelu działalności, a także po incydentach i naruszeniach ochrony danych. Z uwagi na planowany rozwój działalności w kierunku usług telemedycznych Administrator dokona przeglądu i rozbudowy Polityki przed rozpoczęciem przetwarzania danych o stanie zdrowia.

Cele Polityki realizowane są poprzez:

  • doskonalenie środków ochrony danych;
  • ochronę praw osób, których dane dotyczą;
  • staranny dobór i zobowiązanie do poufności osób uczestniczących w przetwarzaniu oraz dobór dostawców usług i podmiotów przetwarzających;
  • stosowanie rozwiązań adekwatnych do ryzyk;
  • zapewnienie zgodności z przepisami;
  • okresową ocenę skuteczności wdrożonych środków;
  • zapewnienie spójności Polityki z innymi dokumentami wewnętrznymi oraz z rzeczywistym sposobem przetwarzania danych.

ZAKRES STOSOWANIA POLITYKI I CELE OCHRONY DANYCH

Polityka ma zastosowanie do przetwarzania danych osobowych w działalności Administratora, w tym w czynnościach wspierających związanych z organizacją pracy, komunikacją, bezpieczeństwem i dokumentacją.

Politykę stosuje się do danych osobowych przetwarzanych w związku z działalnością Administratora, niezależnie od podstawy i formy przetwarzania, w szczególności do danych:

  • osób współpracujących z Administratorem oraz kandydatów do współpracy;
  • osób korzystających z serwisu www.wavedurance.com, w tym kierujących zapytania przez formularz kontaktowy;
  • osób działających w imieniu lub na rzecz kontrahentów, dostawców i podmiotów współpracujących;
  • osób składających wnioski i żądania w trybie art. 15–22 RODO;
  • innych osób, których dane są przetwarzane w związku z działalnością Administratora.

Polityka obejmuje przetwarzanie danych we wszystkich środowiskach i formach ich utrwalania, w szczególności w systemach informatycznych, serwisie internetowym, poczcie elektronicznej i narzędziach komunikacji, repozytoriach dokumentów, na urządzeniach i nośnikach danych oraz w dokumentacji papierowej.

Postanowienia Polityki stosuje się odpowiednio do pracy zdalnej oraz dostępu mobilnego. W przypadku korzystania z usług, narzędzi lub platform podmiotów zewnętrznych Politykę stosuje się w zakresie, w jakim Administrator pozostaje administratorem danych albo decyduje o celach i sposobach ich przetwarzania.

Polityka uwzględnia w szczególności przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, a także inne przepisy mające zastosowanie do działalności Administratora w zakresie, w jakim wpływają na przetwarzanie danych osobowych, w szczególności przepisy o świadczeniu usług drogą elektroniczną, prawa komunikacji elektronicznej oraz przepisy rachunkowości i prawa podatkowego.

Celem Polityki jest: zapewnienie zgodności przetwarzania z przepisami prawa; poszanowanie praw osób, których dane dotyczą; określenie zasad organizacyjnych i technicznych ochrony danych; ograniczanie ryzyka oraz zapewnienie rozliczalności działań Administratora.

Administrator wdraża środki techniczne i organizacyjne adekwatne do charakteru, zakresu, kontekstu i celów przetwarzania oraz poziomu ryzyka, w tym minimalizację danych, ograniczenie dostępu, zabezpieczenia systemowe, kopie zapasowe, rejestrowanie istotnych zdarzeń oraz okresowy przegląd skuteczności zabezpieczeń.

Przed uruchomieniem nowego procesu przetwarzania albo istotną zmianą istniejącego procesu Administrator dokonuje oceny wpływu tej zmiany na ochronę danych osobowych; w razie potrzeby aktualizuje środki organizacyjne i techniczne oraz dokumentację. Dotyczy to w szczególności uruchomienia przetwarzania danych o stanie zdrowia w platformie telemedycznej.

W razie sprzeczności pomiędzy Polityką a powszechnie obowiązującymi przepisami prawa stosuje się przepisy prawa. Zmiana procesów lub sposobu przetwarzania danych wymaga przeglądu Polityki, a w razie potrzeby jej aktualizacji.

DEFINICJE

Poniższe pojęcia używane w Polityce oznaczają:

  • ADEKWATNOŚĆ DANYCH – właściwość polegająca na tym, że zakres danych osobowych jest odpowiedni i ograniczony do tego, co niezbędne dla osiągnięcia celu przetwarzania.
  • ANONIMIZACJA – nieodwracalne przetwarzanie danych prowadzące do braku możliwości identyfikacji osoby.
  • BEZPIECZEŃSTWO INFORMACJI – zapewnienie poufności, integralności i dostępności danych (w tym danych osobowych) w zakresie adekwatnym do ryzyka.
  • DANE OSOBOWE – wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, w szczególności imię i nazwisko, identyfikator internetowy, dane kontaktowe, dane adresowe, dane służbowe oraz inne dane zawarte w dokumentacji sporządzanej lub pozyskiwanej w toku działalności Administratora.
  • DANE SZCZEGÓLNEJ KATEGORII – dane, o których mowa w art. 9 RODO, w tym dane dotyczące zdrowia. Administrator obecnie nie przetwarza danych szczególnej kategorii w ramach działalności objętej niniejszą Polityką (zob. uwaga zakresowa na wstępie).
  • DOMYŚLNA OCHRONA DANYCH – zasada z art. 25 RODO, zgodnie z którą ustawienia domyślne zapewniają przetwarzanie wyłącznie danych niezbędnych dla celu, ograniczenie dostępu do minimum oraz ograniczenie okresu przechowywania.
  • DOSTĘPNOŚĆ – właściwość polegająca na tym, że dane i systemy są dostępne dla uprawnionych osób, gdy jest to potrzebne.
  • HASŁO DOSTĘPU – tajny ciąg znaków służący do uwierzytelniania użytkownika; przypisane do konkretnego identyfikatora i nieudostępniane innym osobom.
  • IDENTYFIKATOR UŻYTKOWNIKA (LOGIN) – unikalny ciąg znaków przypisany użytkownikowi, służący do identyfikacji w systemie informatycznym.
  • INTEGRALNOŚĆ DANYCH – właściwość polegająca na tym, że dane nie zostały zmienione lub zniszczone w sposób nieuprawniony.
  • MINIMALIZACJA DANYCH – przetwarzanie tylko takiego zakresu danych, jaki jest niezbędny do realizacji określonego celu.
  • NARUSZENIE OCHRONY DANYCH – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
  • OCHRONA DANYCH W FAZIE PROJEKTOWANIA – zasada z art. 25 RODO, zgodnie z którą środki ochrony danych uwzględnia się przy projektowaniu procesów i rozwiązań oraz utrzymuje przez cały okres ich stosowania.
  • ODBIORCA DANYCH – podmiot, któremu ujawnia się dane osobowe, inny niż Administrator i osoba upoważniona.
  • OSOBA UPOWAŻNIONA – osoba, której Administrator nadał uprawnienia do przetwarzania danych w określonym zakresie i celu, po zapoznaniu z Polityką oraz złożeniu wymaganych oświadczeń.
  • PODMIOT PRZETWARZAJĄCY (PROCESOR) – podmiot zewnętrzny, który przetwarza dane w imieniu Administratora na podstawie umowy powierzenia.
  • POUFNOŚĆ DANYCH – właściwość zapewniająca, że dane nie są udostępniane ani ujawniane osobom nieuprawnionym.
  • POWIERZENIE PRZETWARZANIA – przekazanie danych do przetwarzania podmiotowi zewnętrznemu działającemu w imieniu Administratora i wyłącznie w zakresie przez niego określonym.
  • PRZEKAZANIE DO PAŃSTWA TRZECIEGO – transfer danych poza Europejski Obszar Gospodarczy, realizowany wyłącznie przy spełnieniu warunków określonych w RODO.
  • PRZETWARZANIE – każda operacja na danych osobowych, niezależnie od formy i środka technicznego.
  • PSEUDONIMIZACJA – przetwarzanie danych w sposób ograniczający możliwość przypisania ich do konkretnej osoby bez użycia dodatkowych informacji przechowywanych odrębnie.
  • REJESTR CZYNNOŚCI PRZETWARZANIA (RCP) – dokumentacja prowadzona zgodnie z art. 30 ust. 1 RODO przez Administratora dla poszczególnych czynności przetwarzania.
  • REJESTR KATEGORII CZYNNOŚCI PRZETWARZANIA (RKCP) – dokument prowadzony zgodnie z art. 30 ust. 2 RODO w zakresie, w jakim Administrator występuje w roli podmiotu przetwarzającego.
  • RETENCJA – okres przechowywania danych ustalony przepisami prawa albo uzasadniony celem przetwarzania, po którym dane ulegają usunięciu lub anonimizacji.
  • SERWIS – serwis internetowy Administratora prowadzony pod adresem www.wavedurance.com.
  • STACJA ROBOCZA – urządzenie końcowe wykorzystywane do przetwarzania danych w systemie informatycznym.
  • SYSTEM INFORMATYCZNY – zespół współdziałających urządzeń, oprogramowania i procedur służących do przetwarzania informacji, w tym danych osobowych.
  • UWIERZYTELNIANIE – działanie polegające na potwierdzeniu deklarowanej tożsamości użytkownika w systemie informatycznym.
  • ZASADA ROZLICZALNOŚCI – obowiązek Administratora wykazania przestrzegania przepisów o ochronie danych osobowych.
  • ZGODA – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, przyzwala na przetwarzanie dotyczących jej danych osobowych w określonym celu.

KATEGORIE OSÓB I ZBIORY DANYCH

Administrator przetwarza dane osobowe w odniesieniu do poniższych kategorii osób oraz odpowiadających im zbiorów danych:

  • Osoby współpracujące z Administratorem oraz kandydaci do współpracy – dane identyfikacyjne i kontaktowe, dane dotyczące kwalifikacji, współpracy, rozliczeń, upoważnień i oświadczeń; zbiory: dokumentacja współpracy, dokumentacja rozliczeń, rejestr upoważnień, oświadczenia o poufności.
  • Osoby korzystające z Serwisu i kierujące zapytania przez formularz kontaktowy lub pocztą elektroniczną – dane identyfikacyjne i kontaktowe (imię i nazwisko, adres e-mail), treść korespondencji, obszar zainteresowania, dane techniczne związane z korzystaniem z Serwisu (adres IP, dane z logów); zbiory: korespondencja i zgłoszenia z formularza, logi techniczne i logi bezpieczeństwa.
  • Osoby działające w imieniu lub na rzecz kontrahentów, dostawców i podmiotów przetwarzających – dane identyfikacyjne i kontaktowe, dane wynikające z korespondencji, umów oraz ustaleń handlowych lub organizacyjnych; zbiory: korespondencja, umowy i dokumentacja współpracy.
  • Osoby składające wnioski i żądania w trybie art. 15–22 RODO – dane identyfikacyjne wnioskodawcy, treść wniosku, korespondencja oraz dowody realizacji; zbiory: rejestr wniosków oraz dokumentacja ich obsługi.
  • Osoby, których dane są przetwarzane w rejestrach bezpieczeństwa – dane zawarte w dziennikach zdarzeń i logach systemowych, dokumentacji incydentów i naruszeń oraz w kopiach zapasowych w zakresie niezbędnym do zapewnienia bezpieczeństwa i ciągłości działania; zbiory: logi bezpieczeństwa i techniczne, rejestr naruszeń, dokumentacja reagowania na incydenty, kopie zapasowe.

OGÓLNE ZASADY I PODSTAWY PRZETWARZANIA

Administrator przetwarza dane osobowe zgodnie z zasadami z art. 5 RODO: legalności, rzetelności i przejrzystości, ograniczenia celu, minimalizacji danych, prawidłowości, ograniczenia przechowywania, integralności i poufności oraz rozliczalności.

Zasada legalności, rzetelności i przejrzystości oznacza, że dane są przetwarzane wyłącznie przy istnieniu odpowiedniej podstawy prawnej, a osoby, których dane dotyczą, otrzymują jasne informacje o przetwarzaniu w zakresie wymaganym przepisami.

Podstawą przetwarzania danych osobowych może być w szczególności:

  • zawarcie i wykonanie umowy albo podjęcie działań na żądanie osoby przed zawarciem umowy (art. 6 ust. 1 lit. b RODO);
  • wypełnienie obowiązku prawnego ciążącego na Administratorze (art. 6 ust. 1 lit. c RODO);
  • prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO);
  • zgoda osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO) – jeżeli przepisy wymagają lub dopuszczają jej zastosowanie.

Zasada ograniczenia celu oznacza, że dane są zbierane i wykorzystywane wyłącznie w jasno określonych i prawnie uzasadnionych celach związanych z działalnością Administratora, w szczególności w celu:

  • obsługi zapytań kierowanych przez Serwis, pocztę elektroniczną lub telefonicznie;
  • prowadzenia współpracy z kontrahentami i dostawcami oraz komunikacji organizacyjnej;
  • zapewnienia bezpieczeństwa i prawidłowego działania Serwisu, w tym rejestrowania zdarzeń i obsługi incydentów;
  • realizacji obowiązków prawnych, w szczególności rachunkowych i podatkowych;
  • ustalenia, dochodzenia lub obrony roszczeń.

Zasada minimalizacji danych oznacza, że Administrator przetwarza wyłącznie zakres danych niezbędny do realizacji konkretnego celu; w komunikacji ogranicza zakres danych do niezbędnego dla danej sprawy, a dane przekazywane dostawcom usług i podmiotom przetwarzającym ogranicza do zakresu niezbędnego do realizacji celu.

Administrator stosuje zasadę ochrony danych w fazie projektowania oraz domyślnej ochrony danych, projektując procesy i rozwiązania tak, aby domyślnie przetwarzane były wyłącznie dane niezbędne, a dostęp był ograniczony do osób upoważnionych i do niezbędnego zakresu.

Zasada prawidłowości oznacza, że Administrator podejmuje działania w celu zapewnienia, aby dane były prawidłowe i aktualne; dane nieprawidłowe lub nieaktualne podlegają sprostowaniu, uzupełnieniu albo usunięciu.

Zasada ograniczenia przechowywania oznacza, że dane są przechowywane nie dłużej, niż jest to konieczne do realizacji celu lub wypełnienia obowiązków prawnych; okresy przechowywania są ustalane w oparciu o przepisy prawa, przyjęte zasady retencji oraz potrzebę wykazania rozliczalności i obrony roszczeń.

Zasada integralności i poufności oznacza, że Administrator stosuje środki organizacyjne i techniczne zapewniające ochronę danych przed nieuprawnionym dostępem, utratą, zniszczeniem lub modyfikacją; dostęp do danych mają wyłącznie osoby upoważnione, w zakresie niezbędnym do wykonywania zadań.

Zasada rozliczalności oznacza, że Administrator jest w stanie wykazać zgodność przetwarzania z RODO, w szczególności przez prowadzenie wymaganej dokumentacji i rejestrów oraz dokumentowanie decyzji i działań.

Udostępnianie i powierzanie danych podmiotom zewnętrznym następuje wyłącznie w zakresie niezbędnym, na podstawie przepisów prawa lub odpowiednich umów, z zachowaniem minimalizacji i rozliczalności.

Administrator nie podejmuje wobec osób, których dane dotyczą, decyzji wywołujących skutki prawne w sposób w pełni zautomatyzowany, bez udziału człowieka.

PRAWA OSÓB, KTÓRYCH DANE DOTYCZĄ

Wniosek o realizację praw może zostać złożony pocztą elektroniczną na adres Administratora, listownie na adres siedziby albo osobiście po uprzednim umówieniu. W imieniu osoby może działać pełnomocnik.

Administrator może zwrócić się o potwierdzenie tożsamości wnioskodawcy, jeżeli jest to niezbędne do prawidłowej realizacji wniosku oraz ochrony danych przed ujawnieniem osobie nieuprawnionej; zakres weryfikacji jest adekwatny do rodzaju żądania i ryzyka.

Osobie, której dane dotyczą, przysługują w szczególności: prawo dostępu do danych i informacji o przetwarzaniu, prawo uzyskania kopii danych, prawo sprostowania lub uzupełnienia danych, prawo usunięcia danych, prawo ograniczenia przetwarzania, prawo przenoszenia danych (w zakresie danych przetwarzanych na podstawie umowy lub zgody w sposób zautomatyzowany), prawo sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie (w tym wobec marketingu bezpośredniego) oraz prawo cofnięcia zgody – w zakresie, w jakim przetwarzanie odbywa się na podstawie zgody.

Odpowiedź na wniosek jest udzielana bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania. W sprawach skomplikowanych termin może zostać przedłużony maksymalnie o dwa miesiące; informacja o przedłużeniu i jego przyczynach jest przekazywana wnioskodawcy bez zbędnej zwłoki.

Realizacja praw jest co do zasady nieodpłatna. Opłata może zostać pobrana wyłącznie w przypadku żądań oczywiście bezzasadnych albo nadmiernych, po uprzednim wskazaniu podstaw i wysokości opłaty.

Uprawnienia mogą podlegać ograniczeniom wynikającym z przepisów prawa, w szczególności w odniesieniu do dokumentów księgowych i podatkowych, danych niezbędnych do wykonania umowy, ustalenia, dochodzenia lub obrony roszczeń oraz zapewnienia bezpieczeństwa i rozliczalności.

Dokumentację obsługi wniosku przechowuje się w sposób umożliwiający wykazanie rozliczalności przez okres niezbędny dla celów dowodowych.

W przypadku odmowy uwzględnienia wniosku Administrator informuje wnioskodawcę o przyczynach oraz o możliwości wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych lub skorzystania ze środków ochrony prawnej przed sądem.

ZADANIA ADMINISTRATORA DANYCH OSOBOWYCH

Administrator odpowiada za organizację i nadzór nad przetwarzaniem danych osobowych, w tym za zgodność przetwarzania z przepisami prawa oraz niniejszą Polityką.

Administrator zapewnia utrzymywanie, aktualizację i dostępność dokumentacji ochrony danych. Polityka podlega przeglądowi nie rzadziej niż raz w roku oraz każdorazowo po istotnej zmianie przepisów, procesów lub systemów, a także po poważnym incydencie lub naruszeniu.

Z uwagi na obecny rozmiar organizacji (działalność prowadzona bezpośrednio przez wspólników-założycieli pełniących funkcje zarządcze i techniczne) zadania związane z koordynacją ochrony danych realizują bezpośrednio osoby zarządzające Administratora. Wraz z rozwojem organizacji Administrator rozważy wyznaczenie wewnętrznego punktu kontaktowego, a w razie wystąpienia przesłanek z art. 37 RODO (w szczególności w związku z przetwarzaniem danych o stanie zdrowia na dużą skalę) – wyznaczenie inspektora ochrony danych.

Administrator nadaje upoważnienia do przetwarzania danych osobowych oraz określa ich zakres, zgodnie z zasadą minimalnych uprawnień i niezbędnej wiedzy. Wzór upoważnienia stanowi Załącznik nr 2.

Osoby upoważnione składają oświadczenie o obowiązku zachowania poufności. Wzór oświadczenia stanowi Załącznik nr 3.

Administrator prowadzi ewidencję upoważnień obejmującą co najmniej: datę nadania, zakres, procesy/systemy/zbiory danych, datę i podstawę cofnięcia. Ewidencja stanowi Załącznik nr 4.

Administrator zapewnia, aby dopuszczenie do przetwarzania danych następowało po zapoznaniu osoby z Polityką i zasadami bezpieczeństwa oraz po potwierdzeniu obowiązku ich stosowania; spełnienie tych warunków podlega udokumentowaniu.

Administrator sprawuje nadzór nad przestrzeganiem zasad bezpieczeństwa informacji, w tym w środowiskach teleinformatycznych, dokumentacji papierowej oraz w modelu pracy zdalnej. Wykorzystywanie urządzeń prywatnych do celów służbowych jest dopuszczalne wyłącznie w reżimie bezpieczeństwa określonym przez Administratora.

Administrator zapewnia prowadzenie i aktualizację rejestrów wymaganych przepisami i niniejszą Polityką, w szczególności rejestru czynności przetwarzania (RCP), rejestru naruszeń oraz ewidencji upoważnień – w zakresie adekwatnym do skali i charakteru działalności.

Administrator odpowiada za nadzór nad współpracą z podmiotami przetwarzającymi, w tym za dobór podmiotów zapewniających wystarczające gwarancje oraz za uregulowanie powierzenia umową spełniającą wymagania RODO.

Administrator nadzoruje realizację praw osób, których dane dotyczą, oraz organizację postępowania w przypadku incydentów i naruszeń ochrony danych, w tym dokumentowanie decyzji w sposób umożliwiający wykazanie rozliczalności.

Administrator zapewnia spójność dokumentów wewnętrznych z niniejszą Polityką.

PRAWA I OBOWIĄZKI OSÓB PRZETWARZAJĄCYCH DANE

Postanowienia niniejszego rozdziału wiążą każdą osobę dopuszczoną do przetwarzania danych osobowych w imieniu Administratora, niezależnie od podstawy współpracy i formy wykonywania czynności (w tym zdalnie), w zakresie wynikającym z udzielonego upoważnienia.

Osoba upoważniona przetwarza dane wyłącznie w zakresie i celu wynikającym z powierzonych obowiązków oraz udzielonego upoważnienia, zgodnie z poleceniami Administratora i niniejszą Polityką.

Osoba upoważniona jest zobowiązana do zachowania poufności danych osobowych oraz informacji o sposobach ich zabezpieczenia; obowiązek ten trwa również po ustaniu upoważnienia lub zakończeniu współpracy.

Dopuszczenie do przetwarzania danych następuje po: zapoznaniu się z Polityką i zasadami bezpieczeństwa, uzyskaniu upoważnienia oraz złożeniu oświadczenia o poufności. Spełnienie tych warunków podlega udokumentowaniu.

Osoba upoważniona zapewnia, aby dokumenty, nośniki i wydruki zawierające dane osobowe nie pozostawały bez nadzoru ani nie były dostępne dla osób nieuprawnionych; zbędne wydruki niezwłocznie usuwa w sposób uniemożliwiający odtworzenie treści.

Osoba upoważniona nie dopuszcza do wglądu osób postronnych w treści wyświetlane na ekranie urządzeń służbowych, a w razie oddalenia się od stanowiska zabezpiecza dostęp do urządzenia (blokada ekranu).

Osoba upoważniona korzysta wyłącznie z systemów, kont i narzędzi zatwierdzonych przez Administratora, zgodnie z przydzielonymi uprawnieniami. Zabrania się wykorzystywania prywatnych skrzynek pocztowych, komunikatorów lub innych niezatwierdzonych kanałów do przekazywania lub przechowywania danych służbowych.

Osoba upoważniona nie udostępnia loginów, haseł ani innych danych uwierzytelniających, nie korzysta z kont innych osób oraz nie omija mechanizmów bezpieczeństwa.

Przed wysłaniem wiadomości lub pliku osoba upoważniona weryfikuje adresata oraz zakres przekazywanych danych; dane przekazuje wyłącznie w zakresie niezbędnym oraz kanałami zapewniającymi odpowiedni poziom bezpieczeństwa. Jeżeli przekazanie obejmuje dokumenty zawierające dane osobowe, stosuje rozwiązania ograniczające ryzyko nieuprawnionego dostępu (np. zabezpieczenie pliku hasłem przekazywanym odrębnym kanałem).

Osoba upoważniona nie utrwala danych na nośnikach zewnętrznych ani nie wynosi ich poza zatwierdzone środowiska, chyba że Administrator wyraził zgodę i określił warunki, w tym wymagane zabezpieczenia.

Osoba upoważniona wykonuje czynności w trybie zdalnym lub mobilnym wyłącznie w warunkach zapewniających poufność oraz z użyciem urządzeń i rozwiązań dopuszczonych przez Administratora.

Osoba upoważniona ma obowiązek niezwłocznie zgłosić Administratorowi każde zdarzenie mogące naruszać poufność, integralność lub dostępność danych (w tym podejrzenie takiego zdarzenia oraz omyłkowe ujawnienie danych niewłaściwemu odbiorcy), niezależnie od oceny „wagi" zdarzenia; kwalifikacji dokonuje Administrator.

Osoba upoważniona współdziała z Administratorem w zakresie obsługi wniosków osób, których dane dotyczą.

Naruszenie postanowień niniejszego rozdziału może skutkować cofnięciem upoważnienia, ograniczeniem dostępu do danych oraz innymi konsekwencjami wynikającymi z przepisów prawa i zasad obowiązujących u Administratora.

REJESTR CZYNNOŚCI PRZETWARZANIA ORAZ REJESTR KATEGORII CZYNNOŚCI

Administrator prowadzi rejestr czynności przetwarzania (RCP), o którym mowa w art. 30 ust. 1 RODO, obejmujący czynności przetwarzania wykonywane jako administrator danych. RCP stanowi Załącznik nr 6.

RCP prowadzi się w formie elektronicznej, z ograniczonym dostępem, w sposób zapewniający rozliczalność, integralność oraz możliwość odtworzenia historii zmian.

RCP zawiera co najmniej: nazwę i cel czynności; opis kategorii osób i kategorii danych; kategorie odbiorców; informacje o przekazaniach do państw trzecich wraz z mechanizmem przekazania; planowane terminy usunięcia danych albo kryteria ich ustalania; ogólny opis środków technicznych i organizacyjnych; podstawę prawną przetwarzania.

Wpisu do RCP dokonuje się niezwłocznie po uruchomieniu nowej czynności lub po istotnej zmianie istniejącej. Przegląd RCP przeprowadza się nie rzadziej niż raz w roku oraz po incydencie bezpieczeństwa.

Administrator prowadzi rejestr kategorii czynności przetwarzania (RKCP), o którym mowa w art. 30 ust. 2 RODO, wyłącznie w zakresie, w jakim występuje w roli podmiotu przetwarzającego w imieniu innego administratora. RKCP stanowi Załącznik nr 7. Jeżeli Administrator nie wykonuje takich czynności, RKCP nie jest prowadzony albo pozostaje niewypełniony.

ŚRODKI TECHNICZNE I ORGANIZACYJNE

Administrator stosuje środki techniczne i organizacyjne adekwatne do charakteru, zakresu, kontekstu i celów przetwarzania oraz do poziomu ryzyka, zapewniające poufność, integralność i rozliczalność przetwarzania.

Dostęp do danych osobowych jest ograniczony do osób upoważnionych i wyłącznie w zakresie niezbędnym do wykonywania obowiązków; nadawanie i cofanie uprawnień realizowane jest zgodnie z niniejszą Polityką.

Administrator zapewnia rejestrowanie zdarzeń istotnych z perspektywy bezpieczeństwa i rozliczalności oraz dokumentowanie działań podejmowanych w razie incydentów i naruszeń.

Administrator zapewnia wykonywanie kopii zapasowych danych oraz stosowanie rozwiązań umożliwiających odtworzenie dostępności danych po awarii lub incydencie.

Dokumenty papierowe i nośniki zawierające dane osobowe są przechowywane w sposób zabezpieczający przed dostępem osób nieuprawnionych oraz podlegają zasadom obiegu i niszczenia.

Środki organizacyjne obejmują w szczególności: utrzymywanie aktualnej dokumentacji i rejestrów; obowiązek zachowania poufności; obowiązek niezwłocznego zgłaszania incydentów; okresowe przeglądy skuteczności środków bezpieczeństwa.

Administrator zapewnia, aby przetwarzanie w kanałach elektronicznych (w szczególności Serwis, poczta elektroniczna, narzędzia komunikacji i organizacji pracy, repozytoria dokumentów) odbywało się zgodnie z zasadami minimalizacji, ograniczenia dostępu oraz rozliczalności, z uwzględnieniem zasady niezbędnej wiedzy.

Korzystanie z nośników przenośnych oraz przenoszenie danych poza zatwierdzone środowiska jest dopuszczalne wyłącznie w przypadkach uzasadnionych oraz na warunkach określonych przez Administratora, z zastosowaniem zabezpieczeń ograniczających ryzyko nieuprawnionego dostępu.

Stanowiska pracy organizuje się w sposób ograniczający ryzyko ujawnienia danych, w tym przez blokadę ekranu w razie oddalenia się od stanowiska oraz automatyczną blokadę po okresie bezczynności – w zakresie adekwatnym do sprzętu i ryzyka.

POWIERZENIE PRZETWARZANIA ORAZ UDOSTĘPNIANIE DANYCH

Administrator dopuszcza przetwarzanie danych przez podmioty zewnętrzne wyłącznie w zakresie niezbędnym do realizacji usług i obowiązków Administratora oraz przy zastosowaniu środków bezpieczeństwa adekwatnych do ryzyka.

Powierzenie przetwarzania następuje wyłącznie na podstawie umowy spełniającej wymagania art. 28 ust. 3 RODO.

Przed rozpoczęciem współpracy z podmiotem przetwarzającym Administrator ustala zakres danych, cel i miejsce przetwarzania oraz weryfikuje, czy podmiot zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych; wynik weryfikacji jest dokumentowany. W przypadku przekazania danych poza EOG Administrator ustala podstawę i mechanizm przekazania.

Podmiot przetwarzający może powierzyć dane podwykonawcom wyłącznie w celu wykonania umowy głównej oraz po uzyskaniu uprzedniej zgody Administratora; podwykonawca musi spełniać te same gwarancje i obowiązki.

Podmiot przetwarzający zgłasza Administratorowi incydenty i naruszenia bez zbędnej zwłoki oraz przekazuje informacje niezbędne do oceny ryzyka i wykonania obowiązków notyfikacyjnych Administratora.

Zakończenie współpracy z podmiotem przetwarzającym obejmuje cofnięcie dostępów, zwrot lub usunięcie danych oraz potwierdzenie wykonania tych czynności.

Udostępnienie danych organom władzy publicznej następuje wyłącznie w granicach prawa i w niezbędnym zakresie; każdorazowo odnotowuje się podstawę, zakres oraz datę udostępnienia.

Dane mogą być ujawniane wyłącznie podmiotom, których udział jest niezbędny do realizacji celów Administratora, w szczególności dostawcom usług hostingu i utrzymania Serwisu, poczty elektronicznej, usług IT, usług księgowych i podatkowych oraz obsługi prawnej lub doradczej. Ujawnienie lub powierzenie następuje wyłącznie w zakresie koniecznym i na podstawie odpowiednich umów albo przepisów prawa.

Wykaz podmiotów, którym powierzono przetwarzanie danych osobowych, stanowi Załącznik nr 5.

OPIS ZDARZEŃ NARUSZAJĄCYCH OCHRONĘ DANYCH

Incydentem jest każde zdarzenie skutkujące albo mogące skutkować naruszeniem poufności, integralności albo dostępności danych osobowych lub informacji istotnych dla bezpieczeństwa przetwarzania.

Naruszeniem ochrony danych osobowych jest naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Każde zdarzenie zakwalifikowane jako incydent podlega ocenie pod kątem tego, czy doszło do naruszenia ochrony danych osobowych oraz czy powstało ryzyko naruszenia praw lub wolności osób, których dane dotyczą.

Niezwłocznemu zgłoszeniu Administratorowi podlega w szczególności:

  • utrata, zagubienie albo kradzież urządzenia lub nośnika zawierającego dane osobowe (laptop, telefon, pamięć zewnętrzna, dokumentacja elektroniczna);
  • uzyskanie dostępu do danych przez osobę nieuprawnioną, w tym wskutek przejęcia konta, ujawnienia danych uwierzytelniających albo niewłaściwego nadania uprawnień;
  • atak na systemy lub usługi skutkujący zniszczeniem, utratą dostępu, modyfikacją albo ujawnieniem danych;
  • infekcja złośliwym oprogramowaniem;
  • phishing lub inna socjotechnika prowadząca do nieuprawnionego dostępu;
  • błąd w konfiguracji systemu, usługi albo narzędzia zewnętrznego skutkujący ujawnieniem danych;
  • błąd ludzki, w szczególności wysłanie wiadomości do niewłaściwego adresata, dołączenie niewłaściwego pliku, przekazanie dokumentu niewłaściwej osobie albo pozostawienie dokumentów bez nadzoru;
  • zagubienie dokumentacji papierowej zawierającej dane osobowe;
  • wymuszenie połączone z żądaniem okupu albo groźbą ujawnienia danych;
  • podejrzenie wycieku danych lub przejęcia dostępu do skrzynki pocztowej, konta w repozytorium dokumentów albo narzędzia organizacji pracy, nawet jeżeli zakres danych nie jest jeszcze znany.

INSTRUKCJA POSTĘPOWANIA W PRZYPADKU NARUSZEŃ

Każda osoba dopuszczona do przetwarzania danych ma obowiązek niezwłocznie po stwierdzeniu zdarzenia zgłosić podejrzenie incydentu Administratorowi. Zgłoszenie powinno wskazywać czas i miejsce zdarzenia, system lub obszar, przybliżony zakres danych, zaobserwowane objawy oraz podjęte działania tymczasowe.

Zgłoszenie następuje niezależnie od wstępnej oceny „wagi" zdarzenia; kwalifikacji jako incydent lub naruszenie dokonuje Administrator.

Zgłoszenie dokumentuje się niezwłocznie; w przypadku stwierdzenia naruszenia odnotowuje się je w Rejestrze naruszeń stanowiącym Załącznik nr 8.

Po przyjęciu zgłoszenia Administrator podejmuje niezwłocznie działania zabezpieczające, obejmujące ograniczenie skutków zdarzenia, zabezpieczenie danych oraz utrwalenie informacji niezbędnych do analizy. Niedopuszczalne jest nadpisanie lub usunięcie potencjalnych dowodów przed zakończeniem analizy.

Administrator dokonuje kwalifikacji zdarzenia, ustalając co najmniej: czy doszło do naruszenia poufności, integralności lub dostępności danych; jakie kategorie danych i osób mogą być objęte; jakie systemy lub zasoby obejmuje zdarzenie; czy zdarzenie trwa.

Administrator przeprowadza ocenę zdarzenia pod kątem przesłanek naruszenia, oceniając rodzaj i zakres danych, kategorie i liczbę osób, możliwe konsekwencje i prawdopodobieństwo ich wystąpienia oraz zastosowane środki ograniczające ryzyko; wynik oceny (brak ryzyka / ryzyko / wysokie ryzyko) dokumentuje się wraz z uzasadnieniem.

Jeżeli naruszenie stwarza ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza je Prezesowi Urzędu Ochrony Danych Osobowych bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia; w razie przekroczenia terminu uzasadnia się opóźnienie.

Jeżeli naruszenie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator niezwłocznie zawiadamia osoby, których dane dotyczą, przekazując opis charakteru naruszenia, możliwe konsekwencje, środki zastosowane lub proponowane oraz dane kontaktowe punktu kontaktowego. Jeżeli zawiadomienie nie jest wymagane z uwagi na spełnienie przesłanek ustawowych, podstawę decyzji oraz zastosowane środki dokumentuje się w aktach sprawy.

W przypadku naruszenia po stronie podmiotu przetwarzającego podmiot ten niezwłocznie informuje Administratora i przekazuje dane niezbędne do oceny ryzyka oraz wykonania obowiązków notyfikacyjnych.

Komunikację zewnętrzną prowadzi wyłącznie Administrator lub osoba przez niego upoważniona.

Po zakończeniu działań doraźnych Administrator sporządza sprawozdanie z incydentu, obejmujące opis przebiegu zdarzenia, przyczyny źródłowe, zakres i skutki, zastosowane środki, decyzje notyfikacyjne oraz plan działań zapobiegawczych wraz z terminami i osobami odpowiedzialnymi.

Dokumenty i korespondencję związane z incydentem przechowuje się przez okres niezbędny do wykazania rozliczalności i dla celów dowodowych; po upływie tego okresu materiały podlegają usunięciu lub anonimizacji.

ZARZĄDZANIE RYZYKIEM (ANALIZA RYZYKA)

Administrator identyfikuje zagrożenia dla bezpieczeństwa przetwarzania oraz dokonuje oceny ryzyka naruszenia praw lub wolności osób fizycznych, w celu doboru i utrzymania środków technicznych i organizacyjnych adekwatnych do ryzyka oraz dla zapewnienia rozliczalności.

Analiza ryzyka jest prowadzona w oparciu o przyjętą metodykę oceny prawdopodobieństwa i skutków naruszenia, dostosowaną do charakteru działalności oraz zakresu przetwarzania.

W ramach analizy ryzyka dla każdego zidentyfikowanego zagrożenia Administrator dokumentuje co najmniej: opis zagrożenia i obszar/proces; ocenę prawdopodobieństwa i skutków albo wynik oceny ryzyka; zastosowane zabezpieczenia; plan działań (jeżeli wymagany); osobę odpowiedzialną, termin i status.

Analiza ryzyka jest weryfikowana co najmniej raz na 12 miesięcy oraz każdorazowo w razie istotnych zmian w procesach, systemach lub sposobie przetwarzania danych, a także po istotnym incydencie lub naruszeniu.

Przed uruchomieniem przetwarzania danych o stanie zdrowia w platformie telemedycznej Administrator przeprowadzi odrębną analizę ryzyka oraz ocenę obowiązku przeprowadzenia oceny skutków dla ochrony danych (DPIA), z uwzględnieniem szczególnej kategorii danych (art. 9 RODO).

Dokumentacja analizy ryzyka jest prowadzona jako załącznik do Polityki albo jako odrębny dokument pozostający z nią w spójności.

POSTANOWIENIA KOŃCOWE

Niniejsza Polityka stanowi dokument wewnętrzny Administratora i obowiązuje wszystkie osoby dopuszczone do przetwarzania danych osobowych w imieniu Administratora, w zakresie wynikającym z udzielonych upoważnień.

Wdrożenie Polityki odbywa się w szczególności poprzez: zapoznanie osób upoważnionych z jej treścią; bieżące monitorowanie przestrzegania wynikających z niej zasad.

Polityka podlega przeglądowi nie rzadziej niż raz w roku oraz każdorazowo po istotnej zmianie przepisów, procesów lub systemów, a także po poważnym incydencie lub naruszeniu; za przegląd i aktualizację odpowiada Administrator.

Aktualizacja Polityki następuje w szczególności, gdy: zmienia się sposób przetwarzania danych (kanały, systemy, zakres); zmienia się ryzyko przetwarzania; wdrożono nowe środki techniczne lub organizacyjne; wnioski z incydentu/naruszenia wskazują potrzebę zmiany zasad. Aktualizacja jest obowiązkowa przed uruchomieniem przetwarzania danych o stanie zdrowia w platformie telemedycznej.

W sprawach nieuregulowanych Polityką stosuje się powszechnie obowiązujące przepisy prawa; w razie wątpliwości interpretacyjnych rozstrzygnięcie należy do Administratora, z uwzględnieniem zasady rozliczalności oraz minimalizacji ryzyk.

Załączniki:

Załącznik nr 1 – Instrukcja Zarządzania Systemem Informatycznym

Załącznik nr 2 – Wzór upoważnienia do przetwarzania danych osobowych

Załącznik nr 3 – Wzór oświadczenia o zachowaniu poufności

Załącznik nr 4 – Ewidencja nadanych upoważnień

Załącznik nr 5 – Wykaz podmiotów, którym powierzono przetwarzanie danych

Załącznik nr 6 – Rejestr czynności przetwarzania (RCP)

Załącznik nr 7 – Rejestr kategorii czynności przetwarzania (RKCP)

Załącznik nr 8 – Rejestr naruszeń ochrony danych osobowych [do opracowania]

© 2026 Wavedurance. Wszelkie prawa zastrzeżone. · Strona główna · Polityka prywatności · Polityka cookies · Kontakt