Polityka bezpieczeństwa informacji
§1.Postanowienia ogólne
- Administratorem danych osobowych przetwarzanych w PSIM jest Marszałek Województwa Podkarpackiego z siedzibą w Urzędzie Marszałkowskim Województwa Podkarpackiego
z siedzibą w Rzeszowie al. Łukasza Cieplińskiego 4, 35-010 Rzeszów, tel. 17 850 17 00,
fax. 17 850 17 01, urzad@podkarpackie.pl, www.podkarpackie.pl. - Inspektorem ochrony danych w Urzędzie Marszałkowskim Województwa Podkarpackiego jest Pani Małgorzata Krysińska-Żmuda,
telefon: (17) 747 67 09, adres e-mail: iod@podkarpackie.pl - Użytkownik portalu PSIM wyraża zgodę na przetwarzanie danych osobowych. Zgoda jest dobrowolna. Użytkownik ma prawo cofnąć zgodę w każdym czasie (dane przetwarzane są do czasu cofnięcia zgody) co jest równoznaczne z usunięciem konta użytkownika z portalu. Użytkownik ma prawo dostępu do danych, sprostowania, usunięcia, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego.
- Administrator danych osobowych powierza Administratorowi RCIM w drodze umowy zawartej na piśmie przetwarzanie danych osobowych w ramach PSIM w zakresie warstwy regionalnej,
a Administratorom LSI powierza przetwarzanie danych osobowych w ramach PSIM w zakresie warstwy lokalnej. Administrator RCIM i Administratorzy LSI stosują postanowienia niniejszej polityki w zakresie w jakim przetwarzają oni dane osobowe na cele związane
z funkcjonowaniem PSIM. W zakresie w jakim Administrator RCIM i Administratorzy LSI uzyskają dostęp do danych osobowych przetwarzanych w ramach PSIM, a nie objętych zakresem w jakim dane te podlegają ich administrowaniu – zarówno Administrator RCIM jak
i Administratorzy LSI stosują standardy bezpieczeństwa zgodne z niniejszą polityką. - Niniejsza polityka stanowi wykonanie wymogów wynikających z:
- rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
- ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
- rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
- ustawy z dnia 28 kwietnia 2011 r. o systemie informacji o ochronie zdrowia;
- ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
- W zakresie nieuregulowanym niniejszą polityką zastosowanie mają odpowiednio postanowienia aktów normatywnych wskazanych w punkcie 4 powyżej.
- Do niniejszej polityki stosuje się pojęcia zdefiniowane w Regulaminie.
- W celu realizacji wymogów przepisów prawa Administrator zapewnia poufność, dostępność
i integralność danych osobowych, w tym dobiera i stosuje odpowiednie środki techniczne
i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym, jak również przed ich przetwarzaniem z naruszeniem obowiązujących przepisów prawa. Administrator zapewnia stałą kontrolę nad procesem przetwarzania danych osobowych. - Dane przetwarzane w PSIM podlegają ochronie na poziomie wysokim, o którym mowa
w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. - Ochrona danych osobowych stosowana przez Administratora obejmuje wszystkie dane osobowe, którymi dysponuje Administrator - w stopniu równomiernym.
§2.Zasady przetwarzania danych osobowych
- Dane osobowe są gromadzone przez Administratora w następujących modułach danych:
- RCIM
- LSI
- Samo przeglądanie zawartości PSIM, nie połączone z zakładaniem konta Użytkownika, nie wymaga podawania przez Użytkownika danych osobowych.
- Zamawianie usług PSIM możliwe jest tylko po założeniu konta Użytkownika zgodnie z zasadami określonymi w niniejszym Regulaminie lub innych odrębnych regulaminach, którego założenie powoduje już konieczność podania przez Użytkownika danych osobowych.
- Podstawą przetwarzania danych osobowych przez Administratora jest zgoda Użytkowników, jak również ustawowe upoważnienie do przetwarzania danych osobowych Użytkowników
w celu umożliwienia im korzystania z funkcji PSIM, a także w celu realizacji zamówień na usługi PSIM (określone w niniejszym Regulaminie lub w innych odrębnych regulaminach) oraz podmiotów powiązanych z Administratorem i realizacji tych usług oraz upoważnienie do przetwarzania danych osobowych Użytkowników w celu realizacji przez Administratora jego prawnie usprawiedliwionych celów. - Przez podanie swoich danych osobowych w toku zakładania konta przez Użytkownika w PSIM, zamawianiu usług PSIM oraz zaznaczenie właściwego okienka w toku procesu zakładania konta, Użytkownik dokonuje akceptacji niniejszego Regulaminu, którego załącznikiem jest niniejsza polityka. Tym samym Użytkownik wyraża zgodę na przetwarzanie jego danych osobowych w zakresie wskazanym w oświadczeniu i w związku z korzystaniem z PSIM.
- Podanie jakichkolwiek danych osobowych ma charakter dobrowolny. Podanie danych wymaganych w procesie zakładania konta oraz zamawiania usług jest konieczne do prawidłowego wykonywania usług przez PSIM oraz rejestracji konta w ramach PSIM. Użytkownik w każdym czasie ma prawo dostępu do treści swoich danych oraz ich poprawiania.
- Administrator nie przetwarza danych osobowych na cele marketingowe.
- Administrator będzie przetwarzać wyłącznie te dane, które są konieczne do prawidłowego wykonania usług w ramach PSIM, jak również dla zrealizowania uprawnień wynikających
z przepisów obowiązującego prawa, w celu przekazywania określonych ustawowo danych na rzecz podmiotów określonych w ustawach wskazanych w § 1 punkt 4 niniejszej polityki, rozpatrzenia ewentualnych reklamacji. - Zgłoszenie przez użytkownika żądania usunięcia przez Administratora jego danych osobowych, jest równoznaczne z likwidacją konta w PSIM oraz usunięciem danych osobowych użytkownika za wyjątkiem przypadków opisanych w odrębnych regulaminach oraz przypadków wynikających z przepisów prawa, w tym ustaw i rozporządzeń wskazanych w § 1 punkt 4 niniejszej polityki, zezwalających na dalsze przetwarzanie danych osobowych.
§3.Stosowane środki bezpieczeństwa
- PSIM połączony jest z siecią publiczną, a stosowane przez Administratora środki organizacyjno-techniczne chronią dane osobowe przez zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
- Stosowane przez Administratora środki organizacyjno-techniczne w zakresie PSIM m.in.:
- zabezpieczają przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do PSIM;
- zabezpieczają przed utratą danych osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;
- zapewniają rejestrację każdego Użytkownika za pośrednictwem odrębnego identyfikatora, a dostęp do danych osobowych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia;
- zapewniają, że identyfikatory Użytkowników, którzy utracili uprawnienia do przetwarzania danych osobowych nie będą przydzielone innej osobie;
- zapewniają, że dane osobowe przetwarzane w PSIM zabezpieczane są przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych, a kopie te przechowywane są przez Administratora w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a po ustaniu ich użyteczności kopie te ulegają niezwłocznemu usunięciu – nie później niż w ciągu 14 dni od dnia ustania użyteczności.
- Szyfrowanie danych w celu zabezpieczenia komunikacji pomiędzy RCIM i LSI
z wykorzystaniem certyfikatów:- Certyfikat podpisu cyfrowego – wykorzystywany do podpisywania
i szyfrowania treści komunikatów; - Certyfikat serwera - wykorzystywany do identyfikacji;
- Certyfikat VPN – wykorzystywany do zapewnienia bezpiecznego kanału komunikacji SSL.
- Certyfikat podpisu cyfrowego – wykorzystywany do podpisywania
- zabezpieczenie danych poprzez wykonywanie kopii bezpieczeństwa
- Logiczne zabezpieczenia polegają na zastosowaniu standardu WS-Security, oprogramowania antywirusowego, firewall, ochronie danych oraz przepływu informacji oraz obejmują:
- kontrolę przepływu informacji pomiędzy PSIM, a siecią publiczną;
- kontrolę działań inicjowanych z sieci publicznej i PSIM.
- Kontrole wskazane w punkcie 3 powyżej wykonywane są w trybie ciągłym przez Administratora.
- Administrator stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
- Stosowane do uwierzytelniania hasła Użytkowników – przedstawicieli Administratora składają się z co najmniej z 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne.
- Administrator zapewnia, że Użytkownicy – przedstawiciele Administratora użytkujący komputery przenośne posiadające dostęp do PSIM, a tym samym danych osobowych Użytkowników zachowują szczególną ostrożność podczas jego transportu, przechowywania
i użytkowania, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. - likwidacji – pozbawia się wcześniej zapisu tych danych osobowych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
- przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych- pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
- naprawy - pozbawia się wcześniej zapisu tych danych osobowych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora.
- W RCIM - w trybie ciągłym;
- W LSI – zgodnie z Umowami z Administratorami LSI
- Administrator zapewnia, że urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
- Administrator monitoruje wdrożone zabezpieczenia PSIM:
§4.Pliki cookies
- Administrator może wykorzystywać pliki typu cookies.
- Pliki typu cookies używane są przede wszystkim, by jak najlepiej dostosować treści i funkcje PSIM do potrzeb i oczekiwań Użytkowników, w celu identyfikacji Użytkowników, a także
w celach statystycznych. - Pliki typu cookies stanowią dane informatyczne, które przechowywane są w urządzeniu Użytkownika. Pliki te mogą zawierać dane osobowe Użytkownika.
- Zgoda na wykorzystywanie plików typu cookies ma charakter dobrowolny, a Użytkownik ma
w każdej chwili możliwość zablokowania ich zapisywania, a także usunięcia zapisanych już plików typu cookies korzystając z oprogramowania dostępnego w urządzeniu Użytkownika.
§5.Przekazywanie danych podmiotom trzecim
- Administrator nie będzie sprzedawać danych osobowych Użytkowników innym podmiotom.
- W toku wykonywania usług na rzecz Użytkowników, może stać się konieczne przekazanie danych osobowych Użytkowników innym podmiotom, z którymi wiążą Administratora stosowne umowy. Nie wpłynie to na bezpieczeństwo danych osobowych Użytkowników.
- Dane Użytkowników mogą być udostępniane użytkownikom, podmiotom upoważnionym przez Użytkowników, podmiotom uprawnionym do ich otrzymania na mocy obowiązujących przepisów prawa.
z PSIM niezgodnie z niniejszym Regulaminem lub innymi regulaminami lub z obowiązującymi przepisami, Administrator może przetwarzać dane osobowe Użytkownika w zakresie niezbędnym do ustalenia odpowiedzialności Użytkownika.