Polityka bezpieczeństwa informacji

 

§1.Postanowienia ogólne

 

  1. Administratorem danych osobowych przetwarzanych w PSIM jest Marszałek Województwa Podkarpackiego z siedzibą w Urzędzie Marszałkowskim Województwa Podkarpackiego
    z siedzibą w Rzeszowie al. Łukasza Cieplińskiego 4, 35-010 Rzeszów, tel. 17 850 17 00,
    fax. 17 850 17 01, urzad@podkarpackie.pl, www.podkarpackie.pl.
  2. Inspektorem ochrony danych w Urzędzie Marszałkowskim Województwa Podkarpackiego jest Pani Małgorzata Krysińska-Żmuda,
    telefon: (17) 747 68 11, adres e-mail: m.krysinska@podkarpackie.pl
  3. Użytkownik portalu PSIM wyraża zgodę na przetwarzanie danych osobowych. Zgoda jest dobrowolna. Użytkownik ma prawo cofnąć zgodę w każdym czasie (dane przetwarzane są do czasu cofnięcia zgody) co jest równoznaczne z usunięciem konta użytkownika z portalu. Użytkownik ma prawo dostępu do danych, sprostowania, usunięcia, prawo sprzeciwu, prawo wniesienia skargi do organu nadzorczego.
  4. Administrator danych osobowych powierza Administratorowi RCIM w drodze umowy zawartej na piśmie przetwarzanie danych osobowych w ramach PSIM w zakresie warstwy regionalnej,
    a Administratorom LSI powierza przetwarzanie danych osobowych w ramach PSIM w zakresie warstwy lokalnej. Administrator RCIM i Administratorzy LSI stosują postanowienia niniejszej polityki w zakresie w jakim przetwarzają oni dane osobowe na cele związane
    z funkcjonowaniem PSIM. W zakresie w jakim Administrator RCIM i Administratorzy LSI uzyskają dostęp do danych osobowych przetwarzanych w ramach PSIM, a nie objętych zakresem w jakim dane te podlegają ich administrowaniu – zarówno Administrator RCIM jak
    i Administratorzy LSI stosują standardy bezpieczeństwa zgodne z niniejszą polityką.
  5. Niniejsza polityka stanowi wykonanie wymogów wynikających z:
    1. rozporządzenia Parlamentu Europejskiego I Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
    2. Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
    3. ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych;
    4. rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
    5. ustawy z dnia 28 kwietnia 2011 r. o systemie informacji o ochronie zdrowia;
    6. ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
  6. W zakresie nieuregulowanym niniejszą polityką zastosowanie mają odpowiednio postanowienia aktów normatywnych wskazanych w punkcie 4 powyżej.
  7. Do niniejszej polityki stosuje się pojęcia zdefiniowane w Regulaminie.
  8. W celu realizacji wymogów przepisów prawa Administrator zapewnia poufność, dostępność
    i integralność danych osobowych, w tym dobiera i stosuje odpowiednie środki techniczne
    i organizacyjne zapewniające ochronę przetwarzanych danych osobowych oraz zabezpiecza dane osobowe przed ich udostępnieniem osobom nieupoważnionym, jak również przed ich przetwarzaniem z naruszeniem obowiązujących przepisów prawa. Administrator zapewnia stałą kontrolę nad procesem przetwarzania danych osobowych.
  9. Dane przetwarzane w PSIM podlegają ochronie na poziomie wysokim, o którym mowa
    w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
  10. Ochrona danych osobowych stosowana przez Administratora obejmuje wszystkie dane osobowe, którymi dysponuje Administrator - w stopniu równomiernym.

 

§2.Zasady przetwarzania danych osobowych

 

  1. Dane osobowe są gromadzone przez Administratora w następujących modułach danych:
    1. RCIM
    2. LSI
  2. Samo przeglądanie zawartości PSIM, nie połączone z zakładaniem konta Użytkownika, nie wymaga podawania przez Użytkownika danych osobowych.
  3. Zamawianie usług PSIM możliwe jest tylko po założeniu konta Użytkownika zgodnie z zasadami określonymi w niniejszym Regulaminie lub innych odrębnych regulaminach, którego założenie powoduje już konieczność podania przez Użytkownika danych osobowych.
  4. Podstawą przetwarzania danych osobowych przez Administratora jest zgoda Użytkowników, jak również ustawowe upoważnienie do przetwarzania danych osobowych Użytkowników
    w celu umożliwienia im korzystania z funkcji PSIM, a także w celu realizacji zamówień na usługi PSIM (określone w niniejszym Regulaminie lub w innych odrębnych regulaminach) oraz podmiotów powiązanych z Administratorem i realizacji tych usług oraz upoważnienie do przetwarzania danych osobowych Użytkowników w celu realizacji przez Administratora jego prawnie usprawiedliwionych celów.
  5. Przez podanie swoich danych osobowych w toku zakładania konta przez Użytkownika w PSIM, zamawianiu usług PSIM oraz zaznaczenie właściwego okienka w toku procesu zakładania konta, Użytkownik dokonuje akceptacji niniejszego Regulaminu, którego załącznikiem jest niniejsza polityka. Tym samym Użytkownik wyraża zgodę na przetwarzanie jego danych osobowych w zakresie wskazanym w oświadczeniu i w związku z korzystaniem z PSIM.
  6. Podanie jakichkolwiek danych osobowych ma charakter dobrowolny. Podanie danych wymaganych w procesie zakładania konta oraz zamawiania usług jest konieczne do prawidłowego wykonywania usług przez PSIM oraz rejestracji konta w ramach PSIM. Użytkownik w każdym czasie ma prawo dostępu do treści swoich danych oraz ich poprawiania.
  7. Administrator nie przetwarza danych osobowych na cele marketingowe.
  8. Administrator będzie przetwarzać wyłącznie te dane, które są konieczne do prawidłowego wykonania usług w ramach PSIM, jak również dla zrealizowania uprawnień wynikających
    z przepisów obowiązującego prawa, w celu przekazywania określonych ustawowo danych na rzecz podmiotów określonych w ustawach wskazanych w § 1 punkt 4 niniejszej polityki, rozpatrzenia ewentualnych reklamacji.
  9. Zgłoszenie przez użytkownika żądania usunięcia przez Administratora jego danych osobowych, jest równoznaczne z likwidacją konta w PSIM oraz usunięciem danych osobowych użytkownika za wyjątkiem przypadków opisanych w odrębnych regulaminach oraz przypadków wynikających z przepisów prawa, w tym ustaw i rozporządzeń wskazanych w § 1 punkt 4 niniejszej polityki, zezwalających na dalsze przetwarzanie danych osobowych.

 

§3.Stosowane środki bezpieczeństwa

 

  1. PSIM połączony jest z siecią publiczną, a stosowane przez Administratora środki organizacyjno-techniczne chronią dane osobowe przez zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem.
  2. Stosowane przez Administratora środki organizacyjno-techniczne w zakresie PSIM m.in.:
    1. zabezpieczają przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do PSIM;
    2. zabezpieczają przed utratą danych osobowych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej;
    3. zapewniają rejestrację każdego Użytkownika za pośrednictwem odrębnego identyfikatora, a dostęp do danych osobowych jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia;
    4. zapewniają, że identyfikatory Użytkowników, którzy utracili uprawnienia do przetwarzania danych osobowych nie będą przydzielone innej osobie;
    5. zapewniają, że dane osobowe przetwarzane w PSIM zabezpieczane są przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych, a kopie te przechowywane są przez Administratora w sposób zabezpieczający je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a po ustaniu ich użyteczności kopie te ulegają niezwłocznemu usunięciu – nie później niż w ciągu 14 dni od dnia ustania użyteczności.
    6. Szyfrowanie danych w celu zabezpieczenia komunikacji pomiędzy RCIM i LSI
      z wykorzystaniem certyfikatów:
      1. Certyfikat podpisu cyfrowego – wykorzystywany do podpisywania
        i szyfrowania treści komunikatów;
      2. Certyfikat serwera - wykorzystywany do identyfikacji;
      3. Certyfikat VPN – wykorzystywany do zapewnienia bezpiecznego kanału komunikacji SSL.
    7. zabezpieczenie danych poprzez wykonywanie kopii bezpieczeństwa
  3. Logiczne zabezpieczenia polegają na zastosowaniu standardu WS-Security, oprogramowania antywirusowego, firewall, ochronie danych oraz przepływu informacji oraz obejmują:
  4. kontrolę przepływu informacji pomiędzy PSIM, a siecią publiczną;
  5. kontrolę działań inicjowanych z sieci publicznej i PSIM.
  6. Kontrole wskazane w punkcie 3 powyżej wykonywane są w trybie ciągłym przez Administratora.
  7. Administrator stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.
  8. Stosowane do uwierzytelniania hasła Użytkowników – przedstawicieli Administratora składają się z co najmniej z 8 znaków, zawierających małe i wielkie litery oraz cyfry lub znaki specjalne.
  9. Administrator zapewnia, że Użytkownicy – przedstawiciele Administratora użytkujący komputery przenośne posiadające dostęp do PSIM, a tym samym danych osobowych Użytkowników zachowują szczególną ostrożność podczas jego transportu, przechowywania
    i użytkowania, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
  10. likwidacji – pozbawia się wcześniej zapisu tych danych osobowych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;
  11. przekazania podmiotowi nieuprawnionemu do przetwarzania danych osobowych- pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;
  12. naprawy - pozbawia się wcześniej zapisu tych danych osobowych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora.
  13. W RCIM - w trybie ciągłym;
  14. W LSI – zgodnie z Umowami z Administratorami LSI
  15. Administrator zapewnia, że urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:
  16. Administrator monitoruje wdrożone zabezpieczenia PSIM:

 

§4.Pliki cookies

 

  1. Administrator może wykorzystywać pliki typu cookies.
  2. Pliki typu cookies używane są przede wszystkim, by jak najlepiej dostosować treści i funkcje PSIM do potrzeb i oczekiwań Użytkowników, w celu identyfikacji Użytkowników, a także
    w celach statystycznych.
  3. Pliki typu cookies stanowią dane informatyczne, które przechowywane są w urządzeniu Użytkownika. Pliki te mogą zawierać dane osobowe Użytkownika.
  4. Zgoda na wykorzystywanie plików typu cookies ma charakter dobrowolny, a Użytkownik ma
    w każdej chwili możliwość zablokowania ich zapisywania, a także usunięcia zapisanych już plików typu cookies korzystając z oprogramowania dostępnego w urządzeniu Użytkownika.

 

§5.Przekazywanie danych podmiotom trzecim

 

  1. Administrator nie będzie sprzedawać danych osobowych Użytkowników innym podmiotom.
  2. W toku wykonywania usług na rzecz Użytkowników, może stać się konieczne przekazanie danych osobowych Użytkowników innym podmiotom, z którymi wiążą Administratora stosowne umowy. Nie wpłynie to na bezpieczeństwo danych osobowych Użytkowników.
  3. Dane Użytkowników mogą być udostępniane użytkownikom, podmiotom upoważnionym przez Użytkowników, podmiotom uprawnionym do ich otrzymania na mocy obowiązujących przepisów prawa.
W przypadku uzyskania przez Administratora wiadomości o korzystaniu przez Użytkownika
z PSIM niezgodnie z niniejszym Regulaminem lub innymi regulaminami lub z obowiązującymi przepisami, Administrator może przetwarzać dane osobowe Użytkownika w zakresie niezbędnym do ustalenia odpowiedzialności Użytkownika.