Закон — понимает закон от 29 августа 1997 года. о защите персональных данных от 29 августа 1997 г. (сводный текст. "Законодательный Вестник" с 2002 года. № 101, пункт 926, с поправками. изм.).
Администратор Персональных Данных – означает владельца компании
Сотрудник, Обрабатывающий Данные – сотрудники администрации, учителя.
Администратор информационной безопасности - лицо, назначенное директором или компанией по договору, которое отвечает за безопасность персональных данных, осуществляет в соответствии с законодательством обработку персональных данных в Medicus Group Sp. o. o. от имени ADO и определяет права лиц на обработку персональных данных, а также признает потребности в применяемой безопасности.
Персональные данные – в соответствии с законом за данные считается любая информация, касающаяся идентифицированного или определяемому физическому лицу.
Обработка данных – означает любые операции, выполняемые
на персональные данные, такие как сбор, производство, архивирование и удаление, и те, которые выполняются в информационных системах.
Набор данных - любой структурированный набор данных личного характера, доступный по определенным критериям.
Информационная система – группа взаимодействующих друг с другом устройств, программ, процедур обработки информации и программных инструментов, применяемых для обработки данных.
Идентификатор пользователя (логин) – последовательность символов, буквенных, цифровых или других, однозначно идентифицирующий лицо, уполномоченное на обработку персональных данных
в информационной системе.
Пароль – последовательность символов, буквенных, цифровых или других, присваивается идентификатор пользователя, известный только лицу, уполномоченным для работы в информационной системе.
Аутентификация — означает действие, целью которого является проверка заявленной идентичности субъекта.
Целостность данных – означает свойство, гарантирующее, что данные не были изменены или разрушены несанкционированным образом.
Конфиденциальность данных – означает собственность, гарантирующей, что ваши данные не доступны неуполномоченным лицам.

Политика безопасности обработки персональных данных в Medicus Group Ltd, далее называемая „политика безопасности", определяет основные принципы обеспечения безопасности в отношении персональных данных, обрабатываемых
в наборах данных:
– традиционные, в частности, архивах, книгах, skorowidzach, личном деле, списках, коллекциях регистрации;
– в информационных системах, в частности, декларации социального страхования, документы зарплаты, стипендий, сведения налогового правонарушения, документы статистические, организационные планы.
Реализуя Политику информационной безопасности, обеспечивает их:

1. конфиденциальность – информация не доступна или раскрыта третьим, третьим и процессам,
2. целостность – данные не будут изменены или уничтожены в порядке, не допущено,
3. доступность – имеется возможность использования их по требованию, в установленный срок, уполномоченным лицо,
4. подлинность-обеспечение того, чтобы личность субъекта или ресурса была такой, как заявленная,
5. неоспоримость-участие в полном или частичном обмене данными одной из сторон, участвующих в этом обмене, неоспоримо,
6. надежность – предполагаемая поведения и влияния компания
7. подотчетность - обработка по закону

Политика безопасности в Medicus Group направлена на снижение возможности возникновения негативных последствий нарушений в этой сфере, то есть нарушения.:
нарушения персональных данных, понимаемых как частное благосостояние, возложенное на ООО Medicus Group.
нарушений законодательства и других нормативных;
потеря или снижение репутации;
финансовых потерь, понесенных в результате наложенных штрафов;
нарушения организации работы, вызванные неисправностью системы
Осуществляя политику безопасности в области защиты персональных данных, компания Medicus Group уделяет особое внимание защите интересов лиц, к которым относятся данные,
и, в частности, обеспечивает условия, чтобы эти данные были:

1. обрабатываются в соответствии с законом,
2. подбирают для определенных, законных целей и не подвергаются дальнейшей обработке противозаконных действий с этими целями,
3. по существу правильными и адекватными по отношению к цели, в каком обрабатываются,
4. храниться в форме, позволяющей идентификацию субъектов, не дольше, чем это необходимо для достижения цели обработки.

Medicus Group Sp. z o. o. стремится к систематической модернизации, используемых в учреждении информационных, технических и организационных мер по защите этих данных для защиты персональных данных от несанкционированного доступа, обработки с нарушением законодательства о защите персональных данных, несанкционированного изменения, повреждения или уничтожения.

За обработку персональных данных в соответствии с законодательством, целями обработки или хранения их в niezapewniający защиты интересов лиц, которых эти данные касаются грозит уголовная ответственность, вытекающая из норм закона о защите персональных данных или рабочая на основаниях, указанных в трудовом кодексе.
Администратор Персональных Данных (ADO) – Medicus Group Sp. z o. o:

1. формулирует и внедряет технические условия и организационные меры для защиты персональных данных от несанкционированного доступа несанкционированного, взяли по перестановки, обработки с нарушением закона и изменения, утраты, повреждения или уничтожения,
2. решение об области, целях и методах обработки и защиты персональных данных,
3. отвечает за законную обработку персональных данных в Medicus Group.
4. определяет потребности в области безопасности, применяемых, заключает в ADO
5. об утверждении предложенных решений и контролирует правильность их реализации,
6. дает разъяснения и толкует соответствие применяемых решений по защите персональных данных законодательству,
7. принимает участие в повышении информированности и квалификации лиц, обрабатывающих персональные данные, в Medicus Group Sp. z o. o. и обеспечивает соответствующий уровень подготовки в этой области.
8. обеспечивает безопасность обработки персональных данных в информационной системе в соответствии с требованиями закона,
9. совершенствует и развивает методы защиты данных от угроз, связанных с их обработкой,
10. он генерирует идентификаторы пользователей ИТ-системы и знакомит их с процедурами определения и изменения паролей доступа,
11. курирует работы, связанные с разработкой, модификацией, ремонтом и обслуживанием системы,
12. обеспечивает безопасность внутреннего и внешнего обмена информацией в сети и защита внешних ссылок,
13. осуществляет контроль архивирования наборов данных, а также защищает электронные носители информации, содержащие персональные данные.

Доступ к персональным данным может получить только знакомый
с положениями Закона о защите персональных данных и положениями, изложенными
в действующей в Medicus Group Sp. z o. o Политике безопасности
и Инструкций по управлению информационной системой. Лицо знакома с принципами защиты данных подтверждает это в письменном заявлении. Доступ к персональным данным может иметь только лицо, имеющее письменные и именные разрешения, выданного ADO и ABI.

Персональные данные могут быть предоставлены третьим и третьим с законодательством или если достоверно uzasadnią необходимость их владения, а их предоставление не нарушает прав и свобод лиц, которых они касаются.
Обмен данных может происходить на письменный запрос, содержащий следующие элементы:

1. получателя заявления (ADO),
2. заявитель,
3. юридическая основа (указание на необходимость),
4. индикация назначения,
5. диапазон информации

Администратор Персональных Данных отказывается предоставить данные, если это приведет к нарушению личных прав лиц, которые относятся данные или других людей.
Поручить данных может осуществляться путем письменного соглашения, в котором лицо, принимающая данные, обязуется соблюдать действующие предписания закона
о защите персональных данных. Договор должен содержать информацию о правовой основе передачи данных, целях и способах их обработки.
Любое физическое лицо, данные которого обрабатываются в ООО Medicus Group, имеет право обратиться с просьбой предоставить информацию, связанную с обработкой этих данных, и внести в них изменения. Вопросы, связанные с предоставлением информации в этом отношении ведет компания Medicus Group.

Помещения, в которых находятся обработанные наборы персональных данных, всегда остаются под непосредственным контролем сотрудника, уполномоченного их обрабатывать. Покинуть помещения, в которых находятся коллекции персональных данных должно предшествовать передаче набора данных, чтобы соответствующим образом защищенного места. Каждый раз, когда вы покидаете комнату, она должна быть заперта на ключ.
Ключи от шкафов, в которых хранятся персональные данные, имеют только сотрудники, уполномоченные на обработку персональных данных в объеме, в соответствии
с категорией данных.
Использование наборов персональных данных неработающими лицами
в Medicus Group Sp. o. o. это должно происходить после получения разрешения для лиц, уполномоченных обрабатывать эти данные на основе общепринятых законов. Документация, содержащая персональные данные, не может быть вынесена за пределы территории Medicus Group.. Лица, осуществляющие документацию, обязаны незамедлительно уведомить ООО Medicus Group о подозрении в доступе к документации посторонними лицами.
Кроме того, запрещается:

1. генерации документов, содержащих персональные данные, без предварительного их полного уничтожения,
2. оставление документов, копий документов, содержащих персональные данные в принтерах, копировальных аппаратах,
3. оставлять ключи в дверях, шкафах, столах, оставлять открытых помещений, в которых обрабатываются персональные данные,
4. оставлять без надзора лиц, проживающих в помещениях название компании y, в которых обрабатываются персональные данные,
5. оставляя документы на столе после окончания работы, оставлять открытые документы на экране монитора,
6. игнорирования неизвестных лиц извне, движущихся в области обработки персональных данных,
7. передача информации, являющейся личной информацией посторонним лицам
8. игнорирование записей политики безопасности Medicus Group Sp.

1. Случайные угрозы:
Внешние, например, стихийные бедствия, перебои в электроснабжении, их возникновение может привести к потере целостности данных или их разрушению или повреждению технической инфраструктуры системы: преемственность нарушается, однако не происходит нарушения персональных данных.
Внутренние, например, непреднамеренные ошибки операторов, сбои оборудования, ошибки программного обеспечения – в результате их развития может привести к разрушению данных, может произойти нарушение непрерывности работы системы и нарушения конфиденциальности данных.
2. Преднамеренные угрозы (сознательные и преднамеренные нарушения конфиденциальности данных) –
в результате их возникновения обычно не происходит повреждения технической инфраструктуры и нарушения непрерывности работы. В рамках этой категории угроз могут возникнуть:

1. несанкционированный доступ к системе извне,
2. несанкционированный доступ к системе изнутри,
3. несанкционированная передача данных,
4. непосредственная угроза материальных компонентов, например, кража, уничтожение.

3. Обстоятельства квалифицированы как нарушение или обоснованное подозрение на нарушение безопасности информационной системы, в которой собираются, обрабатываются и архивируются данные, в частности, :
ситуации, случайные или непредсказуемые внешние воздействия на ресурсы системы, например, взрыв газа, пожар, затопление помещений, повреждение в результате проводимых ремонтных работ;
неправильное параметры окружающей среды, например, чрезмерная влажность, температура, удары, воздействия электромагнитного поля, перегрузки напряжения;
сбои оборудования или программного обеспечения, которые являются целенаправленным действием на необходимости нарушения защиты персональных данных;
появление соответствующего сообщения сигнализации от части системы, которая обеспечивает защиту ресурсов или другое сообщение об аналогичном смысле,
ухудшение качества данных в системе, или другие отклонения от ожидаемого состояния, указывающие на нарушения системы или нежелательные изменения в вашей системе,
нарушение или попытка нарушения целостности системы или базы данных в этой системе;
модификация данных или изменение в структуре данных без соответствующего разрешения;
разглашение посторонним лицам персональные данные или покрыты тайной процедур защиты их обработки;
замена или уничтожение носителей с персональными данными без надлежащего разрешения, удаление или копирование персональных данных незаконным образом;
вопиющее нарушение обязанностей по соблюдению процедур информационной безопасности (невыполнение работы перед уходом с должности, оставление данных в принтере или копировальном аппарате, неисполнение резервных копий, работа с персональными данными в личных целях и т.д.).);
нарушения в области хранения персональных данных, находящихся на жестких дисках, КОМПАКТ-дисках, картах памяти, компьютерных распечатках
в форме необеспеченных (открытые шкафы, столы, стеллажи, архивы).
4. Подробные правила поведения в случае обнаружения нарушения защиты персональных данных регулирует Руководство по управлению информационной системой, предназначенной для сбора, обработки, архивирования информации.

1. Формы защиты помещений, в которых обрабатываются персональные данные:
все помещения, в которых обрабатываются персональные данные, закрываются на ключ, в случае выезда за последнюю уполномоченным лицом – также в рабочее время.
персональные данные хранятся в бумажном формате или электронном виде (флэш-память, CD, DVD, дискеты) после завершения работы хранятся в закрываемых на ключ, офисной мебели, а там, где это возможно – в сейфе.
устаревшие или ошибочные распечатки, содержащие персональные данные – разрушаются
в шредерах.
2. Методы защиты от несанкционированного доступа к персональным данным:
подключение конечного оборудования (компьютера, принтера) к компьютерной сети осуществляется администратором сети;
предоставления пользователю сетевых ресурсов, содержащих персональные данные, администратором сети происходит на основе разрешения на обработку персональных данных;
идентификация пользователя в системе осуществляется путем применения аутентификации;
назначение индивидуального идентификатора каждому пользователю;
предоставление ключей от помещений, в которых обрабатываются персональные данные только уполномоченным лицам
установка мониторов на рабочих местах таким образом, чтобы предотвратить возможность заглянуть в личные данные;
смена пароля каждые 30 дней;
3. Методы защиты от потери данных в результате сбоя:
различное электропитание компьютерного оборудования или использование ИБП;
защита от потери данных путем ежемесячных резервных копий;
обеспечение надлежащей температуры и влажности в помещениях;
применение противопожарной защиты путем размещения на доступном расстоянии огнетушителей.
4. Организацию защиты персональных данных осуществляет путем:
ознакомление каждого человека с законами О защите персональных данных от допуска к работе;
обучение людей в области безопасной эксплуатации оборудования и программ, связанных с накоплением, обработкой и архивированием данных
и программ;
управление помещениями здания;
ведение учета лиц, уполномоченных для сбора, обработки
и резервного копирования персональных данных;
назначение администратора информационной безопасности.

Правила безопасной эксплуатации информационной системы включены
в Руководстве управления информационной системой, обязательного для ознакомления
и использования всеми пользователями ИТ-системы.
Наборы данных, обрабатываемых в информационных системах и описание структуры обрабатываемых персональных данных:

Политика Безопасности Medicus Group Sp. z o. o. действует начиная с 21 мая 2018 года.
Одобрил
ООО Medicus Group