Закон розуміє закон від 29 серпня 1997 року. про захист персональних даних від 29 серпня 1997 р. (зведений текст. "Законодавчий Вісник" з 2002 року. № 101, пункт 926, з поправками. ізм.).
Адміністратор персональних даних – означає власника компанії
Співробітник, який обробляє дані – співробітники адміністрації, вчителя.
Адміністратор інформаційної безпеки - особа, яка призначена директором або компанією за договором, яка відповідає за безпеку персональних даних, здійснює відповідно до законодавства обробку персональних даних у Medicus Group Sp. oo від імені ADO та визначає права осіб на обробку персональних даних, а також визнає потреби у застосовуваній безпеці.
Персональні дані– відповідно до закону за дані вважається будь-яка інформація, що стосується ідентифікованої або фізичної особи, що визначається.
Обробка даних означає будь-які операції, що виконуються
на персональні дані, такі як збір, виробництво, архівування та видалення, і ті, які виконуються в інформаційних системах.
Набір даних – будь-який структурований набір даних особистого характеру, доступний за певними критеріями.
Інформаційна система – група пристроїв, програм, процедур обробки інформації та програмних інструментів, що застосовуються для обробки даних, що взаємодіють один з одним.
Ідентифікатор користувача (логін)– послідовність символів, літерних, цифрових або інших, однозначно ідентифікує особу, уповноважену на обробку персональних даних
в інформаційній системі.
Пароль – послідовність символів, літерних, цифрових чи інших, присвоюється ідентифікатор користувача, відомий лише особі, яка уповноважена для роботи в інформаційній системі.
Аутентифікація означає дія, метою якої є перевірка заявленої ідентичності суб'єкта.
Цілісність даних означає властивість, що гарантує, що дані не були змінені або зруйновані несанкціонованим чином.
Конфіденційність даних означає власність, що гарантує, що ваші дані не доступні неуповноваженим особам.

Політика безпеки обробки персональних даних у Medicus Group Ltd, далі звана „політика безпеки", визначає основні принципи забезпечення безпеки щодо персональних даних, що обробляються
в наборах даних:
– традиційні, зокрема, архіви, книги, skorowidzach, особиста справа, списки, колекції реєстрації
– в інформаційних системах, зокрема, декларації соціального страхування, документи зарплати, стипендій, відомості податкового правопорушення, документи статистичні, організаційні плани
.

1. конфіденційність – інформація не доступна або розкрита третім, третім та процесам,
2. цілісність – дані не будуть змінені або знищені у порядку, не допущено,
3. доступність – є можливість використання їх на вимогу, у встановлений термін, уповноважена особа,
4. справжність-забезпечення того, щоб особистість суб'єкта чи ресурсу була такою, як заявлена,
5. незаперечність-участь у повному чи частковому обміні даними однією із сторін, що у цьому обміні, незаперечно,
6. надійність - передбачувана поведінки та впливу компанія
7. підзвітність - обробка згідно із законом

Політика безпеки в Medicus Group спрямована на зниження можливості виникнення негативних наслідків порушень у цій сфері, тобто порушення:
порушення персональних даних, які розуміються як приватний добробут, покладене на ТОВ Medicus Group.
порушень законодавства та інших нормативних;
втрата чи зниження репутації;
фінансових втрат, понесених унаслідок накладених штрафів;
порушення організації роботи, спричинені несправністю системи
Здійснюючи політику безпеки в галузі захисту персональних даних, компанія Medicus Group приділяє особливу увагу захисту інтересів осіб, до яких належать дані,
та, зокрема, забезпечує умови, щоб ці дані були:

1. обробляються відповідно до закону,
2. підбирають для певних, законних цілей і не піддаються подальшій обробці протизаконних дій із цією метою,
3. сутнісно правильними і адекватними стосовно мети, у якому обробляються,
4. зберігатися у формі, що дозволяє ідентифікацію суб'єктів не довше, ніж це необхідно для досягнення мети обробки.

Medicus Group Sp. z oo прагне до систематичної модернізації, що використовуються в установі інформаційних, технічних та організаційних заходів захисту цих даних для захисту персональних даних від несанкціонованого доступу, обробки з порушенням законодавства про захист персональних даних, несанкціонованої зміни, пошкодження або знищення.

За обробку персональних даних відповідно до законодавства, цілей обробки або зберігання їх у niezapewniający захисту інтересів осіб, яких ці дані стосуються загрожує кримінальна відповідальність, що випливає із норм закону про захист персональних даних або робоча на підставах, зазначених у трудовому кодексі.
Адміністратор персональних даних (ADO) – Medicus Group Sp. z o. o:

1. формулює та впроваджує технічні умови та організаційні заходи для захисту персональних даних від несанкціонованого доступу до несанкціонованого, взяли за перестановки, обробки з порушенням закону та зміни, втрати, пошкодження або знищення,
2. рішення про область, цілі та методи обробки та захисту персональних даних,
3. відповідає за законне опрацювання персональних даних у Medicus Group.
4. визначає потреби в галузі безпеки, що застосовуються, укладає в ADO
5. про затвердження запропонованих рішень та контролює правильність їх реалізації,
6. дає роз'яснення та тлумачить відповідність застосовуваних рішень щодо захисту персональних даних законодавству,
7. бере участь у підвищенні поінформованості та кваліфікації осіб, які опрацьовують персональні дані, у Medicus Group Sp. z oo та забезпечує відповідний рівень підготовки у цій галузі.
8. забезпечує безпеку обробки персональних даних в інформаційній системі відповідно до вимог закону,
9. удосконалює та розвиває методи захисту даних від загроз, пов'язаних з їх обробкою,
10. він генерує ідентифікатори користувачів ІТ-системи та знайомить їх з процедурами визначення та зміни паролів доступу,
11. курує роботи, пов'язані з розробкою, модифікацією, ремонтом та обслуговуванням системи,
12. забезпечує безпеку внутрішнього та зовнішнього обміну інформацією в мережі та захист зовнішніх посилань,
13. здійснює контроль за архівуванням наборів даних, а також захищає електронні носії інформації, що містять персональні дані.

Доступ до персональних даних може отримати лише знайомий із положеннями Закону про захист персональних даних та положеннями, викладеними у Medicus Group Sp, що діє. z o. o Політика безпеки та Інструкції з управління інформаційною системою. Особа знайома із принципами захисту даних підтверджує це у письмовій заяві. Доступ до персональних даних може мати лише особа, яка має письмові та іменні дозволи, видані ADO та ABI.

Персональні дані можуть бути надані третім і третім із законодавством або якщо достовірно обгрунтовануми необхідність їх володіння, а їх надання не порушує прав та свобод осіб, яких вони стосуються.
Обмін даних може відбуватися на письмовий запит, що містить такі елементи:

1. одержувача заяви (ADO),
2. заявник,
3. юридична основа (вказівка ​​на необхідність),
4. індикація призначення,
5. діапазон інформації

Адміністратор персональних даних відмовляється надавати дані, якщо це призведе до порушення особистих прав осіб, які належать дані або іншим людям.
Доручити даних може здійснюватися шляхом письмової угоди, в якій особа, яка приймає дані, зобов'язується дотримуватися чинних приписів закону
про захист персональних даних. Договір повинен містити інформацію про правову основу передачі даних, цілі та способи їх обробки.
Будь-яка фізична особа, дані якої обробляються у ТОВ Medicus Group, має право звернутися з проханням надати інформацію, пов'язану з обробкою цих даних, та внести до них зміни. Питання, пов'язані з наданням інформації щодо цього веде компанія Medicus Group.

Приміщення, де знаходяться оброблені набори персональних даних, завжди залишаються під безпосереднім контролем працівника, уповноваженого їх обробляти. Залишити приміщення, в яких знаходяться колекції персональних даних, має передувати передачі набору даних, щоб відповідним чином захищеного місця. Щоразу, коли ви залишаєте кімнату, вона має бути замкнена на ключ.
Ключі від шаф, у яких зберігаються персональні дані, мають лише працівники, уповноважені на обробку персональних даних обсягом, відповідно
до категорії даних.
Використання наборів персональних даних непрацюючими особами
у Medicus Group Sp. oo це має відбуватися після отримання дозволу для осіб, уповноважених обробляти ці дані на основі загальноприйнятих законів. Документація, що містить персональні дані, не може бути винесена за межі території Medicus Group.
Крім того, забороняється:

1. генерації документів, що містять персональні дані, без попереднього їх повного знищення,
2. залишення документів, копій документів, що містять персональні дані в принтерах, копіювальних апаратах,
3. залишати ключі у дверях, шафах, столах, залишати відкритих приміщень, в яких обробляються персональні дані,
4. залишати без нагляду осіб, які проживають у приміщеннях назви компанії y, в яких обробляються персональні дані,
5. залишаючи документи на столі після закінчення роботи, залишати відкриті документи на екрані монітора,
6. ігнорування невідомих осіб ззовні, що рухаються в галузі обробки персональних даних,
7. передача інформації, що є особистою інформацією стороннім особам
8. ігнорування записів безпекової політики Medicus Group Sp.

1. Випадкові загрози:
Зовнішні, наприклад, стихійні лиха, перебої в електропостачанні, їх виникнення може призвести до втрати цілісності даних або їх руйнування або пошкодження технічної інфраструктури системи: наступність порушується, проте не відбувається порушення персональних даних.
Внутрішні, наприклад, ненавмисні помилки операторів, збої обладнання, помилки програмного забезпечення – внаслідок їх розвитку може призвести до руйнування даних, може статися порушення безперервності роботи системи та порушення конфіденційності даних.
2. Умисні загрози (свідомі та навмисні порушення конфіденційності даних) –
внаслідок їх виникнення зазвичай не відбувається пошкодження технічної інфраструктури та порушення безперервності роботи. В рамках цієї категорії загроз можуть виникнути:

1. несанкціонований доступ до системи ззовні,
2. несанкціонований доступ до системи зсередини,
3. несанкціонована передача даних,
4. безпосередня загроза матеріальних компонентів, наприклад, крадіжка, знищення.

3. Обставини кваліфіковані як порушення або обґрунтована підозра на порушення безпеки інформаційної системи, в якій збираються, обробляються та архівуються дані, зокрема:
ситуації, випадкові або непередбачувані зовнішні впливи на ресурси системи, наприклад, вибух газу, пожежа, затоплення приміщень, пошкодження в результаті ремонтних робіт;
неправильне параметри навколишнього середовища, наприклад, надмірна вологість, температура, удари, вплив електромагнітного поля, перевантаження напруги;
збої обладнання або програмного забезпечення, що є цілеспрямованою дією на необхідності порушення захисту персональних даних;
поява відповідного повідомлення сигналізації від частини системи, яка забезпечує захист ресурсів або інше повідомлення про аналогічний сенс,
погіршення якості даних у системі, або інші відхилення від очікуваного стану, що вказують на порушення системи або небажані зміни у вашій системі,
порушення або спроба порушення цілісності системи або бази даних у цій системі;
модифікація даних або зміна структури даних без відповідного дозволу;
розголошення стороннім особам персональні дані або покриті таємницею процедур захисту їх обробки;
заміна або знищення носіїв з персональними даними без належного дозволу, видалення чи копіювання персональних даних незаконним чином;
кричуще порушення обов'язків щодо дотримання процедур інформаційної безпеки (невиконання роботи перед звільненням з посади, залишення даних у принтері або копіювальному апараті, невиконання резервних копій, робота з персональними даними в особистих цілях тощо);
порушення у сфері зберігання персональних даних, що знаходяться на жорстких дисках, КОМПАКТ-дисках, картах пам'яті, комп'ютерних роздруківках
у формі незабезпечених (відкриті шафи, столи, стелажі, архіви).
4. Детальні правила поведінки у разі виявлення порушення захисту персональних даних регулює Посібник з управління інформаційною системою, призначеною для збирання, обробки, архівування інформації.

1. Форми захисту приміщень, в яких обробляються персональні дані:
усі приміщення, в яких обробляються персональні дані, закриваються на ключ, у разі виїзду за останню уповноваженою особою – також у робочий час; персональні дані зберігаються у паперовому форматі або електронному вигляді (флеш-пам'ять, CD, DVD, дискети) після завершення роботи зберігаються у закритих на ключ, офісних меблях, а там, де це можливо – у сейфі.
застарілі або помилкові роздруківки, що містять персональні дані - руйнуються
в шредерах.
2. Методи захисту від несанкціонованого доступу до персональних даних:
підключення кінцевого обладнання (комп'ютера, принтера) до комп'ютерної мережі здійснюється адміністратором мережі;
надання користувачеві мережевих ресурсів, що містять персональні дані, адміністратором мережі відбувається на основі дозволу на обробку персональних даних;
ідентифікація користувача у системі здійснюється шляхом застосування аутентифікації;
призначення індивідуального ідентифікатора кожному користувачеві;
надання ключів від приміщень, у яких обробляються персональні дані лише уповноваженим особам
встановлення моніторів на робочих місцях таким чином, щоб запобігти можливості зазирнути у особисті дані;
зміна пароля кожні 30 днів;
3. Методи захисту від втрати даних внаслідок збою:
різне електроживлення комп'ютерного обладнання або використання ДБЖ;
захист від втрати даних шляхом щомісячних резервних копій;
забезпечення належної температури та вологості у приміщеннях;
застосування протипожежного захисту шляхом розміщення на доступній відстані вогнегасників.
4. Організацію захисту персональних даних здійснює шляхом:
ознайомлення кожної людини із законами Про захист персональних даних від допуску до роботи;
навчання людей у ​​галузі безпечної експлуатації обладнання та програм, пов'язаних з накопиченням, обробкою та архівуванням даних
та програм;
керування приміщеннями будівлі;
ведення обліку осіб, уповноважених для збирання, обробки
та резервного копіювання персональних даних;
призначення адміністратора інформаційної безпеки.

Правила безпечної експлуатації інформаційної системи включені
у Посібнику управління інформаційною системою, обов'язкового для ознайомлення
та використання всіма користувачами ІТ-системи.
Набори даних, що обробляються в інформаційних системах та опис структури оброблюваних персональних даних:

Політика безпеки Medicus Group Sp. z oo діє з 21 травня 2018 року.
Схвалив
Medicus Group Sp. z o.o.