Przejdź do głównej zawartości
Strona głównaO AuraMedFAQKlinikiBlogKontaktRozpocznij swoją sprawę
🇵🇱

Ustawienia interfejsu

Język

🇵🇱

Motyw

Strona głównaO AuraMedFAQKlinikiBlogKontaktRozpocznij swoją sprawę

AuraMed zapewnia przejrzystość każdemu, kto rozważa leczenie lub zabieg medyczny w Rumunii — lokalnym pacjentom, rumuńskiej diasporze i pacjentom z zagranicy — dzięki lepiej zorganizowanym przypadkom, realistycznym oczekiwaniom i łatwiejszym do skoordynowania kolejnym krokom.

Telefon

+40 750 484 004

Kontakt

contact@auramed.ro

Platforma

O AuraMedBlogFAQJak oceniamy przypadekKryteria przyjęciaKontakt

Zaufanie i bezpieczeństwo

Warunki użytkowaniaPrywatnośćZastrzeżenie medyczneBezpieczeństwo
Publiczne zasady ochrony prywatności i bezpieczeństwa dostępne

© 2026 AuraMed. Wszelkie prawa zastrzeżone.

  1. Strona główna
  2. /Bezpieczeństwo

POLITYKA BEZPIECZEŃSTWA AURAMED

Niniejsza Polityka Bezpieczeństwa („Polityka”) opisuje ogólne zasady, środki organizacyjne i techniczne oraz zasady zarządzania bezpieczeństwem mające zastosowanie do platformy AuraMed („Platforma”).

Ostatnia aktualizacja: 23 kwietnia 2026 r.Data wejścia w życie: 23 kwietnia 2026 r.

Protokół bezpieczeństwa

Artykuł 1. Cel i charakter dokumentu1Artykuł 2. Właściwe ramy prawne2Artykuł 3. Zasady bezpieczeństwa stosowane przez AuraMed3Artykuł 4. Środki techniczne i organizacyjne4Artykuł 5. Kontrola dostępu i poufność personelu5Artykuł 6. Bezpieczne projektowanie, rozwój i dostawcy6Artykuł 7. Dane medyczne i wysoki poziom ochrony7Artykuł 8. Rejestry, oceny skutków i zarządzanie8Artykuł 9. Inspektor ochrony danych i funkcja bezpieczeństwa9Artykuł 10. Monitorowanie, testowanie i ciągłe doskonalenie10Artykuł 11. Ciągłość działania, kopie zapasowe i odzyskiwanie po awarii11Artykuł 12. Zarządzanie incydentami bezpieczeństwa i naruszeniami ochrony danych12Artykuł 13. Zgłaszanie incydentów cybernetycznych w zakresie, w jakim ma zastosowanie NIS213Artykuł 14. Obowiązki użytkowników14Artykuł 15. Zgłaszanie luk15Artykuł 16. Przegląd i aktualizacja polityki

iArtykuł 1. Cel i charakter dokumentu

  • (1)Niniejsza Polityka Bezpieczeństwa („Polityka”) opisuje ogólne zasady, środki organizacyjne i techniczne oraz zasady zarządzania bezpieczeństwem mające zastosowanie do platformy AuraMed („Platforma”), prowadzonej przez PTECHIT SRL, z siedzibą przy Bdul. Mamaia Nord 14, CORP B2, Piętro 2, Apt. 38, Navodari, Powiat Konstanca, kod pocztowy 905700, Rumunia, zarejestrowaną w Rejestrze Handlowym pod nr J2025043440008, numer identyfikacji podatkowej 51988476, EUID ROONRC.J2025043440008, kontakt e-mail contact@auramed.ro, telefon +40 750 484 004.
  • (2)Polityka ma charakter informacyjny i przejrzysty oraz nie opisuje wyczerpująco wszystkich kontroli, konfiguracji, procedur wewnętrznych, architektur, logów, progów alertów, mechanizmów obronnych ani planów operacyjnych stosowanych przez AuraMed.
  • (3)AuraMed wdraża i aktualizuje środki bezpieczeństwa zgodnie z charakterem, celem, kontekstem i ryzykiem przetwarzania, a także ewolucją technologiczną, zagrożeniami i obowiązującymi zobowiązaniami prawnymi.
  • (4)Przy interpretacji i stosowaniu niniejszej Polityki AuraMed bierze pod uwagę w szczególności zasadę integralności i poufności przewidzianą w art. 5 ust. 1 lit. f RODO, ogólny obowiązek administratora przewidziany w art. 24 ust. 1-2 RODO oraz obowiązek integracji ochrony danych w fazie projektowania i domyślnie, zgodnie z art. 25 ust. 1-2 RODO.

1Artykuł 2. Właściwe ramy prawne

  • (1)Niniejsza Polityka jest interpretowana wraz z:
  • a)Rozporządzeniem (UE) 2016/679 („RODO”);
  • b)Rumuńską Ustawą nr 190/2018 w sprawie środków wdrożenia RODO;
  • c)Rumuńskim i europejskim prawodawstwem dotyczącym cyberbezpieczeństwa;
  • d)w stosownych przypadkach, prawodawstwem dotyczącym komunikacji elektronicznej, poufności, ciągłości działania i zarządzania incydentami.
  • (2)W odniesieniu do bezpieczeństwa przetwarzania danych osobowych, AuraMed bierze pod uwagę w szczególności:
  • a)Artykuł 24 RODO – odpowiedzialność administratora;
  • b)Artykuł 25 RODO – ochrona danych w fazie projektowania i domyślnie;
  • c)Artykuł 28 RODO – wybór podmiotów przetwarzających i zobowiązania umowne;
  • d)Artykuł 30 RODO – rejestry czynności przetwarzania;
  • e)Artykuł 32 RODO – bezpieczeństwo przetwarzania;
  • f)Artykuły 33-34 RODO – zgłaszanie naruszeń bezpieczeństwa;
  • g)Artykuł 35 RODO – ocena skutków dla ochrony danych;
  • h)Artykuły 37-39 RODO – inspektor ochrony danych, w stosownych przypadkach.
  • (3)W sprawach cyberbezpieczeństwa AuraMed stosuje się również do obowiązujących wymogów, w zakresie, w jakim stają się one istotne dla jej modelu operacyjnego, w tym wynikających z Dyrektywy (UE) 2022/2555 (NIS2) i jej transpozycji do prawa rumuńskiego przez Rozporządzenie Rządowe nr 155/2024, zatwierdzone Ustawą nr 124/2025.

2Artykuł 3. Zasady bezpieczeństwa stosowane przez AuraMed

  • (1)AuraMed stosuje podejście oparte na ryzyku, proporcjonalne i zorientowane na minimalizację, tak aby poziom bezpieczeństwa był odpowiedni do charakteru danych, w tym danych medycznych, skali przetwarzania, realizowanych celów i potencjalnego wpływu na osoby, których dane dotyczą.
  • (2)Środki bezpieczeństwa mają na celu kumulatywne zapewnienie:
  • a)poufności danych;
  • b)integralności danych i systemów;
  • c)dostępności usług i legalnego dostępu;
  • d)odporności infrastruktury;
  • e)wykrywania, reagowania i usuwania skutków incydentów;
  • f)możliwości śledzenia i audytu.
  • (3)AuraMed dąży również, w stosownych przypadkach, do stosowania podejścia „wszystkie zagrożenia” w odniesieniu do ryzyka cybernetycznego i operacyjnego, w tym w odniesieniu do rozwoju oprogramowania, łańcucha dostaw, ciągłości działania, luk w zabezpieczeniach i bezpiecznej komunikacji. NIS2 wymaga dokładnie proporcjonalnego podejścia opartego na ryzyku i wymienia wśród minimalnych elementów: analizę ryzyka, obsługę incydentów, ciągłość działania, bezpieczeństwo łańcucha dostaw, bezpieczne pozyskiwanie/rozwój/utrzymanie, obsługę luk i ich ujawnianie, szkolenia oraz kryptografię/tam, gdzie to stosowne, szyfrowanie.

3Artykuł 4. Środki techniczne i organizacyjne

  • (1)Zgodnie z art. 32 ust. 1 RODO, AuraMed wdraża odpowiednie środki techniczne i organizacyjne, aby zapewnić poziom bezpieczeństwa odpowiadający ryzyku.
  • (2)Środki te mogą obejmować, w stosownych przypadkach:
  • a)pseudonimizację i/lub szyfrowanie danych;
  • b)kontrolę dostępu opartą na rolach i dostęp tylko do niezbędnych informacji;
  • c)segregację środowisk programistycznych, testowych i produkcyjnych;
  • d)wzmocnioną autoryzację i, w stosownych przypadkach, uwierzytelnianie wieloskładnikowe;
  • e)monitorowanie, logowanie i audyt dostępu;
  • f)ochronę punktów końcowych, aktualizacje bezpieczeństwa i zarządzanie poprawkami;
  • g)plany tworzenia kopii zapasowych, przywracania i odzyskiwania;
  • h)okresowe testowanie skuteczności środków;
  • i)kontrole dotyczące eksportu, transferu i usuwania danych;
  • j)procedury ciągłości działania i reagowania na incydenty.
  • (3)Zgodnie z art. 32 ust. 1 lit. a-d RODO, przykłady wyraźnie przewidziane przez prawo obejmują pseudonimizację i szyfrowanie, możliwość zapewnienia ciągłej poufności, integralności, dostępności i odporności, terminowe przywrócenie dostępności i dostępu do danych oraz proces regularnego testowania, oceny i ewaluacji skuteczności środków.
  • (4)AuraMed nie gwarantuje absolutnego bezpieczeństwa, ale dąży do utrzymania odpowiedniego, zaktualizowanego i udokumentowanego poziomu ochrony zgodnie z art. 24 i 32 RODO. ANSPDCP powtarza w swojej praktyce, że brak elementarnych kontroli bezpieczeństwa i testowania skuteczności może prowadzić do sankcji na podstawie art. 24 i 32 RODO.

4Artykuł 5. Kontrola dostępu i poufność personelu

  • (1)AuraMed ogranicza dostęp do danych i systemów tylko do upoważnionych osób, które mają uzasadnioną i udokumentowaną potrzebę dostępu w celu wykonywania swoich obowiązków.
  • (2)Dostęp jest przyznawany, przeglądany i cofany zgodnie z rolami, obowiązkami, zasadą „najmniejszych uprawnień” i, w stosownych przypadkach, zasadą podziału obowiązków.
  • (3)Osoby działające pod władzą AuraMed, które mogą mieć dostęp do danych, są związane poufnością umowną, prawną lub zawodową i mogą przetwarzać dane tylko zgodnie z obowiązującymi instrukcjami i politykami.
  • (4)Artykuł 32 ust. 4 RODO wyraźnie wymaga od administratora i podmiotu przetwarzającego podjęcia kroków w celu zapewnienia, aby każda osoba działająca pod ich władzą, która ma dostęp do danych, nie przetwarzała ich inaczej niż na polecenie administratora, chyba że prawo tego wymaga.

5Artykuł 6. Bezpieczne projektowanie, rozwój i dostawcy

  • (1)AuraMed dąży do integracji bezpieczeństwa i ochrony danych od etapów projektowania, wyboru, rozwoju, konfiguracji, wdrożenia i modyfikacji Platformy, zgodnie z art. 25 ust. 1-2 RODO.
  • (2)W zakresie, w jakim AuraMed korzysta z usług IT, chmurowych, hostingowych, komunikacyjnych, bezpieczeństwa, AI, analitycznych, wsparcia lub innych odpowiednich podwykonawców, ich wybór odbywa się z uwzględnieniem ich gwarancji dotyczących bezpieczeństwa i ochrony danych.
  • (3)Gdy strona trzecia działa jako podmiot przetwarzający, AuraMed korzysta, zgodnie z art. 28 ust. 1 i 3 RODO, wyłącznie z dostawców oferujących wystarczające gwarancje i zawiera niezbędną dokumentację umowną, w tym dotyczącą poufności, środków bezpieczeństwa, podpowierzenia, pomocy w incydentach, usuwania/zwrotu i audytu.
  • (4)W zakresie, w jakim AuraMed podlega pod NIS2/Rozporządzenie Rządowe nr 155/2024, zarządzanie bezpieczeństwem będzie również obejmować wymogi dotyczące bezpieczeństwa łańcucha dostaw oraz bezpiecznego pozyskiwania, rozwoju i utrzymania, w tym obsługę luk i ich ujawnianie.

6Artykuł 7. Dane medyczne i wysoki poziom ochrony

  • (1)W zakresie, w jakim AuraMed przetwarza dane medyczne, dane te są traktowane jako dane szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO i korzystają ze wzmocnionych środków ochrony.
  • (2)AuraMed dąży do stosowania, w zależności od rzeczywistego kontekstu przetwarzania:
  • a)minimalizacji danych;
  • b)ograniczenia dostępu;
  • c)pseudonimizacji, tam gdzie to stosowne;
  • d)ograniczonego okresu przechowywania;
  • e)logicznego rozdzielenia przepływów i logów;
  • f)wzmocnionych kontroli dokumentów medycznych i poufnych rozmów.
  • (3)AuraMed dostosowuje swoje środki bezpieczeństwa do szczególnie wrażliwego charakteru danych medycznych, zgodnie z art. 9 ust. 1-2 RODO i ogólnym obowiązkiem bezpieczeństwa przewidzianym w art. 32 RODO. ANSPDCP wyraźnie stwierdza, że dane medyczne należą do kategorii szczególnych i mogą być przetwarzane tylko na warunkach określonych w art. 9 ust. 2 RODO.

7Artykuł 8. Rejestry, oceny skutków i zarządzanie

  • (1)AuraMed prowadzi, w zakresie, w jakim ma to zastosowanie, rejestry czynności przetwarzania zgodnie z art. 30 RODO i dokumentuje odpowiednie środki bezpieczeństwa i zgodności.
  • (2)Jeżeli operacja przetwarzania może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, AuraMed przeprowadza ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO przed rozpoczęciem lub rozszerzeniem takiego przetwarzania.
  • (3)Artykuł 35 RODO wskazuje, wśród typowych przypadków, przetwarzanie na dużą skalę szczególnych kategorii danych, a Europejska Rada ds. Ochrony Danych podkreśla, że DPIA jest pisemną oceną mającą na celu identyfikację ryzyka i odpowiednich zabezpieczeń. ANSPDCP zalicza DPIA do kluczowych obowiązków administratora.

8Artykuł 9. Inspektor ochrony danych i funkcja bezpieczeństwa

  • (1)AuraMed okresowo ocenia, czy obowiązuje obowiązek powołania Inspektora Ochrony Danych (IOD), zwłaszcza w odniesieniu do art. 37 ust. 1 lit. b i c RODO.
  • (2)Zgodnie z art. 37 ust. 1 RODO, powołanie IOD jest wymagane, między innymi, gdy:
  • a)podstawowe czynności polegają na regularnym i systematycznym monitorowaniu na dużą skalę; lub
  • b)podstawowe czynności polegają na przetwarzaniu na dużą skalę szczególnych kategorii danych, w tym danych medycznych.
  • (3)Jeśli IOD zostanie powołany, AuraMed zapewnia jego właściwe i terminowe zaangażowanie we wszystkie kwestie związane z ochroną danych, zgodnie z art. 38 ust. 1 i 3 RODO, a jego zadania obejmują również doradztwo w zakresie DPIA i monitorowanie zgodności, zgodnie z art. 39 ust. 1 lit. b-c RODO.

9Artykuł 10. Monitorowanie, testowanie i ciągłe doskonalenie

  • (1)AuraMed stosuje okresowe procesy sprawdzania, testowania, oceny i doskonalenia kontroli technicznych i organizacyjnych, zgodnie z art. 32 ust. 1 lit. d RODO.
  • (2)Procesy te mogą obejmować, w stosownych przypadkach:
  • a)przeglądy dostępu;
  • b)kontrole konfiguracji;
  • c)oceny podatności;
  • d)audyty wewnętrzne lub zewnętrzne;
  • e)ćwiczenia reagowania na incydenty;
  • f)kontrole kopii zapasowych i przywracania;
  • g)szkolenia i podnoszenie świadomości personelu.
  • (3)ANSPDCP wyraźnie wymienia wśród niezbędnych środków istnienie procesu regularnego testowania, oceny i ewaluacji skuteczności środków bezpieczeństwa, a NIS2 wymaga również polityk/procedur oceny skuteczności środków zarządzania ryzykiem cybernetycznym.

10Artykuł 11. Ciągłość działania, kopie zapasowe i odzyskiwanie po awarii

  • (1)AuraMed dąży do utrzymania ciągłości działania i odporności operacyjnej poprzez proporcjonalne środki tworzenia kopii zapasowych, przywracania, redundancji, odzyskiwania i zarządzania kryzysowego, w odniesieniu do charakteru świadczonych usług.
  • (2)Artykuł 32 ust. 1 lit. c RODO wymaga możliwości terminowego przywrócenia dostępności danych osobowych i dostępu do nich w przypadku incydentu fizycznego lub technicznego.
  • (3)W zakresie, w jakim ma zastosowanie NIS2/Rozporządzenie Rządowe nr 155/2024, AuraMed dąży również do integracji środków ciągłości działania, zarządzania kopiami zapasowymi, odzyskiwania po awarii i zarządzania kryzysowego, które stanowią część minimalnego rdzenia art. 21 NIS2. DNSC publikuje również dedykowane wytyczne dotyczące polityk odzyskiwania po awarii w kontekście Rozporządzenia Rządowego nr 155/2024, zatwierdzonego Ustawą nr 124/2025.

11Artykuł 12. Zarządzanie incydentami bezpieczeństwa i naruszeniami ochrony danych

  • (1)AuraMed utrzymuje wewnętrzne procedury identyfikacji, oceny, eskalacji, powstrzymywania, badania, usuwania skutków i dokumentowania incydentów bezpieczeństwa.
  • (2)AuraMed rozróżnia:
  • a)incydent cyberbezpieczeństwa/operacyjny, który wpływa lub może wpłynąć na systemy, usługi lub ciągłość działania; oraz
  • b)naruszenie ochrony danych osobowych, w rozumieniu art. 4 pkt 12 RODO, które może obejmować zniszczenie, utratę, zmianę, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych.
  • (3)W przypadku naruszenia ochrony danych osobowych, AuraMed stosuje art. 33 RODO i zgłasza je właściwemu organowi nadzorczemu bez zbędnej zwłoki, a w miarę możliwości w ciągu 72 godzin od stwierdzenia naruszenia, chyba że naruszenie prawdopodobnie nie spowoduje ryzyka naruszenia praw lub wolności osób fizycznych.
  • (4)Jeżeli naruszenie może spowodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, AuraMed przekazuje również informację o incydencie osobie, której dane dotyczą, zgodnie z art. 34 ust. 1 RODO.
  • (5)Artykuł 33 ust. 3 RODO wymaga, aby zgłoszenie zawierało co najmniej charakter naruszenia, kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz rekordów, dane kontaktowe punktu kontaktowego/IOD, możliwe konsekwencje oraz podjęte lub proponowane środki; art. 33 ust. 5 wymaga również dokumentowania wszystkich naruszeń. ANSPDCP udostępnia formularz zgłoszenia naruszenia bezpieczeństwa na podstawie RODO.

12Artykuł 13. Zgłaszanie incydentów cybernetycznych w zakresie, w jakim ma zastosowanie NIS2

  • (1)W zakresie, w jakim AuraMed podlega pod NIS2 i rumuńskie przepisy transponujące, istotne incydenty będą również zarządzane i zgłaszane zgodnie z obowiązującymi sektorowymi przepisami dotyczącymi cyberbezpieczeństwa.
  • (2)W ramach ram NIS2, podmioty objęte zakresem mają wieloetapowe obowiązki sprawozdawcze: wczesne ostrzeżenie w ciągu 24 godzin od powzięcia informacji, powiadomienie w ciągu 72 godzin i raport końcowy, zazwyczaj w ciągu miesiąca.
  • (3)Niniejsza Polityka nie stwierdza automatycznie, że AuraMed kwalifikuje się jako podmiot kluczowy lub ważny w rozumieniu NIS2/Rozporządzenia Rządowego nr 155/2024; ta kwalifikacja jest analizowana oddzielnie, w zależności od faktycznej działalności, sektora, wielkości i obowiązujących kryteriów prawnych.

13Artykuł 14. Obowiązki użytkowników

  • (1)Użytkownicy Platformy są zobowiązani do korzystania z rozsądnie bezpiecznych usług i urządzeń, ochrony danych uwierzytelniających, unikania nieautoryzowanego udostępniania kont lub linków dostępowych oraz niezwłoczne informowanie nas o podejrzeniu nieautoryzowanego użycia lub luki.
  • (2)Użytkownicy nie mogą przesyłać złośliwego kodu, próbować obchodzić zabezpieczeń, przeprowadzać nieautoryzowanych testów, scrapingu, zakazanego inżynierii wstecznej, prób eskalacji uprawnień ani podejmować innych działań, które mogą wpłynąć na dostępność, integralność lub poufność Platformy.
  • (3)AuraMed zastrzega sobie prawo do zawieszenia, ograniczenia lub zablokowania dostępu w przypadku działań stanowiących ryzyko bezpieczeństwa lub naruszających prawo lub obowiązującą dokumentację umowną.

14Artykuł 15. Zgłaszanie luk

  • (1)Jeśli zidentyfikujesz lukę, nietypowe zachowanie, niebezpieczną konfigurację lub incydent bezpieczeństwa związany z Platformą, skontaktuj się z nami pod adresem: dev@auramed.ro.
  • (2)AuraMed zachęca do odpowiedzialnego i uczciwego ujawniania luk i może analizować, weryfikować, priorytetyzować i naprawiać zgłoszone problemy w zależności od ich powagi i wpływu.
  • (3)W zakresie, w jakim ma zastosowanie NIS2, obsługa luk i ich ujawnianie należą do elementów wyraźnie wymienionych w europejskich ramach zarządzania ryzykiem cybernetycznym.

15Artykuł 16. Przegląd i aktualizacja polityki

  • (1)AuraMed może dokonywać przeglądu i aktualizacji niniejszej Polityki z przyczyn prawnych, technicznych, operacyjnych lub handlowych.
  • (2)Każda zaktualizowana wersja zostanie opublikowana na Platformie z podaniem daty ostatniej aktualizacji.
  • (3)Istotne zmiany mogą być również skorelowane ze zmianami w architekturze technicznej, dostawcach, przepływach danych, obowiązkach RODO, ramach NIS2 lub bieżących zagrożeniach cybernetycznych.