Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych
|
|
- Laura Makowska
- 8 lat temu
- Przeglądów:
Transkrypt
1 Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych PERSPEKTYWY ZMIAN ROZPORZĄDZENIA W SPRAWIE WARUNKÓW TECHNICZNO-ORGANIZACYJNYCH, JAKIM POWINNY ODPOWIADAĆ URZĄDZENIA I SYSTEMY INFORMATYCZNE SŁUŻĄCE DO PRZETWARZANIA DANYCH OSOBOWYCH. 1 Wstęp Problem zabezpieczenia danych przetwarzanych w systemach informatycznych przed zniekształceniem, utratą lub nieautoryzowanym przetwarzaniem, istnieje praktycznie od czasu, kiedy systemy te użyto do przetwarzania danych o charakterze poufnym, czyli od samego początku ich profesjonalnych zastosowań. Jego charakterystyczną cechą jest to, że wraz z rozwojem technologii informatycznej, systematycznie rośnie zagrożenie związane z bezpieczeństwem przetwarzania danych. Najczęściej wskazywanymi przyczynami takiego stanu rzeczy są: Rosnąca złożoność systemów informatycznych, Wyścig producentów oprogramowania w przekazywaniu na rynek nowych, bardziej funkcjonalnych, ale jednocześnie niewystarczająco przetestowanych pod względem bezpieczeństwa produktów, rozwój technologii internetowej i rosnące dzięki temu możliwości wymiany doświadczeń w przełamywaniu zabezpieczeń systemów komputerowych, migracja informatycznych środowisk przetwarzania danych od wyizolowanych środowisk scentralizowanych typu komputer centralny - terminal w kierunku otwartych, lokalnych środowisk sieciowych oraz Internetu. Aby stawić czoła tym rosnącym zagrożeniom nieustannie prowadzone są prace nad uszczelnianiem zarówno istniejących już systemów zabezpieczenia danych jak i opracowywaniem nowych, bardziej odpornych i skutecznych w swym działaniu systemów bezpieczeństwa. Prace te prowadzone są na wielu różnych płaszczyznach takich jak, bezpieczeństwo systemów operacyjnych, bezpieczeństwo systemów zarządzania bazami danych, bezpieczeństwo teletransmisji i wielu innych. Ich celem jest stworzenie takich warunków przetwarzania danych w systemach informatycznych, aby zagwarantować ich rozliczalność, integralność, autentyczność, poufność i dostępność rozumianą w sensie określonym przez PN-I (1). Wymienione cechy stały się warunkiem dopuszczalności stosowania technologii informatycznych w wielu zastosowaniach. Ich wprowadzenie było naturalną konsekwencją zastosowania technologii komputerowej do przetwarzania danych, których zachowanie w tajemnicy podlegało ochronie prawnej. Do zastosowań takich należy przetwarzanie danych bankowych - tajemnica bankowa, danych rachunkowych - tajemnica skarbowa, danych o stanie zdrowia - tajemnica lekarska, i wielu innych kategorii danych, nazywanych ogólnie jako dane prawnie chronione. Do kategorii tej należą również dane osobowe, które zdefiniowano jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby
2 fizycznej. Należy tutaj zaznaczyć, że w niektórych obszarach, jak np. w obszarze przetwarzania danych osobowych, jedną z przyczyn wprowadzenia prawnej ochrony poufności przetwarzania było upowszechnienie zastosowań technologii komputerowych. Technologia ta sprawiła bowiem, że oprócz zwiększenia szybkości wykonywania operacji na danych, pojawiły się również nowe, niespotykane dotąd możliwości w zakresie ich przekazywania i udostępniania. Najbardziej znaczącymi przykładami aktów prawnych, których wprowadzenie uzasadniono między innymi rozwojem technologii systemów informatycznych, są takie akty międzynarodowe jak Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych podpisana w dniu 28 stycznia 1981 r. oraz Dyrektywa 95/46/EC Parlamentu Europejskiego oraz Rady z 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tychże danych. W uzasadnieniu tych dokumentów wyraźnie wskazano na zagrożenie prywatności w wyniku zastosowań systemów informatycznych. 2 Prawne wymagania dotyczące poufności przetwarzania danych w Polsce W Polsce obowiązuje szereg ustaw, w których wyraźnie zapisano obowiązek zachowania poufności danych, pozyskanych w związku ze świadczeniem określonych usług. Niektóre z nich, jak np. ustawa o zawodzie lekarza, w której mówi się o obowiązku zachowania w tajemnicy informacji o stanie zdrowia pacjenta, mają swoją głęboką tradycję. Nakładany w nich obowiązek zachowania w tajemnicy pozyskanych informacji odnosi się zazwyczaj do osób świadczących określone usługi w sensie zakazu przekazywania tych informacji osobom postronnym, a nie w sensie zapewnienia techniczno-organizacyjnych warunków, które uniemożliwiały by ich nieuprawnione przetwarzanie. Istnieją również ustawy, jak np. ustawa o ochronie danych osobowych (2), czy ustawa o ochronie informacji niejawnych (3), które obowiązek zachowania w tajemnicy przetwarzanych danych nakładają nie tylko na osoby będące w ich posiadaniu, ale na całą infrastrukturę techniczno-organizacyjną, służącą do ich przetwarzania. Cechą charakterystyczną tych ostatnich jest to, że odnoszą się one nie tylko do ochrony poufności informacji, ale również do sposobu ich przetwarzania. Elementy te zależne są w znacznym stopniu od infrastruktury informatycznej, na którą składają się komputery, oprogramowanie systemów operacyjnych komputerów, urządzenia sieciowe, oprogramowanie zarządzania siecią, systemy zarządzania bazami danych oraz aplikacje dostarczające szereg określonych procedur i funkcji dla automatycznej obróbki danych i ich prezentacji. Zarówno w ustawie o ochronie danych osobowych, jak i w ustawie o ochronie informacji niejawnych, sformułowano szereg wymagań dotyczących autoryzacji przetwarzanych informacji, ich integralności oraz zapewnienia informacji na temat źródła jej pozyskania oraz podmiotów, którym została przekazana. Wiadomo, że w przypadku stosowania systemów informatycznych sposób przetwarzania informacji jak i sposób realizacji wymagań w zakresie realizacji niektórych wymogów silnie uzależniony jest od dostępnej w danym czasie technologii. Technologia ta bardzo szybko się zmienia co jest źródłem zarówno nowych możliwości jak i zagrożeń. Czynniki te w znacznym stopniu utrudniają możliwość prawnych uregulowań w zakresie warunków jakim powinny odpowiadać systemy informatyczne do przetwarzania danych, których obowiązek zachowania w poufności wynika z przepisów prawa. Jedną z przyczyn tych trudności jest po pierwsze brak odpowiednich standardów w zakresie kwalifikacji bezpieczeństwa systemów informatycznych, a po drugie, jeśli w niektórych zakresach standardy odpowiednie istnieją, brak stosowania w polskim systemie prawnym praktyk, polegających na odwoływaniu się do nich. Stąd też w większości aktów prawnych, zarówno rangi ustawowej jak i przepisów wykonawczych warunki, jakim powinny odpowiadać systemy informatyczne, używane do przetwarzania prawnie chronionych informacji, nie są określane w ogóle lub są mało precyzyjne. W wielu przepisach mówi się jedynie o konieczności zapewnienia odpowiedniego poziomu
3 bezpieczeństwa przetwarzanej informacji bez bliższej specyfikacji co konkretnie należy pod tym pojęciem rozumieć. Tak na przykład, w rozporządzeniu Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania zapis dotyczący obowiązku zabezpieczenia danych w przypadku gdy dane te przetwarzane są za pomocą systemu informatycznego zawarty w 3 ograniczony jest do zapisu: Zbiory informacji objętych dokumentacją mogą być sporządzane i utrwalane także na komputerowych nośnikach informacji pod warunkiem: 1) Zachowania selektywności dostępu do zbioru informacji, 2) Zabezpieczenia zbioru informacji przed dostępem osób nieuprawnionych, 3) Zabezpieczenia zbioru informacji przed zniszczeniem. Nieco szerzej, ale nadal bardzo ogólnie, wymóg dotyczący zabezpieczenia danych przetwarzanych w systemach informatycznych zawarto w ustawie o rachunkowości z dnia 19 listopada 1994 r. Jej nowelizacja z dnia 9 listopada 2000 r. wprowadza zapis dotyczący ochrony danych zawarty w art. 71 ust. 2. ograniczony do następującego sformułowania Przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach komputerowych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem. W treści wymienionych dokumentów nie podaje się ani środków ani sposobu, w jaki cele te można osiągnąć. Nie określono również żadnych minimalnych warunków, które gwarantowałyby osiągnięcie odpowiedniej skuteczności zabezpieczeń. Jednym z pierwszych dokumentów, w którym wskazano sposób, w jaki należy zabezpieczać przetwarzane dane jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych z późniejszymi zmianami zwane dalej rozporządzeniem. Jest ono wykonaniem delegacji zawartej w art. 45 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W rozporządzeniu tym wskazano podstawowe standardy niezbędne do uzyskania określonego poziomu bezpieczeństwa oraz wymieniono podstawowe cechy funkcjonalne systemu, które są niezbędne do zrealizowania wskazanych w ustawie o ochronie danych osobowych obowiązków administratora danych. Wspomniane rozporządzenie uznać można za pewnego rodzaju punkt zwrotny w kreowaniu prawa w tej dziedzinie. Wcześniejsze przepisy prawne w tym zakresie nie dawały żadnych możliwości egzekwowania działań zapobiegawczych. Brak miar w zakresie oceny stopnia bezpieczeństwa systemu informatycznego oraz warunków, jakie systemy te powinny spełniać, powodował, że formalna ocena działań administratora podjętych w zakresie zachowania poufności danych nie była możliwa. Okoliczności te powodowały, że praktycznie istniała sytuacja, w której nieprzestrzeganie prawa można było dowieść jedynie wówczas, gdy pojawiły się skutki jego naruszenia.
4 Wprowadzenie rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych spowodował, że pojawiły się realne możliwości prawnego wyegzekwowania określonych działań zapobiegawczych. Te z kolei powodują zmniejszanie się lub całkowite wyeliminowanie niebezpieczeństwa naruszenia ochrony danych. Głównym celem podejmowanych działań legislacyjnych jest bowiem niedopuszczenie do niezgodnego z prawem przetwarzania danych, a nie identyfikacja naruszeń prawa, usuwanie skutków czy też karanie odpowiedzialnych za to osób. O dużym znaczeniu wymienionego wyżej rozporządzenia świadczy również fakt, że w zakresie ochrony poufności przetwarzanych danych, odwołują się do niego inne przepisy. Do rozporządzenia tego odwołują się między innymi Rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2001 r. w sprawie gromadzenia danych osobowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru. W 3 tego rozporządzenia zapisano Do zabezpieczenia danych osobowych zgromadzonych w Rejestrze stosuje się przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 80, poz. 521), ze zmianami i uzupełnieniami wynikającymi z niniejszego rozporządzenia. Innym, również bardzo ważnym aktem prawnym, który przyczynił się do uregulowania minimalnych warunków bezpieczeństwa przetwarzania informacji w systemach informatycznych i teleinformatycznych była wspomniana już ustawa o ochronie informacji niejawnych. W rozdziale 10 tej ustawy, dotyczącym bezpieczeństwa systemów i sieci teleinformatycznych, określono zasady i warunki jakim powinna odpowiadać polityka bezpieczeństwa systemów teleinformatycznych. W wydanym do niej rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych warunki te uściślono, wskazując konkretne wymagania technologiczne odnośnie do dopuszczanych metod i środków ich realizacji. 3 Propozycje zmian warunków jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie odnoszące się do podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych opracowane było około 4 lata temu. W obszarze dotyczącym bezpieczeństwa systemów informatycznych odnosi się ono głównie do systemów scentralizowanych, w których administrator ma z reguły pełną kontrolę nad użytkownikami. W systemach takich użytkownik w celu uzyskania dostępu do przetwarzania danych musi uzyskać stosowne uprawnienia od administratora. Rozporządzenie to, już w chwili, kiedy zostało opracowane posiadało pewne nieaktualne sformułowania. Tak na przykład, w zakresie autoryzacji dostępu do danych zapisano w nim wymóg, aby użytkownik przed rozpoczęciem przetwarzania wprowadził nazwę swojego identyfikatora i hasło. Wymóg ten wprowadzono, pomimo, że już wówczas znane były inne, nie mniej skuteczne metody autoryzacji, w których dla potwierdzenia tożsamości użytkownik mógł użyć karty mikroprocesorowej, żetonu w postaci np. specjalnego kluczyka czy też odcisku palca. Nie trzeba również nikogo przekonywać, że okres czterech lat dla technologii informatycznej to okres, w którym technologia ta ulega znacznym zmianom nie tylko w zakresie mocy obliczeniowych, ale również architektury systemów informatycznych i dostępnych sposobów przetwarzania informacji. Na przeobrażenia w sposobie przetwarzania, szczególny wpływ odegrało w ostatnim okresie opracowanie i rozwój nowych języków programowania zorientowanych głównie na potrzeby w zakresie programowania interaktywnych systemów internetowych. Stąd też przygotowywany projekt
5 zmiany rozporządzenia należy uznać jako naturalne jego uaktualnienie wynikające z potrzeby uwzględnienia nowych rozwiązań. Podobne prace prowadzone są w wielu różnych krajach oraz różnych grupach i organizacjach na forum międzynarodowym. Wśród tych ostatnich można wymienić między innymi Grupę Koordynacyjną CJ-PD-CJ przy Radzie Europy, Grupę Roboczą Artykułu 29 przy Komisji Europejskiej oraz Międzynarodową Grupę Robocza zajmującą się problematyką ochrony danych osobowych w telekomunikacji (Grupa Berlińska). Do najważniejszych prac wymienionych zespołów w dziedzinie ochrony danych osobowych zaliczyć można różnego rodzaju wyjaśnienia, zalecenia, stanowiska i rekomendacje odnoszące się do ochrony danych osobowych w środowisku nowych technologii informatycznych (4,5,6,7,8). Zastosowanie tych technologii powoduje, że zmiany i uaktualnienia, jakie należy w związku z ich wdrożeniem wprowadzić dotyczą zarówno czynników organizacyjnych, jak i technicznych Propozycje zmian w zakresie wymagań organizacyjnych Jak już wspomniano wcześniej elementy bezpieczeństwa systemów informatycznych zależne są zarówno od czynnika organizacyjnego jak i od stosowanej technologii. Oczywistym jest więc fakt, że wraz ze starzeniem się technologii starzeje się polityka bezpieczeństwa. Stąd też jedną z propozycji zmian w rozporządzeniu jest zmiana odnosząca się do polityki bezpieczeństwa. Z uwagi na nieporównywalną wręcz skalę problemów związanych z zabezpieczeniem dużych, rozproszonych systemów informatycznych w porównaniu z zabezpieczeniem pojedynczych stacji roboczych zaproponowano aby: w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe pracuje w środowisku sieciowym, administrator danych obowiązany był do opracowania polityki bezpieczeństwa w formie odrębnego dokumentu obejmującego politykę bezpieczeństwa w zakresie zarządzania i eksploatacji: 1) systemów informatycznych i sieci teleinformatycznych, 2) poszczególnych systemów informatycznych, w których przetwarzane są dane osobowe, oraz w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe, zainstalowany jest na komputerze jednostanowiskowym, nie włączonym do sieci teleinformatycznej, administrator danych obowiązany był jedynie do opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji, o której mowa w dalszej części, rozszerzonej o elementy dotyczące polityki bezpieczeństwa. Wyraźnie zaznaczono jednocześnie, że: Polityka bezpieczeństwa, powinna uwzględniać w szczególności zagrożenia mogące mieć wpływ na bezpieczeństwo przetwarzania danych osobowych oraz ilość, zakres i kategorie przetwarzanych danych, Polityka bezpieczeństwa powinna być na bieżąco aktualizowana i dostosowywana do zmieniających się technologicznych warunków przetwarzania danych osobowych oraz pojawiających się nowych zagrożeń, Polityka bezpieczeństwa powinna w szczególności określić potrzeby i nakazywać działania w zakresie:
6 a) Określenia środków technicznych i organizacyjnych stosowanych w celu zabezpieczenia przetwarzanych danych, b) Monitorowania poprawności funkcjonowania wdrożonych zabezpieczeń, c) Przeprowadzania okresowych zmian i uaktualnień procedur organizacyjnych oraz wdrożonych środków technicznych i programowych, d) opracowywania i wdrażania programów szkoleń w zakresie zabezpieczeń systemów informatycznych, e) wykrywania i właściwego reagowania na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. Zaproponowano również, aby niezależnie od bieżącej weryfikacji polityki bezpieczeństwa wykonywanej na skutek wprowadzanych zmian, weryfikację taką wykonywać obligatoryjnie, co najmniej jeden raz w roku, a wynikające z niej wnioski, w formie pisemnej załączać do dokumentów określających politykę bezpieczeństwa. W opracowywanych propozycjach nowelizacji rozporządzenia sugeruje się również doprecyzować zawarte w aktualnie obowiązującym rozporządzeniu wymogi, odnoszące się do upoważnienia do przetwarzania danych osobowych wydawanego przez administratora danych oraz formy prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych, do której prowadzenia zobowiązuje art. 39 ustawy. Proponuje się, aby upoważnienie do przetwarzania danych osobowych zawierało imię i nazwisko osoby, której dotyczy oraz aby wskazywało: zakres i kategorie danych osobowych, do przetwarzania których dana osoba ma uprawnienia, oraz wykaz zbiorów danych osobowych i systemów informatycznych, do użytkowania których dana osoba ma uprawnienia. W zakresie dotyczącym sposobu prowadzenia ewidencji proponuje się zapisać wymóg aby ewidencja ta zawierała oprócz imienia, nazwiska i identyfikatora również takie informacje jak: zakres przyznanych uprawnień do przetwarzania danych osobowych w ramach poszczególnych systemów oraz okres ich obowiązywania ważności (od - do). Opracowywany projekt przewiduje także wprowadzenie dwóch kategorii stref, w których przetwarzane są dane osobowe. Dotychczas rozróżnienia takiego nie było, co komplikowało zarządzanie dostępem do obszarów, w których przetwarzane były dane osobowe. W opracowywanej propozycji przewiduje się następujące strefy: Strefa I -pomieszczenia z urządzeniami i nośnikami danych, na których zlokalizowane są zbiory danych osobowych, oraz Strefa II -pomieszczenia z urządzeniami, na których nie są zlokalizowane dane osobowe, ale które umożliwiają dostęp do tych danych poprzez sieć komputerową za pośrednictwem terminali lub stacji roboczych po wykonaniu odpowiedniej procedury autoryzacji. Przebywanie wewnątrz strefy I, osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne tylko pod warunkiem uzyskania zgody administratora danych oraz w obecności osób przez niego upoważnionych. Przebywanie wewnątrz strefy II osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne pod warunkiem uzyskania zgody administratora danych. Obydwie wymienione strefy, powinny być
7 fizycznie zabezpieczone w sposób uniemożliwiający dostęp do nich osób nieuprawnionych. W odniesieniu natomiast do komputerów przenośnych, używanych do przetwarzania danych osobowych zaproponowano, aby obligatoryjnie wprowadzić obowiązek kryptograficznej ochrony znajdujących się na nich zbiorów danych osobowych. Do warunków organizacyjnych można zaliczyć również wymagania odnoszące się do obowiązku opracowania przez administratora danych instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W projekcie przewiduje się aby instrukcja taka, oprócz dotychczas wymienionych zagadnień zawierała opis przetwarzanych zbiorów danych osobowych oraz używanych do tego celu narzędzi. Proponuje się, aby opis, o którym mowa wyżej, zawierał w szczególności: 1) Nazwy i lokalizacje zbiorów danych oraz systemów informatycznych i programów (aplikacji) użytych do ich przetwarzania. 2) Kategorie danych osobowych przetwarzanych w tych zbiorach wraz z podziałem na poszczególne aplikacje służące do ich przetwarzania. 3) Wykaz administratorów środowiska systemowego komputerów (systemu operacyjnego, systemów zabezpieczających i/lub bazy danych), w którym zlokalizowane są zbiory danych osobowych i aplikacje używane do ich przetwarzania (identyfikator, zakres uprawnień). 4) Schemat logiczny przepływu i powiązań danych osobowych pomiędzy poszczególnymi bazami (zbiorami danych), jeżeli przepływy lub powiązania takie istnieją Propozycje zmian w zakresie wymagań techniczno funkcjonalnych Cechą charakterystyczną wymagań zawartych w rozporządzeniu, dotyczącym technicznoorganizacyjnych warunków, jakim powinny odpowiadać urządzenia i systemy informatyczne używane do przetwarzania danych osobowych jest to, że poza elementami związanym z bezpieczeństwem poufności przetwarzania określają one również szereg wymagań odnoszących się do ich funkcjonalności. Uzasadnieniem tych potrzeb są ustawowo określone prawa osoby, której dane są przetwarzane, zawarte głównie w art. 32 do 35 ustawy. W aktualnie obowiązującej wersji rozporządzenia, warunki, dotyczące organizacji i funkcjonalności systemu służącego do przetwarzania danych osobowych, odnoszące się do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, zawarte są w 14. Dotyczą one, jak wspomniano we wstępie, głównie systemów o scentralizowanym zarządzaniu, gdzie administrator jest w stanie kontrolować wszystkich jego użytkowników, i w odniesieniu do których wiadomo na ogół, czyją są własnością, i przez kogo są administrowane. W opracowywanym projekcie zmian, proponuje się jedynie nieznaczne zmiany. Sugeruje się między innymi usunąć istniejący aktualnie zapis bezwzględnego stosowania hasła w procesie autoryzacji sformułowaniami bardziej ogólnymi, pokrywającymi swym zasięgiem znane obecnie, inne technologie autoryzacji, takie jak: technologia autoryzacji biometrycznej czy kryptografia. Niezależnie od wprowadzonych do 14 zmian w opracowywanym projekcie sugeruje się dodanie dodatkowego paragrafu, w którym zawarto by warunki, jakim powinny odpowiadać systemy informatyczne używane do przetwarzania danych osobowych w środowisku internetowym. Warunki te sformułowano w sposób następujący: 1. Podmiot przetwarzający dane osobowe z wykorzystaniem technologii umożliwiających przetwarzanie danych na odległość (np. usług internetowych) zobowiązany jest do stosowania takich systemów informatycznych, które zapewniają odpowiednią funkcjonalność w zakresie:
8 1) Poinformowania użytkownika w sposób łatwo dostępny i jednoznaczny o nazwie podmiotu świadczącego usługę, adresie jego siedziby, kontakcie telefonicznym, adresie poczty elektronicznej. 2) Poinformowania użytkownika o zamiarze zbierania danych osobowych. 3) Ostrzeżenia użytkownika o zamiarze zapisywania na jego stacji komputerowej jakichkolwiek informacji, które pozostawałyby w jego pamięci po zakończeniu połączenia. np. plików cookies, procedur, agentów programowych itp. 4) Ostrzeżenia użytkownika o zamiarze pobierania z jego stacji komputerowej jakichkolwiek informacji np. plików cookies, chyba, że zgoda na takie czynności zapisana jest w pliku określającym tzw. preferencje użytkownika. 5) Poinformowania użytkownika o tym, jakie kategorie danych i w jakim celu będą przetwarzane. 6) Możliwości rezygnacji użytkownika z oferowanej usługi przed rozpoczęciem przetwarzania danych. 7) Odnotowania daty wykonania operacji pozyskania danych osobowych oraz parametrów identyfikujących końcówkę abonencką (np. numer telefonu, nazwa lub numer IP komputera), z którego dane zostały pozyskane. 8) Odnotowania nazwy lub pseudonimu użytkownika wprowadzającego dane, jeżeli jego identyfikacja jest możliwa poprzez zastosowanie odpowiednich metod autoryzacji. 9) Możliwości wniesienia przez użytkownika sprzeciwu wobec przetwarzania jego danych osobowych, w przypadku, gdy dane te przetwarzane są na podstawie art. 23 ust. 1 pkt 4 i 5 ustawy, gdy dane te przetwarzane są w celach marketingowych lub przekazywane innym administratorom. 10) Poinformowania użytkownika o trybie i formie realizacji wymogów określonych w art. 32 ust.1 pkt. 6-9 ustawy. 2. Funkcjonalność, o której mowa w punkcie 1 w przypadku wykorzystywania witryn internetowych powinna być tak zrealizowana aby: 1) Informacje, o których mowa w punkcie 1.1 były zawarte bezpośrednio na stronie głównej witryny (home page) lub stronie, do której istnieje wyraźnie oznaczone odwołanie ze strony głównej. 2) Ostrzeżenia, o których mowa w punktach 1.4 i 1.5 powinny poprzedzać wykonywanie operacji, o których stanowią i umożliwić użytkownikowi rezygnację z oferowanych usług. 3) Edycja lub usuwanie danych przez osobę, której dotyczą w ramach realizacji wymogu, o którym mowa w punkcie 1.9 było poprzedzone autoryzacją użytkownika. W celu wyjaśnienia zapisów zawartych w wyżej wymienionych punktach 1.9 i 1.10, pragnę dodać, że zapisy art. 23 ust.1 pkt 4 i 5 ustawy odnoszą się do legalności przetwarzania danych osobowych i mówią, że ich przetwarzanie jest dopuszczalne wtedy, gdy: jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego - ust. 1 pkt. 4, oraz gdy: jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą - ust. 1 pkt 5. Zapisy zawarte w art. 32 ust 1 pkt. 6-9 ustawy dotyczą z kolei prawa osoby, której dane są przetwarzane do żądania od administratora
9 ich uzupełnień, korekty czy też usunięcia, w zależności od tego, jaka jest prawna podstawa legalności ich przetwarzania. 4 Wnioski Obserwując dynamikę rozwoju technologii informatycznej i ciągle pojawiające się nowe pomysły w zakresie jej zastosowań, można stwierdzić, że ich usystematyzowanie i znormalizowanie będzie problemem bardzo trudnym. Niepokojące wydają się być zjawiska, występującego w wielu obszarach zastosowań, pewnego rodzaju piractwa komputerowego. W sieciach komputerowych dystrybuowane są różnego rodzaju narzędzia, przed którymi coraz trudniej ochronić podłączone do niej komputery. Oferowane często programy, oprócz swych głównych funkcji zawierają ukryte procedury, o których użytkownik nie jest informowany. Dotyczy to głównie programów darmowych. Przykładem może być tutaj np. działalność firmy Aureate, która w swoim systemie szpiegowskim dołączanym do innych użytkowych programów dołączała biblioteki, które podczas łączenia się użytkownika z Internetem wysyłała jego dane na swój serwer. Jak wynika z badań przeprowadzonych przez Daniela Behrensa i innych (8), biblioteka ta, używając portu 1749 wysyłała na serwer firmy Aureate następujące dane: imię i nazwisko zapisane w Rejestrze Windows, numer IP komputera, adres DNS, spis oprogramowania zainstalowanego na komputerze oraz adresy URL wszystkich stron WWW i FTP, które odwiedzał użytkownik wraz z informacjami o wykonywanych czynnościach. Wśród wykonywanych przez użytkownika czynności rejestrowano: kliknięcia banerów, informacje o pobieraniu plików (nazwa i typ pliku, rozmiar, data i czas utworzenia), konfigurację połączenia Dial-Up, hasło dla Dial-Up, jeżeli było zapisane w systemie. Podobnych przykładów można znaleźć więcej. Czy wprowadzone w projektowanym rozporządzeniu zastrzeżenia w tej kwestii zostaną zaakceptowane i czy okażą się wystarczające, zależeć będzie w dużej mierze od świadomości użytkowników i ich ostrożności. Optymistyczne wydaje się to, że do akcji takich włącza się coraz więcej jednostek. Rośnie również świadomość dostawców usług internetowych w zakresie obowiązków ochrony prywatności swoich klientów. Na stronach internetowych coraz częściej znajdujemy informacje o zasadach ochrony prywatności. Jak wynika z badań CERT POLSKA (10), przeprowadzonych w porozumieniu z Biurem Generalnego Inspektora Ochrony Danych Osobowych w zakresie zabezpieczenia prywatności w usługach internetowych, środki formalno-prawne i techniczne stosowane przez największych w Polsce dostawców usług internetowych nie są wystarczające. Wiele pracy czeka dostawców różnego rodzaju usług internetowych z udoskonalaniem technologii bezpiecznej transmisji, z zapewnieniem systemom internetowym wymaganej funkcjonalności oraz budową i wdrażaniem środków wspomagających stosowanie podpisu elektronicznego. 5 Bibliografia 1. Polska Norma, PN-I Technika Informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz.U ). 3. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, (Dz.U ).
10 4. Rekomendacja Rady Europy Nr R (99) 5 z dnia 23 lutego 1999 r. dotycząca ochrony prywatności w Internecie (Recommendation No. R (99) 5 Of the Committee of Ministers to Member States for the Protection of Privacy on the Internet - Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways). 5. Rekomendacja Nr 1/99 Grupy Roboczej Artykułu 29 z dnia 23 lutego 1999 r. w sprawie ukrytych procedur automatycznego przetwarzania danych w Internecie stosowanych w oprogramowaniu i sprzęcie (Recommendation 1/99 on Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware, Working Party on the Protection of Idividuals with regard to the Processing of Personal data). 6. G. Buttarelli; Protection of personal data with regard to surveillance ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostępny jest na stronie internetowej Rady Europy pod adresem: 7. K. Neuwirth; Report on the protection of personal data with regard to the using of smart cards ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostpęny jest na stronie internetowej Rady Europy pod adresem: 8. Privacy on the Internet - An integrated EU Approach to On-line Data Protection - Dokument Grupy Roboczej Artykułu 29 przyjęty w listopadzie 2000 r. 9. Daniel Behrens i inni; Szpieg w pececie; PC World Komputer Nr 11/ Andrzej Chrząszcz, Mirosław Maj; Zabezpieczenie prywatności w usługach internetowych na przykładzie dostarczycieli darmowych kont poczty elektronicznej ; Raport CERT POLSKA dostępny na stronie
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.
Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.
Strona 1 z 5 LexPolonica nr 44431. ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Małgorzata Ziemianin Dnia 24.11.2015 roku w podmiocie o nazwie Publiczne Gimnazjum im. Henryka Brodatego w Nowogrodzie Bobrzańskim Zgodnie z ROZPORZĄDZENIEM
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator Danych Damian Cieszewski dnia 31 sierpnia 2015 r. w podmiocie o nazwie Zespół Szkół nr 1 w Pszczynie zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, 43-450 Ustroń Administrator Danych Osobowych: Wojciech Śliwka 1. PODSTAWA PRAWNA Niniejsza Polityka
Bardziej szczegółowoPolityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa
Bardziej szczegółowoBEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Magdalena Skrzypczak Magia Urody 42-215 Częstochowa, ul. Kisielewskiego 19 Maj 2018 r. Str. 1 z 9 Spis treści I. Postanowienia ogólne ---------------------------------------------------------------------------
Bardziej szczegółowoINSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO
Rozdział I 2 INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO Jakie obowiązki spoczywają na doradcach podatkowych w związku z obowiązkiem ochrony danych osobowych? Jak powinna
Bardziej szczegółowoPromotor: dr inż. Krzysztof Różanowski
Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof
Bardziej szczegółowoREGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.
REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych
Bardziej szczegółowoINSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
Załącznik nr 2 do Zarządzenia nr 6/2017 Dyrektora Szkoły Podstawowej im. Lotników Polskich w Płocicznie - Tartak z dnia 1 września 2017 roku INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator
Bardziej szczegółowoObowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych
Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych Damian Cieszewski dnia 31 sierpnia 2015 r. w podmiocie o nazwie Zespół Szkół nr 1 w Pszczynie zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)
POLITYKA BEZPIECZEŃSTWA INFORMACJI W Heksagon sp. z o.o. z siedzibą w Katowicach (nazwa Administratora Danych) 21 maja 2018 roku (data sporządzenia) Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką,
Bardziej szczegółowoPOWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia
Załącznik nr 4 do Umowy POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia. zawarta pomiędzy Powiatowym Centrum Medycznym Sp. z o.o., 05-600 Grójec, ul. Ks. Piotra Skargi 10, zwanym w
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE
Warszawa 2015-07-14 POLITYKA BEZPIECZEŃSTWA INFORMACJI Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Spis treści:
Bardziej szczegółowoZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.
ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku
POLITYKA BEZPIECZEŃSTWA INFORMACJI w CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI Kraków, 25 maja 2018 roku Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania, że dane
Bardziej szczegółowoOchrona danych osobowych w biurach rachunkowych
Ochrona danych osobowych w biurach rachunkowych w kontekście zmienianych przepisów prawa, w szczególności w zgodzie z RODO Prowadzi: Piotr Glen Ekspert ds. ochrony danych osobowych Administrator bezpieczeństwa
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Załącznik nr 1 do Zarządzenia Wójta Gminy Dąbrówka Nr 169/2016 z dnia 20 maja 2016 r. POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA
Bardziej szczegółowoPolityka bezpieczeństwa informacji
Adwokat Łukasz Waluch Kancelaria Adwokacka Polityka bezpieczeństwa informacji Zawartość I. Postanowienia ogólne...4 II. Dane osobowe przetwarzane u Administratora Danych...4 III. Obowiązki i odpowiedzialność
Bardziej szczegółowoPolityka Prywatności
Polityka Prywatności I. Informacje Ogólne 1.Niniejsza Polityka odnosi się do strony internetowej www.easymoney.com.pl, (zwanej dalej: stroną internetową ) w zakresie plików cookies, jak również innych
Bardziej szczegółowoZał. nr 2 do Zarządzenia nr 48/2010 r.
Zał. nr 2 do Zarządzenia nr 48/2010 r. Polityka bezpieczeństwa systemu informatycznego służącego do przetwarzania danych osobowych w Państwowej Wyższej Szkole Zawodowej w Gnieźnie 1 Niniejsza instrukcja
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH
Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI
POLITYKA BEZPIECZEŃSTWA INFORMACJI w Grupowej Praktyce Lekarskiej Dentystycznej Stomatologia Kozioł 23 maja 2018 roku Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH
POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH 1 Informacje ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych przez Hemet Sp. z o.o. z siedzibą w Warszawie, ul. Połczyńska 89, KRS
Bardziej szczegółowoPrzykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia
Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa*... oznaczenie administratora bezpieczeństwa informacji oraz jego adresu do korespondencji Wystąpienie o dokonanie sprawdzenia
Bardziej szczegółowoInstrukcja zarządzania systemem informatycznym STORK Szymon Małachowski
Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w sklepie internetowym www.stork3d.pl prowadzonym przez firmę STORK Szymon Małachowski Właścicielem materialnych
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM
Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W
Bardziej szczegółowo2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,
Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa
Bardziej szczegółowoBezpieczeństwo teleinformatyczne danych osobowych
Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów
Bardziej szczegółowoPolityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.
Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza
Bardziej szczegółowoZałącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności
Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI Artykuł 1. Zasada ochrony prywatności 1. Sendit SA z siedzibą we Wrocławiu, przy ul. Wagonowej 2B, jako administrator danych osobowych (zwany dalej Administratorem
Bardziej szczegółowoZastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych
Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.
POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O. 24.05.2018....................... [data sporządzenia] Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoZarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.
Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust.2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.
1 Załącznik nr 1 do Zarządzenia nr 243/09 Burmistrza Michałowa z dnia 14 września 2009 r. POLITYKA BEZPIECZEŃSTWA Rozdział I. Rozdział II. Postanowienia ogólne. Deklaracja intencji, cele i zakres polityki
Bardziej szczegółowo2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
POLITYKA BEZPIECZEŃSTWA INFORMACJI w TERVIS Sp. z o.o. ul. Marii Curie-Skłodowskiej 89B 87-100 Toruń KRS: 395894 dalej jako TERVIS Sp. z o.o. Polityka bezpieczeństwa informacji Niniejsza Polityka bezpieczeństwa,
Bardziej szczegółowoKONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO
KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych
Bardziej szczegółowoPolityka prywatności serwisu medycynapolska.pl. 1. Dane operatora serwisu :
Polityka prywatności serwisu medycynapolska.pl 1. Dane operatora serwisu : Grupa Medycyna Polska S.A. Plac Sobieskiego 2 33-100 Tarnów biuro@medycynapolska.pl 2. W trosce o bezpieczeństwo i poufność Państwa
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.
Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo
Bardziej szczegółowoPrzetwarzanie danych osobowych w przedsiębiorstwie
Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej
Bardziej szczegółowoR E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie
R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie 1. Niniejszy Regulamin został opracowany na podstawie Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych,
Bardziej szczegółowoZarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku
Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA
POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA WROCŁAW, 15 maja 2018 r. Niniejsza Polityka bezpieczeństwa, zwana dalej Polityką, została sporządzona w celu wykazania,
Bardziej szczegółowoPolityka ochrony danych osobowych. Rozdział I Postanowienia ogólne
Polityka ochrony danych osobowych Niniejsza polityka opisuje reguły i zasady ochrony danych osobowych przetwarzanych w ramach działalności gospodarczej prowadzonej przez DEIMIC SP. Z o.o. Liliowa 2 87-152
Bardziej szczegółowoROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI
Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
Bardziej szczegółowoUmowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...
Umowa nr Załącznik nr 1 do umowy z dnia Wzór umowy o ochronie danych osobowych do umowy nr... z dnia... zawarta pomiędzy Wojskową Specjalistyczną Przychodnią Lekarską SPZOZ w Braniewie, ul. Stefczyka 11
Bardziej szczegółowoDz.U Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW
Kancelaria Sejmu s. 1/5 Dz.U. 1999 Nr 18 poz. 162 ROZPORZĄDZENIE PREZESA RADY MINISTRÓW z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych. Na podstawie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA w HEBAN spółka z ograniczoną odpowiedzialnością spółka komandytowa ul. Kosocicka 7, 30-694 Kraków, KRS 0000351842, NIP 6790083459 Niniejsza polityka bezpieczeństwa, zwana dalej
Bardziej szczegółowoZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.
ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA z dnia 1 marca 2012 r. w sprawie wprowadzenia instrukcji określającej sposób zarządzania systemami informatycznymi służącymi do przetwarzania
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa
POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS Ul. Sienna 57A lok.14 00-820 Warszawa Warszawa, dnia 24 maja 2018r. 1 Niniejsza Polityka bezpieczeństwa, zwana dalej
Bardziej szczegółowoR E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE
R E G U L A M I N OCHRONY DANYCH OSOBOWYCH W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE 1 I. Postanowienia ogólne 1 1. Polityka ochrony danych osobowych w Gnieźnieńskiej Spółdzielni Mieszkaniowej
Bardziej szczegółowoSamodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach
Samodzielny Publiczny Szpital Kliniczny Nr 1 im. Prof. Stanisława Szyszko Śląskiego Uniwersytetu Medycznego w Katowicach 41-800 Zabrze, ul. 3-go Maja 13-15 http://www.szpital.zabrze.pl ; mail: sekretariat@szpital.zabrze.pl
Bardziej szczegółowoR E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu
R E G U L A M I N ochrony danych osobowych określający politykę bezpieczeństwa Spółdzielnia Mieszkaniowa Geofizyka w Toruniu Podstawa prawna: - ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA
POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW
Bardziej szczegółowoRegulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku
Regulamin w zakresie przetwarzania danych osobowych Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) 2. Ustawa z dnia 26 czerwca
Bardziej szczegółowoRozdział I Zagadnienia ogólne
Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych
Bardziej szczegółowoStosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:
Zgłoszenie zbioru do rejestracji Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008
Bardziej szczegółowoKatarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)
Katarzyna Sadło Ochrona danych osobowych w organizacjach pozarządowych Kraków, 13 grudnia 2017 (stan obecny) Podstawa prawna Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Rozporządzenie
Bardziej szczegółowoABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)
Kończąc zagłębianie się w tematykę podnoszoną w temacie artykułu nie sposób byłoby nie przedstawić instrukcji zarządzania systemem informatycznym. Poniżej materiał dotyczący tej problematyki. 1. Procedury
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE
Załącznik nr 2 do Zarządzenia nr 34/08 Wójta Gminy Kikół z dnia 2 września 2008 r. w sprawie ochrony danych osobowych w Urzędzie Gminy w Kikole, wprowadzenia dokumentacji przetwarzania danych osobowych
Bardziej szczegółowoPolityka prywatności changeinstitute.com.pl..1 Postanowienia Ogólne
Polityka prywatności changeinstitute.com.pl.1 Postanowienia Ogólne 1. Administratorem danych jest Agencja reklamowa NXT - Tomasz Madejski z siedzibą w Rybniku 44-203, ul. Prosta 135B, NIP: 642-272-62-60,
Bardziej szczegółowoPOLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA
POLITYKA PRYWATNOŚCI CZECZELEWSKA DOROTA FIRMA HANDLOWA PANDA Polityka prywatności obowiązująca w FH PANDA Dorota Czeczelewska (dalej: PANDA ) skierowana jest do Użytkowników korzystających lub zainteresowanych
Bardziej szczegółowoPolityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku
Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN Załączniki : 1. Instrukcja zarządzania systemem informatycznym
Bardziej szczegółowoZadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..
Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24
POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...
Bardziej szczegółowoZałącznik nr10 do IWZ Załącznik nr 4 do Umowy
Załącznik nr10 do IWZ Załącznik nr 4 do Umowy UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH zawarta w dniu 01.05.2018 roku w Gdyni pomiędzy: Miejskim Ośrodkiem Pomocy Społecznej w Gdyni, 81-265 Gdynia,
Bardziej szczegółowoPolityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA
Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA 1 I. CZĘŚĆ OGÓLNA 1. Podstawa prawna: a) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst
Bardziej szczegółowoOCHRONA DANYCH OSOBOWYCH
OCHRONA DANYCH OSOBOWYCH Dane osobowe Wg. Ustawy o ochronie danych osobowych: Dane osobowe każda informacja dotycząca osoby fizycznej pozwalająca na określenie tożsamości tej osoby. Przetwarzanie danych
Bardziej szczegółowoadministratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE
Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta
Bardziej szczegółowoMarcin Soczko. Agenda
System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA INFORMACJI
Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności
Bardziej szczegółowo2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej
INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM TERVIS Sp. z o.o. ul. Marii Curie-Skłodowskiej 89B 87-100 Toruń KRS: 395894 dalej jako TERVIS Sp. z o.o. Niniejsza Instrukcja zarządzania systemem informatycznym
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.
1 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K. SPIS TREŚCI I. Wprowadzenie II. Definicje III. Procedury nadawania uprawnień do Przetwarzania danych i rejestrowania tych
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW
POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW I. Podstawa prawna Polityka Bezpieczeństwa została utworzona zgodnie z wymogami zawartymi w ustawie z dnia 29 sierpnia 1997r.
Bardziej szczegółowoPOLITYKA PRYWATNOŚCI
POLITYKA PRYWATNOŚCI O nas Firma ZDROWY STYL Magda Komorowska z siedzibą w Warszawie (03-580) przy ul. Fantazyjna 24, NIP 524-26-50-555. W dalszej części Polityki Prywatności określana Firmą. Firma powołała
Bardziej szczegółowoPARTNER.
PARTNER Ochrona danych osobowych w systemach informatycznych Konferencja Nowe regulacje w zakresie ochrony danych osobowych 2 czerwca 2017 r. Katarzyna Witkowska Źródła prawa ochrony danych Ustawa z dnia
Bardziej szczegółowoZarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.
Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r. w sprawie opisu stanowiska Administratora Bezpieczeństwa Informacji. Na podstawie 2 ust. 2 Regulaminu Organizacyjnego Urzędu
Bardziej szczegółowoUmowa powierzenia przetwarzania danych osobowych,
Umowa powierzenia przetwarzania danych osobowych, zawarta w dniu.. 2018 r. w Krakowie pomiędzy: Uniwersytetem Pedagogicznym im. Komisji Edukacji Narodowej w Krakowie ul. Podchorążych 2, 30-084 Kraków zwanym
Bardziej szczegółowoZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE. z dnia 24 sierpnia 2015 r.
ZARZĄDZENIE NR 331/2015 PREZYDENTA MIASTA KIELCE z dnia 24 sierpnia 2015 r. w sprawie wymiany zasobów danych informacji przestrzennej w sieciach teleinformatycznych Na podstawie art. 14 ust. 1 ustawy z
Bardziej szczegółowoJak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik
Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.
Bardziej szczegółowoPolityka prywatności sieci klubów Forma Fitness
POLITYKA PRYWATNOŚCI Polityka prywatności sieci klubów Forma Fitness Administrator danych osobowych Administratorem danych osobowych gromadzonych za pośrednictwem strony internetowej http://formakonin.pl
Bardziej szczegółowoREGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU
REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU I. POSTANOWIENIA OGÓNE. Podstawa prawna. 1 - Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (j.t. Dz.
Bardziej szczegółowoPOLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach
Załącznik nr 1 do Zarządzenia nr 12/2006 Burmistrza Gminy Kozienice z dnia 29.12.2006 r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Podstawa
Bardziej szczegółowoRegulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.
Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r. poz. 922) Ustawa z dnia 26 czerwca
Bardziej szczegółowoSzkolenie. Ochrona danych osobowych
Szkolenie Ochrona danych osobowych Ustawa o Ochronie Danych Osobowych Art. 1. 1. Każdy ma prawo do ochrony dotyczących go danych osobowych. Art. 36a 2. Do zadań administratora ( ) należy: c) zapewnianie
Bardziej szczegółowoPROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO
PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO 1. Ilekroć w procedurze jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych
Bardziej szczegółowoRegulamin. Ochrony Danych Osobowych i Informacji w Spółdzielni Mieszkaniowej w Ciechocinku. Postanowienia Ogólne
Regulamin Ochrony Danych Osobowych i Informacji w Spółdzielni Mieszkaniowej w Ciechocinku. Postanowienia Ogólne 1. Podstawę prawną Regulaminu stanowią: Ustawa o ochronie danych osobowych z dnia 29 sierpnia
Bardziej szczegółowoZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.
ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie
Bardziej szczegółowoPolityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA
Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA I. CZĘŚĆ OGÓLNA 1 1. Podstawa prawna: a) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. (tekst
Bardziej szczegółowoPółnocno-Wschodni Klaster Edukacji Cyfrowej
Północno-Wschodni Klaster Edukacji Cyfrowej dr n. med. Ewa Kleszczewska Dyrektor Instytutu Ochrony Zdrowia Państwowej Wyższej Szkoły Zawodowej im. prof. Edwarda F. Szczepanika w Suwałkach dr Agata Wądołowska
Bardziej szczegółowoREGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE
REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE I. POSTANOWIENIA OGÓLNE 1 1. Podstawą prawną upoważniającą Spółdzielnię do gromadzenia, przetwarzania i udostępniania (w zakresie
Bardziej szczegółowoPolityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie
Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie
Bardziej szczegółowoINSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH
Załącznik do zarządzenia 6/2016 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH
Bardziej szczegółowoWarszawa, 17 marca 2014 r.
Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia)
Bardziej szczegółowo