Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych A_Kaczmarek@giodo.gov.pl"

Transkrypt

1 Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych PERSPEKTYWY ZMIAN ROZPORZĄDZENIA W SPRAWIE WARUNKÓW TECHNICZNO-ORGANIZACYJNYCH, JAKIM POWINNY ODPOWIADAĆ URZĄDZENIA I SYSTEMY INFORMATYCZNE SŁUŻĄCE DO PRZETWARZANIA DANYCH OSOBOWYCH. 1 Wstęp Problem zabezpieczenia danych przetwarzanych w systemach informatycznych przed zniekształceniem, utratą lub nieautoryzowanym przetwarzaniem, istnieje praktycznie od czasu, kiedy systemy te użyto do przetwarzania danych o charakterze poufnym, czyli od samego początku ich profesjonalnych zastosowań. Jego charakterystyczną cechą jest to, że wraz z rozwojem technologii informatycznej, systematycznie rośnie zagrożenie związane z bezpieczeństwem przetwarzania danych. Najczęściej wskazywanymi przyczynami takiego stanu rzeczy są: Rosnąca złożoność systemów informatycznych, Wyścig producentów oprogramowania w przekazywaniu na rynek nowych, bardziej funkcjonalnych, ale jednocześnie niewystarczająco przetestowanych pod względem bezpieczeństwa produktów, rozwój technologii internetowej i rosnące dzięki temu możliwości wymiany doświadczeń w przełamywaniu zabezpieczeń systemów komputerowych, migracja informatycznych środowisk przetwarzania danych od wyizolowanych środowisk scentralizowanych typu komputer centralny - terminal w kierunku otwartych, lokalnych środowisk sieciowych oraz Internetu. Aby stawić czoła tym rosnącym zagrożeniom nieustannie prowadzone są prace nad uszczelnianiem zarówno istniejących już systemów zabezpieczenia danych jak i opracowywaniem nowych, bardziej odpornych i skutecznych w swym działaniu systemów bezpieczeństwa. Prace te prowadzone są na wielu różnych płaszczyznach takich jak, bezpieczeństwo systemów operacyjnych, bezpieczeństwo systemów zarządzania bazami danych, bezpieczeństwo teletransmisji i wielu innych. Ich celem jest stworzenie takich warunków przetwarzania danych w systemach informatycznych, aby zagwarantować ich rozliczalność, integralność, autentyczność, poufność i dostępność rozumianą w sensie określonym przez PN-I (1). Wymienione cechy stały się warunkiem dopuszczalności stosowania technologii informatycznych w wielu zastosowaniach. Ich wprowadzenie było naturalną konsekwencją zastosowania technologii komputerowej do przetwarzania danych, których zachowanie w tajemnicy podlegało ochronie prawnej. Do zastosowań takich należy przetwarzanie danych bankowych - tajemnica bankowa, danych rachunkowych - tajemnica skarbowa, danych o stanie zdrowia - tajemnica lekarska, i wielu innych kategorii danych, nazywanych ogólnie jako dane prawnie chronione. Do kategorii tej należą również dane osobowe, które zdefiniowano jako wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby

2 fizycznej. Należy tutaj zaznaczyć, że w niektórych obszarach, jak np. w obszarze przetwarzania danych osobowych, jedną z przyczyn wprowadzenia prawnej ochrony poufności przetwarzania było upowszechnienie zastosowań technologii komputerowych. Technologia ta sprawiła bowiem, że oprócz zwiększenia szybkości wykonywania operacji na danych, pojawiły się również nowe, niespotykane dotąd możliwości w zakresie ich przekazywania i udostępniania. Najbardziej znaczącymi przykładami aktów prawnych, których wprowadzenie uzasadniono między innymi rozwojem technologii systemów informatycznych, są takie akty międzynarodowe jak Konwencja nr 108 Rady Europy o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych podpisana w dniu 28 stycznia 1981 r. oraz Dyrektywa 95/46/EC Parlamentu Europejskiego oraz Rady z 24 października 1995 r. o ochronie osób w związku z przetwarzaniem danych osobowych oraz o swobodnym obiegu tychże danych. W uzasadnieniu tych dokumentów wyraźnie wskazano na zagrożenie prywatności w wyniku zastosowań systemów informatycznych. 2 Prawne wymagania dotyczące poufności przetwarzania danych w Polsce W Polsce obowiązuje szereg ustaw, w których wyraźnie zapisano obowiązek zachowania poufności danych, pozyskanych w związku ze świadczeniem określonych usług. Niektóre z nich, jak np. ustawa o zawodzie lekarza, w której mówi się o obowiązku zachowania w tajemnicy informacji o stanie zdrowia pacjenta, mają swoją głęboką tradycję. Nakładany w nich obowiązek zachowania w tajemnicy pozyskanych informacji odnosi się zazwyczaj do osób świadczących określone usługi w sensie zakazu przekazywania tych informacji osobom postronnym, a nie w sensie zapewnienia techniczno-organizacyjnych warunków, które uniemożliwiały by ich nieuprawnione przetwarzanie. Istnieją również ustawy, jak np. ustawa o ochronie danych osobowych (2), czy ustawa o ochronie informacji niejawnych (3), które obowiązek zachowania w tajemnicy przetwarzanych danych nakładają nie tylko na osoby będące w ich posiadaniu, ale na całą infrastrukturę techniczno-organizacyjną, służącą do ich przetwarzania. Cechą charakterystyczną tych ostatnich jest to, że odnoszą się one nie tylko do ochrony poufności informacji, ale również do sposobu ich przetwarzania. Elementy te zależne są w znacznym stopniu od infrastruktury informatycznej, na którą składają się komputery, oprogramowanie systemów operacyjnych komputerów, urządzenia sieciowe, oprogramowanie zarządzania siecią, systemy zarządzania bazami danych oraz aplikacje dostarczające szereg określonych procedur i funkcji dla automatycznej obróbki danych i ich prezentacji. Zarówno w ustawie o ochronie danych osobowych, jak i w ustawie o ochronie informacji niejawnych, sformułowano szereg wymagań dotyczących autoryzacji przetwarzanych informacji, ich integralności oraz zapewnienia informacji na temat źródła jej pozyskania oraz podmiotów, którym została przekazana. Wiadomo, że w przypadku stosowania systemów informatycznych sposób przetwarzania informacji jak i sposób realizacji wymagań w zakresie realizacji niektórych wymogów silnie uzależniony jest od dostępnej w danym czasie technologii. Technologia ta bardzo szybko się zmienia co jest źródłem zarówno nowych możliwości jak i zagrożeń. Czynniki te w znacznym stopniu utrudniają możliwość prawnych uregulowań w zakresie warunków jakim powinny odpowiadać systemy informatyczne do przetwarzania danych, których obowiązek zachowania w poufności wynika z przepisów prawa. Jedną z przyczyn tych trudności jest po pierwsze brak odpowiednich standardów w zakresie kwalifikacji bezpieczeństwa systemów informatycznych, a po drugie, jeśli w niektórych zakresach standardy odpowiednie istnieją, brak stosowania w polskim systemie prawnym praktyk, polegających na odwoływaniu się do nich. Stąd też w większości aktów prawnych, zarówno rangi ustawowej jak i przepisów wykonawczych warunki, jakim powinny odpowiadać systemy informatyczne, używane do przetwarzania prawnie chronionych informacji, nie są określane w ogóle lub są mało precyzyjne. W wielu przepisach mówi się jedynie o konieczności zapewnienia odpowiedniego poziomu

3 bezpieczeństwa przetwarzanej informacji bez bliższej specyfikacji co konkretnie należy pod tym pojęciem rozumieć. Tak na przykład, w rozporządzeniu Ministra Zdrowia z dnia 10 sierpnia 2001 r. w sprawie rodzajów dokumentacji medycznej w zakładach opieki zdrowotnej, sposobu jej prowadzenia oraz szczegółowych warunków jej udostępniania zapis dotyczący obowiązku zabezpieczenia danych w przypadku gdy dane te przetwarzane są za pomocą systemu informatycznego zawarty w 3 ograniczony jest do zapisu: Zbiory informacji objętych dokumentacją mogą być sporządzane i utrwalane także na komputerowych nośnikach informacji pod warunkiem: 1) Zachowania selektywności dostępu do zbioru informacji, 2) Zabezpieczenia zbioru informacji przed dostępem osób nieuprawnionych, 3) Zabezpieczenia zbioru informacji przed zniszczeniem. Nieco szerzej, ale nadal bardzo ogólnie, wymóg dotyczący zabezpieczenia danych przetwarzanych w systemach informatycznych zawarto w ustawie o rachunkowości z dnia 19 listopada 1994 r. Jej nowelizacja z dnia 9 listopada 2000 r. wprowadza zapis dotyczący ochrony danych zawarty w art. 71 ust. 2. ograniczony do następującego sformułowania Przy prowadzeniu ksiąg rachunkowych przy użyciu komputera ochrona danych powinna polegać na stosowaniu odpornych na zagrożenia nośników danych, na doborze stosownych środków ochrony zewnętrznej, na systematycznym tworzeniu rezerwowych kopii zbiorów danych zapisanych na nośnikach komputerowych, pod warunkiem zapewnienia trwałości zapisu informacji systemu rachunkowości, przez czas nie krótszy od wymaganego do przechowywania ksiąg rachunkowych, oraz na zapewnieniu ochrony programów komputerowych i danych systemu informatycznego rachunkowości, poprzez stosowanie odpowiednich rozwiązań programowych i organizacyjnych, chroniących przed nieupoważnionym dostępem lub zniszczeniem. W treści wymienionych dokumentów nie podaje się ani środków ani sposobu, w jaki cele te można osiągnąć. Nie określono również żadnych minimalnych warunków, które gwarantowałyby osiągnięcie odpowiedniej skuteczności zabezpieczeń. Jednym z pierwszych dokumentów, w którym wskazano sposób, w jaki należy zabezpieczać przetwarzane dane jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych z późniejszymi zmianami zwane dalej rozporządzeniem. Jest ono wykonaniem delegacji zawartej w art. 45 pkt 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W rozporządzeniu tym wskazano podstawowe standardy niezbędne do uzyskania określonego poziomu bezpieczeństwa oraz wymieniono podstawowe cechy funkcjonalne systemu, które są niezbędne do zrealizowania wskazanych w ustawie o ochronie danych osobowych obowiązków administratora danych. Wspomniane rozporządzenie uznać można za pewnego rodzaju punkt zwrotny w kreowaniu prawa w tej dziedzinie. Wcześniejsze przepisy prawne w tym zakresie nie dawały żadnych możliwości egzekwowania działań zapobiegawczych. Brak miar w zakresie oceny stopnia bezpieczeństwa systemu informatycznego oraz warunków, jakie systemy te powinny spełniać, powodował, że formalna ocena działań administratora podjętych w zakresie zachowania poufności danych nie była możliwa. Okoliczności te powodowały, że praktycznie istniała sytuacja, w której nieprzestrzeganie prawa można było dowieść jedynie wówczas, gdy pojawiły się skutki jego naruszenia.

4 Wprowadzenie rozporządzenia w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne, służące do przetwarzania danych osobowych spowodował, że pojawiły się realne możliwości prawnego wyegzekwowania określonych działań zapobiegawczych. Te z kolei powodują zmniejszanie się lub całkowite wyeliminowanie niebezpieczeństwa naruszenia ochrony danych. Głównym celem podejmowanych działań legislacyjnych jest bowiem niedopuszczenie do niezgodnego z prawem przetwarzania danych, a nie identyfikacja naruszeń prawa, usuwanie skutków czy też karanie odpowiedzialnych za to osób. O dużym znaczeniu wymienionego wyżej rozporządzenia świadczy również fakt, że w zakresie ochrony poufności przetwarzanych danych, odwołują się do niego inne przepisy. Do rozporządzenia tego odwołują się między innymi Rozporządzenie Ministra Sprawiedliwości z dnia 11 czerwca 2001 r. w sprawie gromadzenia danych osobowych w Krajowym Rejestrze Karnym oraz usuwania tych danych z Rejestru. W 3 tego rozporządzenia zapisano Do zabezpieczenia danych osobowych zgromadzonych w Rejestrze stosuje się przepisy rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 80, poz. 521), ze zmianami i uzupełnieniami wynikającymi z niniejszego rozporządzenia. Innym, również bardzo ważnym aktem prawnym, który przyczynił się do uregulowania minimalnych warunków bezpieczeństwa przetwarzania informacji w systemach informatycznych i teleinformatycznych była wspomniana już ustawa o ochronie informacji niejawnych. W rozdziale 10 tej ustawy, dotyczącym bezpieczeństwa systemów i sieci teleinformatycznych, określono zasady i warunki jakim powinna odpowiadać polityka bezpieczeństwa systemów teleinformatycznych. W wydanym do niej rozporządzeniu Prezesa Rady Ministrów z dnia 25 lutego 1999 r. w sprawie podstawowych wymagań bezpieczeństwa systemów i sieci teleinformatycznych warunki te uściślono, wskazując konkretne wymagania technologiczne odnośnie do dopuszczanych metod i środków ich realizacji. 3 Propozycje zmian warunków jakim powinny odpowiadać systemy informatyczne służące do przetwarzania danych osobowych Rozporządzenie odnoszące się do podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych opracowane było około 4 lata temu. W obszarze dotyczącym bezpieczeństwa systemów informatycznych odnosi się ono głównie do systemów scentralizowanych, w których administrator ma z reguły pełną kontrolę nad użytkownikami. W systemach takich użytkownik w celu uzyskania dostępu do przetwarzania danych musi uzyskać stosowne uprawnienia od administratora. Rozporządzenie to, już w chwili, kiedy zostało opracowane posiadało pewne nieaktualne sformułowania. Tak na przykład, w zakresie autoryzacji dostępu do danych zapisano w nim wymóg, aby użytkownik przed rozpoczęciem przetwarzania wprowadził nazwę swojego identyfikatora i hasło. Wymóg ten wprowadzono, pomimo, że już wówczas znane były inne, nie mniej skuteczne metody autoryzacji, w których dla potwierdzenia tożsamości użytkownik mógł użyć karty mikroprocesorowej, żetonu w postaci np. specjalnego kluczyka czy też odcisku palca. Nie trzeba również nikogo przekonywać, że okres czterech lat dla technologii informatycznej to okres, w którym technologia ta ulega znacznym zmianom nie tylko w zakresie mocy obliczeniowych, ale również architektury systemów informatycznych i dostępnych sposobów przetwarzania informacji. Na przeobrażenia w sposobie przetwarzania, szczególny wpływ odegrało w ostatnim okresie opracowanie i rozwój nowych języków programowania zorientowanych głównie na potrzeby w zakresie programowania interaktywnych systemów internetowych. Stąd też przygotowywany projekt

5 zmiany rozporządzenia należy uznać jako naturalne jego uaktualnienie wynikające z potrzeby uwzględnienia nowych rozwiązań. Podobne prace prowadzone są w wielu różnych krajach oraz różnych grupach i organizacjach na forum międzynarodowym. Wśród tych ostatnich można wymienić między innymi Grupę Koordynacyjną CJ-PD-CJ przy Radzie Europy, Grupę Roboczą Artykułu 29 przy Komisji Europejskiej oraz Międzynarodową Grupę Robocza zajmującą się problematyką ochrony danych osobowych w telekomunikacji (Grupa Berlińska). Do najważniejszych prac wymienionych zespołów w dziedzinie ochrony danych osobowych zaliczyć można różnego rodzaju wyjaśnienia, zalecenia, stanowiska i rekomendacje odnoszące się do ochrony danych osobowych w środowisku nowych technologii informatycznych (4,5,6,7,8). Zastosowanie tych technologii powoduje, że zmiany i uaktualnienia, jakie należy w związku z ich wdrożeniem wprowadzić dotyczą zarówno czynników organizacyjnych, jak i technicznych Propozycje zmian w zakresie wymagań organizacyjnych Jak już wspomniano wcześniej elementy bezpieczeństwa systemów informatycznych zależne są zarówno od czynnika organizacyjnego jak i od stosowanej technologii. Oczywistym jest więc fakt, że wraz ze starzeniem się technologii starzeje się polityka bezpieczeństwa. Stąd też jedną z propozycji zmian w rozporządzeniu jest zmiana odnosząca się do polityki bezpieczeństwa. Z uwagi na nieporównywalną wręcz skalę problemów związanych z zabezpieczeniem dużych, rozproszonych systemów informatycznych w porównaniu z zabezpieczeniem pojedynczych stacji roboczych zaproponowano aby: w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe pracuje w środowisku sieciowym, administrator danych obowiązany był do opracowania polityki bezpieczeństwa w formie odrębnego dokumentu obejmującego politykę bezpieczeństwa w zakresie zarządzania i eksploatacji: 1) systemów informatycznych i sieci teleinformatycznych, 2) poszczególnych systemów informatycznych, w których przetwarzane są dane osobowe, oraz w przypadku, gdy system informatyczny, w którym przetwarzane są dane osobowe, zainstalowany jest na komputerze jednostanowiskowym, nie włączonym do sieci teleinformatycznej, administrator danych obowiązany był jedynie do opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji, o której mowa w dalszej części, rozszerzonej o elementy dotyczące polityki bezpieczeństwa. Wyraźnie zaznaczono jednocześnie, że: Polityka bezpieczeństwa, powinna uwzględniać w szczególności zagrożenia mogące mieć wpływ na bezpieczeństwo przetwarzania danych osobowych oraz ilość, zakres i kategorie przetwarzanych danych, Polityka bezpieczeństwa powinna być na bieżąco aktualizowana i dostosowywana do zmieniających się technologicznych warunków przetwarzania danych osobowych oraz pojawiających się nowych zagrożeń, Polityka bezpieczeństwa powinna w szczególności określić potrzeby i nakazywać działania w zakresie:

6 a) Określenia środków technicznych i organizacyjnych stosowanych w celu zabezpieczenia przetwarzanych danych, b) Monitorowania poprawności funkcjonowania wdrożonych zabezpieczeń, c) Przeprowadzania okresowych zmian i uaktualnień procedur organizacyjnych oraz wdrożonych środków technicznych i programowych, d) opracowywania i wdrażania programów szkoleń w zakresie zabezpieczeń systemów informatycznych, e) wykrywania i właściwego reagowania na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. Zaproponowano również, aby niezależnie od bieżącej weryfikacji polityki bezpieczeństwa wykonywanej na skutek wprowadzanych zmian, weryfikację taką wykonywać obligatoryjnie, co najmniej jeden raz w roku, a wynikające z niej wnioski, w formie pisemnej załączać do dokumentów określających politykę bezpieczeństwa. W opracowywanych propozycjach nowelizacji rozporządzenia sugeruje się również doprecyzować zawarte w aktualnie obowiązującym rozporządzeniu wymogi, odnoszące się do upoważnienia do przetwarzania danych osobowych wydawanego przez administratora danych oraz formy prowadzenia ewidencji osób zatrudnionych przy przetwarzaniu danych, do której prowadzenia zobowiązuje art. 39 ustawy. Proponuje się, aby upoważnienie do przetwarzania danych osobowych zawierało imię i nazwisko osoby, której dotyczy oraz aby wskazywało: zakres i kategorie danych osobowych, do przetwarzania których dana osoba ma uprawnienia, oraz wykaz zbiorów danych osobowych i systemów informatycznych, do użytkowania których dana osoba ma uprawnienia. W zakresie dotyczącym sposobu prowadzenia ewidencji proponuje się zapisać wymóg aby ewidencja ta zawierała oprócz imienia, nazwiska i identyfikatora również takie informacje jak: zakres przyznanych uprawnień do przetwarzania danych osobowych w ramach poszczególnych systemów oraz okres ich obowiązywania ważności (od - do). Opracowywany projekt przewiduje także wprowadzenie dwóch kategorii stref, w których przetwarzane są dane osobowe. Dotychczas rozróżnienia takiego nie było, co komplikowało zarządzanie dostępem do obszarów, w których przetwarzane były dane osobowe. W opracowywanej propozycji przewiduje się następujące strefy: Strefa I -pomieszczenia z urządzeniami i nośnikami danych, na których zlokalizowane są zbiory danych osobowych, oraz Strefa II -pomieszczenia z urządzeniami, na których nie są zlokalizowane dane osobowe, ale które umożliwiają dostęp do tych danych poprzez sieć komputerową za pośrednictwem terminali lub stacji roboczych po wykonaniu odpowiedniej procedury autoryzacji. Przebywanie wewnątrz strefy I, osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne tylko pod warunkiem uzyskania zgody administratora danych oraz w obecności osób przez niego upoważnionych. Przebywanie wewnątrz strefy II osób nieuprawnionych do przetwarzania danych osobowych, powinno być dopuszczalne pod warunkiem uzyskania zgody administratora danych. Obydwie wymienione strefy, powinny być

7 fizycznie zabezpieczone w sposób uniemożliwiający dostęp do nich osób nieuprawnionych. W odniesieniu natomiast do komputerów przenośnych, używanych do przetwarzania danych osobowych zaproponowano, aby obligatoryjnie wprowadzić obowiązek kryptograficznej ochrony znajdujących się na nich zbiorów danych osobowych. Do warunków organizacyjnych można zaliczyć również wymagania odnoszące się do obowiązku opracowania przez administratora danych instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. W projekcie przewiduje się aby instrukcja taka, oprócz dotychczas wymienionych zagadnień zawierała opis przetwarzanych zbiorów danych osobowych oraz używanych do tego celu narzędzi. Proponuje się, aby opis, o którym mowa wyżej, zawierał w szczególności: 1) Nazwy i lokalizacje zbiorów danych oraz systemów informatycznych i programów (aplikacji) użytych do ich przetwarzania. 2) Kategorie danych osobowych przetwarzanych w tych zbiorach wraz z podziałem na poszczególne aplikacje służące do ich przetwarzania. 3) Wykaz administratorów środowiska systemowego komputerów (systemu operacyjnego, systemów zabezpieczających i/lub bazy danych), w którym zlokalizowane są zbiory danych osobowych i aplikacje używane do ich przetwarzania (identyfikator, zakres uprawnień). 4) Schemat logiczny przepływu i powiązań danych osobowych pomiędzy poszczególnymi bazami (zbiorami danych), jeżeli przepływy lub powiązania takie istnieją Propozycje zmian w zakresie wymagań techniczno funkcjonalnych Cechą charakterystyczną wymagań zawartych w rozporządzeniu, dotyczącym technicznoorganizacyjnych warunków, jakim powinny odpowiadać urządzenia i systemy informatyczne używane do przetwarzania danych osobowych jest to, że poza elementami związanym z bezpieczeństwem poufności przetwarzania określają one również szereg wymagań odnoszących się do ich funkcjonalności. Uzasadnieniem tych potrzeb są ustawowo określone prawa osoby, której dane są przetwarzane, zawarte głównie w art. 32 do 35 ustawy. W aktualnie obowiązującej wersji rozporządzenia, warunki, dotyczące organizacji i funkcjonalności systemu służącego do przetwarzania danych osobowych, odnoszące się do zapewnienia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych, zawarte są w 14. Dotyczą one, jak wspomniano we wstępie, głównie systemów o scentralizowanym zarządzaniu, gdzie administrator jest w stanie kontrolować wszystkich jego użytkowników, i w odniesieniu do których wiadomo na ogół, czyją są własnością, i przez kogo są administrowane. W opracowywanym projekcie zmian, proponuje się jedynie nieznaczne zmiany. Sugeruje się między innymi usunąć istniejący aktualnie zapis bezwzględnego stosowania hasła w procesie autoryzacji sformułowaniami bardziej ogólnymi, pokrywającymi swym zasięgiem znane obecnie, inne technologie autoryzacji, takie jak: technologia autoryzacji biometrycznej czy kryptografia. Niezależnie od wprowadzonych do 14 zmian w opracowywanym projekcie sugeruje się dodanie dodatkowego paragrafu, w którym zawarto by warunki, jakim powinny odpowiadać systemy informatyczne używane do przetwarzania danych osobowych w środowisku internetowym. Warunki te sformułowano w sposób następujący: 1. Podmiot przetwarzający dane osobowe z wykorzystaniem technologii umożliwiających przetwarzanie danych na odległość (np. usług internetowych) zobowiązany jest do stosowania takich systemów informatycznych, które zapewniają odpowiednią funkcjonalność w zakresie:

8 1) Poinformowania użytkownika w sposób łatwo dostępny i jednoznaczny o nazwie podmiotu świadczącego usługę, adresie jego siedziby, kontakcie telefonicznym, adresie poczty elektronicznej. 2) Poinformowania użytkownika o zamiarze zbierania danych osobowych. 3) Ostrzeżenia użytkownika o zamiarze zapisywania na jego stacji komputerowej jakichkolwiek informacji, które pozostawałyby w jego pamięci po zakończeniu połączenia. np. plików cookies, procedur, agentów programowych itp. 4) Ostrzeżenia użytkownika o zamiarze pobierania z jego stacji komputerowej jakichkolwiek informacji np. plików cookies, chyba, że zgoda na takie czynności zapisana jest w pliku określającym tzw. preferencje użytkownika. 5) Poinformowania użytkownika o tym, jakie kategorie danych i w jakim celu będą przetwarzane. 6) Możliwości rezygnacji użytkownika z oferowanej usługi przed rozpoczęciem przetwarzania danych. 7) Odnotowania daty wykonania operacji pozyskania danych osobowych oraz parametrów identyfikujących końcówkę abonencką (np. numer telefonu, nazwa lub numer IP komputera), z którego dane zostały pozyskane. 8) Odnotowania nazwy lub pseudonimu użytkownika wprowadzającego dane, jeżeli jego identyfikacja jest możliwa poprzez zastosowanie odpowiednich metod autoryzacji. 9) Możliwości wniesienia przez użytkownika sprzeciwu wobec przetwarzania jego danych osobowych, w przypadku, gdy dane te przetwarzane są na podstawie art. 23 ust. 1 pkt 4 i 5 ustawy, gdy dane te przetwarzane są w celach marketingowych lub przekazywane innym administratorom. 10) Poinformowania użytkownika o trybie i formie realizacji wymogów określonych w art. 32 ust.1 pkt. 6-9 ustawy. 2. Funkcjonalność, o której mowa w punkcie 1 w przypadku wykorzystywania witryn internetowych powinna być tak zrealizowana aby: 1) Informacje, o których mowa w punkcie 1.1 były zawarte bezpośrednio na stronie głównej witryny (home page) lub stronie, do której istnieje wyraźnie oznaczone odwołanie ze strony głównej. 2) Ostrzeżenia, o których mowa w punktach 1.4 i 1.5 powinny poprzedzać wykonywanie operacji, o których stanowią i umożliwić użytkownikowi rezygnację z oferowanych usług. 3) Edycja lub usuwanie danych przez osobę, której dotyczą w ramach realizacji wymogu, o którym mowa w punkcie 1.9 było poprzedzone autoryzacją użytkownika. W celu wyjaśnienia zapisów zawartych w wyżej wymienionych punktach 1.9 i 1.10, pragnę dodać, że zapisy art. 23 ust.1 pkt 4 i 5 ustawy odnoszą się do legalności przetwarzania danych osobowych i mówią, że ich przetwarzanie jest dopuszczalne wtedy, gdy: jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego - ust. 1 pkt. 4, oraz gdy: jest niezbędne do wypełnienia prawnie usprawiedliwionych celów administratorów danych, lub osób trzecich, którym są przekazywane te dane - a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą - ust. 1 pkt 5. Zapisy zawarte w art. 32 ust 1 pkt. 6-9 ustawy dotyczą z kolei prawa osoby, której dane są przetwarzane do żądania od administratora

9 ich uzupełnień, korekty czy też usunięcia, w zależności od tego, jaka jest prawna podstawa legalności ich przetwarzania. 4 Wnioski Obserwując dynamikę rozwoju technologii informatycznej i ciągle pojawiające się nowe pomysły w zakresie jej zastosowań, można stwierdzić, że ich usystematyzowanie i znormalizowanie będzie problemem bardzo trudnym. Niepokojące wydają się być zjawiska, występującego w wielu obszarach zastosowań, pewnego rodzaju piractwa komputerowego. W sieciach komputerowych dystrybuowane są różnego rodzaju narzędzia, przed którymi coraz trudniej ochronić podłączone do niej komputery. Oferowane często programy, oprócz swych głównych funkcji zawierają ukryte procedury, o których użytkownik nie jest informowany. Dotyczy to głównie programów darmowych. Przykładem może być tutaj np. działalność firmy Aureate, która w swoim systemie szpiegowskim dołączanym do innych użytkowych programów dołączała biblioteki, które podczas łączenia się użytkownika z Internetem wysyłała jego dane na swój serwer. Jak wynika z badań przeprowadzonych przez Daniela Behrensa i innych (8), biblioteka ta, używając portu 1749 wysyłała na serwer firmy Aureate następujące dane: imię i nazwisko zapisane w Rejestrze Windows, numer IP komputera, adres DNS, spis oprogramowania zainstalowanego na komputerze oraz adresy URL wszystkich stron WWW i FTP, które odwiedzał użytkownik wraz z informacjami o wykonywanych czynnościach. Wśród wykonywanych przez użytkownika czynności rejestrowano: kliknięcia banerów, informacje o pobieraniu plików (nazwa i typ pliku, rozmiar, data i czas utworzenia), konfigurację połączenia Dial-Up, hasło dla Dial-Up, jeżeli było zapisane w systemie. Podobnych przykładów można znaleźć więcej. Czy wprowadzone w projektowanym rozporządzeniu zastrzeżenia w tej kwestii zostaną zaakceptowane i czy okażą się wystarczające, zależeć będzie w dużej mierze od świadomości użytkowników i ich ostrożności. Optymistyczne wydaje się to, że do akcji takich włącza się coraz więcej jednostek. Rośnie również świadomość dostawców usług internetowych w zakresie obowiązków ochrony prywatności swoich klientów. Na stronach internetowych coraz częściej znajdujemy informacje o zasadach ochrony prywatności. Jak wynika z badań CERT POLSKA (10), przeprowadzonych w porozumieniu z Biurem Generalnego Inspektora Ochrony Danych Osobowych w zakresie zabezpieczenia prywatności w usługach internetowych, środki formalno-prawne i techniczne stosowane przez największych w Polsce dostawców usług internetowych nie są wystarczające. Wiele pracy czeka dostawców różnego rodzaju usług internetowych z udoskonalaniem technologii bezpiecznej transmisji, z zapewnieniem systemom internetowym wymaganej funkcjonalności oraz budową i wdrażaniem środków wspomagających stosowanie podpisu elektronicznego. 5 Bibliografia 1. Polska Norma, PN-I Technika Informatyczna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych - Pojęcia i modele bezpieczeństwa systemów informatycznych. 2. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz.U ). 3. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych, (Dz.U ).

10 4. Rekomendacja Rady Europy Nr R (99) 5 z dnia 23 lutego 1999 r. dotycząca ochrony prywatności w Internecie (Recommendation No. R (99) 5 Of the Committee of Ministers to Member States for the Protection of Privacy on the Internet - Guidelines for the protection of individuals with regard to the collection and processing of personal data on information highways). 5. Rekomendacja Nr 1/99 Grupy Roboczej Artykułu 29 z dnia 23 lutego 1999 r. w sprawie ukrytych procedur automatycznego przetwarzania danych w Internecie stosowanych w oprogramowaniu i sprzęcie (Recommendation 1/99 on Invisible and Automatic Processing of Personal Data on the Internet Performed by Software and Hardware, Working Party on the Protection of Idividuals with regard to the Processing of Personal data). 6. G. Buttarelli; Protection of personal data with regard to surveillance ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostępny jest na stronie internetowej Rady Europy pod adresem: 7. K. Neuwirth; Report on the protection of personal data with regard to the using of smart cards ; Reaport opracowany na zlecenie Grupy Projektowej w Zakresie Ochrony Danych (CD-PD) przy Rady Europy; Raport dostpęny jest na stronie internetowej Rady Europy pod adresem: 8. Privacy on the Internet - An integrated EU Approach to On-line Data Protection - Dokument Grupy Roboczej Artykułu 29 przyjęty w listopadzie 2000 r. 9. Daniel Behrens i inni; Szpieg w pececie; PC World Komputer Nr 11/ Andrzej Chrząszcz, Mirosław Maj; Zabezpieczenie prywatności w usługach internetowych na przykładzie dostarczycieli darmowych kont poczty elektronicznej ; Raport CERT POLSKA dostępny na stronie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. Dz.U.2004.100.1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl SPIS TREŚCI I. POSTANOWIENIA OGÓLNE... 2 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI... 2 III. ZAKRES STOSOWANIA...

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Gminna Biblioteka Publiczna w Zakrzówku ul. Żeromskiego 24 B, 23 213 Zakrzówek tel/fax: (81) 821 50 36 biblioteka@zakrzowek.gmina.pl www.gbp.zakrzowek.gmina.pl INSTRUKCJA ZARZĄDZANIA Obowiązuje od: 01

Bardziej szczegółowo

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych

Bardziej szczegółowo

Promotor: dr inż. Krzysztof Różanowski

Promotor: dr inż. Krzysztof Różanowski Warszawska Wyższa Szkoła Informatyki Prezentacja do obrony pracy dyplomowej: Wzorcowa polityka bezpieczeństwa informacji dla organizacji zajmującej się testowaniem oprogramowania. Promotor: dr inż. Krzysztof

Bardziej szczegółowo

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, Wskazówki dotyczące sposobu opracowania instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE Chruślina 19-03-2015r. 1 POLITYKA BEZPIECZEŃSTWA Administrator Danych Dyrektor Szkoły Podstawowej w Chruślinie Dnia 10-03-2015r.

Bardziej szczegółowo

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa*... oznaczenie administratora bezpieczeństwa informacji oraz jego adresu do korespondencji Wystąpienie o dokonanie sprawdzenia

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie. I Podstawa prawna: 1. Ustawa z dnia 29.08.1997 roku o ochronie danych osobowych

Bardziej szczegółowo

Bezpieczeństwo teleinformatyczne danych osobowych

Bezpieczeństwo teleinformatyczne danych osobowych Bezpieczna Firma Bezpieczeństwo teleinformatyczne danych osobowych Andrzej Guzik stopień trudności System informatyczny, w którym przetwarza się dane osobowe, powinien oprócz wymagań wynikających z przepisów

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Warszawa 2015-07-14 POLITYKA BEZPIECZEŃSTWA INFORMACJI Zgodnie z Ustawą o ochronie danych osobowych (Dz.U. 2014 poz. 1182) 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE Spis treści:

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA Administrator Danych... Imię i nazwisko właściciela firmy Dnia... data wdrożenia w przedsiębiorstwie o nazwie... Nazwa przedsiębiorstwa Zgodnie z ROZPORZĄDZENIEM MINISTRA SPRAW

Bardziej szczegółowo

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO Rozdział I 2 INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO Jakie obowiązki spoczywają na doradcach podatkowych w związku z obowiązkiem ochrony danych osobowych? Jak powinna

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM Załącznik Nr 3 do zarządzenia Nr 5/2012 Dyrektora Ośrodka Kultury w Drawsku Pomorskim z dnia 1 marca 2012 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W

Bardziej szczegółowo

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych Zastosowanie norm w ochronie danych osobowych Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki

Bardziej szczegółowo

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r. w sprawie Polityki bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy Świętajno Na podstawie art. 36 ust. 2 Ustawy z dnia

Bardziej szczegółowo

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku Regulamin w zakresie przetwarzania danych osobowych Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) 2. Ustawa z dnia 26 czerwca

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Załącznik Nr 1 Do ZARZĄDZANIA NR 9/2011 POLITYKA BEZPIECZEŃSTWA ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH Podstawa prawna: - rozporządzenie Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa Generalny Inspektor Ochrony Danych

Bardziej szczegółowo

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE Zarządzenie nr 1/2015 z dnia 2 stycznia 2015 r. o zmianie zarządzenia w sprawie: wyznaczenia administratora bezpieczeństwa informacji oraz administratora systemów informatycznych w Urzędzie Gminy i Miasta

Bardziej szczegółowo

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO 1. Ilekroć w procedurze jest mowa o: 1) zbiorze danych - rozumie się przez to każdy posiadający strukturę zestaw danych

Bardziej szczegółowo

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Polityka Bezpieczeństwa Danych Osobowych w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o. Spis treści 1. Ogólne zasady przetwarzania danych osobowych... 3 2. Analiza

Bardziej szczegółowo

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI Dz. U. z 2004 r. Nr 100, poz. 1024 ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Bardziej szczegółowo

Rozdział I Zagadnienia ogólne

Rozdział I Zagadnienia ogólne Załączniki do decyzji nr 2/11 Szefa Centralnego Biura Antykorupcyjnego z dnia 3 stycznia 2011 r. (poz. ) Załącznik nr 1 Instrukcja zarządzania systemem teleinformatycznym służącym do przetwarzania danych

Bardziej szczegółowo

Marcin Soczko. Agenda

Marcin Soczko. Agenda System ochrony danych osobowych a System Zarządzania Bezpieczeństwem Informacji - w kontekście normy PN-ISO 27001:2014 oraz Rozporządzenia o Krajowych Ramach Interoperacyjności Marcin Soczko Stowarzyszenie

Bardziej szczegółowo

Przetwarzanie danych osobowych w przedsiębiorstwie

Przetwarzanie danych osobowych w przedsiębiorstwie Przetwarzanie danych osobowych w przedsiębiorstwie Kwestię przetwarzania danych osobowych reguluje ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Danymi osobowymi w rozumieniu niniejszej

Bardziej szczegółowo

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik Program 1. Strategia bezpieczeństwa w szkole/placówce. 2. Realizacja polityki bezpieczeństwa infrastruktury IT.

Bardziej szczegółowo

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r. ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA w sprawie wyznaczenia administratora bezpieczeństwa informacji oraz zastępców administratora bezpieczeństwa informacji w Urzędzie Gminy w Stegnie. Na podstawie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015 SPIS TREŚCI SPIS TREŚCI...

Bardziej szczegółowo

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

Przykładowy wykaz zbiorów danych osobowych w przedszkolu Przykładowy wykaz zbiorów danych osobowych w przedszkolu Lp. Nazwa zbioru Pomieszczenie 1. Zbiór 1 Ewidencja osób zatrudnionych przy przetwarzaniu danych osobowych 2. Zbiór 2 Kontrola wewnętrzna wyniki,

Bardziej szczegółowo

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE R E G U L A M I N OCHRONY DANYCH OSOBOWYCH W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE 1 I. Postanowienia ogólne 1 1. Polityka ochrony danych osobowych w Gnieźnieńskiej Spółdzielni Mieszkaniowej

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo. Załącznik nr 2 do zarządzenia nr 39/2015 Wójta Gminy Ostaszewo z dnia 27 maja 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH OCHRONA DANYCH OSOBOWYCH Dane osobowe Wg. Ustawy o ochronie danych osobowych: Dane osobowe każda informacja dotycząca osoby fizycznej pozwalająca na określenie tożsamości tej osoby. Przetwarzanie danych

Bardziej szczegółowo

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku w sprawie: wprowadzenia w życie Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym,

Bardziej szczegółowo

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH

Bardziej szczegółowo

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM Rok szkolny 2013/2014 1 Obowiązki Administratorów Systemu Do obowiązków Administratorów

Bardziej szczegółowo

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu R E G U L A M I N ochrony danych osobowych określający politykę bezpieczeństwa Spółdzielnia Mieszkaniowa Geofizyka w Toruniu Podstawa prawna: - ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI Załącznik 1 POLITYKA BEZPIECZEŃSTWA INFORMACJI W celu zabezpieczenia danych gromadzonych i przetwarzanych w Urzędzie Miejskim w Ząbkowicach Śląskich oraz jego systemie informatycznym, a w szczególności

Bardziej szczegółowo

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie Zatwierdzony Uchwałą nr 16/11/2015 z dnia 01-08-2015 S P I S TREŚCI I. POLITYKA BEZPIECZEŃSTWA...4 Pojęcia podstawowe...4

Bardziej szczegółowo

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r. ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA z dnia 1 marca 2012 r. w sprawie wprowadzenia instrukcji określającej sposób zarządzania systemami informatycznymi służącymi do przetwarzania

Bardziej szczegółowo

Warszawa, 17 marca 2014 r.

Warszawa, 17 marca 2014 r. Warszawa, 17 marca 2014 r. Stanowisko Zespołu Ekspertów powołanego przez GIODO, dotyczące potrzeby zmiany art. 39a ustawy o ochronie danych osobowych (zawierającego delegację do wydania rozporządzenia)

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Załącznik nr 1 do Zarządzenia nr 12/2006 Burmistrza Gminy Kozienice z dnia 29.12.2006 r. POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach Podstawa

Bardziej szczegółowo

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Poznań, 24.01.2011 Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl Realizując postanowienia ustawy z dnia 29.08.1997r. o ochronie danych osobowych (Dz.

Bardziej szczegółowo

Polityka Prywatności portalu www.platinuminvestors.eu. 1. Postanowienia ogólne

Polityka Prywatności portalu www.platinuminvestors.eu. 1. Postanowienia ogólne Polityka Prywatności portalu www.platinuminvestors.eu 1. Postanowienia ogólne 1. Niniejsza Polityka Prywatności określa zasady przetwarzania i ochrony danych osobowych Użytkowników Portalu w związku z

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna Załącznik nr 1 do Zarządzenia Burmistrza Miasta Kościerzyna nr 0050.3/2016 z dnia 8 stycznia 2016 roku POLITYKA BEZPIECZEŃSTWA INFORMACJI Właściciel dokumentu Sławomir Szkobel.....................................

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH w Pociecha Dariusz Firma Handlowa Dariusz Pociecha Czarnieckiego 10/20, 87-100 Toruń REGON: 870241081 1. Dariusz Pociecha dalej także, jako administrator

Bardziej szczegółowo

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku UNIWERSYTET JAGIELLOŃSKI DO-0130/14/2006 Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku w sprawie: ochrony danych osobowych przetwarzanych w Uniwersytecie Jagiellońskim Na

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL 1 Rozdział 1 Postanowienia ogólne 1. Instrukcja Zarządzania

Bardziej szczegółowo

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM Administrator Danych Osobowych PREZYDENT MIASTA SOPOTU Dnia 12 maja

Bardziej szczegółowo

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy: Umowa nr..- /15 o powierzeniu przetwarzania danych osobowych zawarta w dniu... 2015 r. w Poznaniu pomiędzy:., wpisanym do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy.. w Poznaniu, VIII Wydział

Bardziej szczegółowo

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki D E C Y Z J A. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki Warszawa, dnia 31 sierpnia 2009 r. DIS/DEC- 877/31613/09 dot. DIS-K-421/43/09 D E C Y Z J A Na podstawie art. 104 1 ustawy z dnia 14 czerwca

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU I. POSTANOWIENIA OGÓNE. Podstawa prawna. 1 - Ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. (j.t. Dz.

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG w Radomsku REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku Zatwierdzono Uchwałą Rady Nadzorczej nr 15/2012 z dnia 25 maja 2012 r. Sekretarz Rady Nadzorczej Ewa Pawłowska Przewodniczący

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNYM ZESPOLE OBSŁUGI PLACÓWEK OŚWIATOWYCH W ŚWIERKLANACH Rozdział I Postanowienia wstępne. Na podstawie 3

Bardziej szczegółowo

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Miejskim w Węgorzewie 22 marca 2011 r. Urząd Miejski w Węgorzewie 1 Spis treści Wstęp... 3 1. Definicje... 4 2. Zasady ogólne... 6 3. Zabezpieczenie

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE Załącznik nr 2 do Zarządzenia nr 34/08 Wójta Gminy Kikół z dnia 2 września 2008 r. w sprawie ochrony danych osobowych w Urzędzie Gminy w Kikole, wprowadzenia dokumentacji przetwarzania danych osobowych

Bardziej szczegółowo

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien.. Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych Co ASI widzieć powinien.. Czy dane osobowe są informacją szczególną dla Administratora Systemów IT? Administrator

Bardziej szczegółowo

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek

DOBRE PRAKTYKI PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH ZAKŁADÓW UBEZPIECZEŃ. Andrzej Kaczmarek ZAKŁADÓW UBEZPIECZEŃ Andrzej Kaczmarek BIURO GENERALNEGO INSPEKTORA OCHRONY DANYCH OSOBOWYCH 11. 05. 2009 r. Warszawa 1 Generalny Inspektor Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa kancelaria@giodo.gov.pl

Bardziej szczegółowo

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH EDU IT TRENDS Warszawa, 22 października 2015 roku 1 Michał Wołoszański radca prawny 2 Przetwarzanie danych osobowych przez uczelnie

Bardziej szczegółowo

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych? Przypomnijmy. Ustawa o ochronie danych osobowych określa zasady postępowania przy przetwarzaniu danych osobowych i prawa osób

Bardziej szczegółowo

UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH UMOWA W SPRAWIE POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH Zawarta w Warszawie, w dniu.. 2015 r. pomiędzy: Ministrem Infrastruktury i Rozwoju, z siedzibą w Warszawie, przy ul. Wspólnej 2/4, zwanym dalej

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN Załączniki : 1. Instrukcja zarządzania systemem informatycznym

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w Spółdzielni Mieszkaniowej Cukrownik 1 1. Ochrona danych osobowych w SM Cukrownik ma na celu zapewnienie ochrony prywatności każdemu członkowi

Bardziej szczegółowo

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997r. o ochronie danych osobowych (Dz. U. z 2002r. Nr 101, poz. 926 z późn. zm.) 2 Na podstawie Rozporządzenia Ministra Spraw Wewnętrznych i Administracji

Bardziej szczegółowo

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (Dz.U. 2002 nr

Bardziej szczegółowo

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach Załącznik nr 1 do zarządzenia Nr 10 KZ/ 2013 REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach Podstawa prawna: 1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych

Bardziej szczegółowo

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ Załącznik nr 3 do Zarządzenia nr 1/2013 Rektora Collegium Mazovia Innowacyjnej Szkoły Wyższej z dnia 31 stycznia 2013 r. INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ

Bardziej szczegółowo

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice Załącznik Nr 2 do Zarządzenia Nr 20/2008 Wójta Gminy Miłkowice z Dnia 2 kwietnia 2008r. w sprawie wprowadzenia do użytku służbowego Instrukcji zarządzania systemami informatycznymi, służącymi do przetwarzania

Bardziej szczegółowo

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną Andrzej Kaczmarek Biuro GIODO 1 Plan prezentacji: Przepisy określające wymagania w zakresie bezpieczeństwa

Bardziej szczegółowo

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych

Załącznik nr 7 do SIWZ OP-IV.272.172.2014.PID POROZUMIENIE. w sprawie powierzenia przetwarzania danych osobowych Załącznik nr 7 do SIWZ POROZUMIENIE w sprawie powierzenia przetwarzania danych osobowych zawarta w dniu. 2015 roku, w Lublinie pomiędzy: Województwem Lubelskim, przy ul. Spokojnej 4, 20-074 Lublin reprezentowanym

Bardziej szczegółowo

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI Headlines Spółka z ograniczoną odpowiedzialnością i spółka spółka komandytowa szanuje i troszczy się o prawo do prywatności

Bardziej szczegółowo

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Rodzaje danych (informacji) m.in.: Dane finansowe Dane handlowe Dane osobowe Dane technologiczne Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne. Przetwarzane dane mogą być zebrane

Bardziej szczegółowo

http://www.gastroserwisant.pl

http://www.gastroserwisant.pl POLITYKA PRYWATNOŚCI POLITYKA PLIKÓW COOKIES http://www.gastroserwisant.pl Niniejsza polityka prywatności określa w szczególności zasady korzystania przez użytkowników ze strony internetowej http://www.gastroserwisant.pl

Bardziej szczegółowo

Certyfikat. 1 Jak zbieramy dane?

Certyfikat. 1 Jak zbieramy dane? Certyfikat P O L I T Y K A P R Y W A T N O Ś C I 1. Niniejsza Polityka Prywatności określa zasady gromadzenia, przetwarzania i wykorzystywania danych osobowych pozyskanych przez serwis internetowy miejscereklam.pl

Bardziej szczegółowo

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A JAKIE AKTY PRAWNE REGULUJĄ OCHRONĘ DANYCH W BIBLIOTEKACH? 1. Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r. Dz. U.

Bardziej szczegółowo

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI I. Informacje ogólne 1. Pobierana jest opłata skarbowa uiszczana, gotówką lub bezgotówkowo, za: - wydanie na wniosek administratora

Bardziej szczegółowo

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach 1. Podstawa prawna Niniejszy dokument reguluje sprawy ochrony danych osobowych przetwarzane w Urzędzie Miejskim w Zdzieszowicach i

Bardziej szczegółowo

a) po 11 dodaje się 11a 11g w brzmieniu:

a) po 11 dodaje się 11a 11g w brzmieniu: Zarządzenie Nr 134/05 Starosty Krakowskiego z dnia 27 grudnia 2005r. - w sprawie zmiany Zarządzenia Starosty Krakowskiego Nr 40/99 z dnia 19 sierpnia 1999r. w sprawie ochrony danych osobowych, stosowanych

Bardziej szczegółowo

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL W Z Ó R INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL Wzór ma charakter pomocniczy. Wzór może być modyfikowany

Bardziej szczegółowo

Biuro Generalnego Inspektora Ochrony Danych Osobowych. Ochrona Danych Osobowych w Polsce 10 lat doświadczeń. Andrzej Kaczmarek

Biuro Generalnego Inspektora Ochrony Danych Osobowych. Ochrona Danych Osobowych w Polsce 10 lat doświadczeń. Andrzej Kaczmarek Biuro Generalnego Inspektora Ochrony Danych Osobowych Ochrona Danych Osobowych w Polsce 10 lat doświadczeń Andrzej Kaczmarek A.Kaczmarek SECURE 2007 1 Rozwój technologii a Ochrona Danych Osobowych w Polsce

Bardziej szczegółowo

POLITYKA OCHRONY PRYWATNOŚCI

POLITYKA OCHRONY PRYWATNOŚCI POLITYKA OCHRONY PRYWATNOŚCI Niniejsza Polityka ochrony prywatności dotyczy wszystkich Usług świadczonych przez Usługodawcę drogą elektroniczną w serwisie internetowym przewodnikprawny.pl lub w jednej

Bardziej szczegółowo

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU Załącznik Nr 1 Do Zarządzenia Nr 33573/2013 Prezydenta Miasta Radomia Z dnia 14 marca 2013 r. POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING

Bardziej szczegółowo

Dane osobowe w data center

Dane osobowe w data center Dane osobowe w data center obowiązki klienta i obowiązki dostawcy Jarosław Żabówka 2 Dlaczego chronimy dane osobowe? A dlaczego ja mam dbać o te dane, tylko dlatego, że tak sobie ustawodawca wymyślił Prezes

Bardziej szczegółowo

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A.

REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A. REGULAMIN ŚWIADCZENIA USŁUG DROGĄ ELEKTRONICZNĄ W KONSALNET HOLDING S.A. WSTĘP Realizując postanowienia Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. 2002 r. Nr 144 poz.

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

Polityka bezpieczeństwa w zakresie ochrony danych osobowych

Polityka bezpieczeństwa w zakresie ochrony danych osobowych Polityka bezpieczeństwa w zakresie ochrony danych osobowych Polska Fundacja Przeciwko Nepotyzmowi, ul. 11 Listopada 22, 05-070 Sulejówek Data wejścia w życie: 02 lipca 2015 r. 1. Administrator Danych Osobowych

Bardziej szczegółowo

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl

ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl ZASADY KORZYSTANIA Z PLIKÓW COOKIES ORAZ POLITYKA PRYWATNOŚCI W SERWISIE INTERNETOWYM PawłowskiSPORT.pl Niniejsze zasady dotyczą wszystkich Użytkowników strony internetowej funkcjonującej w domenie http://www.pawlowskisport.pl,

Bardziej szczegółowo

Polityka Prywatności

Polityka Prywatności Polityka Prywatności I. INFORMACJE OGÓLNE Niniejsza Polityka Prywatności VikingCo Poland sp. z o.o. (dalej jako: VikingCo Poland lub Usługodawca ) skierowana jest do Użytkowników korzystających z usług

Bardziej szczegółowo

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Gimnazjum, Szkoła Podstawowa i Przedszkole Samorządowe z Oddziałem Integracyjnym w Kaszczorze. Podstawa prawna: 1. Ustawa z dnia 29 sierpnia

Bardziej szczegółowo

Polityka Prywatności

Polityka Prywatności Polityka Prywatności 1 Niniejsza Polityka Prywatności, zwana dalej Polityką, określa zasady zbierania, przetwarzania oraz wykorzystywania Danych Osobowych Użytkowników przez SuperGrosz Sp. z o. o. 2 Pojęcia

Bardziej szczegółowo

Ochrona Danych Osobowych

Ochrona Danych Osobowych Ochrona Danych Osobowych Przepisami regulującymi ochronę danych osobowych jest Ustawa o Ochronie Danych Osobowych z 29.08.1997 roku, a także Rozporządzenie z 29.04.2004 roku w sprawie dokumentacji przetwarzania

Bardziej szczegółowo

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik nr 2 do Zarządzenia nr 15 Dyrektora Szkoły Podstawowej nr 3 z dnia 17 marca 2015 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Szkole Podstawowej

Bardziej szczegółowo

Polityka prywatności serwisu iwisher.pl

Polityka prywatności serwisu iwisher.pl Polityka prywatności serwisu iwisher.pl 1. Postanowienia ogólne 1. Niniejsza Polityka Prywatności określa zasady zbierania, przetwarzania i ochrony danych osobowych Użytkowników w związku z korzystaniem

Bardziej szczegółowo

Polityka prywatności

Polityka prywatności Polityka prywatności Przyjęta do stosowania przez podmiot: Sellus sp. z o.o. z siedzibą w Dąbrowie Górniczej (41-300) przy ulicy Przelotowej 200, wpisaną Krajowego Rejestru Sądowego pod numerem 0000448173,

Bardziej szczegółowo

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego

Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego Projekt pt. Cztery pory roku - zajęcia artystyczne współfinansowany ze środków Unii Europejskiej w ramach Europejskiego Funduszu Społecznego INSTRUKCJA zarządzania systemem informatycznym dla systemu Podsystem

Bardziej szczegółowo

Przetwarzanie danych w chmurze Cloud Computing

Przetwarzanie danych w chmurze Cloud Computing Przetwarzanie danych w chmurze Cloud Computing Rafał Surowiec Radca prawny, Associate Sylwia Kuca Aplikant adwokacki, Junior Associate 12 luty 2013, Warszawa Przetwarzanie danych w chmurze Cloud Computing

Bardziej szczegółowo