POLITYKA BEZPIECZEŃSTWA

Transkrypt

1 POLITYKA BEZPIECZEŃSTWA Studio Kosmetyczne NEFRETETE Bożena Jadach-Biłos Częstochowska Opole Tel: Data i miejsce sporządzenia dokumentu: Opole, Ilość stron: 13

2 SPIS TREŚCI 1.WSTĘP INFORMACJE OGÓLNE ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA 3 ORAZ ZAKRES ZASTOSOWANIA WYJAŚNIENIE TERMINÓW UŻYWANYCH 4 W DOKUMENCIE POLITYKI BEZPIECZEŃSTWA 4 2. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH ADMINISTRATOR DANYCH ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI OSOBY UPOWAŻNIONE DO PRZETWARZANIA 7 DANYCH OSOBOWYCH 7 3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 7 4. UMOWY POWIERZENIA PRZETWARZANIA 8 DANYCH OSOBOWYCH 8 5. OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH 8 6. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH 9 7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH OPIS STRUKTURY ZBIORÓW DANYCH ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE 12 DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI 12 I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH ZAŁĄCZNIKI 13 Strona 2 z 13

3 1.WSTĘP 1.1. INFORMACJE OGÓLNE 1. Administratorem danych osobowych jest firma Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos Częstochowska Opole NIP: Głównym celem wprowadzenia Polityki Bezpieczeństwa jest zapewnienie zgodności działania Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos z Ustawą o ochronie danych osobowych z jej rozporządzeniami wykonawczymi oraz Rozporządzenie Parlamentu Europejskiego i Rady (UE) 3. Dokument Polityki Bezpieczeństwa został opracowany w oparciu o wytyczne zawarte w następujących aktach prawnych: a) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz ze zm.), b) Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.). c)rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 1.2. ZAKRES INFORMACJI OBJĘTYCH POLITYKĄ BEZPIECZEŃSTWA ORAZ ZAKRES ZASTOSOWANIA 1. Dokument Polityki Bezpieczeństwa opisuje zasady i procedury przetwarzania danych osobowych i ich zabezpieczenia przed nieuprawnionym dostępem. 2. Obszarem przetwarzania danych osobowych przez Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos jest każdorazowy adres siedziby firmy. 3. Ochrona danych osobowych realizowana jest poprzez stosowanie zabezpieczeń w postaci środków organizacyjnych, środków ochrony fizycznej oraz środków technicznych systemu informatycznego. Strona 3 z 13

4 4. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych. 5. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów: 1) Poufność danych zapewnienie, że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, 2) Integralność danych zapewnienie, że dane nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 3) Dostępność danych zapewnienie osiągalności danych i możliwości ich wykorzystania na żądanie, w założonym czasie, przez autoryzowany podmiot, 4) Rozliczalność danych zapewnienie, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 5) Autentyczność danych zapewnienie, że tożsamość podmiotu lub zasobu jest taka, jak deklarowana, 6) Integralność systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej; 7) Zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych WYJAŚNIENIE TERMINÓW UŻYWANYCH W DOKUMENCIE POLITYKI BEZPIECZEŃSTWA 1. Polityka Bezpieczeństwa posługuje się wieloma specjalistycznymi terminami z zakresu ochrony danych osobowych, które mogą być niewłaściwie rozumiane przez pracowników Administratora Danych osoby obowiązane do przetwarzanie danych osobowych zgodnie z wymogami ustawowymi. 1) Administrator danych organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 Ustawy o ochronie danych osobowych, decydująca o celach i środkach przetwarzania danych osobowych, 2) ustawa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm.), 3) rozporządzenie Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz ze. zm.), 4) RODO Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu Strona 4 z 13

5 takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 5) przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych, 6) poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom. 2. OSOBY ODPOWIEDZIALNE ZA OCHRONĘ DANYCH OSOBOWYCH 2.1. ADMINISTRATOR DANYCH 1. Administratorem danych osobowych jest Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos Częstochowska Opole NIP: Administrator Danych Osobowych gromadzi i przetwarza dane osobowe w następujących celach: 1) Wykonywanie obowiązków pracodawcy w zakresie zatrudnienia pracowników (dokumentacja i przebieg zatrudnienia oraz płace pracowników), 2) Realizacja zadań związanych ze sprzedażą oraz dystrybucją towarów oferowanych przez Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos, 3) Wykonywanie usług realizowanych przez Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos, 2.2. ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI 1. Powołać Administratora Bezpieczeństwa Informacji może jedynie Administrator Danych Osobowych na podstawie załącznika nr 1 do Polityki Bezpieczeństwa. 2. Administratorem Bezpieczeństwa Informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. 3. Do obowiązków Administratora Bezpieczeństwa Informacji należy: Strona 5 z 13

6 1) Zapewnienie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: 1.1) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora Danych, 1.2) nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa a art. 36 ust. 1 Ustawy o ochronie danych osobowych oraz przestrzegania zasad w niej określonych, 1.3) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, 2) prowadzenie rejestru czynności przetwarzania danych osobowych przez Administratora Danych oraz osoby przez niego upoważnione (załącznik nr 7 Polityki Bezpieczeństwa). 4. Administrator Bezpieczeństwa Informacji swoje zadania realizuje, poprzez: 1) stały nadzór nad treścią Polityki Bezpieczeństwa, 2) aktualizacja i modyfikacja ww. dokumentu, 3) udział w kontrolach prowadzonych przez inspektorów Biura Generalnego Inspektora Ochrony Danych Osobowych, 4) udzielanie odpowiedzi na zapytania kierowane do Administratora Danych przez podmioty zewnętrzne, dotyczące administrowanych zbiorów danych osobowych, 5) nadawanie poszczególnym pracownikom upoważnień do przetwarzania danych osobowych oraz przeprowadzanie dla nich szkoleń z zakresu ochrony danych osobowych, stanowiących załączniki nr 2 i 3 do Polityki Bezpieczeństwa, 6) nadzór nad nadawaniem uprawnień do przetwarzania danych osobowych w systemach informatycznych, 7) prowadzenie aktualnej ewidencji osób upoważnionych do przetwarzania danych osobowych we wszystkich zbiorach oraz nadzór nad prowadzeniem rejestru nadanych uprawnień do przetwarzania danych w systemach informatycznych, 8) nadzór nad fizycznym zabezpieczeniem obszarów, w których przetwarzane są dane osobowe, 9) monitorowanie działania i skuteczności zabezpieczeń wdrożonych w celu ochrony danych osobowych. 5. Administrator Danych może powołać Zastępcę Administratora Bezpieczeństwa Informacji. Zastępcą Administratora Bezpieczeństwa Informacji może być osoba, która: 1) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; 2) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; 3) nie była karana za umyślne przestępstwo. Strona 6 z 13

7 2.3. OSOBY UPOWAŻNIONE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Każda osoba, która uzyskała upoważnienie do przetwarzania danych osobowych zobowiązana jest do ich ochrony w sposób zgodny z przepisami Ustawy, RODO, Rozporządzenia oraz Polityki Bezpieczeństwa. 2. Osoba upoważniona zobowiązana jest do zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. Obowiązek ten istnieje także po ustaniu zatrudnienia. 3. UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH 1. Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane na mocy art. 37 ustawy. 2. Administrator Danych Osobowych wskazuje pracowników lub współpracowników do przetwarzania danych osobowych i wydaje upoważnienie do przetwarzania danych osobowych sporządzone wg wzoru stanowiącego załącznik nr 2 i 1 do Polityki Bezpieczeństwa. Upoważnienia, o których mowa powyżej przechowywane są w siedzibie firmy. 3. Upoważnienie może być w każdym czasie odwołane przez Administratora Danych Osobowych. Oświadczenie o odwołaniu upoważnienia do przetwarzania danych osobowych powinno być sporządzone na piśmie. Upoważnienie do przetwarzania danych osobowych wygasa z chwilą ustania przesłanki będącej podstawą wydania upoważnienia, w tym w szczególności wygaśnięcia stosunku pracy lub umowy cywilnoprawnej łączącej pracownika lub współpracownika z Administratorem Danych Osobowych. Strona 7 z 13

8 4. UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH 1. Administrator Danych ma możliwość powierzenia przetwarzania danych osobowych zewnętrznym podmiotom. Może się to odbywać wyłącznie na drodze umowy powierzenia, w której należy określić zbiór, który zostanie przekazany, cel tego przekazania oraz zakres planowanego przetwarzania danych przez inny podmiot. 2. Powierzenia przetwarzania danych podmiotom zewnętrznym, może nastąpić jedynie w przypadku kiedy takie dane są niezbędne do wykonania zadań związanych ze sprzedażą, dystrybucją lub wykonaniem usług oferowanych przez Administratora danych. 3. Umowy powierzenia przechowywane są siedzibie Administratora danych. 5. OGÓLNE ZASADY BEZPIECZEŃSTWA OBOWIĄZUJĄCE PRZY PRZETWARZANIU DANYCH OSOBOWYCH 1. Za bezpieczeństwo przetwarzania danych osobowych w określonym zbiorze, indywidualną odpowiedzialność ponosi przede wszystkim każdy pracownik lub współpracownik mający dostęp do danych. 2. Pracownicy i współpracownicy mający dostęp do danych osobowych nie mogą ich ujawniać zarówno w miejscu pracy, jak i poza nim, w sposób wykraczający poza czynności związane z ich przetwarzaniem w zakresie obowiązków służbowych, w ramach udzielonego upoważnienia do przetwarzania danych. 3. W miejscu przetwarzania danych osobowych utrwalonych w formie papierowej pracownicy zobowiązani są do stosowania zasady tzw. czystego biurka. Zasada ta oznacza nie pozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieuprawnionym. Za realizację powyższej zasady odpowiedzialny jest na swym stanowisku każdy z pracowników. 4. Niszczenie brudnopisów, błędnych lub zbędnych kopii materiałów zawierających dane osobowe musi odbywać się w sposób uniemożliwiający odczytanie zawartej w nich treści. Strona 8 z 13

9 5. Niedopuszczalne jest wynoszenie materiałów zawierających dane osobowe poza obszar ich przetwarzania bez związku z wykonywaniem czynności służbowych. Za bezpieczeństwo i zwrot materiałów zawierających dane osobowe odpowiada w tym przypadku osoba dokonująca ich wyniesienia. 6. Przebywanie osób nieuprawnionych w pomieszczeniu, w którym przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby upoważnionej do przetwarzania danych osobowych, chyba że dane te są w odpowiedni sposób zabezpieczone przed dostępem. 7. Pracownicy zobowiązani są do zamykania na klucz wszelkich pomieszczeń lub budynków wchodzących w skład obszaru, w których przetwarzane są dane osobowe w czasie ich chwilowej nieobecności w pomieszczeniu pracy, jak i po jej zakończeniu, a klucze nie mogą być pozostawione w zamku w drzwiach. Pracownicy zobowiązani są do dołożenia należytej staranności w celu zabezpieczenia posiadanych kluczy przed nieuprawnionym dostępem. 6. INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH 1. Każda osoba, która poweźmie wiadomość w zakresie naruszenia bezpieczeństwa danych przez osobę przetwarzającą dane osobowe bądź posiada informacje mogące mieć wpływ na bezpieczeństwo danych osobowych, jest zobowiązana fakt ten niezwłocznie zgłosić Administratorowi Bezpieczeństwa Informacji 1) Do czasu przybycia na miejsce naruszenia ochrony danych osobowych Administratora Bezpieczeństwa Informacji lub upoważnionej przez nich osoby, osoba powiadamiająca powinna: 1.1) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków, a następnie ustalić przyczyny, lub sprawców zaistniałego zdarzenia, jeżeli jest to możliwe, 1.2) zaniechać dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić jego udokumentowanie i analizę, 1.3) udokumentować wstępnie zaistniałe naruszenie, nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia. 2) Po przybyciu na miejsce naruszenia ochrony danych osobowych, Administrator Bezpieczeństwa Informacji lub osoba ich zastępująca: 2.1) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metod dalszego postępowania, 2.2) wysłuchuje relacji osoby zgłaszającej z zaistniałego naruszenia, jak również relacji każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem, Strona 9 z 13

10 3) Administrator Bezpieczeństwa Informacji dokumentuje zaistniały przypadek naruszenia oraz sporządza raport. 2. Po wyczerpaniu niezbędnych środków doraźnych po zaistniałym naruszeniu, Administrator Bezpieczeństwa Informacji, zasięga niezbędnych opinii i proponuje postępowanie naprawcze (w tym ustosunkowuje się do kwestii ewentualnego odtworzenia danych z zabezpieczeń) i zarządza termin wznowienia przetwarzania danych. 3. W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki zgłasza je organowi właściwemu nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. 7. KONTROLA PRZETWARZANIA I STANU ZABEZPIECZENIA DANYCH OSOBOWYCH 1. Nadzór i kontrolę nad ochroną danych osobowych przetwarzanych w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos sprawuje Administrator Bezpieczeństwa Informacji. 2. Administrator Bezpieczeństwa Informacji dokonuje czynności kontrolnych w ramach sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, zgodnie z art. 36 ust. 2 pkt 1 ppkt a) Ustawy o ochronie danych osobowych. 3. Sprawdzenia dokonywane jest przez Administratora Bezpieczeństwa Informacji dla Administratora Danych, bądź dla Generalnego Inspektora Ochrony Danych Osobowych, gdy ten na podstawie przysługujących mu kompetencji zwróci się o to do Administrator Danych. 4. ABI przeprowadza sprawdzenie w trybie: 1) sprawdzenia planowego - według opracowanego planu sprawdzeń, 2) sprawdzenia doraźnego - w przypadku nieprzewidzianym w planie sprawdzeń, w sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia, niezwłocznie po powzięciu przez ABI takich informacji, 3) sprawdzenia w przypadku zwrócenia się o to przez Generalnego Inspektora Ochrony Danych Osobowych. 5. Administrator Bezpieczeństwa Informacji opracowuje plan sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Strona 10 z 13

11 6. W toku sprawdzenia Administrator Bezpieczeństwa Informacji dokonuje i dokumentuje czynności, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania. 7. Po zakończeniu sprawdzenia, Administrator Bezpieczeństwa Informacji przygotowuje dla Administratora Danych, sprawozdanie w tym zakresie. Sprawozdanie sporządzane jest w postaci elektronicznej albo w postaci papierowej. 8. Administrator Bezpieczeństwa Informacji ma prawo do kontroli podmiotów, którym powierzono przetwarzanie danych osobowych w trybie określonym w Polityce Bezpieczeństwa, o ile w umowie o powierzeniu przetwarzania danych osobowych istnieją stosowne zapisy w tym zakresie. 9. Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych stanowi Załącznik nr 4 do Polityki Bezpieczeństwa 10. Wzór protokołu z kontroli lub czynności sprawdzających, o których mowa w pkt 8 stanowi Załącznik nr 5 do Polityki Bezpieczeństwa 8. OPIS STRUKTURY ZBIORÓW DANYCH Lp. Nazwa zbioru danych osobowych Forma prowadzenia Zastosowany program komputerowy Lokalizacja bazy danych Miejsce przetwarzani a danych 1. Dane osobowe pracowników i zleceniobiorców Forma Papierowa n.d. Siedziba firmy Siedziba firmy 2. Dane osobowe klientów Forma Papierowa n.d. Terminarz Siedziba firmy 3. Dane osobowe klientów Dokumentacja w formie elektronicznej ios Telefon komórkowy Siedziba firmy 4. Wywiad Medyczny klientów Forma Papierowa n.d. Siedziba firmy Siedziba firmy 5. Dane osobowe klientów Dokumentacja w formie elektronicznej Program lojalnościowy GetSo Serwer hostingowy Siedziba firmy Strona 11 z 13

12 9. ŚRODKI TECHNICZNE I ORGANIZACYJNE NIEZBĘDNE DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH OSOBOWYCH 1. Dane osobowe mogą być przetwarzane wyłącznie w obszarze przetwarzania danych osobowych, którym jest siedziba Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos, z wyjątkiem sytuacji udostępnienia danych osobowych lub powierzenia przetwarzania danych osobowych. 2. Dane osobowe w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos przetwarzane są przy zastosowaniu zabezpieczeń zapewniających ich ochronę w postaci środków organizacyjnych, technicznych i środków ochrony fizycznej. 3. Dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych stosuje się następujące środki: 1) Środki organizacyjne: 1.1) wdrożenie Polityki bezpieczeństwa przetwarzania danych osobowych, 1.2) prowadzenie ewidencji osób uprawnionych do przetwarzania danych osobowych, 1.3) procedura postępowania w sytuacji naruszenia ochrony danych osobowych, 2) Środki techniczne: 1.1) Zbiory danych osobowych przetwarzane są wyłącznie na autoryzowanym sprzęcie służbowym, 1.2) Stacje robocze wyposażone są w indywidualną ochronę antywirusową, 1.3) Dostęp do systemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelnienia z wykorzystaniem identyfikatora użytkownika oraz hasła. 3) Środki ochrony fizycznej: 1.1) Pomieszczenia, w których znajdują się zbiory danych osobowych, są zamykane na klucz, a dostęp do nich odbywa się wyłącznie w obecności pracowników firmy, 1.2) Pomieszczenia, w którym przetwarzany jest zbiór danych osobowych wyposażone są w system alarmowy przeciwwłamaniowy, 1.3) Drzwi zwykłe (niewzmacniane, nie przeciwpożarowe) do pomieszczeń, w których przetwarzane są dane osobowe znajdują się wewnątrz budynku w strefie ograniczonego dostępu, Strona 12 z 13

13 1.4) Dokumenty zawierające dane osobowe po ustaniu przydatności są niszczone w sposób mechaniczny za pomocą niszczarek. 10. ZAŁĄCZNIKI Załącznik nr 1 Ustanowienie Administratora Bezpieczeństwa Informacji Załącznik nr 2 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę Załącznik nr 3 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie innej umowy niż umowa o pracę Załącznik nr 4 - Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Załącznik nr 5 - Protokół z kontroli przetwarzania i stanu zabezpieczenia danych osobowych/ czynności sprawdzających Załącznik nr 6 Wzór oświadczenia o zobowiązaniu się do zachowania poufności Załącznik nr 7 Wzór Rejestru czynności przetwarzania danych osobowych Strona 13 z 13

14 Załącznik nr 1 Ustanowienie Administratora Bezpieczeństwa Informacji Niniejszym, na podstawie art. 36a ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r., poz. 922 ze zm. dalej: Ustawa ) oraz reprezentując Administratora Danych Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos z siedzibą w Opolu, ul. Częstochowska 13 powołuję Panią/Pana.... na stanowisko Administratora Bezpieczeństwa Informacji (ABI) w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos Jednocześnie, na podstawie art. 37 Ustawy upoważniam Panią/Pana... do przetwarzania danych osobowych we wszystkich zbiorach Administratora Danych w zakresie niezbędnym dla należytego wykonywania funkcji Administratora Bezpieczeństwa Informacji. Zakres obowiązków oraz warunki pełnienia funkcji Administratora Bezpieczeństwa Informacji określone są Ustawą o ochronie danych osobowych z dnia 29 sierpnia 1997 roku oraz dokumentacją z zakresu ochrony danych osobowych (Polityką Bezpieczeństwa) wdrożoną dnia w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos. DATA I PODPIS OSOBY POWOŁANEJ NA STANOWISKO ABI I PODPIS OSOBY REPREZENTUJĄCEJ ADMINISTRATORA DANYCH Strona 14 z 13

15 Załącznik nr 2 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie umowy o pracę UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Niniejszym, jako Administrator Bezpieczeństwa Informacji w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos z siedzibą w Opolu, ul. Częstochowska 13, na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. poz. 922 ze zm.), upoważniam: Imię i nazwisko upoważnionego Zbiory danych objęte zakresem upoważnienia Dane osobowe klientów; Wywiad Medyczny klientów Osoba upoważniona obowiązana jest przetwarzać dane osobowe zawarte w ww. zbiorach danych osobowych w zakresie i w sposób wymagany do wypełnienia obowiązków służbowych względem Administratora Danych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. poz. 922 ze zm.), wydanymi na jej podstawie aktami wykonawczymi i obowiązującymi w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos wewnętrznymi regulacjami w sprawie ochrony danych osobowych.naruszenie ww. obowiązków może skutkować poniesieniem odpowiedzialności karnej na podstawie przepisów określonych w Ustawie o ochronie danych osobowych oraz stanowi ciężkie naruszenie obowiązków pracowniczych, które może być podstawą rozwiązania umowy o pracę w trybie art. 52 Kodeksu Pracy. Upoważnienie jest ważne do odwołania. Data i podpis upoważniającego Data i podpis osoby upoważnionej Oświadczenie Oświadczam, że zapoznałam/em się z obowiązującymi w zakresie ochrony danych osobowych przepisami prawa i regulacjami wewnętrznymi obowiązującymi w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos (w szczególności z Polityką Bezpieczeństwa). Przyjmuję do wiadomości zawarte w nich obowiązki w zakresie ochrony danych osobowych i zobowiązuję się do ich stosowania. Świadoma/y jestem obowiązku ochrony danych osobowych na zajmowanym stanowisku i w zakresie udzielonego mi upoważnienia do przetwarzania danych osobowych, a w szczególności obowiązku zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu upoważnienia, a także po ustaniu zatrudnienia. Data i podpis upoważniającego Data i podpis osoby upoważnionej Strona 15 z 13

16 Załącznik nr 3 Wzór upoważnienia do przetwarzania danych osobowych dla osób zatrudnionych na podstawie innej umowy niż umowa o pracę UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH Niniejszym, jako Administrator Bezpieczeństwa Informacji w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos z siedzibą w Opolu, ul. Częstochowska 13, na podstawie art. 37 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. poz. 922 ze zm.), upoważniam: Imię i nazwisko upoważnionego Zbiory danych objęte zakresem upoważnienia Dane osobowe klientów; Wywiad Medyczny klientów Osoba upoważniona obowiązana jest przetwarzać dane osobowe zawarte w ww. zbiorach danych osobowych w zakresie i w sposób wymagany do wypełnienia obowiązków służbowych względem Administratora Danych. Osoba upoważniona zobowiązuje się do przetwarzania danych osobowych zgodnie z udzielonym upoważnieniem oraz z przepisami Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U r. poz. 922 ze zm.), wydanymi na jej podstawie aktami wykonawczymi i obowiązującymi w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos wewnętrznymi regulacjami w sprawie ochrony danych osobowych. Naruszenie ww. obowiązków może skutkować poniesieniem odpowiedzialności karnej na podstawie przepisów określonych w Ustawie o ochronie danych osobowych oraz odpowiedzialności cywilnej. Upoważnienie jest ważne do odwołania. Data i podpis upoważniającego Data i podpis osoby upoważnionej Oświadczenie Oświadczam, że zapoznałam/em się z obowiązującymi w zakresie ochrony danych osobowych przepisami prawa i regulacjami wewnętrznymi obowiązującymi w Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos (w szczególności z Polityką Bezpieczeństwa). Przyjmuję do wiadomości zawarte w nich obowiązki w zakresie ochrony danych osobowych i zobowiązuję się do ich stosowania. Świadoma/y jestem obowiązku ochrony danych osobowych w związku z pełnioną przeze mnie funkcją i w zakresie udzielonego mi upoważnienia do przetwarzania danych osobowych, a w szczególności obowiązku zachowania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu upoważnienia, a także po ustaniu stosunku prawnego łączącego mnie z Administratorem Danych. Data i podpis upoważniającego Data i podpis osoby upoważnionej Załącznik nr 4 - Wzór sprawozdania ze sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Strona 16 z 13

17 .. miejscowość, data SPRAWOZDANIE ZE SPRAWDZENIA ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH z przepisami o ochronie danych osobowych 1. Administrator Danych: Administrator Bezpieczeństwa Informacji: 3. Wykaz czynności podjętych w toku sprawdzenia: 4. Data rozpoczęcia sprawdzenia: Data zakończenia sprawdzenia: Przedmiot i zakres sprawdzenia: Opis stanu faktycznego stwierdzonego w toku sprawdzenia oraz inne informacje mające istotne znaczenie dla oceny zgodności przetwarzania danych z przepisami o ochronie danych osobowych: 8. Stwierdzone przypadki naruszenia przepisów o ochronie danych osobowych w zakresie objętym sprawdzeniem wraz z planowanymi lub podjętymi działaniami przywracającymi stan zgodny z prawem:.. 9. Załączniki: Podpis ABI Załącznik nr 5 - Protokół z kontroli przetwarzania i stanu zabezpieczenia danych osobowych/ czynności sprawdzających Strona 17 z 13

18 .. miejscowość, data PROTOKÓŁ z kontroli / czynności sprawdzających* w zakresie ochrony danych osobowych 10. Nazwa kontrolowanej jednostki organizacyjnej: Zbiory danych osobowych, których przetwarzanie podlega kontroli: Data wykonania czynności kontrolnych: Imię i nazwisko oraz stanowisko osoby wykonującej czynności kontrolne: Imiona i nazwiska osób udzielających informacji dotyczących ochrony danych osobowych w kontrolowanej komórce organizacyjnej: Ustalenia dokonane w trakcie czynności kontrolnych:. 7. Wnioski i zalecenia pokontrolne:. data i podpis osoby wykonującej czynności kontrolne data i podpis kierownika kontrolowanej kom. organizacyjne Otrzymują: 1 x Kierownik kontrolowanej jednostki organizacyjnej 1 x Administrator Bezpieczeństwa Informacji * niepotrzebne skreślić Załącznik nr 6 Wzór oświadczenia o zobowiązaniu się do zachowania poufności Strona 18 z 13

19 .., dnia.. Oświadczenie o zobowiązaniu się do zachowania poufności Imię i nazwisko.. Status.. Oświadczam, że: zobowiązuję się do zachowania w tajemnicy wszystkich informacji i dokumentów ujawnionych mi lub wytworzonych przeze mnie w trakcie lub jako rezultat powierzonych mi zadań. Nie będę zatrzymywać kopii jakichkolwiek pisemnych lub elektronicznych powierzonych mi informacji przez Studio Kosmetyczne "NEFRETETE" Bożena Jadach-Biłos Częstochowska Opole NIP: Powyższe zobowiązanie ma charakter bezterminowy i w szczególności dotyczy informacji i dokumentów, które stanowią tajemnice wynikające z przepisów prawa powszechnie obowiązującego.... Podpis Załącznik nr 7 Wzór Rejestru czynności przetwarzania danych osobowych Strona 19 z 13

20 REJESTR CZYNNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Nazwa i dane kontaktowe administratora Nazwa Adres Telefon Inspektor Ochrony Danych (jeśli powołano) Nazwa Adres Telefon Zastępca Inspektora Ochrony Danych (jeśli powołano) Nazwa Adres Telefon Strona 20 z 13