Polityka bezpieczeństwa przetwarzania danych osobowych

Podobne dokumenty
BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Fundacji Gospodarczej Euro Partner

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 4 IM. JÓZEFA LOMPY W RUDZIE ŚLĄSKIEJ

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA

Polityka Ochrony Danych Osobowych Dating Show Paweł Kuberski Flat 2, Stella Court, Coxford Road SO16 5SL Southampton

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Gabinecie chiropraktycznym Marcin Cieliczka

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Dla

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

SOLIDNA SZKOŁA ŻEGLARSTWA tel

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

RODO - POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA OCHRONY DANYCH OSOBOWYCH

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Oxymoron Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W. ATL "Achievement Through Learning" Sp. z o.o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Bezpieczeństwo teleinformatyczne danych osobowych

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Definicje. Wstęp. Przez użyte w Polityce określenia należy rozumieć:

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa przetwarzania danych osobowych

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

a) po 11 dodaje się 11a 11g w brzmieniu:

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

Załączniki do Polityki Bezpieczeństwa Informacji. Wzory dokumentów wewnętrznych

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Transkrypt:

Polityka bezpieczeństwa przetwarzania danych osobowych RODO odnośnie dokumentacji przetwarzania danych osobowych poza rejestrem czynności przetwarzania danych osobowych nie precyzuje innej dokumentacji, którą należy prowadzić. W przepisach są natomiast wskazane czynności, które należy dokumentować np. jakie dane są w posiadaniu administratora, jak były pozyskane, komu są udostępniane lub powierzane, oceny ryzyka, oceny skutków przetwarzania, jak są raportowane incydenty naruszenia ochrony danych osobowych, przekazywanie danych do państw trzecich. W opiniach ekspertów z tego tematu zaleca się dalsze prowadzenie dotychczasowej dokumentacji tj. polityki bezpieczeństwa przetwarzania danych osobowych, instrukcji zarządzania systemem informatycznym, w którym są przetwarzane dane osobowe, wykazu upoważnień do przetwarzania danych osobowych, indywidualnych upoważnień, itd. po ich dostosowaniu do wymogów RODO. Określając zakres, sposoby i operacje przetwarzania danych osobowych administrator danych osobowych musi wdrożyć w swojej organizacji w celu ochrony całego procesu - odpowiednie i adekwatne dla niej środki techniczne i organizacyjne, biorąc pod uwagę: stan wiedzy technicznej, koszty wdrażania, charakter, zakres i cele przetwarzania danych, ryzyko naruszenia praw lub wolności osób fizycznych. W przypadku kontroli organ nadzorczy /GIODO, a od 25 maja 2018 r. UODO/ będzie weryfikował jak administrator ochrony danych dba o realizację obowiązków wynikających z RODO. Sprawdzonym i najlepiej nadającym się do tego narzędziem, wykazującym podjęte działania jest Polityki bezpieczeństwa przetwarzania danych osobowych w organizacji. Poniżej jest przedstawiony dość rozbudowany wzór Polityki bezpieczeństwa. Opracowując przedmiotowy dokument dla własnej organizacji należy wybrać te elementy i regulacje, które są niezbędne i dostosowane do jej specyfiki.

Wzór Polityka bezpieczeństwa przetwarzania danych osobowych w.. Rozdział 1 Postanowienia ogólne 1 Celem Polityki bezpieczeństwa przetwarzania danych osobowych, zwanej dalej Polityką bezpieczeństwa w.., zwanej dalej Organizacją, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania informacji zawierających dane osobowe. 2 Polityka bezpieczeństwa została opracowana w oparciu o wymagania zawarte w: Rozporządzeniu Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str.1/, Ustawie z dnia... 2018 r. o ochronie danych osobowych /Dz. U. z 2018 r., poz..../,... 3 Ochrona danych osobowych realizowana jest poprzez zabezpieczenia fizyczne, organizacyjne, oprogramowanie systemowe, aplikacje oraz użytkowników proporcjonalne i adekwatne do ryzyka naruszenia bezpieczeństwa danych osobowych przetwarzanych w ramach prowadzonej działalności. 4 1. Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Organizacji rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest akceptowalna wielkość ryzyka związanego z ochroną danych osobowych. 2. Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić: 1) poufność danych rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom; 2) integralność danych rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany; 3) rozliczalność danych rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie; 4) integralność systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej; 5) dostępność informacji rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

5 6) zarządzanie ryzykiem rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych. 1. Administratorem danych osobowych przetwarzanych w... jest... 2. Administrator danych osobowych powołał inspektora ochrony danych, zgodnie art. 37 RODO. Zadania inspektora ochrony danych zawarte są w art. 39 RODO. Rozdział 2 Definicje 6 Przez użyte w Polityce bezpieczeństwa określenia należy rozumieć: 1) administrator danych osobowych osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych, 2) inspektor ochrony danych osoba wyznaczona przez administratora danych osobowych, nadzorująca przestrzeganie zasad i wymogów ochrony danych osobowych określonych w RODO i przepisach krajowych, 3) ustawa ustawa z dnia... 2018 r. o ochronie danych osobowych ( Dz.U. z 2018 r., poz....), 4) RODO rozporządzenie Parlamentu Europejskiego i Rady /UE/ 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119, str. 1/, 5) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, 6) zbiór danych osobowych uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, 7) przetwarzane danych operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie, itd., 8) system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych, 9) system tradycyjny zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze, 10) zabezpieczenie danych w systemie informatycznym wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem, 11) administrator systemu informatycznego osoba lub osoby, upoważnione przez administratora danych osobowych do administrowania i zarządzania systemami informatycznymi,

12) odbiorca osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m. in. o umowę powierzenia, 13) strona trzecia osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe, 14) identyfikator użytkownika (login) ciąg znaków literowych, cyfrowych lub innych, jednoznacznie identyfikujący osobę upoważnioną do przetwarzania danych osobowych w systemie informatycznym, 15) hasło ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Rozdział 3 Zakres stosowania 7 1. W Organizacji przetwarzane są dane osobowe. / np. pracowników, pracowników młodocianych, kandydatów do pracy, klientów/ zebrane w zbiorach danych osobowych. 2. Informacje te są przetwarzane zarówno w postaci dokumentacji tradycyjnej, jak i elektronicznej. 3. Polityka bezpieczeństwa zawiera uregulowania dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. 4. Innymi dokumentami regulującymi ochronę danych osobowych w Organizacji są: 1) instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji, 2) ewidencja osób upoważnionych do przetwarzania danych osobowych, 3) rejestr czynności przetwarzania danych osobowych, 4) procedura postępowania w przypadku naruszenia ochrony danych osobowych, 5)... 8 Politykę bezpieczeństwa stosuje się w szczególności do: 1) danych osobowych przetwarzanych w systemie:..(należy wskazać wszystkie systemy w których przetwarzane są dane osobowe np. Symfonia, Płatnik, Microsoft Office itp.), 2) wszystkich informacji dotyczących danych /wymienić wszystkie podmioty, których dane są przetwarzane np. pracownicy, klienci, członkowie/, 3) odbiorców danych osobowych, którym przekazano dane osobowe do przetwarzania w oparciu o umowy powierzenia /np. biuro rachunkowe, specjalistyczna przychodnia lekarska/, 4) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych, 5) rejestru osób trzecich /np. pracownicy/ mających upoważnienia administratora danych osobowych do przetwarzania danych osobowych,

6) innych dokumentów zawierających dane osobowe. 9 1. Zakresy ochrony danych osobowych określone przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty mają zastosowanie do: 1) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie, 2) wszystkich lokalizacji budynków i pomieszczeń, w których są lub będą przetwarzane informacje podlegające ochronie, 3) wszystkich pracowników, stażystów,. i innych osób mających dostęp do informacji podlegających ochronie. 2. Do stosowania zasad określonych przez Politykę bezpieczeństwa oraz inne z nią związane dokumenty zobowiązani są wszyscy pracownicy, stażyści,... oraz inne osoby mające dostęp do danych osobowych podlegających ochronie. Rozdział 4 Wykaz zbiorów danych osobowych 10 1. Dane osobowe gromadzone są w zbiorach (należy wymienić wszystkie zbiory danych osobowych przetwarzane w Organizacji, podane poniżej nazwy zbiorów i ich podział są przykładowe): 1) Ewidencja osób upoważnionych do przetwarzania danych osobowych, 2) Akta osobowe pracowników, 3) Zbiory informacji o pracownikach, oświadczenia na potrzeby ZFŚS, 4) Ewidencja zwolnień lekarskich, 5) Skierowania na badania okresowe, specjalistyczne, 6) Ewidencja urlopów, czasu pracy, wyjść, 7) Kartoteki wydanej odzieży ochronnej i środków ochrony indywidualnej, 8) Rejestr delegacji służbowych, 9) Listy płac pracowników, 10) Deklaracje ubezpieczeniowe pracowników, 11) Deklaracje i kartoteki ZUS pracowników, 12) Deklaracje podatkowe pracowników, 13) Rejestr wypadków, 14) Umowy cywilno-prawne, 15) Umowy zawierane z kontrahentami, 16) Rejestr klientów, 17) Dokumenty archiwalne, 18) 19)

11 Zbiory danych osobowych wymienione w 10 ust. 1 pkt podlegają przetwarzaniu w sposób tradycyjny, a zbiory określone w pkt... gromadzone są i przetwarzane przy użyciu systemu informatycznego.. Rozdział 5 Wykaz budynków, pomieszczeń, w których wykonywane są operacje przetwarzania danych osobowych 12 1. Dane osobowe przetwarzane są w budynku, mieszczącym się w... przy ulicy... 1. pomieszczenia, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) 2. pomieszczenia, w których znajdują się komputery stanowiące element systemu informatycznego 3. Pomieszczenia, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe) 4. pomieszczenia, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) np. pokój nr 1, 2, 3, 4 sekretariat np. pokój nr 1, 2 np. pokój nr 1, 2, 3 np. pokój 3 5. pomieszczenia archiwum np. pokój 4 Rozdział 6 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych 13 Lp. Zbiór danych Dział/ jednostka organizacyjna Program Lokalizacja bazy danych Miejsce przetwarzania danych

1. 2. 3. 4. 5. 6. Rozdział 7 Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych 14 Struktura zbiorów danych wskazujących zawartość poszczególnych pól informacyjnych dla programów i systemów stosowanych w Organizacji przedstawia się w sposób następujący: PRZYKŁAD 1. Program Kancelaryjny 1) Nazwa firmy, 2) Nr wpisu, 3) Imię, 4) Nazwisko, 5) Województwo, 6) Miejsce zamieszkania, 7) Miejscowość zamieszkania, 8) Adres do korespondencji, 9) Tel, 10) Fax, 11) e-mail, 12) Tel komórkowy, 13) Data wpisu, 14) Data urodzenia, 15) Numer legitymacji służbowej. Rozdział 8 Sposób przepływu danych między poszczególnymi systemami, współpracy systemów informatycznych ze zbiorami danych 15 Przepływ danych pomiędzy poszczególnymi systemami Program 1 Przepływ Program 2 Przepływ danych Office <-> brak Office <-> brak Office <-> brak <-> brak <-> brak <-> brak

/Można zapisać te przepływy również w formie graficznej/ Rozdział 9 Środki organizacyjne i techniczne zabezpieczenia danych osobowych 16 1. Zabezpieczenia organizacyjne 1) opracowano i wdrożono Politykę bezpieczeństwa przetwarzania danych osobowych, 2) sporządzono i wdrożono Instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Organizacji, 3) stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych, 4) opracowano i bieżąco prowadzi się rejestr czynności przetwarzania 5)... /wymienić inne dokumenty jeśli je wdrożono/ 6) wyznaczono inspektora ochrony danych, 7) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych bądź osobę przez niego upoważnioną, 8) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego, 9) osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy, 10) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych, 11) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych, 12) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonuje się takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści. 2. Zabezpieczenia techniczne 1) wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą..(proszę wskazać rozwiązania zapewniające bezpieczeństwo np. wykorzystanie urządzenia stanowiącego bramę DNS, FireWall itp.), 2) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową, 3) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła, 3. Środki ochrony fizycznej: 1) obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem, 2) obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem, 3) urządzenia służące do przetwarzania danych osobowych umieszczone są w zamykanych pomieszczeniach,

4) dokumenty i nośniki informacji zawierające dane osobowe przechowywane są w zamykanych na klucz szafach. Rozdział 10 Zadania administratora danych osobowych lub inspektora ochrony danych (jeśli został powołany) 17 Do najważniejszych obowiązków administratora danych osobowych lub administratora bezpieczeństwa informacji należy: 1) organizacja bezpieczeństwa i ochrony danych osobowych zgodnie z wymogami RODO i ustawy o ochronie danych osobowych, 2) zapewnienie przetwarzania danych zgodnie z uregulowaniami Polityki bezpieczeństwa i innymi dokumentami wewnętrznymi, 3) przeprowadzenie oceny skutków planowanej operacji przetwarzania dla ochrony danych osobowych w przypadku, gdy organizacja wprowadza nowy rodzaj przetwarzania danych osobowych, 4) wydawanie i anulowanie upoważnień do przetwarzania danych osobowych, 5) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, 6) prowadzenie postępowania wyjaśniającego w przypadku naruszenia ochrony danych osobowych, 7) nadzór nad bezpieczeństwem danych osobowych, 8) kontrola działań komórek organizacyjnych pod względem zgodności przetwarzania danych z przepisami o ochronie danych osobowych, 9) inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych. Rozdział 11 Zadania administratora systemu informatycznego (o ile został powołany/zatrudniony np. informatyk) 18 1. Administrator systemu informatycznego odpowiedzialny jest za: 1) bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych, 2) optymalizację wydajności systemu informatycznego, instalacje i konfiguracje sprzętu sieciowego i serwerowego, 3) instalacje i konfiguracje oprogramowania systemowego, sieciowego, 4) konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz zabezpieczającym dane chronione przed nieupoważnionym dostępem, 5) nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych, 6) współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych, 7) zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego,

8) zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie, 9) przeciwdziałanie próbom naruszenia bezpieczeństwa informacji, 10) przyznawanie na wniosek administratora danych osobowych lub inspektora ochrony danych ściśle określonych praw dostępu do informacji w danym systemie, 11) wnioskowanie do administratora danych osobowych lub inspektora ochrony danych w sprawie zmian lub usprawnienia procedur bezpieczeństwa i standardów zabezpieczeń, 12) zarządzanie licencjami, procedurami ich dotyczącymi, 13) prowadzenie profilaktyki antywirusowej. 2. Praca administratora systemu informatycznego jest nadzorowana pod względem przestrzegania RODO, ustawy o ochronie danych osobowych,... oraz Polityki bezpieczeństwa Organizacji przez administratora danych lub inspektora ochrony danych. Rozdział 12 Sprawozdanie roczne z funkcjonowania systemu ochrony danych osobowych 19 1. Corocznie do dnia inspektor ochrony danych /jeśli został powołany/ przygotowuje sprawozdanie roczne z funkcjonowania systemu ochrony danych osobowych i przekazuje do administratora danych osobowych. 2. Sprawozdanie przygotowywane jest w formie pisemnej. Rozdział 13 Postanowienia końcowe 20 1. Każdy użytkownik przed dopuszczeniem do pracy z systemem informatycznym przetwarzającym dane osobowe lub zbiorami danych osobowych w wersji papierowej winien być poddany przeszkoleniu w zakresie ochrony danych osobowych w zbiorach elektronicznych i papierowych. 2. Za przeprowadzenie szkolenia odpowiada administrator danych osobowych lub inspektor ochrony danych(o ile został powołany). 3. Zakres szkolenia powinien obejmować zaznajomienie użytkownika z przepisami ustawy o ochronie danych osobowych oraz wydanymi na jej podstawie aktami wykonawczymi oraz Polityką bezpieczeństwa i innymi związanymi z nią dokumentami obowiązującymi u administratora danych osobowych, 4. Szkolenie zostaje zakończone podpisaniem przez słuchacza oświadczenia o wzięciu udziału w szkoleniu i jego zrozumieniu oraz zobowiązaniu się do przestrzegania przedstawionych w trakcie szkolenia zasad ochrony danych osobowych. 5. Dokument ten jest przechowywany w aktach osobowych użytkowników i stanowi podstawę do podejmowania działań w celu nadania im upoważnień do przetwarzania danych osobowych. 6. Pracownicy zobowiązani są do stosowania przy przetwarzaniu danych osobowych postanowień zawartych w Polityce bezpieczeństwa i innych związanych z nią dokumentach.

7. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działań określonych w RODO, ustawie i dokumentach wewnętrznych Organizacji, można wszcząć postępowanie dyscyplinarne. 8. Kara dyscyplinarna orzeczona wobec osoby winnej naruszenia zabezpieczeń systemu informatycznego i uchylającej się od powiadomienia administratora danych osobowych lub inspektora ochrony danych /jeśli został powołany/ nie wyklucza odpowiedzialności karnej tej osoby, zgodnie z ustawą oraz możliwości wniesienia wobec niej sprawy z powództwa cywilnego przez pracodawcę o zrekompensowanie poniesionych strat. 9. W sprawach nieuregulowanych w Polityce mają zastosowanie przepisy RODO i ustawy. wybrać wariant lub formy odpowiadające przyjętym rozwiązaniom w danej organizacji

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres