Rejestr czynności przetwarzania Sparkle Studio Pole Dance Białystok

Podobne dokumenty
POLITYKA E-BEZPIECZEŃSTWA

Polityka Bezpieczeństwa ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZE STWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O.

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O. Rozdział I Definicje i postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA

1. Podstawowe zasady przetwarzania danych w Spółce

1 Zakres Regulaminu. integralności, rozliczalności przetwarzania danych osobowych. 2 Pojęcia używane w Regulaminie

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

KLAUZULA INFORMACYJNA dla klientów

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INFORMACJA DOTYCZĄCA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Umowa nr. Wzór umowy o ochronie danych osobowych do umowy nr... z dnia...

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Umowa nr. Wzór umowy o postępowaniu z danymi osobowymi i stosowanych środkach bezpieczeństwa w związku z zawarciem umowy nr... z dnia...

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

INSTRUKCJA zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

I Informacje ogólne. II Definicje

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

POLITYKA BEZPIECZEŃSTWA

Wymagania w zakresie bezpieczeństwa informacji dla Wykonawców świadczących usługi na rzecz i terenie PSG sp. z o.o. Załącznik Nr 3 do Księgi ZSZ

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Rejestr czynności przetwarzania danych osobowych

Rejestr czynności przetwarzania danych osobowych. 1 Grupa / zakres: pracownicy UWAGI rodzaj danych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Instrukcja Zarządzania Systemem Informatycznym

Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

Polityka Bezpieczeństwa Danych Osobowych. Zielona Terapia

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

REGULAMIN KORZYSTANIA Z INTERNETOWEGO SYSTEMU OBSŁUGI KLIENTÓW

Polityka prywatności. 1. Cel przetwarzania danych Dane osobowe Klienta przetwarzane są w celu:

Porozumienie w sprawie zasad powierzenia przetwarzania danych osobowych w związku z realizacją Umowy..

Geokompetencje w praktyce drogą do sukcesu II

OCHRONA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ MSZCZONOWSKA. Łukasz Zegarek 29 listopada 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W NAMYSŁOWSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ W NAMYSŁOWIE

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA PRYWATNOŚCI W SERWISIE SENTIONE.COM

POLITYKA BEZPIECZEŃSTWA

do Umowy Operacyjnej Pożyczka Inwestycyjna oraz Pożyczka Profilowana nr [*] POROZUMIENIE w sprawie zasad powierzenia przetwarzania danych osobowych

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Załącznik nr 13 do Umowy Operacyjnej nr [*]

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Rozdział 3 Inwentaryzacja procesów i zasobów biorących udział w procesach

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

1/6. UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową Powierzenia )

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Strona 1 z 8. Załącznik Nr [14] do Umowy Operacyjnej Pożyczka /Pożyczka dla Start-upów nr [*]

Polityka prywatności

1. Polityka Bezpieczeństwa

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ZARZĄDZENIE NR 2/2012

Rozdział I Zagadnienia ogólne

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

a) po 11 dodaje się 11a 11g w brzmieniu:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka prywatności w Pride Fitness Club

Załącznik nr 8 do SIWZ

REGULAMIN PROWADZENIA ELEKTRONICZNEJ DOKUMENTACJI PRZEBIEGU NAUCZANIA w ZESPOLE SZKÓŁ TECHNICZNYCH w CHEŁMIE

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Porozumienie w sprawie przesyłania faktur w formie elektronicznej

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Transkrypt:

Rejestr czynności przetwarzania Sparkle Studio Pole Dance Białystok I Administrator 1. Administratorem danych jest SPARKLE STUDIO ANNA TOFIŁO z siedzibą w Białymstoku, ul. Jurowiecka 52, 15-101, nr NIP: 5423128951 (zwana dalej: Firmą) II Cele przetwarzania danych sprzedaż Usług będących przedmiotem oferty doręczanie mailingów informacyjnych i reklamowych organizowanie wyjazdów, warsztatów, eventów sportowych organizacja zajęć sportowych działalność związana ze sportem i zdrowym trybem życia III Kategoria osób, których dane są przetwarzane Firma przetwarza dane klientów oraz pracowników, osób samozatrudnionych oraz innych podmiotów współpracujących, w tym również podmiotów zewnętrznych. IV Kategorie podmiotów, które posiadają dostęp do danych Do danych osobowych mają dostęp wszyscy członkowie zespołu Firmy. Dostępy do poszczególnych kategorii osób rozdzielone są poprzez ograniczenie uprawnień technicznych wejścia do wspólnego dysku lub folderu. Zewnętrznie do danych osobowych dostęp mają następujące podmioty - Google Drive, Google, Facebook, Gmail, Mozilla Thunderbird, Tax Care Spółką Akcyjną z siedzibą w Warszawie, ul. Przyokopowa 33, 01-208 Warszawa, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego pod numerem KRS: 0000303939, posiadająca REGON: 141315705, NIP: 5213480707. Powyższe podmioty jako znajdujące się w obszarze EOG lub na liście Privacy Shield przestrzegają przepisów z zakresu danych osobowych analogicznych do Rozporządzenia tzw. RODO. Z podmiotami zawarte zostały umowy powierzenia, przeważnie w formie aktualizacji ich regulaminów. V Kategorie danych 1. Administrator przetwarza następujące dane Klienta: nazwisko i imiona, adres e-mail

telefon W przypadku, gdy uczestnikiem zajęć tanecznych są dzieci, przetwarzane są dane zarówno ich jak i ich rodziców. Administrator przetwarza adres e-mail oraz imię odbiorcy newslettera. Dla pracowników zespół przetwarzanych danych wynika z przepisów kadrowych. VI Przechowywanie danych Dane pracowników oraz osób samozatrudnionych są przechowywane przez cały okres działalności spółki/ firmy za wyjątkiem powierzeń: a. zewnętrzna firma księgowa, przez okres minimum do czasu przedawnienia terminu ewentualnego roszczenia, nie krócej aniżeli wynika to z przepisów ustawy o rachunkowości tj. minimum 5 lat. 2. Dane pracowników tj. listy płac, karty wynagrodzeń albo inne dowody, na podstawie których następuje ustalenie podstawy wymiaru emerytury lub renty firma zobowiązana jest przechowywać przez okres minimum 10 lat od dnia zakończenia przez ubezpieczonego pracy u danego płatnika. 3. Okres przechowywania danych, nie będzie krótszy aniżeli wynika z obowiązujących przepisów prawa (z ustaw szczególnych) tj. m.in.: ustawy o rachunkowości, ordynacji podatkowej, ustawy o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych, czy ustawy o systemie ubezpieczeń społecznych. 4. Dane odbiorców newslettera przechowywane będą do wniosku o ich usunięcie, 5. Dane Klientów przechowywane będą do upływu okresu przedawnienia roszczeń z ich tytułu. Firma zobowiązuje się do niszczenia powstałych tymczasowo dokumentów zawierających dane osobowe (np. lista uczestników konkretnego wydarzenia lub zajęć) oraz dbałości o obieg danych i ich minimalizację zgodnie z poniższymi procedurami. VII Techniczne i organizacyjne środki bezpieczeństwa Przez bezpieczeństwo informacji rozumie się zapewnienie: uniemożliwienia dostępu do danych osobom trzecim; a. uniknięcia nieautoryzowanych zmian w danych; b. zapewnienia dostępu do danych, w każdym momencie żądanym przez użytkownika

1. Jako dane podlegające szczególnej ochronie (informacje poufne) rozumie się: a. informacje o realizowanych kontraktach (zarówno planowane, bieżące jak i historyczne), b. informacje finansowe Firmy, c. dane osobowe. 1. VIII Zasada minimalnych uprawnień W ramach nadawania uprawnień przetwarzanych danych należy stosować zasadę minimalnych uprawnień", to znaczy przydzielać minimalne uprawnienia, które są konieczne do wykonywania pracy na danym stanowisku. IX Zasada zabezpieczeń System IT Firmy powinien być chroniony celem uzyskania skutecznej ochrony danych. X Dostęp do danych poufnych na stacjach PC Dostęp do danych poufnych w LAN realizowany jest na przeznaczonych do tego serwerach. XI Publiczne udostępnianie infrastruktury IT Infrastruktura udostępniona publicznie musi być szczególnie zabezpieczona. Przykładowe środki bezpieczeństwa: separacja od sieci LAN wykonanie hardeningu systemu (zwiększenia bezpieczeństwa oferowanego domyślne przez system)

XII Kopie zapasowe 1. Każde istotne dane (w tym dane poufne) powinny być archiwizowane na wypadek awarii w firmowej infrastrukturze IT. 1. Nośniki z kopiami zapasowymi powinny być przechowywane w miejscu uniemożliwiającym dostęp osobom nieupoważnionym. 2. Okresowo kopie zapasowe muszą być testowane pod względem rzeczywistej możliwości odtworzenia danych. XIII Dostęp do systemów IT po zakończeniu współpracy W przypadku rozwiązania współpracy pracownika z Firmą niezwłocznie dezaktywowane są wszelakie jego dostępy w systemach IT oraz w terminie 1 roku od dnia rozwiązania współpracy dezaktywowane są indywidualnie przyporządkowane do pracownika adresy e- mail. XIV Zabezpieczenie stacji roboczych Stacje robocze powinny być zabezpieczone przed nieautoryzowanych dostępem osób trzecich. Minimalne środki ochrony to: zainstalowane na stacjach systemy typu: firewall i antywirus wdrożony system aktualizacji systemu oraz jego składników, wymaganie podania hasła przed uzyskaniem dostępu do stacji, bieżąca praca z wykorzystaniem konta nieposiadającym uprawnień administracyjnych. XV Wykorzystanie haseł 1. Hasła powinny być okresowo zmieniane. Hasła nie mogą być przechowywane w formie otwartej (nie zaszyfrowanej). Nie wolno przekazywać hasła osobom trzecim. Hasła nie powinny być łatwe do odgadnięcia, to znaczy: a. powinny składać się z minimum 8 znaków, w tym jeden znak specjalny, cyfra i wielka litera, a. nie może być słowem żadnego języka.

XVI Odpowiedzialność pracowników za dane poufne Pracownicy zobowiązani są do strzeżenie danych poufnych, w tym osobowych. XVII Odpowiedzialność pracowników za dane dostępowe do systemów 1. Każdy pracownik zobowiązany jest do ochrony swoich danych dostępowych do systemów informatycznych. Dane dostępowe obejmują między innymi takie elementy jak: hasła dostępowe, klucze softwareowe (pliki umożliwiające dostęp - np. certyfikaty do VPN) oraz sprzętowe, inne mechanizmy umożliwiające dostęp do systemów IT. XVII Przykłady ochrony danych dostępowych nieprzekazywanie dostępów do systemów IT innym osobom (np. przekazywanie swojego hasła dostępowego osobom trzecim), nieprzechowywanie danych w miejscach publicznych (np. zapisywanie haseł dostępowych w łatwo dostępnych miejscach), ochrona danych dostępowych przed kradzieżą przez osoby trzecie. XVIII Systemy IT/serwery Systemy IT przechowujące dane poufne (np. dane osobowe) muszą być odpowiednio zabezpieczone. W szczególności należy dbać o poufność, integralność i rozliczalność danych przetwarzanych w systemach. XIX Dokumentacja papierowa 1. Dokumentacja papierowa zawierająca dane osobowe zamykana jest na klucz. Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych. 1. Osoba odpowiedzialna za księgowość przechowuje wszelką dokumentację papierową zawierającą dane osobowe klientów oraz pracowników Firmy w szafie zamykanej na klucz. Dostęp do kluczy mają tylko osoby uprawnione, które podpisały oświadczenia o zabezpieczaniu danych osobowych. 2. W przypadku wizyty klienta w siedzibie Firmy nie ma on dostępu do szafek, biurek i drukarek. Preferowane jest odprowadzanie do niezawierającej dokumentów sali.

XX Ograniczony dostęp do biura Dostęp do budynku Firmy jest ograniczony poprzez drzwi wejściowe do budynku, alarm, drzwi wejściowe do studia, recepcję w holu. XXI Naruszenie danych osobowych Pracownik zobowiązany jest do poinformowania o naruszeniu w ciągu 24 godzin. O ile wystąpi taka konieczność zgłoszenie naruszenia danych osobowych następuje w ciągu 48 godzin od daty powzięcia informacji o powyżej wymienionym zdarzeniu, zgodnie z poniżej przedstawionym schematem. XXII Formularze Raport z naruszenia ochrony danych osobowych w Firmie powinien zawierać następujące informacje: 1. data, godzina 1. dane osoby powiadamiającej o zaistniałym zdarzeniu (imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeżeli występuje) 2. lokalizacja zdarzenia: (np. numer pokoju, nazwa pomieszczenia, nazwa bazy danych) 3. rodzaj naruszenia bezpieczeństwa 4. podjęte działania 5. przyczyny wystąpienia zdarzenia 6. postępowanie wyjaśniające 7. podjęte środki techniczne, organizacyjne i dyscyplinarne w celu zapobiegania w przyszłości podobnych naruszeń ochrony danych osobowych. XXIII. Prawo do usunięcia/zmiany danych Jeśli klient chce usunąć swoje dane przetwarzane przez Firmę powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera. Firma usuwa dane z: 1. fizycznej umowy, 1. korespondencji mailowej, 2. systemów IT, 3. programu fakturowego

XXIV Wgląd do danych osobistych Jeśli jakikolwiek podmiot, którego dane są przetwarzane przez Firmę chce otrzymać wgląd do swoich danych i je poprawić/zaktualizować, powinien stawić się w siedzibie firmy osobiście w celu weryfikacji danych niemożliwa jest weryfikacja np. poprzez PESEL, ponieważ Firma go nie pobiera. Następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane. XXV Procedura przeniesienia danych klienta W sytuacji gdy klient zgłosi się z prośbą o przeniesienie jego danych do innej firmy, z którą aktualnie nawiązał współpracę, musi się on zgłosić się osobiście z podaniem adresu e- mail na który mają te dane zostać przez Firmę wysłane, a następnie po jego weryfikacji, dane klienta zostaną niezwłocznie zmienione/podane.