POLITYKA BEZPIECZEŃSTWA INFORMACJI

Podobne dokumenty
ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

PARTNER.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Ochrona danych osobowych w biurach rachunkowych

POLITYKA BEZPIECZEŃSTWA

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

PRELEGENT Przemek Frańczak Członek SIODO

I. Postanowienia ogólne

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Kluczborku w dniu. r. roku przez:

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Marcin Soczko. Agenda

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

Umowa powierzenia danych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

PROCEDURA WSPÓŁPRACY Z PODMIOTAMI ZEWNĘTRZNYMI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Umowa powierzenia przetwarzania danych osobowych. zawarta dnia.. pomiędzy: (zwana dalej Umową )

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Umowa powierzenia przetwarzania danych osobowych (zwana dalej Umową )

Przykład klauzul umownych dotyczących powierzenia przetwarzania

zwany w dalszej części umowy Podmiotem przetwarzającym lub Procesorem

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Umowa powierzenia przetwarzania danych osobowych

Załącznik Nr 4 do Umowy nr.

Umowa powierzenia przetwarzania danych osobowych nr...

Strony postanowiły zawrzeć umowę o następującej treści:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2019 r. w Namysłowie zwana dalej Umową, pomiędzy:

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Umowa powierzenia przetwarzania danych osobowych Nr.. zawarta dnia 2019 pomiędzy: Powiatem Kędzierzyńsko-Kozielskim NIP , REGON

Umowa powierzenia przetwarzania danych osobowych zawarta w dniu 2018 r. pomiędzy:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH W BIBLIOTECE J U S T Y N A J A N K O W S K A

Umowa powierzenia przetwarzania danych osobowych

Ochrona Danych Osobowych

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

WZÓR UMOWA O POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu... pomiędzy zwana dalej Przetwarzającym

UMOWA w zakresie powierzenia przetwarzania danych osobowych. zawarta w XX w dniu XX XX XXXX roku pomiędzy: (dane podmiotu zawierającego umowę)

Bezpieczeństwo teleinformatyczne danych osobowych

Al. J. Ch. Szucha 8, Warszawa

POLITYKA BEZPIECZEŃSTWA

zwana dalej Administratorem

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Ochrona danych osobowych w systemie rachunkowości. Wpisany przez Rafał Rydzak

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH - WZÓR. zawarta w dniu... w. pomiędzy:

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

IDENTYFIKATOR. NUMER REGON lub KSIĘGA REJESTROWA. 1.Rodzaj szpitala : szpital kliniczny szpital resortowy wojewódzki szpital specjalistyczny

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Umowa o powierzeniu przewarzania danych osobowych. Umowa. powierzenia przetwarzania danych osobowych

Umowa powierzenia danych osobowych. zawarta dnia. roku pomiędzy: reprezentowaną przez Burmistrza Gminy Stęszew Włodzimierza Pinczaka.

Umowa powierzenia przetwarzania danych osobowych,

Instrukcja Zarządzania Systemem Informatycznym

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA powierzenia przetwarzania danych osobowych (zwana dalej Umową )

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

KONIECZNE ZMIANY W PRZEPISACH ROZPORZĄDZENIA Z PUNKTU WIDZENIA GIODO

OGÓLNE WARUNKI ŚWIADCZENIA USŁUG ORAZ POWIERZANIA DANYCH OSOBOWYCH Novo Logistics Sp. z o.o.

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

UMOWA O POWIERZENIU PRZETWARZANIA DANYCH

Umowa powierzenia przetwarzania danych osobowych zawarta dnia pomiędzy: (zwana dalej Umową )

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Umowa powierzenia przetwarzania danych osobowych nr PDO/ /2018 zawarta w Poznaniu w dniu.. września 2018 roku

UMOWA POWIERZENIA ( Umowa )

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w.,... pomiędzy:

Załącznik do Załącznika nr 2 do SIWZ Umowa powierzenia przetwarzania danych osobowych (wzór umowy) oznaczenie sprawy FDZP

Umowa powierzenia przetwarzania danych osobowych

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH TARNOWSKIE GÓRY. Nazwa firmy. imię. nazwisko NIP REGON. Kod pocztowy. miejscowość.

Załącznik nr 1 do Porozumienia. Umowa powierzenia przetwarzania danych osobowych. (dalej Umowa powierzenia),

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Niniejsza umowa została zawarta w Otwocku w dniu..roku pomiędzy:

Transkrypt:

POLITYKA BEZPIECZEŃSTWA INFORMACJI Firma Auto Diug Iwona Diug z siedzibą przy ul. Poznańskiej 74, 76-200 Słupsk /tekst jednolity na dzień 15.05.2018r./ /obowiązuje od dnia 25.05.2018r./ 1) Strategia bezpieczeństwa 1. Definicje 1) Użyte w niniejszej Polityce Bezpieczeństwa Informacji pojęcia oznaczają: a) Administrator Iwona Diug, prowadząca działalność gospodarczą pod nazwą: Auto Diug Iwona Diug przy ul. Poznańskiej 74, 76-200 Słupsk, NIP 8421002868, REGON 770784577, z zastrzeżeniem punktu 2, b) pracownik osoba świadcząca pracę Administratorowi na podstawie stosunku pracy lub innego stosunku prawnego. Zapisy niniejszej Polityki Bezpieczeństwa Informacji odnoszące się do pracowników stosuje się także do stażystów i praktykantów, c) trwały nośnik - materiał lub narzędzie umożliwiające przechowywanie informacji, w sposób umożliwiający dostęp do informacji w przyszłości przez czas odpowiedni do celów, jakim te informacje służą, i które pozwalają na odtworzenie przechowywanych informacji w dowolnym czasie w niezmienionej postaci. 2) Przepisy niniejszej Polityki Bezpieczeństwa Informacji mają zastosowanie także wtedy, kiedy Administrator przetwarza dane osobowe jako procesor któremu powierzono dane do przetwarzania lub podmiot przetwarzający, w rozumieniu odpowiednich przepisów prawa. 2. Cel Celem wprowadzenia Polityki Bezpieczeństwa Informacji jest: a) zapewnienie wymaganego zaangażowania pracowników w utrzymanie poziomu bezpieczeństwa informacji w tym ochrony danych osobowych które przetwarza Administrator, b) określenie kierunków rozwoju zarządzania bezpieczeństwem informacji w tym ochroną danych osobowych, przy jednoczesnym spełnieniu wszelkich wymogów obowiązującego prawa oraz zagwarantowaniu sprawnego funkcjonowania Administratora, c) identyfikowanie i obniżanie ryzyk związanych z bezpieczeństwem informacji, w tym ochroną danych osobowych, d) realizację zasad zgodności z prawem, rzetelności, przejrzystości, ograniczenia celu, prawidłowości, ograniczania przechowywania, integralności, poufności oraz rozliczalności przetwarzania danych osobowych. 3. Sformułowanie strategii ochrony danych osobowych Bezpieczeństwo Administratora to stan określony przez przyjęty zbiór norm, zasad, rozwiązań oraz środków i metod ochrony zasobów informacyjnych, którego miarą jest poziom ryzyka naruszenia dostępności, poufności lub integralności tych zasobów. Bezpieczeństwo Administratora jest zapewnione, jeżeli ryzyko naruszenia dostępności, poufności lub integralności chronionych zasobów Administratora nie przekracza akceptowalnych parametrów przy zachowaniu zasad sformułowanych w niniejszej Polityce Bezpieczeństwa Informacji i związanych z nią dokumentach. 4. Regulacje ogólne Ochronie podlegają w szczególności: a) dane osobowe przetwarzane przez Administratora, niezależnie od ich formy i nośnika, b) sprzęt wykorzystywany do przetwarzania, przesyłania i przechowywania danych osobowych u Administratora, 1

c) pomieszczenia, w których znajduje się kluczowy sprzęt informatyczny zawierający dane osobowe, d) dokumenty i inne trwałe nośniki zawierające dane osobowe, e) oprogramowanie wykorzystywane u Administratora, f) wizerunek Administratora, g) pozostałe mienie wykorzystywane przez Administratora lub będące jego własnością, h) informacje, których właścicielem są kontrahenci lub jednostki zewnętrzne współpracujące z Administratorem w ramach tej współpracy. 5. Uwarunkowania prawne Niniejsza Polityka Bezpieczeństwa Informacji jest zgodna z przepisami obowiązującego prawa, w szczególności z: - rozporządzeniem Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), - ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2015 r. poz. 2135) oraz aktem prawnym ją zastępującym, - rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024) oraz aktem prawnym je zastępującym, - ustawą z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204), jeżeli w danym przypadku przetwarzania ma zastosowanie, - ustawą z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne (Dz.U. Nr 171, poz. 1800), jeżeli w danym przypadku przetwarzania ma zastosowanie. 6. Potencjalne zagrożenia Zasoby Administratora, w szczególności informacje i dane osobowe, a także sprzęt niezbędny do ich przechowywania i przetwarzania, są istotne dla prowadzenia przez Administratora działalności gospodarczej. W szczególności identyfikuje się następujące kategorie zagrożeń, którym mogą podlegać zasoby Administratora: a) naruszenie poufności danych zarówno przez pracowników, jak i osoby niezatrudnione u Administratora, w tym również przez kradzież zasobu, b) niedostępność zasobu lub znaczna degradacja jego istotnych parametrów funkcjonalnych lub utrata danych (zniszczenie zasobu) na skutek wystąpienia sił wyższych albo nieumyślnego, umyślnego lub przypadkowego działania, c) naruszenie integralności danych na skutek nieumyślnego, umyślnego lub przypadkowego działania, d) stosowanie niespójnych zasad (standardów, procedur) i środków ochrony systemów. 3) Organizacja bezpieczeństwa informacji u Administratora 7. Wykaz kategorii osób których dane dotyczą oraz systemy informatyczne stosowane do przetwarzania tych danych 1) Administrator przetwarza dane osobowe w następujących zbiorach: a) Kandydaci na klientów i kontrahentów administratora b) Klienci i kontrahenci administratora c) Pracownicy i inne osoby zatrudnione przez administratora oraz kandydaci na pracowników i zatrudnionych przez administratora 2) Kategorie przetwarzanych danych osobowych (pola informacyjne): 2

a) Imiona i nazwiska b) Adresy zamieszkania lub pobytu c) Numery z istniejących rejestrów i ewidencji d) Adresy poczty elektronicznej e) Numery telefonów f) Adresy profili na portalach społecznościowych g) Daty, miejsca, ceny i zakresy dostarczonych osobie której dane dotyczą produktów i usług przez administratora lub produktów i usług którymi zainteresowana była osoba której dane dotyczą h) Zawód lub zajęcie oraz wykształcenie osoby której dane dotyczą i) Prowadzone postępowania wynikające z ujawnienia naruszeń przepisów prawa w związku z ruchem pojazdów mechanicznych oraz sposoby zakończenia tych postępowań j) Wizerunek w formie zdjęcia lub zapisu urządzenia rejestrującego obraz k) Informacje o położeniu pojazdu l) Informacje o niepełnosprawności 3) Dane osobowe są przetwarzane w następujących systemach informatycznych i aplikacjach: a) DMS 8. Ewidencja osób upoważnionych 1) Administrator może prowadzić na trwałym nośniku Ewidencję osób upoważnionych do przetwarzania danych osobowych, która składa się z następujących elementów: a) imienia i nazwiska osoby upoważnionej b) daty nadania upoważnienia c) daty ustania upoważnienia d) zakresu upoważnienia e) identyfikatora osoby upoważnionej (dla danych przetwarzanych w systemie informatycznym) f) podpisu osoby upoważnionej g) podpisu osoby dokonującej wpisu w Ewidencji 2) Ewidencja jest aktualizowana i uzupełniana na bieżąco i niezwłocznie, a wpis nowej osoby do ewidencji następuje tylko po spełnieniu warunków o których mowa w 18 pkt 3. 3) Aktualna Ewidencja stanowi załącznik nr 1 do niniejszej Polityki Bezpieczeństwa Informacji. 9. Poziomy bezpieczeństwa 1) Uwzględniając kategorie przetwarzanych danych oraz zagrożenia wprowadza się poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym: a) podstawowy; b) podwyższony; c) wysoki. 2) Poziom co najmniej podstawowy stosuje się, gdy: a) w systemie informatycznym nie są przetwarzane dane osobowe wrażliwe (szczególnie chronione) oraz b) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 3) Poziom co najmniej podwyższony stosuje się, gdy: a) w systemie informatycznym przetwarzane są dane osobowe wrażliwe (szczególnie chronione) oraz b) żadne z urządzeń systemu informatycznego, służącego do przetwarzania danych osobowych nie jest połączone z siecią publiczną. 4) Poziom wysoki stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. 3

5) W przypadku gdy struktura zbioru danych osobowych nie pozwala na wyodrębnienie danych dla celów stosowania różnych poziomów bezpieczeństwa, stosuje się poziom wyższy dla całości zbioru. 10. Przetwarzanie danych w systemie informatycznym 1) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym - z wyjątkiem systemów służących do przetwarzania danych osobowych ograniczonych wyłącznie do edycji tekstu w celu udostępnienia go na piśmie - system ten zapewnia odnotowanie: a) daty pierwszego wprowadzenia danych do systemu; b) identyfikatora użytkownika wprowadzającego dane osobowe do systemu, chyba że dostęp do systemu informatycznego i przetwarzanych w nim danych posiada wyłącznie jedna osoba; c) źródła danych, w przypadku zbierania danych, nie od osoby, której one dotyczą; d) informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; 2) Odnotowanie informacji, o których mowa w punkcie 1 lit. a) i b), następuje automatycznie po zatwierdzeniu przez użytkownika operacji na danych. 3) Dla każdej osoby, której dane osobowe są przetwarzane w systemie informatycznym, system zapewnia sporządzenie i wydrukowanie raportu zawierającego w powszechnie zrozumiałej formie informacje, o których mowa w punkcie 1. 4) W przypadku przetwarzania danych osobowych, w co najmniej dwóch systemach informatycznych, wymagania, o których mowa w punkcie 1 mogą być realizowane w jednym z nich lub w odrębnym systemie informatycznym przeznaczonym do tego celu. 11. Środki bezpieczeństwa 1) Środki bezpieczeństwa na poziomie podstawowym: A. Budynki, pomieszczenia lub części pomieszczeń, w których przetwarza się dane osobowe: a) budynki, pomieszczenia lub części pomieszczeń, w których przetwarzane są dane osobowe, zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych; b) przebywanie osób nieuprawnionych w obszarze, o którym mowa powyżej, jest dopuszczalne za zgodą Administratora lub w obecności osoby upoważnionej do przetwarzania danych osobowych; B. System informatyczny: a) w systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych; b) jeżeli dostęp do danych przetwarzanych w systemie informatycznym posiadają co najmniej dwie osoby, wówczas zapewnia się, aby: - w systemie tym rejestrowany był dla każdego użytkownika odrębny identyfikator; - dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. c) system informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed: - działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego; - utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. C. Identyfikator użytkownika, kopie zapasowe: a) identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie; b) w przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. Hasło składa się co najmniej z 6 znaków; 4

c) kopie zapasowe: - przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem; - usuwa się niezwłocznie po ustaniu ich użyteczności. D. Transport urządzeń, na którym zapisane są dane osobowe: a) osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza budynkami, pomieszczeniami i częściami pomieszczeń, w których przetwarza się dane osobowe, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych. E. Sposób postępowania z urządzeniami, dyskami lub innymi elektronicznymi nośnikami informacji, na których zapisane są dane osobowe: a) urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do: - likwidacji - pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie; - przekazania podmiotowi nieuprawnionemu do przetwarzania danych - pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie; - naprawy - pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych. 2) Środki bezpieczeństwa na poziomie podwyższonym: a) W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne. b) Urządzenia i nośniki zawierające dane osobowe wrażliwe, przekazywane poza obszar, budynki, pomieszczenia i części pomieszczeń, w których przetwarza się dane osobowe, zabezpiecza się w sposób zapewniający poufność i integralność tych danych. c) Ponadto stosuje się środki bezpieczeństwa na poziomie podstawowym. 3) Środki bezpieczeństwa na poziomie wysokim: a) System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. b) W przypadku zastosowania logicznych zabezpieczeń, o których mowa powyżej, obejmują one: - kontrolę przepływu informacji pomiędzy systemem informatycznym Administratora danych a siecią publiczną; - kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego Administratora danych. c) Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej. d) Administrator danych stosuje na poziomie wysokim środki bezpieczeństwa stosowane również na poziomie podstawowym i podwyższonym. 4) Inspektor Ochrony Danych Osobowych 12. Powołanie Inspektora Ochrony Danych 1) Z uwagi na fakt, że działalność Administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę, powołanie Inspektora Ochrony Danych Osobowych jest obligatoryjne. 2) Informujemy, że Inspektorem Ochrony Danych Osobowych u administratora jest Pani Iwona Diug, z którą można się skontaktować telefonicznie (59) 848 99 99, drogą poczty elektronicznej 5

biuro@autodiug.pl. W przypadku zmiany osoby Inspektora Ochrony Danych Osobowych aktualne dane Inspektora Ochrony Danych można znaleźć na stronie internetowej www.autodiug.pl lub w rejestrze Prezesa Urzędu Ochrony Danych Osobowych. 3) Administrator publikuje dane kontaktowe Inspektora Ochrony Danych na swoich stronach internetowych oraz zawiadamia o jego powołaniu, odwołaniu lub zmianie danych organ nadzorczy. 13. Zadania Inspektora Ochrony Danych 1) Inspektor Ochrony Danych jest odpowiedzialny za wdrożenie i stosowanie niniejszej Polityki Bezpieczeństwa Informacji u Administratora. 2) Inspektor Ochrony Danych jest niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych i jest odpowiedzialny za prawidłowe przetwarzanie tych danych przez Administratora. 3) Do zadań Inspektora Ochrony Danych należy w szczególności: a) informowanie Administratora oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów o ochronie danych i doradzanie im w tej sprawie; b) monitorowanie przestrzegania przepisów o ochronie danych oraz niniejszej Polityki Bezpieczeństwa Informacji, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty; c) współpraca z organem nadzorczym; d) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem i innych sprawach; e) przygotowywanie dokumentacji o której mowa w niniejszej Polityce Bezpieczeństwa Informacji. 14. Zgłaszanie naruszeń ochrony danych osobowych 1) Inspektor Ochrony Danych jest odpowiedzialny bez zbędnej zwłoki w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia zgłosić je w imieniu Administratora organowi nadzorczemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Do zgłoszenia przekazanego organowi nadzorczemu po upływie 72 godzin dołącza się wyjaśnienie przyczyn opóźnienia. 2) Inspektor Ochrony Danych dokumentuje na trwałym nośniku wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze. Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego przepisu. Dokumentowanie to może być częścią Raportu o którym mowa w 15. 15. Dokumentacja przygotowywana przez Inspektora Ochrony Danych 1) Inspektor Ochrony Danych jest odpowiedzialny za prowadzenie Rejestru Czynności Przetwarzania zawierającego: a) nazwę oraz dane kontaktowe Administratora oraz wszelkich współadministratorów, a także dane Inspektora Ochrony Danych; b) cele przetwarzania; c) opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych; d) kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych; e) gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej; 6

f) jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych; g) jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa. 2) Inspektor Ochrony Danych zobowiązany jest w nie rzadziej niż raz na kwartał kalendarzowy przeprowadzić kontrolę, testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych przez Administratora. 3) Inspektor Ochrony Danych zobowiązany jest w nie rzadziej niż raz na kwartał kalendarzowy przeprowadzić kontrolę aktualności, kompletności i podstaw prawnych przetwarzanych danych oraz wypełnianie przez Administratora praw osób których dane dotyczą, wynikających z obowiązujących przepisów, w szczególności: a) prawa do informacji b) prawa do dostępu i wglądu w dane, c) prawa do sprostowania, d) prawa do usunięcia danych, e) prawa do ograniczenia przetwarzania, f) prawa do przenoszenia danych, g) prawa sprzeciwu wobec przetwarzania danych, w tym prawa do zakazania marketingu bezpośredniego z wykorzystaniem danych osobowych. 4) W toku prowadzonych czynności o których mowa w punkcie poprzedzającym Inspektor Ochrony Danych bada również stan posiadanych przez Administratora zgód na przetwarzanie danych osobowych (jak również zgód na otrzymywanie informacji handlowych drogą elektroniczną, w tym pocztą elektroniczną, na udostępniony adres elektroniczny, zgodnie z przepisami ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną oraz zgód na wykorzystywanie telekomunikacyjnych urządzeń końcowych i automatycznych systemów wywołujących dla celów marketingu bezpośredniego zgodnie z przepisami ustawy z dnia 16 lipca 2004 r. - Prawo telekomunikacyjne) oraz zgodności przetwarzania danych z celami dla których dane zostały pozyskane. 5) W przypadku stwierdzenia niezgodności po przeprowadzeniu czynności o których mowa w punktach 3 i 4 Inspektor Ochrony Danych podejmuje w miarę potrzeby decyzję o: a) dokonaniu aktualizacji lub sprostowania danych, b) wystąpieniu o odpowiednie zgody do osób których dane dotyczą, c) poinformowaniu osoby której dane dotyczą o zmianie celu przetwarzania, d) usunięciu danych lub przetwarzaniu ich na innej niż zgoda podstawie prawnej. 6) Nie wcześniej niż na 14 dni i nie później niż na 7 dni przed upływem każdego kwartału kalendarzowego Inspektor Ochrony Danych zobowiązany jest przygotować Raport dotyczący przeprowadzonych czynności o których mowa w punktach 2, 3, 4 i 5, który na trwałym nośniku składa osobie będącej organem reprezentacji Administratora. Raport ten zawiera w szczególności: a) wskazanie okresu czasu jakiego dotyczy raport, b) wymienienie przeprowadzonych czynności wraz z datą i godziną ich przeprowadzenia, c) określenie danych osobowych których aktualność i kompletność zbadano, d) dostrzeżone usterki mogące powodować ryzyka naruszenia ochrony danych oraz ich opis i sposób zabezpieczenia, e) dostrzeżone naruszenia ochrony danych osobowych oraz informację o ich zgłoszeniu w myśl 14 wraz z datą i godziną takiego zgłoszenia, f) dane Inspektora Ochrony Danych Osobowych, a w przypadku gdy raport sporządzany jest w formie pisemnej, jego podpis. 16. Ocena skutków przetwarzania dla ochrony danych osobowych i konsultacje 1) Jeżeli dany rodzaj przetwarzania danych osobowych przez Administratora w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zleca Inspektorowi Ochrony Danych przed rozpoczęciem tego 7

przetwarzania przeprowadzenie w imieniu Administratora oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych, o której mowa w art. 35 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę. 2) Inspektor Ochrony Danych przygotowuje dokument oceny o której mowa w punkcie 1 na trwałym nośniku i składa go osobie będącej organem reprezentacji Administratora. Dokument ten zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie (tj. nie odbywa się na podstawie zgody) prawnie uzasadnionych interesów realizowanych przez administratora, b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów, c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy, e) dane Inspektora Ochrony Danych Osobowych, a w przypadku gdy ocena sporządzana jest w formie pisemnej, jego podpis. 3) Jeżeli ocena skutków dla ochrony danych, wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby Administrator nie zastosował środków w celu zminimalizowania tego ryzyka, to przed rozpoczęciem przetwarzania administrator konsultuje się z organem nadzorczym w trybie art. 36 rozporządzenia Parlamentu Europejskiego i Rady (UE) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. 17. Poufność wykonywania zadań przez Inspektora Ochrony Danych Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań zarówno w trakcie jak i po ustaniu sprawowania funkcji. 4) Obowiązki pracowników oraz kontrahentów i jednostek zewnętrznych 18. Obowiązki pracowników 1) Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich pracowników Administratora, a każda osoba podejmująca pracę u Administratora lub inna osoba uzyskująca dostęp do danych osobowych, przyjmuje na siebie obowiązek zachowania w tajemnicy danych osobowych z którymi ma styczność oraz sposobów ich zabezpieczenia. 2) Każdy zatrudniony pracownik w pierwszym dniu pracy ma obowiązek: a) zapoznać się z zasadami, regułami i postanowieniami niniejszej Polityki Bezpieczeństwa Informacji i potwierdzić ten fakt podpisując oświadczenie, które stanowi Załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji b) odbyć szkolenie z zakresu bezpieczeństwa informacji w tym ochrony danych osobowych z udziałem Inspektora Ochrony Danych (jeżeli Administrator uzna przeprowadzenie takiego szkolenia za stosowne), które potwierdzane jest w karcie szkolenia z zakresu bezpieczeństwa informacji. 3) Dostęp do danych osobowych pracownik otrzymuje dopiero po wydaniu mu pisemnego upoważnienia do przetwarzania danych osobowych oraz po podpisaniu oświadczenia, które stanowią załącznik nr 2 do niniejszej Polityki Bezpieczeństwa Informacji oraz po wpisie pracownika do Ewidencji osób upoważnionych do przetwarzania danych osobowych, o której mowa w 8, jeżeli jest prowadzona. 8

4) Pracownicy Administratora mają prawo używać danych osobowych, które przetwarza Administrator wyłącznie do celów służbowych, chyba, że regulacje szczegółowe stanowią inaczej. 19. Obowiązki kontrahentów i jednostek zewnętrznych 1) Niniejsza Polityka Bezpieczeństwa Informacji obowiązuje wszystkich kontrahentów, jednostki zewnętrzne i ich pracowników, o ile w trakcie realizacji umowy otrzymują dostęp do zasobów informacyjnych Administratora. 2) W przypadku, gdy kontrahent w trakcie wykonywania umowy ma lub może mieć dostęp do zasobów informacyjnych Administratora, w umowach z kontrahentami wprowadzana jest klauzula dotycząca obowiązku przestrzegania bezpieczeństwa informacji. Klauzula ta powinna zawierać: zobowiązanie kontrahenta do przestrzegania Polityki Bezpieczeństwa Informacji, ochrony udostępnionych zasobów informacyjnych poprzez ograniczenie ich kopiowania i udostępniania oraz do ich zwrotu lub zniszczenia w momencie zakończenia umowy. 3) Istotne naruszenie bezpieczeństwa informacji przez kontrahenta stanowi podstawę do odstąpienia przez Administratora od umowy i żądania pokrycia ewentualnej szkody lub zapłaty kary umownej, jeżeli taki obowiązek wynika z zawartej umowy. 5) Umowy o powierzenie przetwarzania danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi 20. Wybór procesora lub podmiotu przetwarzającego Administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z przepisów prawa i chroniło prawa osób, których dane dotyczą. 21. Niezbędne elementy umowy Z każdej umowy o przetwarzanie danych osobowych, umowy z procesorami lub podmiotami przetwarzającymi zawartej przez Administratora musi jednoznacznie wynikać, że podmiot przetwarzający: 1) przetwarza dane osobowe wyłącznie na udokumentowane polecenie Administratora co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; 2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; 3) podejmuje wszelkie środki bezpieczeństwa wymagane przepisami prawa; 4) korzysta on wyłącznie z usług innych podmiotów przetwarzających, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi przepisów prawa i chroniło prawa osób, których dane dotyczą i jednocześnie nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody, a w przypadku ogólnej pisemnej zgody inny podmiot przetwarzający informuje podmiot przetwarzający o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym podmiotowi przetwarzającemu możliwość wyrażenia sprzeciwu wobec takich zmian; 9

5) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą; 6) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków wynikających z bezpieczeństwa przetwarzania, obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz obowiązku zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych; 7) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji Administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie; 8) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych umowie oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich, a w związku z tym obowiązkiem podmiot przetwarzający niezwłocznie informuje Administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie przepisów prawa o ochronie danych. Załączniki do Polityki Bezpieczeństwa Informacji: 1) Ewidencja osób upoważnionych do przetwarzania danych osobowych 2) Upoważnienia do przetwarzania danych osobowych wraz z oświadczeniem pracownika 3) Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe [podpis Inspektora Ochrony Danych] Zapoznałem się i zobowiązuję się do wdrożenia i zapewnienia stosowania niniejszej Polityki Bezpieczeństwa Informacji [podpis organu reprezentacji Administratora] Dokument przyjęty w dniu. 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres