Polityka bezpieczeństwa informacji w serwisie techrobot.pl

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Gostyniu

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

Polityka bezpieczeństwa przetwarzania danych osobowych

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Ochrona danych osobowych w biurach rachunkowych

POLITYKA BEZPIECZENSTWA

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA

I. Postanowienia ogólne

Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

1. Podstawowe zasady przetwarzania danych w Spółce

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

ZARZĄDZENIE NR 22/2006 Wójta Gminy Gostycyn z dnia r.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Polityka Bezpieczeństwa Danych Osobowych

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Polityka Bezpieczeństwa Danych Osobowych. Zielona Terapia

Zał. nr 2 do Zarządzenia nr 48/2010 r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Al. J. Ch. Szucha 8, Warszawa

Polityka Ochrony Danych Osobowych w Dietetica- Ewa Stachowska

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

SPIS TREŚCI SPIS ZAŁĄCZNIKÓW

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Zarządzenie Nr 35/VI/2012 Wójta Gminy Braniewo z dnia 25 maja 2012 r.

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

PARTNER.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Amatorski Klub Sportowy Wybiegani Polkowice

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH. w Centrum Stomatologii MATHIAS-DENT Grażyna Mathias

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

POLITYKA BEZPIECZEŃSTWA INFORMACJI Monika Lewandowska Perfect Look

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

POLITYKA OCHRONY PRYWATNOŚCI

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. służącym do przetwarzania danych osobowych

ZARZĄDZENIE NR K PREZYDENTA MIASTA ZIELONA GÓRA - KIEROWNIKA URZĘDU. z dnia 24 maja 2018 r.

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

Pakiet RODO MEDFOOD GROUP Sp. Z O.O.

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

ZARZĄDZENIE NR 43/ 07 WÓJTA GMINY DZIADKOWICE

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Umowa powierzenia danych

POLITYKA OCHRONY DANYCH OSOBOWYCH W ASPEKT LABORATORIUM SP. Z O.O. Z DNIA 25 MAJA 2018 R.

3 Zarządzenie niniejsze obowiązuje od r. ... (podpis dyrektora)

Transkrypt:

Polityka bezpieczeństwa informacji w serwisie techrobot.pl Niniejsza Polityka Bezpieczeństwa Informacji (dalej: Polityka) została przygotowana w celu wykazania, że dane osobowe są przetwarzane i zabezpieczane zgodnie z wymogami prawa, dotyczącymi zasad przetwarzania i zabezpieczenia danych w serwisie techrobot.pl, w tym w szczególności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych - dalej RODO). Rozdział I Definicje bezpieczeństwa informacji, ogólne cele i zakres oraz znaczenie bezpieczeństwa 1 1. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonać obowiązki administratora danych w zakresie zabezpieczenia danych osobowych; 2. Polityką bezpieczeństwa objęte są dane osobowe, którymi zgodnie z RODO są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. 2 Cele Polityki realizowane są poprzez zapewnienie danym osobowym następujących cech: a) zgodność z prawem, rzetelność i przejrzystość właściwości zapewniającej, że przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą; b) ograniczenie celu właściwości zapewniającej, że dane osobowe są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; c) minimalizacja danych właściwości zapewniającej, że przetwarzanie danych jest adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;

d) prawidłowość - właściwości zapewniającej, że dane są prawidłowe i w razie potrzeby uaktualniane; e) ograniczenie przechowywania - właściwości zapewniającej, że dane przechowywane są w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; f). integralność i poufność - właściwości zapewniającej, że dane przetwarzane są w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych; g). rozliczności - co oznacza, że administrator danych jest odpowiedzialny za przestrzeganie w/w zasad i jest w stanie to wykazać. 3 Definicje: 1. Administrator Danych Osobowych (dalej: Administrator) Mariusza Szpakowicza, 65-153 Zielona Góra, ul Ruczajowa 1c/12. NIP: 9291482007 REGON: 3692450; 2. rozporządzenie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; 3. dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby, 4. zbiór danych - każdy uporządkowany zestaw danych o charakterze osobowym, dostępny wedle określonych kryteriów, 5. osoba upoważniona osoba posiadająca pisemne upoważnienie do przetwarzania danych osobowych nadane przez Administratora, 6. osoba nieupoważniona osoba nieposiadająca pisemnego upoważnienia do przetwarzania danych osobowych nadanego przez Administratora oraz osoba, która nie otrzymała zgody Administratora na udostępnienie danych osobowych w trybie i na zasadach określonych w RODO, 7. podmiot przetwarzający - oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu Administratora w związku z jego działalnością; ze wszystkimi podmiotami przetwarzającymi Administrator posiada umowy (pisemne lub w formie elektronicznej), określające zasady powierzania i przetwarzania danych osobowych w imieniu Administratora. 8. organ nadzorczy - Prezes Urzędu Ochrony Danych Osobowych 9. system informatyczny zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych; obszar bezpieczeństwa pomieszczenia użytkowane przez Administratora, w których przetwarzane są dane

osobowe gromadzone przez Administratora. Rozdział II Oświadczenie o intencjach administratora 4 Administrator danych do właściwej i skutecznej ochrony danych osobowych deklaruje: a) zamiar podejmowania wszystkich działań niezbędnych dla ochrony praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych; b) zamiar stałego podnoszenia świadomości oraz kwalifikacji pracowników administratora danych, którzy przetwarzają dane osobowe, w szczególności w zakresie problematyki bezpieczeństwa tych danych; c) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych obowiązków pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby; d) zamiar podejmowania w niezbędnym zakresie współpracy z instytucjami powołanymi do ochrony danych osobowych. 5 Dla skutecznej realizacji polityki bezpieczeństwa Administrator zapewnia: a) odpowiednie do zagrożeń i kategorii danych objętych ochroną, środki techniczne i rozwiązania organizacyjne; b) szkolenia w zakresie przetwarzania danych osobowych i sposobów ich ochrony; c) okresowe szacowanie ryzyka zagrożeń dla zbiorów danych; d) kontrolę i nadzór nad przetwarzaniem danych osobowych; e) monitorowanie zastosowanych środków ochrony. 6 Administrator danych realizując politykę bezpieczeństwa stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczając dane osobowe przed: a) udostępnieniem ich osobom nieupoważnionym, b) zabraniem ich przez osobę nieuprawnioną, c) przetwarzaniem danych z naruszeniem ustawy o ochronie danych osobowych, d) zmianą, utratą, uszkodzeniem lub zniszczeniem danych.

7 1. Administrator danych realizując politykę bezpieczeństwa dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych. 2. Administrator danych zapewnia aktualizacje informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. Rozdział III Wyjaśnienie polityki bezpieczeństwa, zasad, standardów i wymagań zgodności mających szczególne znaczenie dla instytucji 8 Administrator zapewnia zgodność niniejszej polityki bezpieczeństwa z przepisami określającymi zasady przetwarzania danych osobowych, w szczególności Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE oraz przepisami wykonawczymi. 9 Wszystkie osoby przetwarzające dane osobowe zobowiązane są do: a) przetwarzania danych osobowych zgodnie z obowiązującymi przepisami; b) postępowania zgodnie z ustaloną przez administratora polityką bezpieczeństwa oraz z Instrukcją zarządzania systemem informatycznym służącym do przetwarzania danych osobowych". Rozdział IV Definicje ogólnych i szczególnych obowiązków w odniesieniu do zarządzania bezpieczeństwem informacji 10 Wszelkie dane osobowe przetwarzane są z poszanowaniem zasad przetwarzania danych przewidzianych przez przepisy prawa: a) istnieje podstawa przetwarzania danych,

b) dane są przetwarzane rzetelnie i przejrzyście, c) dane są zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach, i przetwarzane w sposób zgodny z tymi celami, d) dane osobowe są przetwarzane w takim zakresie, jaki jest niezbędny dla osiągnięcia celu ich przetwarzania, e) dane są prawidłowe i uaktualniane, f) czas przechowywania danych jest ograniczony do okresu ich przydatności do celów w których zostały zebrane, po tym okresie są anonimizowane lub usuwane, g) wobec osoby której dotyczą, wykonywany jest obowiązek informacyjny, zgodnie z art. 13 i 14 RODO), h) dane są zabezpieczone przed naruszeniem zasad ich ochrony. 11 Podział zagrożeń: a) zagrożenia losowe zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) - ich występowanie może prowadzić do utraty integralności danych, ich zniszczenia i uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, nie dochodzi do naruszenia poufności danych. b) zagrożenia losowe wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania, pogorszenie jakości sprzętu i oprogramowania) - może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych. c) zagrożenia zamierzone - świadome i celowe działania powodujące naruszenia poufności danych, (zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy), zagrożenia te możemy podzielić na: nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), nieuprawniony dostęp do systemu z jego wnętrza, nieuprawnione przekazanie danych, bezpośrednie zagrożenie materialnych składników systemu (np. kradzież sprzętu). 12 1. Naruszenie lub podejrzenie naruszenia systemu informatycznego, w którym przetwarzane są dane osobowe następuje w sytuacji: a) losowego lub nieprzewidzianego oddziaływania czynników zewnętrznych na zasoby systemu jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, itp.,

b) niewłaściwych parametrów środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych, c) awarii sprzętu lub oprogramowania, które wyraźnie wskazuje na umyślne działanie w kierunku naruszenia ochrony danych, d) pojawienia się odpowiedniego komunikatu alarmowego, e) podejrzenia nieuprawnionej modyfikacji danych w systemie lub innego odstępstwa od stanu oczekiwanego, f) naruszenia lub próby naruszenia integralności systemu lub bazy danych w tym systemie, g) pracy w systemie wykazującej odstępstwa uzasadniające podejrzenie przełamania lub zaniechania ochrony danych osobowych - np. praca osoby, która nie jest formalnie dopuszczona do obsługi systemu, h) ujawnienia nieautoryzowanych kont dostępu do systemu, i) naruszenia dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (np. nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, itp.). 2. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia fizycznego miejsc przechowywania i przetwarzania danych osobowych np.: a) niezabezpieczone pomieszczenia, b) nienadzorowane, otwarte szafy, biurka, regały, c) niezabezpieczone urządzenia archiwizujące, d) pozostawianie danych w nieodpowiednich miejscach kosze, stoły itp. 13 1. W przypadku stwierdzenia naruszenia: a) zabezpieczenia systemu informatycznego, b) technicznego stanu urządzeń, c) zawartości zbioru danych osobowych, d) jakości transmisji danych w sieci telekomunikacyjnej mogącej wskazywać na naruszenie zabezpieczeń tych danych, d) innych zdarzeń mogących mieć wpływ na naruszenie danych osobowych (np. zalanie, pożar, kradzież itp.), administrator danych zapoznaje się z zaistniałą sytuacją i dokonuje oceny, czy zaistniałe naruszenie mogło spowodować naruszenie praw lub wolności osób fizycznych. 2. W związku ze stwierdzeniem naruszenia należy: a) niezwłocznie powiadomić Administratora o zaszłym zdarzeniu, b) niezwłocznie podjąć czynności niezbędne dla powstrzymania niepożądanych skutków zaistniałego

naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn lub sprawców, c) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia, d) zaniechać - o ile to możliwe - dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę zdarzenia, e) podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu operacyjnego lub aplikacji użytkowej, f) zastosować się do innych instrukcji i regulaminów, jeżeli odnoszą się one do zaistniałego przypadku, g) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia administratora danych. 3. Wobec osoby, która w przypadku naruszenia zabezpieczeń systemu informatycznego lub uzasadnionego domniemania takiego naruszenia nie podjęła działania określonego w niniejszym dokumencie, a w szczególności nie powiadomiła odpowiedniej osoby zgodnie z określonymi zasadami, wszczyna się postępowanie dyscyplinarne. 4. Po przybyciu na miejsce naruszenia lub ujawnienia ochrony danych osobowych, Administrator: a) zapoznaje się z zaistniałą sytuacją i dokonuje wyboru metody dalszego postępowania, b) może żądać dokładnej relacji z zaistniałego naruszenia od osoby powiadamiającej, jak również od każdej innej osoby, która może posiadać informacje związane z zaistniałym naruszeniem, c) jeżeli zachodzi taka potrzeba zleca usuniecie występujących naruszeń, oraz powiadamia odpowiednie instytucje. 5. W każdej sytuacji, w której zaistniałe naruszenie mogło spowodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator danych zgłasza ten fakt organowi nadzorczemu, bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia. Wzór zgłoszenia określa załącznik nr 1 do niniejszej Polityki. 6. Jeżeli ryzyko naruszenia praw i wolności jest wysokie, administrator zawiadamia także o zdarzeniu osobę, której dane dotyczą. Rozdział V Wykaz budynków i pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe 14 1. Przetwarzanie danych osobowych, zarówno w formie tradycyjnej, jak i w systemie informatycznym, może odbywać się wyłącznie w obszarach do tego celu przeznaczonych (Obszar bezpieczeństwa). 2. Dane osobowe mogą być przetwarzane także poza Obszarem bezpieczeństwa, za pomocą komputerów przenośnych mających dostęp do systemu informatycznego za pomocą sieci Internet. Dane osobowe w formie elektronicznej gromadzone są jednak na serwerze podmiotu

przetwarzającego, z którym Administrator zawarł pisemną umowę w zakresie powierzenia przetwarzania danych osobowych. 3. Wykaz budynków i pomieszczeń tworzących Obszar bezpieczeństwa stanowią załącznik nr 2 do niniejszej Polityki. Załącznik ten określa również lokalizację serwerów. 15 Dostęp do pomieszczeń, w których przetwarzane są dane osobowe oraz do pomieszczeń, w których znajdują się serwery baz danych lub przechowywane są kopie zapasowe mogą mieć wyłącznie osoby, które posiadają do tego upoważnienie. Rozdział VI Rodzaj przetwarzanych danych 16 Dane osobowe, uzyskane od osób fizycznych, przetwarzane przez Administratora to: - imię, - nazwisko, - adres domowy, - e-mail, - numer telefonu. Rozdział VII Określenie środków technicznych i organizacyjnych zapewniających ochronę danych osobowych 17 Zabezpieczenia przed nieautoryzowanym dostępem do zbioru danych: a) podłączenie urządzenia końcowego (komputera, terminala, drukarki) do sieci komputerowej dokonywane jest przez administratora sieci, b) stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach, c) zabezpieczenie hasłami kont na komputerach, używanie kont z ograniczonymi uprawnieniami do ciągłej pracy, d) szyfrowanie wiadomości od klientów Administratora, e) zachowanie szczególnej ostrożności przez osoby użytkujące komputer przenośny podczas jego transportu, przechowywania i użytkowania poza obszarem, zawierający dane osobowe, w tym stosowanie środków ochrony kryptograficznej wobec przetwarzanych danych osobowych.

f) pozbawienie zapisu danych, a w przypadku gdy nie jest to możliwe, uszkodzenie nośników zawierających dane osobowe w sposób uniemożliwiający ich odczytanie, w przypadku ich likwidacji, przekazania podmiotowi nieuprawnionemu lub naprawy, g) niszczenie nieaktualnych lub błędnych wydruków zawierających dane osobowe są niszczone mechanicznie. h) ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym. 18 1. Osoby upoważnione przez Administratora do przetwarzania danych osobowych zobowiązane są do: 1. ścisłego przestrzegania zakresu udzielonego upoważnienia, 2. zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia, 3. zgłaszania Administratorowi przypadków związanych z naruszeniem bezpieczeństwa danych oraz niewłaściwym funkcjonowaniem Systemu informatycznego. 2. Wzór upoważnienia do przetwarzania danych osobowych stanowi załącznik nr 3 do niniejszej polityki bezpieczeństwa. 3. Administrator prowadzi ewidencję osób upoważnionych do przetwarzania danych osobowych, która zawiera: imię i nazwisko osoby upoważnionej, identyfikator (jeżeli został nadany), numer upoważnienia, datę nadania oraz datę ustania upoważnienia. Wzór ewidencji osób upoważnionych do przetwarzania danych osobowych stanowi załącznik nr 4 do niniejszej polityki bezpieczeństwa. 4. Administrator zapewnia szkolenie osób, które mają być upoważnione do przetwarzania danych osobowych oraz dopuszcza do przetwarzania danych osobowych jedynie osoby, które złożą oświadczenie, którego wzór stanowi załącznik nr 5 do niniejszej polityki bezpieczeństwa. 19 Zabezpieczenia przed nieautoryzowanym dostępem do baz danych poprzez Internet opiera się na firewall oraz szyfrowaniu połączeń i autoryzacji dostępów do baz danych. Bazy danych znajdują się na odseparowanym serwerze, obsługiwanych i chronionym przez podmiot przetwarzający dane osobowe w imieniu Administratora. 20 Zabezpieczenia przed utratą danych osobowych w wyniku awarii, są następujące: a) odrębne zasilanie sprzętu komputerowego,

b) zapewnienie właściwej temperatury i wilgotności powietrza dla pracy sprzętu komputerowego. Mariusz Szpakowicz Data i podpis Administratora Załączniki: 1. Zgłoszenie incydentu naruszenia danych osobowych; 2. Wykaz budynków o pomieszczeń tworzących Obszar bezpieczeństwa oraz wykaz lokalizacji serwerów, 3. Upoważnienie do przetwarzania danych osobowych, 4. Ewidencja osób upoważnionych do przetwarzania danych osobowych, 5. Oświadczenie.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres