Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Podobne dokumenty
WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

CZĘŚĆ A. NAZWA ZBIORU DANYCH.


ABC. rejestracji zbiorów danych osobowych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

1 z :46

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Co należy zaznaczyć wypełniając wniosek do GIODO podpowiedzi iwareprint

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

PolGuard Consulting Sp.z o.o. 1

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Ustawa o ochronie danych osobowych. opracowanie: redakcja ZapytajPrawnika.pl. projekt okładki: Zbigniew Szeliga

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Zbieranie i ochrona danych osobowych w nadzorze epidemiologicznym

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Bezpieczeństwo danych osobowych listopada 2011 r.

Ochrona wrażliwych danych osobowych

Ustawa o ochronie danych osobowych po zmianach

Jak zidentyfikować zbiór danych osobowych w swojej firmie?

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZGŁOSZENIA ZBIORU DANYCH OSOBOWYCH NA PRZYKŁADZIE ZBIORU KORESPONDENCJA

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch

Zmiany w ustawie o ochronie danych osobowych

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

ABC rejestracji zbiorów danych osobowych

Dane osobowe: Co identyfikuje? Zgoda

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

Ochrona danych osobowych przy obrocie wierzytelnościami

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

Szkolenie podstawowe z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 dla wolontariuszy świadczących pomoc na rzecz podopiecznych

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji 1) z dnia 11 grudnia 2008 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Ochrona danych osobowych w biurach rachunkowych

Szkolenie. Ochrona danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH w Gdańskiej Spółdzielni Mieszkaniowej

OCHRONA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE

ZARZĄDZENIE Nr DYREKTORA MIEJSKO - GMINNEGO ZESPOŁU OŚWIATY z dnia r.

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

PROCEDURA / POLITYKA OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJACA W PRZEDSZKOLU Nr 44

ZARZĄDZENIE NR 22. z dnia 2 lipca 2008 r.

DYREKTORA PRZEDSZKOLA NR 42 IM. PRZYJACIÓŁ PRZYRODY W BIELSKU - BIAŁEJ Z DNIA 1 WRZEŚNIA 2014 ROKU

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

REJESTR CZYNNOŚCI PRZETWARZANIA

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Transkrypt:

Zgłoszenie zbioru do rejestracji Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. nr 229, poz. 1536). Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać: 1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych, 2) oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania, 3) cel przetwarzania danych, 3a) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych, 4) sposób zbierania oraz udostępniania danych, 4a) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane, 5) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 39, 1 / 7

6) informację o sposobie wypełniania warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a, 7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego. Zgłoszenie powinno zawierać wszystkie informacje, o których mowa w art. 41 ust. 1 pkt 1 7 ustawy, i powinno zostać podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Aplikacja umożliwiająca skuteczne dokonanie zgłoszenia drogą elektroniczną znajduje się na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych w systemie platforma e-giodo" (www.giodo.gov.pl). Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej. Wskazówki dotyczące wypełniania zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych Przed rozpoczęciem wypełniania zgłoszenia należy określić, czego ono dotyczy, poprzez zakreślenie właściwego pola odpowiadającego rodzajowi zgłoszenia. Pierwsze pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym nie są przetwarzane dane wskazane w pkt 9 zgłoszenia. Drugie pole dotyczy zgłoszenia zmian zaistniałych po zgłoszeniu zbioru danych osobowych do rejestracji. Trzecie pole dotyczy przypadku, gdy administrator danych zgłasza nowy zbiór danych osobowych, w którym są przetwarzane dane wskazane w pkt 9 zgłoszenia. 2 / 7

Część A. Nazwa Zbioru Danych Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. Część B. Charakterystyka administratora danych - pkt 1. Wnioskodawca (administrator danych) Punkt ten powinien zawierać określenie administratora danych osobowych. Mogą nim być: organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, a także: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne i jednostki organizacyjne nie będące osobami prawnymi, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, mające siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej albo w państwie trzecim, jeśli przetwarzają dane osobowe wykorzystując środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej które decydują o celach i środkach przetwarzania danych osobowych. Zgłoszenie powinno zawierać określenie nazwy administratora danych, adres jego siedziby oraz numer REGON, a jeżeli zgłaszającym jest osoba fizyczna jej nazwisko i imię oraz miejsce zamieszkania. - pkt 2. Przedstawiciel Wnioskodawcy, o którym mowa w art. 31a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim, tj. państwie nie należącym do Europejskiego Obszaru Gospodarczego, administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Rzeczypospolitej Polskiej. W przypadku wyznaczenia przedstawiciela administratora danych należy w punkcie tym podać jego nazwę i adres siedziby lub nazwisko, imię i miejsce zamieszkania. - pkt 3. Powierzenie przetwarzania danych osobowych Jeżeli administrator danych zamierza powierzyć przetwarzanie danych osobowych innemu podmiotowi, to powinien spełnić warunki określone w art. 31 ustawy o ochronie danych osobowych. W przypadku powierzenia danych innemu podmiotowi należy w punkcie tym podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. - pkt 4. Sposób dopełnienia ogólnych warunków legalności przetwarzania danych osobowych Należy zakreślić właściwe pole, które odpowiada podstawie prawnej przetwarzania danych w zbiorze. W przypadku, gdy zgłaszający zakreślił pole drugie, powinien określić przepisy prawa, które zezwalają na przetwarzanie danych osobowych, podając tytuł oraz publikator aktu 3 / 7

prawnego. Część C. Zakres i cel przetwarzania danych W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. - pkt 5. Cel przetwarzania danych w zbiorze W punkcie tym należy dokładnie opisać cel, w którym administrator przetwarza dane w zbiorze. - pkt 6. Opis kategorii osób, których dane dotyczą W punkcie tym należy wskazać, jakich kategorii osób dotyczą dane przetwarzane w zbiorze (np. klienci, darczyńcy). - pkt 7. Zakres przetwarzanych w zbiorze danych o osobach W punkcie tym należy wskazać kategorie danych pozyskiwanych do zgłoszonego zbioru danych. - pkt 8. Inne dane osobowe, oprócz wymienionych w pkt 7, przetwarzane w zbiorze W punkcie tym należy podać informację o innych, niż wskazane w pkt 7, kategoriach danych pozyskiwanych do zgłoszonego zbioru danych. - pkt 9. Dane przetwarzane w zbiorze W przypadku przetwarzania w zbiorze tzw. danych szczególnie chronionych, określonych w art. 27 ust. 1 ustawy o ochronie danych osobowych, należy zakreślić odpowiednie pole wskazane w pkt 9. - pkt 10. Podstawa prawna przetwarzania danych wskazanych w punkcie 9 Przetwarzanie tzw. danych szczególnie chronionych, określonych w art. 27 ust. 1 ustawy o ochronie danych osobowych, jest dopuszczalne tylko w wyjątkowych przypadkach wymienionych enumeratywnie w art. 27 ust. 2 ustawy o ochronie danych osobowych. Jeżeli więc zgłaszający wskazał w pkt 9, że przetwarza tzw. dane szczególnie chronione, powinien jednocześnie zakreślić w pkt 10 zgłoszenia co najmniej jedno z pól, które odpowiada podstawie prawnej przetwarzania takich danych w zbiorze. 4 / 7

Część D. Sposób zbierania oraz udostępniania danych osobowych - pkt 11. Dane ze zbioru będą zbierane. W punkcie tym należy wskazać źródło pozyskiwania danych. Jeżeli dane będą pozyskiwane zarówno od osób, których one dotyczą, jak i z innych źródeł, wówczas należy zaznaczyć obydwa wymienione w tym punkcie pola. - pkt 12. Dane ze zbioru będą udostępniane Należy wypełnić w przypadku udostępniania danych ze zbioru podmiotom innym niż upoważnione na podstawie przepisów prawa. - pkt 13. Odbiorcy lub kategorie odbiorców, którym dane mogą być przekazywane Odbiorcą danych jest każdy, komu udostępnia się dane osobowe, z wyjątkiem: osoby, której dane dotyczą; osoby upoważnionej do przetwarzania danych; przedstawiciela, o którym mowa w pkt 2 zgłoszenia; podmiotu, o którym mowa w pkt 3 zgłoszenia; organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem. W przypadku wskazania poszczególnych odbiorców należy podać nazwę i adres siedziby lub imię, nazwisko i miejsce zamieszkania tych podmiotów. - pkt 14. Informacja dotycząca ewentualnego przekazywania danych do państwa trzeciego Jeżeli administrator danych zamierza przekazywać dane osobowe do państwa trzeciego, tj. państwa nienależącego do Europejskiego Obszaru Gospodarczego, powinien spełnić warunki określone w art. 47 lub art. 48 ustawy o ochronie danych osobowych. Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - pkt 15. Zbiór danych osobowych jest prowadzony: Centralne prowadzenie zbioru danych, zarówno w przypadku przetwarzania danych w systemie informatycznym, jak i w tzw. systemie tradycyjnym (na papierze), oznacza zlokalizowanie danych w jednym miejscu. Zbiór prowadzony jest centralnie, gdy dane zgromadzone zostały (zarówno te na papierze, jak i zamieszczone na serwerze) w jednym pomieszczeniu lub budynku. Wyłącznie w postaci papierowej zbiór tradycyjny (papierowy) to kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne. Z użyciem systemu informatycznego system informatyczny to zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programów zastosowanych w celu przetwarzania danych. - pkt 16. Przedsięwzięcia zastosowane w zakresie zabezpieczenia zbiorów W punkcie 16 należy wymienić środki służące do zabezpieczenia zbiorów danych osobowych, zgodnie z wymogami określonymi w art. 36-39 ustawy o ochronie danych 5 / 7

osobowych. Administrator danych prowadzący zbiór w systemie tradycyjnym (papierowym) zobowiązanych jest do zastosowania środków określonych w pkt 16 ppkt a d, a w przypadku prowadzenia zbioru w systemie informatycznym ponadto środka określonego w pkt 16 ppkt e. Administrator danych może wskazać inne środki zastosowane w celu zabezpieczenia danych, w szczególności: - środki ochrony fizycznej danych podać informację dotyczącą fizycznego zabezpieczenia pomieszczeń, w których są przetwarzane dane osobowe oraz przechowywane są archiwa i kopie awaryjne zawierające dane osobowe; - środki sprzętowe, infrastruktury informatycznej i telekomunikacyjnej określić typ, standard sprzętu wykorzystywanego w ramach systemu informatycznego służącego do przetwarzania danych osobowych (komputery, sieci, routery, huby, sprzętowe szyfratory do szyfrowania dysków, modemy, urządzenia eliminujące zakłócenia i przepięcia w sieci zasilającej oraz urządzenia podtrzymujące zasilanie w przypadku jego zaniku UPS-y), systemu operacyjnego i sieci komputerowej oraz ich konfiguracji, zapewniającej odpowiednie restrykcje w zakresie dostępu do danych; podać informacje o zabezpieczeniu teletransmisji (np. wykorzystanie poufnych protokołów, stosowanie procedury oddzwonienia - callback"); - środki ochrony w ramach systemowych narzędzi programowych i baz danych podać informacje o zabezpieczeniu teletransmisji (np. ograniczenie identyfikatorem i hasłem dostępu do urządzeń teletransmisji, szyfrowanie przesyłanych danych,); wskazać środki w ramach systemu operacyjnego serwera ograniczające dostęp użytkownika jedynie do konkretnych zasobów (np. system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych - restricted shell, rejestracja nieudanych logowań do systemu). W przypadku dostępu do Internetu - podać wykaz zastosowanych środków ochrony, wykaz programów antywirusowych itp.; podać informacje o zastosowanej bazie danych (typ, standard), określić, czy użyto narzędzi bazy danych do: - ograniczenia i kontroli dostępu do zbiorów danych osobowych (identyfikatory i hasła, rejestracja operacji na rekordach itd.), - szyfrowania bazy danych; określić, w jaki sposób chroniony jest dostęp do aplikacji i jakie procedury ochrony/weryfikacji zostały zastosowane w ramach systemu użytkowego na stanowiskach komputerowych wykorzystanych do przetwarzania danych osobowych (np. dostęp do systemu ograniczony identyfikatorem i hasłem, hasło w BIOS-ie, zainstalowane wygaszacze ekranu); opisać środki organizacyjne zastosowane przy przetwarzaniu zbiorów danych osobowych, wskazać obowiązujące zasady przydzielania i sprawdzania dostępu w zakresie wdrożonych zabezpieczeń fizycznych i systemowo-programowych. - środki organizacyjne podać czy: osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych. przeszkolono osoby zatrudnione przy przetwarzaniu danych osobowych w zakresie zabezpieczeń systemu informatycznego. osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy. monitory komputerów, na których przetwarzane są dane osobowe ustawione są w sposób 6 / 7

uniemożliwiający wgląd osobom postronnym w przetwarzane dane. kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco. - Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024) - pkt 17. Zastosowane środki bezpieczeństwa W tym punkcie należy wskazać poziom bezpieczeństwa przetwarzania danych w systemie informatycznym, który zastosował administrator danych. Poziom przynajmniej podwyższony należy zastosować, jeżeli wnioskodawca przetwarza dane wymienione w pkt 9 zgłoszenia. W przypadku gdy przynajmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną, należy zastosować środki bezpieczeństwa na poziomie wysokim. W pozostałych przypadkach przetwarzania danych w systemie informatycznym, wystarczające jest zastosowanie środków bezpieczeństwa na poziomie podstawowym. Uwaga! Część F dotyczy wyłącznie zbiorów danych przetwarzanych w systemach informatycznych. Na podstawie: edugiodo 7 / 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres