Instrukcja wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym programu partnerskiego/lojalnościowego.

Podobne dokumenty
ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

POLITYKA BEZPIECZEŃSTWA

Ustawa o ochronie danych osobowych po zmianach

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Zmiany w ustawie o ochronie danych osobowych

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Od Wykazu do Rejestru. Zmiany zasad dokumentowania zbiorów danych osobowych. Maciej Kołodziej

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

PRZETWARZANIE DANYCH OSOBOWYCH KLIENTÓW PRZEZ SERWISY SPRZĘTU AGD Agnieszka Wiercińska-Krużewska 15 września 2016 r.

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Szkolenie otwarte 2016 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

PolGuard Consulting Sp.z o.o. 1

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

POLITYKA OCHRONY DANYCH OSOBOWYCH

Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa.

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka Bezpieczeństwa w zakresie danych osobowych Stowarzyszenia Lokalna Grupa Działania,,Gryflandia

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Ochrona danych osobowych w biurze rachunkowym (cz. 4) - Na jakich zbiorach danych działa biuro rachunkowe?

SPOTKANIE PROGRAMOWE AGENTÓW TURYSTYCZNYCH

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Bezpieczeństwo teleinformatyczne danych osobowych

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

PROGRAM NAUCZANIA KURS ABI

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

a) po 11 dodaje się 11a 11g w brzmieniu:

Polityka bezpieczeństwa. przetwarzania danych osobowych. w Urzędzie Miejskim w Węgorzewie

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Załączniki do Polityki Bezpieczeństwa Informacji. Wzory dokumentów wewnętrznych

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

Polityka bezpieczeństwa przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

REJESTR ZBIORÓW. z dnia 11 maja 2015 r. w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Polityka bezpieczeństwa

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

REGULAMIN. organizacji i przetwarzania danych osobowych.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Rejestracja bazy danych w GIODO. Poradnik dla administratorów sklepów w Chmurze Comarch

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Transkrypt:

Instrukcja wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym programu partnerskiego/lojalnościowego. Dziękujemy za skorzystanie z oferty oraz dołączenie do szerokiego grona użytkowników serwisu e-regulaminy.pl. Jesteśmy przekonani, że nasza współpraca będzie przebiegała pomyślnie dla obu stron, a jakość świadczonych usług zaowocuje bezpieczeństwem prawnym Państwa e-biznesu. Przygotowanie wewnętrznej dokumentacji ochrony danych osobowych to jedno z podstawowych zadań każdego Administratora Danych. Niniejsza Polityka Bezpieczeństwa i Instrukcja Zarządzania Systemem Informatycznym jest kompleksowym opracowaniem zagadnienia przetwarzania i ochrony danych osobowych. W jej ramach należy ująć gdzie i w jaki sposób operuje się na danych w całym przedsiębiorstwie. Poniżej przedstawiamy praktyczne informacje dotyczące uzupełnienia informacji i wdrożenia Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. W pierwszej kolejności prosimy o zapoznanie się z całym dokumentem, który wyjaśnia podstawowe pojęcia oraz definiuje system. Coś pozostaje dla Państwa niejasne? Zachęcamy do kontaktu. Pozostajemy do Państwa dyspozycji! 1 S t r o n a

WSTĘP Słowniczek: ABI Administrator Bezpieczeństwa Informacji, będący wyznaczoną przez Administratora Danych Osobowych osobą nadzorującą stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, odpowiednich do zagrożeń oraz kategorii danych objętych ochroną. ADO Administrator Danych Osobowych, będący organem, jednostką organizacyjną, podmiotem lub osobą fizyczną, decydujący o celach i środkach przetwarzania danych osobowych (np. jednoosobowa działalność gospodarcza, spółka, fundacja). ASI Administrator Systemu Informatycznego, będący wyznaczoną przez Administratora Danych Osobowych osobą odpowiedzialną za prawidłowe funkcjonowanie sprzętu, oprogramowania i ich konserwację, w zakresie wskazanym przez ADO. Modele organizacji. Istnieją dwa modele organizacji przetwarzania i ochrony danych osobowych: 1. Bez powołania Administratora Bezpieczeństwa Informacji (ABI). W tym przypadku Administrator Danych Osobowych (ADO) sam odpowiedzialny jest za właściwe, zgodne z prawem, w tym z normami ustawy o ochronie danych osobowych, zorganizowanie procesu przetwarzania danych osobowych. Wiąże się z tym m.in. obowiązek zgłoszenia wszystkich zbiorów danych do rejestru GIODO (oraz dokonywania aktualizacji w momencie zaistnienia jakiś zmian). Jest to rozwiązanie lepsze dla jednoosobowych działalności gospodarczych, małych przedsiębiorstw, gdyż nie trzeba powoływać specjalnej osoby, która nadzorowałaby przetwarzanie danych oraz realizowała obowiązki, o których poniżej. 2. Powołanie Administratora Bezpieczeństwa Informacji. ADO może powołać ABIego i zlecić mu zadania związane z nadzorowaniem przetwarzania i ochroną danych osobowych. ABIm może zostać osoba, która: a) ma pełną zdolność do czynności prawnych oraz korzysta z pełni praw publicznych; b) posiada odpowiednią wiedzę w zakresie ochrony danych osobowych; c) nie była karana za umyślne przestępstwo. Do wewnętrznych zadań ABI należy: a) zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych, 2 S t r o n a

nadzorowanie opracowania i aktualizowania Polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, oraz przestrzegania zasad w nich określonych, zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; b) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych (w związku z czym ADO nie musi zgłaszać do rejestracji zbiorów zwykłych danych osobowych). Zadaniem zewnętrznym jest dokonanie sprawdzenia i sprawozdania na żądanie GIODO. Powołanie ABI ma szansę sprawdzić się przede wszystkim w dużych podmiotach, przetwarzających wiele zbiorów danych osobowych (zwykłych i wrażliwych), które często się zmieniają. Po powołaniu ABI nie trzeba zgłaszać do GIODO zbiorów danych zwykłych. Jeżeli przedsiębiorstwo zatrudnia wielu pracowników odciąży on ADO w zakresie wdrażania osób, wydawania upoważnień oraz nadzoru. ABI jest również swoistego rodzaju buforem między podmiotem a GIODO. W obu przypadkach ADO może powołać również ASIego, który odpowiedzialny będzie za funkcjonowanie systemów informatycznych. Jeżeli przedsiębiorstwo zatrudnia informatyka to warto go formalnie wpisać w system i uporządkować jego obowiązki. JAK UZUPEŁNIĆ DOKUMANTACJĘ? 1. Należy określić, który z powyższych modeli będzie wdrażany w państwa przedsiębiorstwie: a) jeżeli nie będziemy powoływać ABIego to należy z dokumentów usunąć elementy oznaczone żółtym zakreśleniem; b) jeżeli nie będziemy powoływać ASIego to należy z dokumentów usunąć elementy oznaczone zielonym zakreśleniem; c) jeżeli będziemy powoływać ABIego i/lub ASIego należy pozostawić przepisy zakreślone na żółto i/lub zielono (oczywiście likwidując zakreślenia). Oczywiście każda firma może odmiennie określić zakres zadań ABIego i/lub ASIego oraz dowolnie kształtować system uprawnień niniejsza dokumentacja powstała w oparciu o najczęściej wdrażane rozwiązania. 2. Należy wypełnić brakujące w dokumentacji dane, w oparciu o poniższe wytyczne. A. Strona tytułowa. 3 S t r o n a Polityka Bezpieczeństwa Należy uzupełnić dane Administratora Danych Osobowych. B. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane dane osobowe (strona 19). Określając obszar przetwarzania danych osobowych należy pamiętać, iż zgodnie z ustawą o ochronie danych osobowych, przetwarzaniem danych osobowych nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie,

zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. W związku z powyższym, określanie obszaru pomieszczeń, w którym przetwarzane są dane osobowe, powinno obejmować zarówno miejsca, w których wykonuje się operacje na danych osobowych (wpisuje, modyfikuje, kopiuje), jak również miejsca, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe (szafy z dokumentacja papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, skrytki bankowe, stacje komputerowe, serwery i inne urządzenia komputerowe, jak np. macierze dyskowe, na których dane osobowe są przetwarzane na bieżąco). Należy również pamiętać o firmach, którym powierzyliśmy dane osobowe (np. zewnętrzna księgowość), to też jest obszar przetwarzania danych osobowych. Najlepiej jak najdokładniej określić miejsca, ale jeżeli firma mieści się w całym budynku to GIODO dopuszcza wskazanie tylko tego jednego adresu. C. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych (strona 20). Ważnym elementem identyfikacji przetwarzanych zasobów informacyjnych jest wskazanie nazw zbiorów danych oraz systemów informatycznych używanych do ich przetwarzania. Stąd też oprócz wskazania obszaru przetwarzania danych, polityka bezpieczeństwa powinna identyfikować zbiory danych osobowych oraz systemy informatyczne używane do ich przetwarzania. W przypadku, gdy system zbudowany jest z wielu modułów programowych i moduły te mogą pracować niezależnie np. mogą być instalowane na różnych stacjach komputerowych, wówczas wskazanie systemu powinno być wykonane z dokładnością do poszczególnych jego modułów. Należy zauważyć również, iż jeden program może przetwarzać dane zawarte w jednym zbiorze jak i wielu zbiorach danych osobowych. Sytuacja może być również odwrotna, kiedy to wiele różnych programów przetwarza dane, stanowiące jeden zbiór danych osobowych. Programy te to najczęściej moduły zintegrowanego systemu. Każdy taki moduł dedykowany jest do wykonywania określonych, wydzielonych funkcjonalnie zadań. Przykładem, może być system kadrowy oraz system płacowy, które często występują jako jeden zintegrowany system kadrowo - płacowy. Kluczem jest prawidłowa identyfikacja zbiorów danych osobowych oraz programów do przetwarzania danych (wszelkie aplikacje służące do przetwarzania danych, np. aplikacje webowe, systemy CRM, aplikacje kadrowo-płacowe). Zbiór danych osobowych to, zgodnie z art. 7 pkt 1 ustawy o ochronie danych osobowych, każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. Żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych. Poszczególne zbiory wyróżnia się ze względu na CEL przetwarzania. Mimo, iż mamy jedną bazę danych, może ona zawierać kilka różnych zbiorów danych osobowych. Najczęściej spotykanymi zbiorami danych osobowych przetwarzanymi przez e-przedsiębiorców są: 4 S t r o n a zbiór danych osobowych klientów sklepu internetowego; zbiór danych osobowych użytkowników serwisu internetowego; zbiór danych osób, które złożyły reklamacje; zbiór danych osobowych uczestników konkursu/promocji; zbiór danych osobowych użytkowników aplikacji mobilnej; zbiór danych kontrahentów;

zbiór danych osób uczestniczących w programie partnerskim/lojalnościowym; zbiór danych osób, które zapisały się na Newsletter; zbiór danych osób, które skorzystały z formularzy kontaktowych na stronie internetowej; zbiór danych wykorzystywanych w celach marketingowych; zbiór danych osób, które oceniły produkt/firmę poprzez stronę internetową. Przykład jak należy uzupełniać tabelę: Lp. Nazwa zbioru oraz lokalizacja miejsca, w którym znajdują się zbiory danych osobowych Forma prowadzenia zbioru. Programy i narzędzia użyte Rejestracja w GIODO przy przetwarzaniu oraz lokalizacja programó(tak/nie) (modułów programowych) używanych do ich przetwarzania 1. Zbiór danych osobowych uczestników programu partnerskiego/lojalnościowego Lokalizacja: Warszawa, ul. Przykładowa 4/5 Zbiór przetwarzany w systemie informatycznym i w wersji papierowej. Programy: KOTT, oprogramowanie biurowe (Word, Excel). Lokalizacja programów: stanowisko komputerowe w pokoju 15, ul. Przykładowa 4/5 TAK 2. Zbiór danych osobowych przetwarzanych w związku z zatrudnieniem Lokalizacja: Warszawa, ul. Przykładowa 4/5 Zbiór przetwarzany w systemie informatycznym i w wersji papierowej. Programy: KOTT, Płatnik, oprogramowanie biurowe (Word, Exel) Lokalizacja programów: stanowiska komputerowe w pokoju 12 i 13, ul. Przykładowa 4/5, Warszawa NIE Wykaz zwolnień z obowiązku rejestracji zbiorów danych GIODO znajduje się w Polityce Bezpieczeństwa na stronie 11 (na podstawie art. 43 ust. 1 ustawy o ochronie danych osobowych). 5 S t r o n a

C. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi (strona 21). Przykład jak należy uzupełniać tabelę: Nazwa zbioru Dane osobowe zawarte w zbiorze Sposób pozyskiwania danych Kategorie powiązań danych Zbiór danych osobowych uczestników programu partnerskiego/ lojalnościowego Imię i nazwisko Adres zamieszkania/dostawy Adres e-mail Nr telefonu Nr zamówienia NIP adres IP Numer konta, itd. Od osób, których dane dotyczą Dane są powiązane ze sobą w kategoriach: - zbiór danych osobowych użytkowników składających reklamacje, - zbór danych osób, które zapisały się na newsletter. Zbiór danych osobowych przetwarzanych w związku z zatrudnieniem Zakres przetwarzanych danych osobowych jest zgodny z Kodeksem Pracy i wynikającymi z niego rozporządzeniami (najlepiej wymienić) Od osób, których dane dotyczą brak D. Opis sposobu przepływu danych pomiędzy systemami (strona 21). W punkcie tym należy przedstawić sposób współpracy pomiędzy różnymi systemami informatycznymi oraz relacje, jakie istnieją pomiędzy danymi zgromadzonymi w zbiorach, do przetwarzania których systemy te są wykorzystywane. Przedstawiając przepływ danych można posłużyć się zaproponowaną tabelą, ale również np. opisem słownym czy schematami, które wskazują, z jakimi zbiorami danych system lub moduł systemu współpracuje, czy przepływ informacji pomiędzy zbiorem danych a systemem informatycznym jest jednokierunkowy np. informacje pobierane są tylko do odczytu, czy dwukierunkowy (do odczytu i do zapisu). W sposobie przepływu danych pomiędzy poszczególnymi systemami należy zamieścić również informacje o danych, które przenoszone są pomiędzy systemami w sposób manualny (przy wykorzystaniu zewnętrznych nośników danych) lub półautomatycznie za pomocą teletransmisji (przy wykorzystaniu specjalnych funkcji eksportu/importu danych), wykonywanych w określonych odstępach czasu. Taki przepływ danych występuje np. często pomiędzy systemami Kadrowym i Płacowym oraz pomiędzy systemami Kadrowym, Płacowym a systemem Płatnik służącym do rozliczeń pracowników z ZUS. 6 S t r o n a

Przykładowy schemat: Przykładowy opis słowny: Dane osobowe wprowadzone są przez uczestnika programu lub upoważnionego pracownika firmy do systemu informatycznego. Dane wprowadzane są następnie ręcznie do bazy danych uczestników konkursu w Programie XXX. Z bazy danych dane osobowe w formie pliku xls eksportowane są do programu księgowego XXX oraz programu sprzedażowego XXX. Przykładowe wypełnienie tabeli: Zakres przesyłanych danych Nazwa systemu lub podmiotu I Nazwa systemu lub podmiotu II Kierunek przepływu danych osobowych* Sposób przesyłania danych osobowych** Zbiór danych osobowych uczestników programu partnerskiego/lojalnościowego (wymienić przesyłane dane) System/Program Sprzedaży XXX Program finansowy XXX jednokierunkowo manualnie Zbiór danych kadrowych i płacowych (wymienić przesyłane dane) System/Program Kadrowy XXX System/Program Płacowy XXX jednokierunkowo automatycznie 7 S t r o n a

Dla GIODO nie ma znaczenia forma sporządzenia opisu przepływu między systemami (programami informatycznymi), w których przetwarzane są dane. Ważne by system był kompletny. E. Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych (strona 22). W tej części polityki bezpieczeństwa należy określić środki techniczne i organizacyjne niezbędne dla zapewnienia przetwarzanym danym poufności i integralności. Środki te powinny zapewnić jednocześnie rozliczalność wszelkich działań powodujących przetwarzanie danych osobowych. Należy pamiętać, iż środki, o których mowa wyżej, powinny być określone po uprzednim przeprowadzeniu wnikliwej analizy zagrożeń i ryzyka związanych z przetwarzaniem danych osobowych. Ryzykiem dla przetwarzania danych osobowych w systemie informatycznym podłączonym do sieci Internet jest np. możliwość przejęcia lub podglądu tych danych przez osoby nieupoważnione. Ryzyko to będzie tym większe im mniej skuteczne będą stosowane zabezpieczenia. Sygnalizacja istniejącego zagrożenia pozwala podjąć odpowiednie działania zapobiegawcze. Ważne jest często samo uświadomienie istnienia określonych zagrożeń np. wynikających z przetwarzania danych w systemie informatycznym podłączonym do sieci Internet czy też zagrożeń spowodowanych stosowaniem niesprawdzonych pod względem bezpieczeństwa technologii bezprzewodowej transmisji danych. Zidentyfikowane zagrożenia można minimalizować m.in. poprzez stosowanie systemów antywirusowych, mechanizmów szyfrowania, systemów izolacji i selekcji połączeń z siecią zewnętrzną (firewall), itp. Dla dużych systemów informatycznych (systemów połączonych z sieciami publicznymi, systemów z rozproszonymi bazami danych, itp.) wybór właściwych środków wymaga posiadania wiedzy specjalistycznej. W poszczególnych podrozdziałach (Środki organizacyjne, Środki ochrony fizycznej danych itd.) wymieniono PRZYKŁADOWE zabezpieczenia. Należy wybrać te, które są wdrożone w firmie oraz dopisać dodatkowe, niewymienione w przykładowym wyliczeniu, a stosowane przez Podmiot. Oczywiście im bardziej zabezpieczone dane tym lepiej. F. Załączniki. Załączniki do Polityki bezpieczeństwa stanowią jej część pod warunkiem uzupełnienia. Lista załączników: 1. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych (zał. nr 1), A. Ewidencja haseł administratora, B. Ewidencja nośników zawierających dane osobowe, C. Ewidencja napraw, przeglądów i konserwacji systemu informatycznego, D. Ewidencja czynności w systemie informatycznym, E. Powołanie Administratora Systemu Informatycznego, 2. Ewidencja osób upoważnionych do przetwarzania danych osobowych (zał. nr 2), 3. Upoważnienie do przetwarzania danych osobowych (zał. nr 3), 4. Ewidencja podmiotów, którym Podmiot powierza dane osobowe (zał. nr 4), 5. Ewidencja podmiotów, którym Podmiot udostępnia dane osobowe (zał. Nr 5) 6. Potwierdzenie uczestnictwa w szkoleniu (zał. nr 6), 7. Raport z przeglądu (zał. nr 7), 8 S t r o n a

8. Rejestr naruszeń bezpieczeństwa (zał. nr 8), 9. Wzór umowy powierzenia danych osobowych (zał. 9), 10. Oświadczenie o powołaniu Administratora Bezpieczeństwa Informacji (zał. nr 10). Po zapoznaniu się z Polityką Bezpieczeństwa i Instrukcją zarządzania systemem informatycznym (zał. Nr 1) należy uzupełnić pozostałe załączniki (o ile zachodzi taka potrzeba niektóre załączniki mogą pozostać puste, np. jak Podmiot nie udostępnia lub nie powierza danych osobowych nie uzupełnia się zał. 3 i 4 ). Wedle wymagań GIODO wskazana dokumentacja ma mieć charakter żywy, dostosowany do systemu przetwarzanego w konkretnym Podmiocie. Celem jest wytworzenie się silnych mechanizmów kontrolnych wewnątrz organizacji danego Administratora Danych Osobowych. 9 S t r o n a

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres