CZĘŚĆ A. NAZWA ZBIORU DANYCH.



Podobne dokumenty
Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

WSKAZÓWKI DOTYCZĄCE WYPEŁNIANIA FORMULARZA ZGŁOSZENIA ZBIORU DANYCH DO REJESTRACJI

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Katarzyna Sadło. Ochrona danych osobowych w organizacjach pozarządowych. Kraków, 13 grudnia (stan obecny)

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

POLITYKA BEZPIECZEŃSTWA

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Ochrona wrażliwych danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

REGULAMIN OCHRONY DANYCH OSOBOWYCH I INFORMACJI STANOWIĄCYCH TAJEMNICE PRAWNIE CHRONIONE W NAMYSŁOWSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ W NAMYSŁOWIE

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Przykładowy wykaz zbiorów danych osobowych w przedszkolu

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

1 z :46

Ochrona danych osobowych przy obrocie wierzytelnościami

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ W TCZEWIE

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH


Ochrona danych osobowych w biurach rachunkowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

WZÓR ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Spółdzielni Mieszkaniowej KISIELIN w Zielonej Górze

Bezpieczeństwo danych osobowych listopada 2011 r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Określa się wzór zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, stanowiący załącznik do rozporządzenia.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ VII DWÓR W GDAŃSKU

Dane osobowe: Co identyfikuje? Zgoda

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Szkolenie. Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

REGULAMIN ZASAD OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ W KRAKOWIE

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ PRZYSZŁOŚĆ W KLUCZBORKU

Rozdział I Zasady ogólne

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926 i Nr 153, poz oraz z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285),

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

PolGuard Consulting Sp.z o.o. 1

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Umowa powierzenia przetwarzania danych osobowych. nr.. zawarta w dniu...

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA

2. Wykaz zbiorów danych osobowych oraz programy zastosowane do przetwarzania tych danych.

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

Regulamin. Ochrony Danych Osobowych i Informacji w Spółdzielni Mieszkaniowej w Ciechocinku. Postanowienia Ogólne

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Jak nie wdepnąć w GIODO, czyli co musi wiedzieć dział HR o ochronie danych osobowych. Jacek Bajorek Instytut Zarządzania Bezpieczeństwem Informacji

a) po 11 dodaje się 11a 11g w brzmieniu:

Polityki bezpieczeństwa danych osobowych w UMCS

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH Spółdzielni Mieszkaniowej PARKITKA w Częstochowie

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Przetwarzanie danych w chmurze Cloud Computing

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ZAŁĄCZNIK NR 1 DO REGULAMINU SERWISU ZNANEEKSPERTKI.PL POLITYKA OCHRONY PRYWATNOŚCI

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ KRAKUS W KRAKOWIE

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

Polityka prywatności i bezpieczeństwa przetwarzania danych osobowych w zbiorze czas-na-przeglad.pl

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ABC. rejestracji zbiorów danych osobowych

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Transkrypt:

CZĘŚĆ A. NAZWA ZBIORU DANYCH. Administrator danych dowolnie określa nazwę zbioru. Zaleca się, aby nazwa zbioru była zwięzła i adekwatna do rodzaju danych przetwarzanych w zbiorze. CZĘŚĆ B. CHARAKTERYSTYKA ADMINISTRATORA DANYCH. pkt 1. Wnioskodawca (administrator danych). Punkt ten powinien zawierać określenie administratora danych osobowych. Mogą nim być: organy państwowe, organy samorządu terytorialnego, inne państwowe i komunalne jednostki organizacyjne, podmioty niepaństwowe realizujące zadania publiczne, a także: osoby fizyczne, osoby prawne, jednostki organizacyjne nie posiadające osobowości prawnej, które przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które decydują o celach i środkach przetwarzania danych osobowych. Podmioty te muszą mieć siedzibę albo miejsce zamieszkania na terytorium Rzeczpospolitej Polskiej lub przetwarzać dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczpospolitej Polskiej. Zgłoszenie powinno zawierać określenie nazwy administratora danych oraz adres jego siedziby, Numer Identyfikacji Podatkowej (NIP) oraz REGON, a jeżeli zgłoszeniodawcą jest osoba fizyczna - jej nazwisko i imię oraz adres zamieszkania. pkt 2. Dane o działalności wnioskodawcy / odpis z Krajowego Rejestru Sądowego lub zaświadczenie o wpisie do ewidencji działalności gospodarczej (jeżeli dotyczy). W punkcie tym należy zamieścić dane o działalności gospodarczej wnioskodawcy oraz załączyć odpis z Krajowego Rejestru Sądowego lub zaświadczenie o wpisie do ewidencji działalności gospodarczej administratora danych osobowych. W przypadku, gdy zgłoszenia dokonuje pełnomocnik ustanowiony przez administratora danych należy załączyć odpowiednie pełnomocnictwo. Jeśli punkt ten nie znajduje zastosowania w stosunku do zgłoszeniodawcy wpisuje on "nie dotyczy". pkt 3. Sposób dopełnienia ogólnych warunków legalności przetwarzania danych osobowych.

Należy zakreślić właściwe pole, które odpowiada podstawie prawnej dla przetwarzania danych w zbiorze. W przypadku, gdy zgłoszeniodawca zakreślił pole drugie powinien wskazać przepisy, które zezwalają na przetwarzanie danych osobowych. W przypadku, gdy przetwarzanie danych osobowych jest niezbędne zgłoszeniodawcy do wykonania określonych prawem zadań, powinien zakreślić pole czwarte oraz opisać zadanie i wskazać podstawę prawną, która zobowiązuje go do jego realizacji. CZĘŚĆ C. NAZWA ZBIORU DANYCH. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. pkt 4. Zakres przetwarzanych w zbiorze danych o osobach. pkt 5. Inne dane osobowe, oprócz wymienionych w pkt 4, przetwarzane w zbiorze. pkt 6. Dane przetwarzane w zbiorze: a) ujawniają bezpośrednio lub w kontekście. b) dotyczą. pkt 7. Podstawa prawna przetwarzania danych wskazanych w punkcie 6. Zakreślenie jednego z pól wymienionych w punkcie 6 wskazuje, że administrator danych osobowych przetwarza dane określone w art. 27 ust. 1 ustawy o ochronie danych osobowych (tzw. dane wrażliwe). Wg przepisów ustawy przetwarzanie tego rodzaju danych jest dopuszczalne tylko w wyjątkowych przypadkach wymienionych enumeratywnie w art. 27 ust. 2 ustawy o ochronie danych osobowych. Jeżeli więc zgłoszeniodawca wskazał, że przetwarza "dane wrażliwe", powinien jednocześnie zakreślić w pkt 7 zgłoszenia co najmniej jedno z pól, które odpowiada podstawie prawnej dla przetwarzania danych wrażliwych w zbiorze. pkt 8. Cel przetwarzania danych w zbiorze. Cel przetwarzania danych, podany w tym punkcie, powinien odpowiadać zakresowi przedmiotowemu prowadzonej działalności, z którą wiąże się przetwarzanie danych osobowych. CZĘŚĆ D. SPOSÓB ZBIERANIA ORAZ UDOSTĘPNIANIA DANYCH OSOBOWYCH. pkt 9. Sposób zbierania danych do zbioru. Pierwsze cztery pola określają jakie jest wyłączne lub główne źródło pozyskiwania danych osobowych.

Możliwe jest zakreślenie tylko jednego z pól. Pozostałe dwa pola dotyczą przekazywania danych osobowych metodą teletransmisji. Możliwe jest zakreślenie tylko jednego z pól. pkt 10. Udostępnianie danych ze zbiorów. Jeżeli dane osobowe będą udostępniane metodą teletransmisji - patrz część E pkt 15 c poradnika. Jeżeli administrator danych zamierza udostępniać dane osobowe za granicę powinien spełnić warunki określone w art. 47 ustawy o ochronie danych osobowych. W przypadku zakreślenia przynajmniej jednego kwadratu należy wymienić odbiorców lub kategorie odbiorców, którym dane mogą być przekazywane. pkt 11. Dane ze zbioru będą służyć. Możliwe jest wskazanie więcej niż jednego celu, któremu ma służyć przetwarzanie danych osobowych w zbiorze. pkt 12. Powierzenie przetwarzania danych osobowych. W przypadku, gdy administrator danych przewiduje powierzenie przetwarzania danych innemu podmiotowi należy wskazać adres i siedzibę tego podmiotu. Jeżeli administrator danych zamierza powierzyć przetwarzanie danych osobowych innemu podmiotowi, to powinien spełnić warunki określone w art. 31 ustawy o ochronie danych osobowych. W przypadku powierzenia danych innemu podmiotowi należy podać nazwę i siedzibę podmiotu, któremu powierzono przetwarzanie danych osobowych. W CZĘŚCI E NALEŻY WYMIENIĆ ZASTOSOWANE ŚRODKI SŁUŻĄCE DO ZABEZPIECZANIA ZBIORÓW DANYCH OSOBOWYCH ZGODNIE Z WYMOGAMI OKREŚLONYMI W ART. 36-39 USTAWY O OCHRONIE DANYCH OSOBOWYCH. pkt 13. Zbiór danych osobowych będzie przetwarzany centralnie, w architekturze rozproszonej. pkt 14. Przedsięwzięcia zastosowane w zakresie: W punkcie 14 należy wymienić środki służące do zabezpieczenia zbiorów danych osobowych zgodnie z wymogami określonymi w art. 36-39 ustawy o ochronie danych osobowych, a w szczególności: w pkt 14 a) podać informację dotyczącą fizycznego zabezpieczenia pomieszczeń, w których są przetwarzane dane osobowe oraz przechowywane są archiwa i kopie awaryjne zawierające dane osobowe. w pkt 14 b) określić typ, standard: sprzętu wykorzystywanego w ramach systemu informatycznego przetwarzającego zbiory danych osobowych (komputery, sieci, rutery, huby, sprzętowe szyfratory do

szyfrowania dysków, modemy, urządzenia eliminujące zakłócenia i przepięcia w sieci zasilającej oraz urządzenia podtrzymujące zasilanie w przypadku jego zaniku UPS-y), systemu operacyjnego i sieci komputerowej oraz ich konfiguracji zapewniającej odpowiednie restrykcje w zakresie dostępu do danych. w pkt 14 c) podać informacje o zabezpieczeniu teletransmisji (np. ograniczenie identyfikatorem i hasłem dostępu do urządzeń teletransmisji, szyfrowanie przesyłanych danych, wykorzystanie poufnych protokołów, stosowanie procedury oddzwonienia- "callback"). w pkt 14 d) wskazać środki w ramach systemu operacyjnego serwera ograniczające dostęp użytkownika jedynie do konkretnych zasobów (np. system użytkowników i haseł, ograniczenie dostępu do poziomu poleceń systemowych lub zakaz wykonywania poleceń systemowych (restricted shell), rejestracja nieudanych logowań do systemu). W przypadku dostępu do Internetu, podać wykaz zastosowanych środków ochrony, wykaz programów antywirusowych itp. w pkt 14 e) podać informacje o zastosowanej bazie danych (typ, standard), określić czy użyto narzędzi bazy danych do: ograniczenia i kontroli dostępu do zbiorów danych osobowych (identyfikatory i hasła, rejestracja operacji na rekordach itd.), szyfrowania bazy danych. w pkt 14 f) określić w jaki sposób chroniony jest dostęp do aplikacji i jakie procedury ochrony/weryfikacji zostały zastosowane w ramach systemu użytkowego na stanowiskach komputerowych wykorzystanych do przetwarzania danych osobowych. (np. dostęp do systemu ograniczony identyfikatorem i hasłem, hasło w BIOS-ie, zainstalowane wygaszacze ekranu). w pkt 14 g) opisać środki organizacyjne zastosowane przy przetwarzaniu zbiorów danych osobowych, wskazać obowiązujące zasady przydzielania i sprawdzania dostępu w zakresie wdrożonych zabezpieczeń fizycznych i systemowo-programowych oraz oświadczyć o prowadzeniu ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych. Uwaga! W przypadku zbiorów danych osobowych przetwarzanych wyłącznie w tzw. systemie tradycyjnym (kartoteki, skorowidze, księgi, wykazy i inne zbiory ewidencyjne) należy wypełnić tylko punkty 14a) i 14g). CZĘŚĆ F ZGŁOSZENIA. INFORMACJA O SPOSOBIE WYPEŁNIENIA PODSTAWOWYCH WYMAGAŃ TECHNICZNYCH I ORGANIZACYJNYCH Z ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI Z DNIA 3 CZERWCA 1998 R. (DZ.U. NR 80, POZ. 521 Z PÓŹN. ZM.). Wyjaśnienia zawarte w tej części (polegające głównie na wskazaniu odpowiednich pozycji formularza) powinny odzwierciedlać rzeczywiste parametry i wdrożone procedury środowiska informatycznego, w którym przetwarzane są dane osobowe oraz wdrożone procedury organizacyjno - techniczne, dotyczące w szczególności takich zagadnień jak:

1. Podstawowe zasady dotyczące sposobu wypełnienia wymogów 2 rozporządzenia: określenie celów, strategii i polityki zabezpieczenia systemów informatycznych, w których są przetwarzane dane osobowe, zidentyfikowanie i przeanalizowanie zagrożeń i rodzajów ryzyka, na które może być narażony proces przetwarzanie danych osobowych, określenie potrzeb w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych, określenie zabezpieczeń adekwatnych do zidentyfikowanych zagrożeń i rodzajów ryzyka, monitorowanie działania zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania, opracowanie i wdrożenie planu szkolenia w zakresie zabezpieczeń systemu, wykrywanie i właściwe reagowanie na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających. Informacje pomocne przy opracowywaniu materiałów związanych z zarządzaniem bezpieczeństwem systemów informatycznych znajdują się w Polskiej Normie PN-I-13335-1 "Technika Informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych. Pojęcia i modele bezpieczeństwa systemów informatycznych."(* Wydział Marketingu i Sprzedaży Polskiego Komitetu Normalizacji, 00-950 Warszawa, ul. Elektoralna 2, tel. 620-66-46). 2. Określenie "administratora bezpieczeństwa informacji": stanowisko służbowe oraz numer telefonu służbowego. 3. Informacje o wpisaniu do indywidualnego zakresu czynności osób zatrudnionych przy przetwarzaniu danych osobowych odpowiedzialności za ochronę tych danych. 4. Informacje o zaznajomieniu z przepisami dotyczącymi ochrony danych osobowych pracowników dopuszczonych do pracy przy przetwarzaniu danych osobowych. 5. Załączenie instrukcji postępowania w sytuacji naruszenia ochrony danych osobowych, ewentualnie wyciągu z instrukcji, wskazującego w jaki sposób zrealizowano wymogi 6 rozporządzenia. 6. Określenie obszaru, w którym są przetwarzane dane osobowe z użyciem stacjonarnego sprzętu komputerowego: adres, oznaczenie budynków, pomieszczeń lub części pomieszczeń. 7. Informacje o zastosowanych urządzeniach chroniących przed awarią zasilania lub zakłóceniami w sieci zasilającej. 8. Informacje, czy wykorzystywane są do przetwarzania danych komputery przenośne. W przypadku udzielenia pozytywnej odpowiedzi, należy podać czy zostały spełnione wymogi określone w 9 rozporządzenia tj. zabezpieczono dostęp do komputera hasłem i nie zezwala się na używania komputera osobom nieupoważnionym do dostępu do danych osobowych. 9. Informacje o procedurach postępowania z urządzeniami, dyskami lub innymi informatycznymi nośnikami, zawierającymi dane osobowe przeznaczonymi do likwidacji, przekazania innemu podmiotowi lub naprawy.

10. Załączenie instrukcji określającej sposób zarządzania systemem informatycznym, ewentualnie wyciągu z instrukcji, wskazującego ogólnie w jaki sposób zrealizowano wymogi z 11 rozporządzenia. 11. Informacje o zabezpieczeniu pomieszczeń, w których przechowywane są kopie awaryjne oraz nośniki informacji i wydruki z danymi osobowymi, które nie są przeznaczone do udostępnienia 12. Informacje o zastosowanych mechanizmach uwierzytelniania użytkowników systemu informatycznego oraz kontroli dostępu do tych danych. 13. Informacje o takim zabezpieczeniu i usytuowaniu monitorów, aby osoby postronne nie miały możliwości wglądu w dane oraz o automatycznym wyłączaniu ekranów monitorów po określonym czasie o ile pozwalają na to odpowiednie możliwości techniczne. 14. Informacje w jaki sposób dla każdej osoby, której dane są przetwarzane w systemie informatycznym, system odnotowuje: datę pierwszego wprowadzenia danych tej osoby, źródła pochodzenia danych, identyfikator użytkownika wprowadzającego dane oraz informacje komu, kiedy i w jakim zakresie dane zostały udostępnione. 15. Informacje, w jaki sposób system informatyczny służący do przetwarzania danych osobowych umożliwia udostępnianie na piśmie, w powszechnie zrozumiałej formie, treści danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w 16 rozporządzenia. Uwaga! Część F dotyczy wyłącznie zbiorów danych przetwarzanych w systemach informatycznych.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres