Polityka bezpieczeństwa danych osobowych w Fundacji PCJ Otwarte Źródła



Podobne dokumenty
ZARZĄDZENIE Nr 51/2015 Burmistrza Bornego Sulinowa z dnia 21 maja 2015 r.

Instrukcja zarządzania bezpieczeństwem Zintegrowanego Systemu Zarządzania Oświatą

INSTRUKCJA postępowania w sytuacji naruszenia ochrony danych osobowych w Urzędzie Miasta Ustroń. I. Postanowienia ogólne

Regulamin organizacji przetwarzania i ochrony danych osobowych w Powiatowym Centrum Kształcenia Zawodowego im. Komisji Edukacji Narodowej w Jaworze

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRAKTYCE LEKARSKIEJ/DENTYSTYCZNEJ.... (nazwa praktyki) wydana w dniu... przez...

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

I. Postanowienia ogólne

współadministrator danych osobowych, pytania i indywidualne konsultacje.

POLITYKA PRYWATNOŚCI

Umowa o powierzanie przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr.. zawarta w dniu. zwana dalej Umową powierzenia

Ochrona danych osobowych w oświacie z punktu widzenia samorządu jako organu prowadzącego

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Ochrony Danych Osobowych

Polityka bezpieczeństwa przetwarzania danych osobowych w Ośrodku Pomocy Społecznej w Łazach

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Załącznik nr 2 do IPU UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. zawarta w dniu 2015 r. w Warszawie zwana dalej Umową, pomiędzy:

Załącznik Nr 1 do zarządzenia Burmistrza Gminy Brwinów nr z dnia 29 marca 2011 roku

Załącznik nr 1 do Zarządzenia Nr 113 /2015 Burmistrza Miasta Tarnowskie Góry z dnia

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH (zwana dalej Umową )

U M O W A. NR PI.IT z dnia. roku

PRZETWARZANIE DANYCH OSOBOWYCH

Rozdział 1 - Słownik terminów.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH Michał Serzycki

Postanowienia ogólne.

ZARZĄDZENIE NR 21/2006 Nadleśniczego Nadleśnictwa Szczebra z dnia 30 czerwca 2006 r.

Statut Audytu Wewnętrznego Gminy Stalowa Wola

Instrukcja ochrony danych osobowych. Rozdział 1 Postanowienia ogólne

ZAPYTANIE OFERTOWE. Katowice, dnia dla potrzeb realizacji projektu: ZAMAWIAJĄCY:

Załącznik nr 7 DO UMOWY NR. O ŚWIADCZENIE USŁUG DYSTRYBUCJI PALIWA GAZOWEGO UMOWA O WZAJEMNYM POWIERZENIU PRZETWARZANIA DANYCH OSOBOWYCH

DZIENNIK USTAW RZECZYPOSPOLITEJ POLSKIEJ

Postanowienia ogólne. Usługodawcy oraz prawa do Witryn internetowych lub Aplikacji internetowych

ZARZĄDZENIE NR 82/15 WÓJTA GMINY WOLA KRZYSZTOPORSKA. z dnia 21 lipca 2015 r.

Zarządzenie Nr 339/2011 Prezydenta Miasta Nowego Sącza z dnia 17 października 2011r.

Polityka ochrony dzieci przed krzywdzeniem.

Załącznik nr 7 do Umowy Nr z dnia r. Oświadczenie Podwykonawcy (WZÓR) W związku z wystawieniem przez Wykonawcę: faktury nr z dnia..

RZECZPOSPOLITA POLSKA MINISTER CYFRYZACJI

PROCEDURA OCENY RYZYKA ZAWODOWEGO. w Urzędzie Gminy Mściwojów

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap Urzędzie Gminy w Ułężu

U M O W A. zwanym w dalszej części umowy Wykonawcą

Regulamin korzystania z wypożyczalni online Liberetto. z dnia r., zwany dalej Regulaminem

UMOWA zawarta w dniu r. w Gostyniu. pomiędzy:

ZARZĄDZENIE NR 11/2012 Wójta Gminy Rychliki. z dnia 30 stycznia 2012 r. w sprawie wdrożenia procedur zarządzania ryzykiem w Urzędzie Gminy Rychliki

Spółdzielnia Mieszkaniowa w Tomaszowie Lubelskim

KOMISJA WSPÓLNOT EUROPEJSKICH. Wniosek DECYZJA RADY

UMOWA Dostawa i wdrożenie programu egzekucyjnego na potrzeby Urzędu Miasta Stalowa Wola

UMOWA nr CSIOZ/ /2016

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

Polityka prywatności strony internetowej wcrims.pl

ZAKRES OBOWIĄZKÓW I UPRAWNIEŃ PRACODAWCY, PRACOWNIKÓW ORAZ POSZCZEGÓLNYCH JEDNOSTEK ORGANIZACYJNYCH ZAKŁADU PRACY

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Barcinie

UMOWA NR w sprawie: przyznania środków Krajowego Funduszu Szkoleniowego (KFS)

OPIS PRZEDMIOTU ZAMÓWIENIA

ZARZĄDZENIE NR 155/2014 BURMISTRZA WYSZKOWA z dnia 8 lipca 2014 r.

D E C Y Z J A. (dotyczy przekazania przez Towarzystwo Funduszy Inwestycyjnych danych osobowych Skarżącego Bankowi, w celach marketingowych)

BEZPIECZEŃSTWO INFORMACYJNE I CYBERNETYCZNE

Załącznik nr 1 do Regulaminu ochrony danych osobowych Uniwersytetu Marii Curie- Skłodowskiej w Lublinie POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Miejskim w Miłakowie

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Miejskim w Łabiszynie

REGULAMIN KONTROLI ZARZĄDCZEJ W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W TOLKMICKU. Postanowienia ogólne

Uchwała nr 21 /2015 Walnego Zebrania Członków z dnia w sprawie przyjęcia Regulaminu Pracy Zarządu.

Okręgowa Rada Pielęgniarek i Położnych Regionu Płockiego

Wprowadzam w Urzędzie Marszałkowskim Województwa Małopolskiego Kartę Audytu Wewnętrznego, stanowiącą załącznik do niniejszego Zarządzenia.

Załącznik nr 2. 2 Ilekroć w Regulaminie jest mowa o:

WYTYCZNE BEZPIECZEŃSTWA INFORMACJI DLA KONTRAHENTÓW I JEDNOSTEK ZEWNĘTRZNYCH

Istotne Postanowienia Umowy

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH

POLITYKA PRYWATNOŚCI SKLEPU INTERNETOWEGO

Zawarta w Warszawie w dniu.. pomiędzy: Filmoteką Narodową z siedzibą przy ul. Puławskiej 61, Warszawa, NIP:, REGON:.. reprezentowaną przez:

WYSTĄPIENIE POKONTROLNE

POLITYKA BEZPIECZEŃSTWA I OCHRONY PRZETWARZANIA DANYCH OSOBOWYCH WRAZ Z INSTRUKCJĄ ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Przetwarzanie danych osobowych przez przedsiębiorców zagrożenia i wyzwania Monika Krasińska Dyrektor Departamentu Orzecznictwa Legislacji i Skarg

PROCEDURA P-I-01. Iwona Łabaziewicz Michał Kaczmarczyk

PROCEDURA PPZ-1. Nadzór nad dokumentami i zapisami SPIS TREŚCI

Umowa o prace projektowe Nr

ZARZĄDZENIE Nr 21/12

UMOWA. a firmą. reprezentowaną przez: zwaną w dalszej części niniejszej umowy Wykonawcą.

Procedura działania Punktu Potwierdzającego Profile Zaufane epuap w Urzędzie Gminy Wągrowiec

REGULAMIN FINANSOWANIA ZE ŚRODKÓW FUNDUSZU PRACY KOSZTÓW STUDIÓW PODYPLOMOWYCH

Instrukcja Obsługi STRONA PODMIOTOWA BIP

Regulamin Sprzedawcy Wszystko.pl I. DEFINICJE

Uchwała Nr XL /292/ 09 Rady Powiatu w Nowym Mieście Lubawskim z dnia 23 lipca 2009r.

Gdynia: Księgowość od podstaw Numer ogłoszenia: ; data zamieszczenia: OGŁOSZENIE O ZAMÓWIENIU - usługi

Regulamin uczestnictwa w kursach internetowych dla nauczycieli. Definicje:

Istotne Postanowienia Umowy

DOTACJE NA INNOWACJE ZAPYTANIE OFERTOWE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATCZNYM SŁUśĄCYM DO PRZETWARZANIA DANYCH

Załącznik Nr 2 do Regulaminu Konkursu na działania informacyjno- promocyjne dla przedsiębiorców z terenu Gminy Boguchwała

MINISTERSTWO INFRASTRUKTURY I ROZWOJU. UMOWA nr zawarta w Warszawie, w dniu

Procedura działania Punktu Potwierdzającego. Profile Zaufane epuap. w Urzędzie Gminy Kampinos

POLITYKA GWARANCJI GRUPY TELE-FONIKA KABLE. 1. Definicje

Aneks nr 8 z dnia r. do Regulaminu Świadczenia Krajowych Usług Przewozu Drogowego Przesyłek Towarowych przez Raben Polska sp. z o.o.

Ewidencjonowanie nieruchomości. W Sejmie oceniają działania starostów i prezydentów

współfinansowany w ramach Europejskiego Funduszu Społecznego

Wzór umowy. Umowa nr 2310/38/09

Wersja z dn r.

UMOWA. Zawarta dnia... w Kielcach w wyniku wyboru najkorzystniejszej oferty w zapytaniu ofertowym EKOM/15/2013 z r.

ZAPYTANIE OFERTOWE. Tel/FAKS w46 ; Ogłoszenie na stronie internetowej

Procedura nadawania uprawnień do potwierdzania Profili Zaufanych w Urzędzie Gminy w Ryjewie

Transkrypt:

Polityka bezpieczeństwa danych osobowych w Fundacji PCJ Otwarte Źródła Rozdział I Postanowienia ogólne 1. 1. Polityka bezpieczeństwa danych osobowych w Fundacji PCJ Otwarte Źródła, zwana dalej Polityką bezpieczeństwa jest zbiorem zasad i procedur obowiązujących przy przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach danych osobowych, które są administrowane przez Fundację PCJ Otwarte Źródła. 2. Użyte w Polityce bezpieczeństwa określenia oznaczają: a) administrator danych osobowych, zwany dalej ADO: Fundacja PCJ Otwarte Źródła; b) administrator bezpieczeństwa informacji, zwany dalej ABI: osoba funkcyjna, wyznaczona przez Administratora Danych Osobowych, nadzorująca całokształt zagadnień związanych z ochroną danych osobowych, w tym odpowiedzialna za przestrzeganie zasad ochrony danych osobowych oraz nadzorująca bezpieczeństwo ich przetwarzania; c) administratorzy systemów informatycznych, zwani dalej ASI: osoby funkcyjne, odpowiedzialne za funkcjonowanie systemów informatycznych służących do przetwarzania danych osobowych, ich sprawność i konserwację, oraz za stosowanie technicznych i organizacyjnych zabezpieczeń stosowanych w tych systemach. d) dane osobowe: zestaw wszelkich informacji jednoznacznie identyfikujących lub umożliwiających jednoznaczne zidentyfikowanie danej osoby fizycznej, takich jak: imię i nazwisko, numer telefonu, adres poczty elektronicznej; e) GIODO: biuro Generalnego Inspektora Ochrony Danych Osobowych; f) naruszenie ochrony danych osobowych: niedozwolone ujawnienie, pozyskanie, niepowołany dostęp, nieuzasadnioną modyfikację lub zniszczenie danych osobowych; g) osoba upoważniona: osoba posiadająca upoważnienie wydane przez ADO lub osoba uprawniona przez niego do przeglądania lub przetwarzania danych osobowych w systemie informatycznym w zakresie wskazanym w upoważnieniu, h) przetwarzanie danych: jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, przenoszenie, analizowanie i usuwanie, niezależnie od formy, w jakiej wykonywane są owe czynności; i) system informatyczny: zespół współpracujących ze sobą urządzeń, programów i procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

j) usuwanie danych: zniszczenie danych osobowych lub takie ich zmodyfikowanie, które uniemożliwi jednoznaczne zidentyfikowanie tożsamości osoby, której dotyczą niszczone dane (anonimizacja); k) użytkownik: osoba posiadająca dostęp do systemów informatycznych Fundacji, l) zabezpieczenie danych osobowych: wszelkie środki (administracyjne, techniczne i fizyczne) wdrożone w celu zabezpieczenia i ochrony zasobów przed zniszczeniem, utratą, ujawnieniem, nieuprawnionym dostępem, modyfikacją, itd. m) zbiór danych: każdy zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, który posiada jakąś określoną strukturę; może on być również rozproszony lub podzielony funkcjonalnie 3. Celem Polityki bezpieczeństwa jest zapewnienie przez Zarząd Fundacji PCJ Otwarte Źródła należytej ochrony danych osobowych powierzanych Fundacji, zgodnie z przepisami określonymi w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 101, poz. 929 z późn. zm.). Rozdział II Ogólne zasady przetwarzania danych osobowych w Fundacji PCJ Otwarte Źródła 2. 4. Dane osobowe są przetwarzane w Fundacji tylko i wyłącznie w dozwolonym prawem zakresie niezbędnym do realizacji celów i przedsięwzięć Fundacji, z poszanowaniem wszelkich praw do prywatności osób udostępniających Fundacji swoje dane. 5. Cele, o którym mowa w ust. 1, należy osiągać przy zachowaniu szczególnej staranności w realizacji przedsięwzięć dotyczących ochrony interesów osób, których dane dotyczą. 6. Zasadą obowiązującą w Fundacji jest zachowanie w tajemnicy wszelkich informacji dotyczących danych osobowych oraz sposobów ich zabezpieczania. 7. Zasada zachowania w tajemnicy wszelkich informacji dotyczących danych osobowych obowiązuje wszystkich użytkowników systemów informatycznych Fundacji bez względu na to, czy uzyskały upoważnienie do przetwarzania danych osobowych. 8. Przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby upoważnione. 9. Kopiowanie danych osobowych oraz wykonywanie wydruków jest zabronione, chyba że konieczność ich sporządzania wynika z nałożonych na użytkownika obowiązków i dozwolona jest przepisami prawa. 10. Dane osobowe w zbiorze można przetwarzać od momentu zgłoszenia go do GIODO pod warunkiem, że zbiór nie zawiera danych wrażliwych. 11. Zbiór zawierający dane wrażliwe można przetwarzać po potwierdzeniu przez GIODO jego zarejestrowania. Rozdział III Zabezpieczenie dostępu do danych osobowych 3. 1. Przetwarzanie danych osobowych może odbywać się wyłącznie w obszarach wskazanych przez Zarząd Fundacji.

2. Obszarem w znaczeniu niniejszej Polityki bezpieczeństwa może być: a) wydzielona część zaplecza administracyjnego systemu informatycznego obsługującego tworzenie i publikację wydawanej przez Fundację witryny internetowej, w której przetwarzane są dane osobowe, b) komputer osobisty osoby funkcyjnej wykonującej zadania wymagającej przetwarzania danych osobowych w związku z zadaniami Fundacji dopóty Fundacja nie będzie dysponować własnym sprzętem komputerowym, c) miejsce w przestrzeni publicznej, np. w siedzibie Fundacji lub ośrodku, w którym realizowane jest przedsięwzięcie Fundacji. 3. Wykaz obszarów, w których dopuszczalne jest przetwarzanie danych osobowych stanowi załącznik nr 1 do niniejszej Polityki bezpieczeństwa. 4. Załącznik ten powinien być aktualizowany po każdej uchwale Zarządu dotyczącej wskazania obszarów, w których może się odbywać przetwarzanie danych osobowych. 5. W szczególnych przypadkach, po uzyskaniu zgody administratora bezpieczeństwa informacji możliwe jest przetwarzanie danych osobowych poza wyznaczonym obszarem (np. na komputerach przenośnych). 4. 1. Dostęp do obszarów, w których przetwarzane są dane osobowe mogą mieć wyłącznie osoby, które posiadają do tego upoważnienie. 2. Kontrolą dostępu do obszarów, w których przetwarzane są dane osobowe, zajmuje administrator bezpieczeństwa informacji. 5. 1. Dane osobowe może przetwarzać wyłącznie osoba posiadająca pisemne upoważnienie Zarządu Fundacji do przetwarzania danych osobowych. 2. Zarząd Fundacji wydaje upoważnienia z inicjatywy własnej lub na wniosek koordynatora projektu, w którym niezbędne jest przetwarzanie danych osobowych. 3. Wniosek o wydanie upoważnienia składany jest do Sekretarza Zarządu lub administratora bezpieczeństwa informacji. 4. Wykaz wydanych upoważnień stanowi załącznik nr 2 do niniejszej Polityki bezpieczeństwa. Rozdział IV Wykaz zbiorów danych osobowych i programów stosowanych do ich przetwarzania 6. 1. Wykaz zbiorów danych osobowych przetwarzanych elektronicznie lub w inny sposób wraz ze wskazaniem programów stosowanych do ich przetwarzania znajduje się w Załączniku 3 do niniejszej Polityki bezpieczeństwa. 2. Załącznik ten powinien być aktualizowany po wprowadzeniu do przetwarzania nowych zbiorów danych osobowych lub nowych programów, które je obsługują.

Rozdział V Opis struktury zbiorów danych 7. 1. Opisu struktury zbiorów danych osobowych dokonuje się w Załącznikach 4 do niniejszej Polityki bezpieczeństwa. 2. Dla każdego zbioru danych sporządza się odrębny załącznik, oznaczany kolejną literą alfabetu 4a, 4b, itd. 3. Opis powinien zawierać ogólną informację o budowie zbioru i jego elementów, w tym szczegółowy wykaz pól informacyjnych i opis relacji między nimi, jeżeli dane przechowywane w kilku tabelach kojarzone są na podstawie kluczowych identyfikatorów. 4. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w strukturze opisywanej bazy danych. Rozdział VI Przepływ danych pomiędzy poszczególnymi systemami 8. 1. Opisu sposobu przepływu danych pomiędzy poszczególnymi systemami dokonuje się w Załącznikach 5 do niniejszej Polityki bezpieczeństwa. 2. Dla każdej pary zbiorów wymieniających dane sporządza się odrębny załącznik, oznaczany kolejną literą alfabetu 5a, 5b, itd. 3. Każdy załącznik powinien być aktualizowany po wprowadzeniu istotnych zmian w sposobie lub zakresie wymiany danych. Rozdział VII Organizacyjne i techniczne środki ochrony danych osobowych 9. Środki organizacyjne 1. Wprowadzenie instrukcji dla osób upoważnionych do przetwarzania danych osobowych. 2. Powołanie administratora bezpieczeństwa informacji oraz administratorów systemu informatycznego, odpowiedzialnych za działania organizacyjne i środki techniczne zapewniające odpowiedni poziom bezpieczeństwa danych osobowych. 3. Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych. 4. Kontrola dostępu do obszarów, w których przetwarzane są dane osobowe oraz ścisła kontrola dostępu do urządzeń, na których przechowywane są bazy danych i ich kopie. 5. Tworzenie kopii archiwalnych baz danych zawierających dane osobowe. 6. Ocenianie przed wdrożeniem do użytku operacyjnego aplikacji służących przetwarzaniu danych osobowych pod kątem poprawności ich działania oraz podatności na uszkodzenia i ataki z zewnątrz. 10. Środki techniczne 1. Ustawienie odpowiednich poziomów dostępu dla użytkowników uprawnionych do prowadzenia operacji na zapleczu systemów informatycznych obsługujących witryny wydawane przez Fundację. Zmiany mogą zostać przeprowadzone tylko i wyłącznie przez administratora danego systemu (polityka ograniczonego zaufania).

2. Zabezpieczanie dostępu do urządzeń i plików z bazami danych silnymi hasłami. 3. Logowanie w dziennikach systemowych na serwerach wszelkich zdarzeń związanych z dostępem do danych. 4. Dodatkowa ochrona i monitorowanie dostępu do witryn, w których przetwarzane są dane osobowe oprogramowaniem zwiększającym bezpieczeństwo systemu (Akeeba Admin Tools, RSS Firewall, itp.). 5. Przechowywanie archiwalnych kopii baz danych na odrębnych nośnikach (klucze USB) na partycjach zabezpieczonych hasłem. Rozdział VIII Kontrola przestrzegania Polityki bezpieczeństwa danych osobowych 11. 1. Nadzór nad przestrzeganiem zasad ochrony danych osobowych wynikających z ustawy o ochronie danych osobowych oraz ustanowionych w Polityce bezpieczeństwa sprawuje w imieniu Fundacji administrator bezpieczeństwa informacji powołany przez Zarząd Fundacji. 2. Do obowiązków administratora bezpieczeństwa informacji należy: a) czuwanie nad przetwarzaniem powierzanych Fundacji danych osobowych zgodnie z prawem, b) wdrażanie niezbędnych środków technicznych i organizacyjnych w celu zapewnienia ochrony przetwarzanych w Fundacji danych osobowych, c) sprawowanie kontroli nad bezpieczeństwem oraz sposobem przetwarzania danych, d) niezwłoczne informowanie Administratora Danych Osobowych o przypadkach naruszenia przepisów ustawy o ochronie danych osobowych, e) opracowanie programu i przeprowadzanie instruktaży w zakresie bezpieczeństwa systemu informatycznego i zasad ochrony danych osobowych osobom, którym udzielany jest dostęp do zaplecza systemów informatycznych obsługujących witryny wydawane przez PCJ, w szczególności upoważnianym do przetwarzania danych osobowych, f) podejmowanie stosownych działań w przypadku wykrycia nieuprawnionego dostępu do bazy danych lub naruszenia zabezpieczenia danych znajdujących się w systemie informatycznym, g) prowadzenie wykazu zbiorów danych osobowych, h) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, i) uaktualnianie załączników, o których mowa w rozdziałach III, IV, V i VI. j) inicjowanie zmian w Polityce bezpieczeństwa i dokumentach zależnych w celu ich dostosowania do wymogów prawa oraz aktualnych organizacyjnych i technicznych możliwości ochrony danych osobowych powierzonych Fundacji, k) czuwanie nad dopełnieniem przez Fundację obowiązków związanych z tworzeniem i utrzymywaniem zbiorów danych osobowych, których dotyczą przepisy o rejestracji w Głównym Inspektoracie Ochrony Danych Osobowych, l) przedkładanie Zarządowi Fundacji okresowych ocen bezpieczeństwa danych osobowych (w odstępach półrocznych).

Rozdział IX Katalog zdarzeń wskazujących na możliwe naruszenie ochrony danych osobowych 12. O naruszeniu ochrony danych osobowych mogą świadczyć następujące symptomy i zdarzenia: brak możliwości uruchomienia aplikacji pozwalającej na dostęp do danych osobowych, brak możliwości zalogowania się do tej aplikacji, ograniczone lub zwiększone uprawnienia użytkownika w porównaniu z normalną sytuacją, inny niż zwykle wygląd aplikacji, inny niż zwykle zakres danych dostępny dla użytkownika dużo więcej lub dużo mniej danych, znaczne spowolnienie działania systemu informatycznego, pojawienie się niestandardowych komunikatów systemowych, ślady włamania lub prób włamania do obszaru, w którym przetwarzane są dane osobowe, zagubienie bądź kradzież nośnika z danymi osobowymi, kradzież sprzętu informatycznego z danymi osobowymi, informacja z systemu antywirusowego o zainfekowaniu systemu, fizyczne zniszczenie lub uszkodzenie elementów systemu informatycznego przetwarzającego dane osobowe na skutek przypadkowych lub celowych działań albo zaistnienia działania siły wyższej, podejrzenie nieautoryzowanej modyfikacji danych osobowych ujawnienie nieautoryzowanych kont dostępu do danych lub tzw. bocznej furtki (backdoor), itp., ujawnienie osobom nieupoważnionym danych osobowych albo procedur ochronnych objętych tajemnicą lub innych strzeżonych elementów systemu np. loginu i hasła uprawnionego użytkownika, ujawnienie niedozwolonej manipulacji danymi osobowymi, zdarzenia losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad itp.), zniszczenie lub uszkodzenie w wyniku niezamierzonych pomyłek operatorów, administratora systemu informatycznego, awarii sprzętu, błędów oprogramowania). Rozdział X Zasady postępowania w przypadku naruszenia ochrony danych osobowych 13. 1. Każda osoba, która zauważyła zdarzenie mogące świadczyć o naruszeniu ochrony danych osobowych lub sytuację, która może spowodować naruszenie bezpieczeństwa danych, zobowiązana jest do natychmiastowego poinformowania administratora bezpieczeństwa informacji lub administratora systemu informatycznego albo któregokolwiek z członków Zarządu Fundacji. 2. Zgłoszenie powinno zawierać imię i nazwisko osoby zgłaszającej oraz zauważone symptomy zagrożenia. 3. W przypadku, gdy zgłoszenie o podejrzeniu incydentu otrzyma osoba inna niż administrator bezpieczeństwa informacji, jest ona

zobowiązana poinformować o tym fakcie administratora bezpieczeństwa informacji. 14. 1. Administrator bezpieczeństwa informacji po otrzymaniu zgłoszenia o wystąpieniu symptomów wskazujących na możliwość naruszenia bezpieczeństwa danych osobowych jest zobowiązany do podjęcia wszelkich niezbędnych kroków w celu: a) wyjaśnienia zdarzenia, a w szczególności, czy miało miejsce naruszenie ochrony danych osobowych, b) wyjaśnienia przyczyn naruszenia bezpieczeństwa danych osobowych i zebranie ewentualnych dowodów, a w szczególności, gdy zdarzenie było związane z celowym działaniem osoby upoważnionej bądź osób trzecich, c) zabezpieczenia systemu informatycznego przed dalszym rozprzestrzenianiem się zagrożenia, d) usunięcia skutków incydentu i przywróceniu pierwotnego stanu systemu informatycznego (to jest stanu sprzed incydentu). 2. O wszystkich faktach naruszenia bezpieczeństwa danych osobowych administrator bezpieczeństwa informacji zobowiązany jest poinformować ADO. 3. Informacja, o której mowa w ust. 2, powinna zawierać: a) opis stwierdzonego naruszenia bądź zagrożenia, b) wyjaśnienie przyczyn zdarzenia, c) zestawienie dowodów w przypadku, gdy w wyniku zdarzenia nastąpiło naruszenie prawa, szczególnie w przypadku, gdy incydent spowodowany był celowym działaniem albo rażącym zaniedbaniem, które może być podstawą wystąpienia ADO do organów ścigania przestępstw, d) opis działań naprawczych podjętych w celu usunięcia zagrożenia lub likwidacji skutków zdarzenia. 4. System informatyczny, którego prawidłowe działanie zostało odtworzone powinien zostać poddany szczegółowej obserwacji w celu stwierdzenia całkowitego usunięcia symptomów incydentu. 15. 1. Administrator bezpieczeństwa informacji prowadzi ewidencję interwencji związanych z zaistniałymi incydentami w zakresie bezpieczeństwa danych osobowych. 2. Ewidencja o której mowa w ust. 1, obejmuje następujące informacje: a) imię i nazwisko osoby zgłaszającej incydent, b) imię i nazwisko osoby przyjmującej zgłoszenie incydentu, c) datę zgłoszenia incydentu, d) przeprowadzone działania wyjaśniające przyczyny zaistnienia incydentu, e) wyniki przeprowadzonych działań, f) podjęte akcje naprawcze i ich skuteczność. 16. 3. Administrator bezpieczeństwa informacji przeprowadza przynajmniej raz w roku analizę zaistniałych incydentów w celu: a) określenia skuteczności podejmowanych działań wyjaśniających i naprawczych,

b) określenie wymaganych działań zwiększających bezpieczeństwo systemu informatycznego i minimalizujących ryzyko zaistnienia incydentów, c) określenie potrzeb w zakresie szkoleń administratorów systemu i użytkowników systemu informatycznego przetwarzającego dane osobowe. Rozdział XI Zasady wykorzystania do przetwarzania danych osobowych komputerów przenośnych 17. 1. Przetwarzanie danych osobowych na komputerach przenośnych powinno być ograniczone do niezbędnych przypadków. 2. Przetwarzanie danych osobowych przy użyciu komputerów przenośnych może odbywać się wyłącznie za zgodą ADO i za wiedzą ABI. 3. Zakres danych przetwarzanych na komputerze przenośnym oraz zakres uprawnień do przetwarzanych danych ustala Zarząd Fundacji. 18. 1. Osoba korzystająca z komputera przenośnego w celu przetwarzania danych osobowych zobowiązana jest do zwrócenia szczególnej uwagi na zabezpieczenie przetwarzanych informacji, zwłaszcza przed dostępem do nich osób nieupoważnionych oraz przed zniszczeniem. 2. Użytkownik komputera przenośnego zobowiązany jest szczególnie do: a) transportu komputera w sposób minimalizujący ryzyko kradzieży lub zniszczenia (transportowania w bagażu podręcznym, nie pozostawiania w samochodzie, przechowalni bagażu, itp.) b) korzystania z komputera w sposób minimalizujący ryzyko podejrzenia przetwarzanych danych przez osoby nieupoważnione, w szczególności zabrania się korzystania z komputera w miejscach publicznych i w środkach transportu publicznego, c) niezezwalania osobom nieupoważnionym do korzystania z komputera przenośnego, na którym przetwarzane są dane osobowe, d) zabezpieczania komputera przenośnego hasłem, e) kopiowania danych osobowych przetwarzanych na komputerze przenośnym do systemu informatycznego w celu umożliwienia wykonania kopii awaryjnej tych danych, f) utrzymanie konfiguracji oprogramowania systemowego w sposób wymuszający korzystanie z haseł, g) wykorzystywanie haseł odpowiedniej jakości zgodnie z wytycznymi dotyczącymi tworzenia haseł w systemie informatycznym przetwarzającym dane osobowe, h) zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe i) przeprowadzanie aktualizacji oprogramowania antywirusowego. 19. 1. Administrator bezpieczeństwa informacji zobowiązany jest do podjęcia działań mających na celu zabezpieczenie komputerów przenośnych, w szczególności aby: a) dokonano konfiguracji oprogramowania na komputerach przenośnych w sposób wymuszający korzystanie z haseł, wykorzystywanie haseł odpowiedniej jakości oraz okresową

zmianę haseł zgodnie z wymaganiami dla systemu informatycznego przetwarzającego dane osobowe, b) zabezpieczono dane osobowe przetwarzane na komputerach przenośnych poprzez zastosowanie oprogramowania szyfrującego te dane. Dostęp do danych powinien być możliwy wyłącznie po podaniu tego hasła, c) dokonano instalacji i konfiguracji oprogramowania antywirusowego na komputerze przenośnym, d) przeprowadzano aktualizację oprogramowania antywirusowego. 20. Administrator bezpieczeństwa informacji jest odpowiedzialny za prowadzenie ewidencji komputerów przenośnych wykorzystywanych do przetwarzania danych osobowych, w szczególności ewidencja obejmuje: a) typ i numer seryjny komputera przenośnego, b) imię i nazwisko osoby będącej użytkownikiem komputera, c) rodzaj i zakres danych osobowych przetwarzanych na komputerze przenośnym.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres