Polityka bezpieczeństwa przetwarzania danych osobowych



Podobne dokumenty
Zarządzenie nr 10/2011 Dyrektora Gminnego Ośrodka Kultury w Wodyniach z dnia 14 lutego 2011 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

Zarządzenie wewnętrzne Nr Wójta Gminy Dubicze Cerkiewne z dnia 10 września 2012r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W STANIEWICACH

OSOBOWYCH. ROZDZIAŁ I Postanowienia ogólne... str ROZDZIAŁ II Wykaz zbiorów danych osobowych... str

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych

Polityka Bezpieczeństwa przetwarzania danych osobowych. w Publicznym Gimnazjum nr 1 im Jana Pawła II w Ząbkach

Zarządzenie wchodzi w życie z dniem 5 lipca 2013 roku.

POLITYKA BEZPIECZENSTWA

Zarządzenie Nr 5/2012 Dyrektora Zespołu Obsługi Szkół i Przedszkoli w Muszynie z dnia 14 maja 2012r.

Polityka bezpieczeństwa informacji w serwisie techrobot.pl

ZARZĄDZENIE NR 22/2006 Wójta Gminy Gostycyn z dnia r.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH W GMINNEJ BIBLIOTECE PUBLICZNEJ W BUKOWCU

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

3 Zarządzenie niniejsze obowiązuje od r. ... (podpis dyrektora)

Polityka bezpieczeństwa przetwarzania danych osobowych w Szkole Podstawowej nr 23 im. Olimpijczyków Polskich w Lublinie

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Starostwie Powiatowym w Gostyniu

Zarządzenie Nr 35/VI/2012 Wójta Gminy Braniewo z dnia 25 maja 2012 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka Bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Wilkowie

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH FILHARMONII DOLNOŚLĄSKIEJ W JELENIEJ GÓRZE

Załącznik nr 1 do zarządzenia nr 10 dyrektora ZSO w Sokółce z dnia 30 grudnia 2010 r.

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA POSTĘPOWANIA W SYTUACJI NARUSZENIA OCHRONY DANYCH OSOBOWYCH

SPIS TREŚCI SPIS ZAŁĄCZNIKÓW

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Polityka bezpieczeństwa przetwarzania danych osobowych w Gminnym Ośrodku Pomocy Społecznej w Radomsku

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym. służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W GIMNAZJUM NR 2 W STARGARDZIE SZCZECIŃSKIM

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

a) po 11 dodaje się 11a 11g w brzmieniu:

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH. w Centrum Stomatologii MATHIAS-DENT Grażyna Mathias

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Polityka bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka bezpieczeństwa. systemów informatycznych służących do przetwarzania danych osobowych. w Starostwie Powiatowym w Gryfinie

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZE ŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄ PRZETWARZANIADANYCH OSOBOWYCH W VILARTE POLSKA SP. Z O.O. ROZDZIAŁ 1 PODSTAWAPRAWNA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W URZĘDZIE GMINY ŁYSE. Rozdział I Wprowadzenie

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Instrukcja. zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. w Ośrodku Pomocy Społecznej. w Dębnicy Kaszubskiej

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

Amatorski Klub Sportowy Wybiegani Polkowice

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Polityka bezpieczeństwa danych osobowych

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Stowarzyszenia Radomszczański Uniwersytet Trzeciego Wieku WIEM WIĘCEJ z dnia 30 lipca 2015 r.

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W ADMINISTRACJI MIESZKAŃ KOMUNALNYCH W LUBANIU

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

Polityka prywatności wraz z instrukcją

Załącznik nr 1 do Zarządzenia Nr 62/2011 Burmistrza Gminy Czempiń z dnia 30 maja 2011r.

Procedura zarządzania incydentami. informacji

Definicje. Wstęp. Przez użyte w Polityce określenia należy rozumieć:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Transkrypt:

Załącznik nr 1 do zarządzenia dyrektora nr ROK-015-10/10 w Ośrodku Kultury w Olecku Mazury Garbate Polityka bezpieczeństwa przetwarzania danych osobowych Rozdział 1 Postanowienia ogólne 1. Polityka bezpieczeństwa przetwarzania danych osobowych w Regionalnym Ośrodku Kultury w Olecku Mazury Garbate, zwana dalej Polityką, jest dokumentem, którego celem jest określenie podstawowych reguł dotyczących zapewnienia bezpieczeństwa w zakresie danych osobowych przetwarzanych w zbiorach danych: 1) tradycyjnych, w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych; 2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. 2. Regionalny Ośrodek Kultury w Olecku Mazury Garbate, zwany dalej Ośrodkiem, realizując Politykę dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były: 1) przetwarzane zgodnie z prawem; 2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane przetwarzaniu niezgodnemu z tymi celami; 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 3. Ośrodek realizując Politykę dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych w celu zabezpieczenia danych osobowych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów o ochronie danych osobowych, nieautoryzowaną zmianą, utratą, uszkodzeniem lub zniszczeniem. 4. Polityka została opracowana zgodnie z ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), zwaną dalej ustawą o ochronie danych osobowych, oraz rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024). Rozdział 2 Ewidencja zasobów 1. Wyjaśnienia używanych pojęć: 1) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, 2) baza danych osobowych każdy posiadający strukturę zbiór danych o charakterze osobowym, dostępnych według określonych kryteriów;

3) przetwarzanie danych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych 4) administrator bezpieczeństwa informacji osoba nadzorująca przestrzeganie bezpieczeństwa danych osobowych przetwarzanych w systemach informatycznych; 5) administrator systemu informatycznego pracownik odpowiedzialny za funkcjonowanie systemu teleinformatycznego, oraz stosowanie technicznych i organizacyjnych środków ochrony stosowanych w tym systemie; 6) bezpieczeństwo systemu informatycznego wdrożenie przez administratora danych osobowych lub inną osobę przez niego wyznaczoną środków organizacyjnych i technicznych w celu zabezpieczenia oraz ochrony danych osobowych przed dostępem, modyfikacją, ujawnieniem, pozyskiwaniem lub zniszczeniem; 7) nośniki danych osobowych dyskietki, płyty CD lub DVD, pamięć flash, dyski twarde lub inne urządzenia/materiały służące do przechowywania plików z danymi; 8) osoba upoważniona (użytkownik) osoba posiadająca upoważnienie wydane przez administratora danych osobowych i dopuszczona, w zakresie wskazanym w tym upoważnieniu, do przetwarzania danych osobowych w systemie informatycznym Ośrodka; 9) personel pomocniczy osoby mające prawo pobierać klucze do pomieszczeń: pracownicy obsługi, konserwator; 2. Dane osobowe w Ośrodku przetwarzane są w systemie informatycznym funkcjonującym w budynku Plac Wolności 22 w Olecku. 3. Szczegółowe zasady ochrony danych osobowych przetwarzanych w zbiorach Ośrodka określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 4. Polityka zawiera: 1) wykaz zbiorów danych osobowych przetwarzanych w Ośrodku wraz z opisami struktury zbiorów danych wskazującym zawartość poszczególnych pól informacyjnych, ze wskazaniem programów zastosowanych do przetwarzania tych danych, stanowiący załącznik nr 1 do Polityki; 2) wykaz pomieszczeń tworzących obszary, w których przetwarzane są dane osobowe w sposób tradycyjny i z użyciem stacjonarnego sprzętu komputerowego, stanowiący załącznik nr 2 do Polityki; Rozdział 3 Opis zdarzeń naruszających ochronę danych osobowych 1. Rodzaje zagrożeń naruszających ochronę danych osobowych: 1) zagrożenia losowe: a) zewnętrzne (np. klęski żywiołowe, przerwy w zasilaniu) ich wystąpienie może prowadzić do utraty integralności danych lub ich zniszczenia lub uszkodzenia infrastruktury technicznej systemu; ciągłość systemu zostaje zakłócona, jednak nie dochodzi do naruszenia poufności danych; b) wewnętrzne (np. niezamierzone pomyłki operatorów, administratora, awarie sprzętowe, błędy oprogramowania) w wyniku ich wystąpienia może dojść do zniszczenia danych, może zostać zakłócona ciągłość pracy systemu, może nastąpić naruszenie poufności danych;

2) zagrożenia zamierzone (świadome i celowe naruszenia poufności danych) w wyniku ich wystąpienia zazwyczaj nie następuje uszkodzenie infrastruktury technicznej i zakłócenie ciągłości pracy; w ramach tej kategorii zagrożeń wyróżnia się: - nieuprawniony dostęp do systemu z zewnątrz (włamanie do systemu), - nieuprawniony dostęp do systemu z jego wnętrza, - nieuprawnione przekazanie danych, - bezpośrednie zagrożenie materialnych składników systemu (np. kradzież sprzętu). 2. Okoliczności zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia naruszenia systemu informatycznego, w którym przetwarzane są dane osobowe, to w szczególności: 1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu (np. pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej); 2) niewłaściwe parametry środowiska (np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie pola elektromagnetycznego); 3) awarie sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych; 4) pojawienie się odpowiedniego komunikatu alarmowego od części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu; 5) pogorszenie jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenia systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie; 6) naruszenie lub próba naruszenia integralności systemu lub bazy danych w tym systemie; 7) modyfikacja danych lub zmiana w strukturze danych bez odpowiedniego upoważnienia; 8) ujawnienie osobom nieuprawnionym danych osobowych lub objętych tajemnicą procedur ochrony ich przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń; 9) praca w systemie informatycznym, wykazująca nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych (np. praca przy komputerze osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu); 10) podmienienie albo zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub skasowanie bądź skopiowanie w sposób niedozwolony danych osobowych; 11) rażące naruszenie obowiązków w zakresie przestrzegania procedur bezpieczeństwa informacji (niewylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce lub kserokopiarce, niezamknięcie pomieszczenia z komputerem, niewykonanie w określonym terminie kopii zapasowych, prace na danych osobowych w celach prywatnych, itp.). 3. Za naruszenie ochrony danych uważa się również stwierdzone nieprawidłowości w zakresie zabezpieczenia miejsc przechowywania danych osobowych, znajdujących się na dyskietkach, pamięciach flash, płytach CD, DVD oraz wydrukach komputerowych w formie niezabezpieczonej (otwarte szafy, biurka, regały i inne). 4. Szczegółowe zasady postępowania w przypadku stwierdzenia naruszenia ochrony danych osobowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Rozdział 4

Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych 1. Formy zabezpieczeń pomieszczeń, w których przetwarzane są dane osobowe: 1) wszystkie pomieszczenia, w których przetwarza się dane osobowe są zamykane na klucz, w przypadku opuszczenia pomieszczenia przez ostatnią osobę upoważnioną do przetwarzania danych osobowych także w godzinach pracy; 2) dane osobowe przechowywane w wersji tradycyjnej (papierowej) lub elektronicznej (pamięć flash, płyta CD, DVD, dyskietka) po zakończeniu pracy są przechowywane w zamykanych na klucz meblach biurowych, a tam, gdzie jest to możliwe w szafach metalowych lub pancernych; klucze od szafek należy zabezpieczyć przed dostępem osób nieupoważnionych do przetwarzania danych osobowych; 3) nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach; 2. Formy zabezpieczeń przed nieautoryzowanym dostępem do baz danych Ośrodka: 1) podłączenie urządzenia końcowego (komputera, terminala, drukarki) do sieci komputerowej Ośrodka dokonywane jest przez administratora systemu informatycznego; 2) udostępnianie użytkownikowi zasobów sieci zawierających dane osobowe (programów i baz danych) przez administratora systemu informatycznego następuje na podstawie upoważnienia do przetwarzania danych osobowych; 3) identyfikacja użytkownika w systemie poprzez zastosowanie uwierzytelnienia; 4) udostępnianie kluczy i uprawnień do wejścia do pomieszczeń, gdzie przetwarzane są dane osobowe tylko pracownikom do tego upoważnionym; 5) stosowanie programu antywirusowego z zaporą antywłamaniową na komputerach ze środowiskiem operacyjnym MS Windows; 6) zabezpieczenie hasłami kont na komputerach; 7) ustawienie monitorów stanowisk przetwarzania danych osobowych w sposób uniemożliwiający wgląd w dane osobom nieupoważnionym. 3. Formy zabezpieczeń przed nieautoryzowanym dostępem do baz danych Ośrodka poprzez Internet: 1) logiczne oddzielenie sieci wewnętrznej LAN od sieci zewnętrznej, uniemożliwiające uzyskanie połączenia z bazą danych spoza systemu informatycznego, jak również uzyskanie dostępu z systemu do sieci rozległej Internet, 2) zastosowanie dwóch poziomów zabezpieczenia sieci: a) pierwszy poziom ochrony stanowi lokalna brama sieciowa z zainstalowanym systemem typu firewall z funkcją analizy charakteru ruchu sieciowego uniemożliwiającym nawiązanie połączenia z chronionymi komputerami oraz blokującym ruch o charakterze niepożądanym lub takim, który może zostać uznany za szkodliwy, b) drugi poziom zabezpieczeń stanowią listy dostępu na głównym routerze uniemożliwiające nawiązanie połączenia z jakimkolwiek niewskazanym jawnie komputerem w sieci. 4. Formy zabezpieczeń przed utratą danych osobowych w wyniku awarii: 1) odrębne zasilanie sprzętu komputerowego; 2) ochrona serwerów przed zanikaniem zasilania poprzez stosowanie zasilaczy zapasowych UPS; 3) ochrona przed utratą zgromadzonych danych poprzez cykliczne wykonywanie kopii zapasowych, z których, w przypadku awarii, odtwarzane są dane i system operacyjny; 4) zastosowanie ochrony przeciwpożarowej poprzez umieszczenie gaśnic, okresowo kontrolowanych przez specjalistę.

5. Organizacyjną ochronę danych i ich przetwarzania realizuje się poprzez: 1) zapoznanie każdej osoby z przepisami dotyczącymi ochrony danych osobowych, przed dopuszczeniem jej do pracy przy ich przetwarzaniu; 2) przeszkolenie osób w zakresie bezpiecznej obsługi urządzeń i programów związanych z przetwarzaniem i ochrona danych osobowych oraz form zabezpieczenia pomieszczeń i budynku; 3) kontrolowanie pomieszczeń i budynku; 4) prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych; 5) wyznaczenie administratora bezpieczeństwa informacji. Rozdział 5 Postanowienia końcowe 1. Przypadki nieuzasadnionego zaniechania obowiązków wynikających z niniejszego dokumentu, w szczególności przez osobę, która wobec naruszenia ochrony danych osobowych lub uzasadnionego domniemania takiego naruszenia, nie podjęła działań określonych w niniejszym dokumencie, mogą być potraktowane jako ciężkie naruszenie obowiązków pracowniczych. 2. Wobec osoby uchylającej się od powiadomienia administratora bezpieczeństwa informacji o wystąpieniu naruszenia lub zagrożenia bezpieczeństwa systemu informatycznego stosuje się karę dyscyplinarną. 3. Zastosowanie kary dyscyplinarnej, o której mowa w ust. 2, nie wyklucza odpowiedzialności karnej ani cywilnej. 4. W sprawach nie uregulowanych niniejszym dokumentem mają zastosowanie przepisy ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tekst jednolity Dz. U. z 2002 r. Nr 101, poz. 926), rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) oraz rozporządzenie Ministra Sprawiedliwości z dnia 28 kwietnia 2004 r. w sprawie sposobu technicznego przygotowania systemów i sieci do przekazywania informacji do gromadzenia wykazów połączeń telefonicznych i innych przekazów informacji oraz sposobów zabezpieczenia danych informatycznych (Dz. U. Nr 100, poz. 1023). 5. Niniejsza Polityka bezpieczeństwa systemu informatycznego służącego do przetwarzania danych osobowych w Regionalnym Ośrodku Kultury w Olecku Mazury Garbate wchodzi w życie z dniem 30 listopada 2010 r.

Załącznik nr 1 do Polityki bezpieczeństwa przetwarzania danych osobowych Wykaz zbiorów danych osobowych przetwarzanych w Regionalnym Ośrodku Kultury w Olecku Mazury Garbate ze wskazaniem programów zastosowanych do przetwarzania tych danych Lp. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. Nazwa zbioru danych Zakres przetwarzanych danych Program

Załącznik nr 2 do Polityki bezpieczeństwa przetwarzania danych osobowych Wykaz pomieszczeń tworzących obszary, w których przetwarzane są dane osobowe w Regionalnym Ośrodku Kultury w Olecku Mazury Garbate Lp. 1. 2. 3. 4. 5. 6. 7. Adres Nr Pomieszczenie Nazwa