POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W MEDARMED-NOWOSOLNA CENTRUM MEDYCZNE

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Stowarzyszenia Radomszczański Uniwersytet Trzeciego Wieku WIEM WIĘCEJ z dnia 30 lipca 2015 r.

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

Zarządzenie Nr 21/2018. w Straży Miejskiej w Legnicy. z dnia 3 lipca 2018r. Polityki bezpieczeństwa danych osobowych w Straży Miejskiej

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

PROC.001 Procedura w sprawie ochrony danych osobowych i baz danych w systemach informatycznych Stowarzyszenia Pomocy. Królikom

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W RUDZKIM TOWARZYSTWIE PRZYJACIÓŁ DRZEW ORGANIZACJI POŻYTKU PUBLICZNEGO

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Regionalnego Stowarzyszenia Pamięci Historycznej ŚLAD

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH w Zespole Szkół Budowlanych w Nowym Sączu

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ VII DWÓR W GDAŃSKU

Warszawa, dnia 5 sierpnia 2015 r. Poz. 2 ZARZĄDZENIE NR 2 PREZESA PAŃSTWOWEJ AGENCJI ATOMISTYKI. z dnia 5 sierpnia 2015 r.

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W INSTYTUCIE SPAWALNICTWA W GLIWICACH

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O. Rozdział I Definicje i postanowienia ogólne

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

POLITYKA PRYWATNOŚCI I WYKORZYSTYWANIA PLIKÓW COOKIES W SERWISIE INTERNETOWYM 1. Postanowienia ogólne

ZARZĄDZENIE Nr 89/2004 Rektora Uniwersytetu Wrocławskiego z dnia 3 grudnia 2004 r.

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

ZARZĄDZENIE Nr 7. z dnia 30 lipca 2014 r.

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI URZĘDU GMINY W KIKOLE

Regulamin w zakresie przetwarzania danych osobowych w Urzędzie Miejskim w Kocku

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

Polityka bezpieczeństwa informacji

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół Usługowo Gospodarczych w Pleszewie

Zał. nr 2 do Zarządzenia nr 48/2010 r.

3. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

ZARZĄDZENIE NR 7/12 DYREKTORA ZAKŁADU GOSPODARKI KOMUNALNEJ LIPKA. z dnia 1 marca 2012 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Polityka ochrony prywatności Firmy ADAMS Sp. z o.o. Ostatnia data aktualizacji: 27 lutego 2018 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W STOWARZYSZENIU LOKALNA GRUPA DZIAŁANIA EUROGALICJA

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Szkolenie. Ochrona danych osobowych

Polityka bezpieczeństwa w zakresie danych osobowych w Powiślańskiej Szkole Wyższej

Umowa nr... powierzenia przetwarzania danych osobowych.... zwanym dalej Administratorem danych,... zwanym dalej Przetwarzającym,

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W STOWARZYSZENIU LOKALNA GRUPA DZIAŁANIA GRYFLANDIA.

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

Zarządzenie Nr 5/2016 Kierownika Ośrodka Profilaktyki i Wspierania Rodziny w Zdzieszowicach z dnia 23 czerwca 2016 r.

WZÓR UMOWY POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH REALIZACJI UMOWY Nr.. Z DNIA roku

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W STOWARZYSZENIU LOKALNA GRUPA DZIAŁANIA EUROGALICJA

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO WŁASNOŚCIOWEJ W RACIĄŻU

POLITYKA OCHRONY DANYCH OSOBOWYCH

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ FAMEG" w Radomsku

II Lubelski Konwent Informatyków i Administracji r.

Polityka bezpieczeństwa informacji

Zarządzenie nr 101/2011

POLITYKA BEZPIECZEŃSTWA INFORMACJI 1-2 SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Z SIEDZIBĄ W WARSZAWIE


Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POLITYKA BEZPIECZE STWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE AUTOBAGI POLSKA SP. Z O. O.

Umowa o powierzenie przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Regulamin w zakresie przetwarzania danych osobowych i bezpieczeństwa informacji w Gimnazjum nr 3 im. Polskich Noblistów w Oławie

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH. Miejskim Szpitalem Zespolonym w Olsztynie, Olsztyn, ul. Niepodległości 44

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

Transkrypt:

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH Zgodnie z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 z późn. zm.), zwanej dalej ustawą oraz z 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. Nr 100, poz. 1024 z późn. zm.), zwanego dalej rozporządzeniem ustanawia się Politykę Bezpieczeństwa. w ELPIANO MAŁGORZATA JUREWICZ Pasaż Ursynowski 3 lok. 6 02-784 Warszawa NIP: 5213118194 REGON: 141787918 Dokument przygotowany przez: Strona 1/8

1. ELPIANO MAŁGORZATA JUREWICZ, dalej także jako administrator danych osobowych świadomy wagi problemów związanych z obowiązkiem spoczywającym na nim w zakresie ochrony prawa do prywatności, a w szczególności mając na uwadze ochronę danych osobowych osób fizycznych, które powierzają mu swoje dane osobowe, w celu realizacji określonych względem nich usług, deklaruje: a) bezwzględnie zamiar podejmowania wszystkich niezbędnych działań, mających na celu ochronę praw i usprawiedliwionych interesów jednostki związanych z bezpieczeństwem danych osobowych; b) zamiar stałego podnoszenia świadomości oraz kwalifikacji osób przetwarzających dane osobowe w zakresie problematyki bezpieczeństwa tych danych, a także zobowiązuje je do zapoznania się z niniejszym dokumentem oraz innymi technicznymi instrukcjami związanymi z ochroną danych osobowych; c) zamiar traktowania obowiązków osób zatrudnionych przy przetwarzaniu danych osobowych jako należących do kategorii podstawowych i obowiązkowych norm pracowniczych oraz stanowczego egzekwowania ich wykonania przez zatrudnione osoby; d) zamiar podejmowania współpracy w zakresie niezbędnym z instytucjami powołanymi do ochrony danych osobowych. 2. Deklaruje się stałe doskonalić rozwój organizacyjny, techniczny oraz informatyczny środków ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom związanym z nieuprawnionym pozyskaniem danych osobowych, związanych w szczególności z: a) infekcjami wirusów, koni trojańskich i innych zainfekowanych aplikacji, które instalując się na komputerze mogą wykradać zasoby tego komputera (zarówno stacjonarne jak i sieciowe), b) rozsyłanymi wiadomościami określonymi jako spam, posiadającym niekiedy programy pozwalające wykradać zasoby komputera, c) dostępem do stron internetowych, na których mogą znajdować się zainstalowane skrypty pozwalające wykradać zasoby komputera, d) ogólnie dostępnymi komunikatorami internetowymi, w których mogą występować lub występują luki, przez które można uzyskać dostęp do komputera, e) użytkowaniem oprogramowania do wymiany plików, mogącym służyć do łatwego skopiowania pliku, f) możliwością niekontrolowanego kopiowania danych na zewnętrzne, przenośne nośniki, g) możliwością podsłuchiwania sieci, dzięki któremu można zdobyć hasła i skopiować objęte ochroną dane, h) lekceważeniem zasad ochrony danych polegającym na pozostawianiu pomieszczenia lub stanowiska pracy bez ich zabezpieczenia, i) brakiem świadomości niebezpieczeństwa dopuszczania osób postronnych do swojego stanowiska pracy, j) atakami z sieci uniemożliwiającymi przetwarzanie (ataki typu DoS na serwer/serwery), k) działaniami mającymi na celu zaburzenie integralności danych, w celu uniemożliwienia ich przetwarzania lub osiągnięcia korzyści, l) kradzieżą sprzętu lub nośników z danymi, które zazwyczaj są niezabezpieczone, m) kradzieżami tożsamości umożliwiającymi podszywanie się pod inna osobę, Strona 2/8

n) przekazywaniem sprzętu z danymi do serwisu, o) podszywaniem się przez osoby nieuprawnione pod witrynę internetowa, która zbiera dane, p) innymi zagrożeniami mogącymi wystąpić w przyszłości w związku z rozwojem technik i metod przetwarzania danych. 3. Na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U.Nr101, poz.926 z późniejszymi zmianami) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr100, poz.1024) ustala się następujące wytyczne polityki bezpieczeństwa danych osobowych. 1 POSTANOWIENIA OGÓLNE I CELE 1. Dane osobowe przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności: a) przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz.U.Nr101, poz.926 z późniejszymi zmianami) oraz przepisów wykonawczych z nią związanych, b) przepisów art.221 1-5 ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity z 1998 r.: Dz.U.Nr21, poz.94 z późniejszymi zmianami) i przepisów wykonawczych z nią związanych, c) oraz innych przepisów ustaw i rozporządzeń normujących przetwarzanie danych osobowych określonych kategorii. 2. Dane osobowe przetwarzane są w celu realizacji umów zawieranych w toku działalności oraz ewentualnie w celu zapewnienia prawidłowej, zgodnej z prawem i celami polityki personalnej oraz bieżącej obsługi stosunków pracy, a także innych stosunków zatrudnienia nawiązywanych w toku działalności gospodarczej, jako pracodawca w rozumieniu art. 3 kodeksu pracy lub innych stosunków zatrudnienia. 3. Polityka bezpieczeństwa w zakresie ochrony danych osobowych odnosi się do danych osobowych przetwarzanych w zbiorach danych: a) tradycyjnych, a w szczególności w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, b) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych. 4. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dokłada się szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia się, aby dane były: a) przetwarzane zgodnie z prawem, b) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, c) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, d) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to Strona 3/8

niezbędne do osiągnięcia celu przetwarzania. 5. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych stosuje się odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności: a) zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, b) zabraniem przez osobę nieuprawnioną, c) przetwarzaniem z naruszeniem ustawy, d) zmianą, utratą, uszkodzeniem lub zniszczeniem. 6. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dąży się do systematycznego unowocześniania stosowanych środków informatycznych, technicznych i organizacyjnych ochrony tych danych, w szczególności poprzez dokonywanie aktualizacji informatycznych środków ochrony danych osobowych pozwalających na zabezpieczenie przed wirusami, nieuprawnionym dostępem oraz innymi zagrożeniami dla danych osobowych, płynących z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych. 7. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje się kontrolę i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów. Niszczenie zbędnych danych osobowych i/lub ich zbiorów polegać powinno w szczególności na: a) trwałym, fizycznym zniszczeniu danych osobowych lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod. b) anonimizacji danych osobowych i/lub ich zbiorów polegającej na pozbawieniu danych osobowych lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których anonimizowane dane dotyczą. 8. Naruszanie przez zatrudnione, w ramach stosunku pracy, osoby upoważnione do dostępu lub przetwarzania danych osobowych procedur niszczenia zbędnych danych osobowych lub ich zbiorów traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. 2 ZASADY POLITYKI BEZPIECZEŃSTWA 1. Celem Polityki Bezpieczeństwa, jest prowadzenie świadomych działań, mających na celu ochronę danych osobowych w związku z przetwarzaniem ich w celu, w jakim zostały pobrane. 2. Niniejsza Polityka Bezpieczeństwa określa wytyczne dotyczące prawidłowego funkcjonowania systemu zabezpieczeń w istniejącej bazie danych osobowych. 3. Nieodłącznym elementem Polityki Bezpieczeństwa są załączniki, stanowiące szczegółowe uregulowania w zakresie wymaganym ustawą o ochronie danych osobowych: Strona 4/8

a) Załącznik nr 1 niniejszej Polityki Bezpieczeństwa, będący Upoważnieniem do przetwarzania danych osobowych, b) Załącznik nr 2 niniejszej Polityki Bezpieczeństwa, będący Oświadczeniem w związku z przetwarzaniem Danych osobowych podmiotu upoważnionego, c) Załącznik nr 3 niniejszej Polityki Bezpieczeństwa, będący Wykazem Zbiorów Danych Osobowych, d) Załącznik nr 4 niniejszej Polityki Bezpieczeństwa, będący Upoważnieniem dla Administratora Bezpieczeństwa Informacji, e) Załącznik nr 5 niniejszej Polityki Bezpieczeństwa, będący Ewidencją Osób Upoważnionych do Przetwarzania Danych Osobowych, f) Załącznik nr 6 niniejszej Polityki Bezpieczeństwa, będący Wykazem Udostępnień Danych Osobowych Osobom, których dotyczą, g) Załącznik nr 7 niniejszej Polityki Bezpieczeństwa, będący Wykazem Podmiotów którym Powierzono Przetwarzanie Danych Osobowych, h) Załącznik nr 8 niniejszej Polityki Bezpieczeństwa, będący Wykazem Pomieszczeń, i) Załącznik nr 9 niniejszej Polityki Bezpieczeństwa, będący Wykazem Udostępnień Danych Osobowych Innym Podmiotom, j) Załącznik nr 10 niniejszej Polityki Bezpieczeństwa, będący Raportem z Naruszenia Bezpieczeństwa. 3 UDOSTĘPNIANIE DANYCH OSOBOWYCH 1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych udostępnia się przetwarzane dane osobowe wyłącznie osobom do tego upoważnionym na mocy uregulowań wewnętrznych obowiązujących w tym zakresie lub na podstawie powszechnie obowiązujących przepisów prawa. 2. Upoważnienie do przetwarzania danych osobowych, wynikać może w szczególności: a) z charakteru pracy wykonywanej na danym stanowisku pracy, lub b) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub c) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych. 3. Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii. 4. W szczególności dostęp do danych osobowych na wskazanej w ust. 3 powyżej podstawie mogą mieć: Państwowa Inspekcja Pracy, Zakład Ubezpieczeń Społecznych, organy skarbowe, Policja, Agencja Bezpieczeństwa Wewnętrznego, sady powszechne, Najwyższa Izba Kontroli, Generalny Inspektor Ochrony Danych Osobowych i inne upoważnione przez przepisy prawa podmioty i organy, działające w granicach przyznanych im uprawnień - wszystkie ww. po okazaniu dokumentów potwierdzających te uprawnienia. 5. Wszystkie osoby upoważnione do przetwarzania danych osobowych są uprzednio poinformowane o odpowiedzialności jaka na nich spoczywa, a także o charakterze i poufności przekazywania danych, Strona 5/8

w związku z czym podpisują Upoważnienie do przetwarzania danych oraz Oświadczenie, będące odpowiednio załącznikiem nr 1 oraz załącznikiem nr 2 do niniejszej Polityki Bezpieczeństwa. 4 OSOBY PRZETWARZAJĄCE DANE OSOBOWE 1. Realizując założenia niniejszej polityki bezpieczeństwa w zakresie ochrony danych osobowych wyznacza się osoby odpowiedzialne za bieżącą realizację tej polityki: a) osoby odpowiedzialne za nadzór nad przestrzeganiem zasad ochrony danych osobowych funkcję tą pełni administrator danych; b) administrator bezpieczeństwa informacji - funkcję tą pełni administrator danych osobowych; c) w razie potrzeby wyznacza się lokalnych administratorów danych osobowych lub administratora bezpieczeństwa informacji (ABI) oraz administratora bezpieczeństwa systemów informatycznych (ABSI) 2. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych dopuszcza się do ich przetwarzania w systemie informatycznym lub tradycyjnym wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych lub inną upoważnioną do tego osobę. 3. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia się kontrolę nad dostępem do tych danych. Kontrola ta w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych. 4. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych zapewnia się zaznajomienie osób upoważnionych do dostępu lub przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych stosowanymi w przedsiębiorstwie. 5. Zaznajomienie osób upoważnionych do przetwarzania danych osobowych z powszechnie obowiązującymi przepisami prawa, uregulowaniami wewnętrznymi, a także technikami i środkami ochrony tych danych może odbywać się w szczególności poprzez: a) instruktaż na stanowisku pracy, b) szkolenie wewnętrzne, c) szkolenie zewnętrzne. 6.Wszelkie osoby upoważnione przez Administratora Danych Osobowych do przetwarzania danych osobowych zostają zaznajomione z zakresem informacji objętych tajemnicą w związku z wykonywaną przez siebie pracą. W szczególności są one informowane o powinności zachowania w tajemnicy danych osobowych oraz sposobów ich zabezpieczenia. 7. Naruszanie przez zatrudnione w ramach stosunku pracy osoby upoważnione do dostępu lub przetwarzania danych osobowych, zasad bezpiecznego i zgodnego z prawem ich przetwarzania, traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającymi stąd konsekwencjami, z rozwiązaniem stosunku pracy włącznie. Strona 6/8

5 PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE 1. Administrator danych osobowych gwarantuje podmiotom, których dane osobowe są przetwarzane realizację uprawnień gwarantowanych im przez obowiązujące przepisy prawa. 2. Przez wskazane w pkt 1 uprawnienia rozumie się w szczególności prawo przysługujące każdej osobie fizycznej, której dane osobowe są przetwarzane, do uzyskania informacji o zakresie jej uprawnień związanych z ochroną danych osobowych, a także o jej prawie do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych na zasadach określonych w art. 32 35 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. 3. Osoby fizyczne, których dane osobowe są przetwarzane w związku z prowadzoną działalnością gospodarczą każdorazowo przed rozpoczęciem przetwarzania ich danych uzyskują informacje o przysługujących im prawach oraz wyrażają zgodę na przetwarzanie ich danych osobowych. 6 BUDYNKI, POMIESZCZENIA I CZĘŚCI POMIESZCZEŃ, W KTÓRYCH PRZETWARZANE SĄ DANE OSOBOWE 1. Administrator danych osobowych realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych wyznacza budynki, pomieszczenia i części pomieszczeń, tworzące obszar, w którym przetwarzane są dane osobowe. 2. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe część, w której są przetwarzane dane osobowe powinna być wyraźnie oddzielona od ogólnodostępnej. 3. Wydzielenie części pomieszczenia, w której przetwarza się dane osobowe może być w szczególności dokonane poprzez montaż barierek, lad lub odpowiednie ustawienie mebli biurowych uniemożliwiające lub co najmniej ograniczające niekontrolowany dostęp osób niepowołanych do zbiorów danych osobowych przetwarzanych w danym pomieszczeniu. 4. Pod szczególną ochroną przed niepowołanym dostępem do danych osobowych pozostają urządzenia wchodzące w skład systemu informatycznego. W szczególności stacje robocze (poszczególne komputery) wchodzące w skład tego systemu, powinny być umiejscawiane w sposób uniemożliwiający osobom nieuprawnionym, bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych. 5. W budynkach, pomieszczeniach i częściach pomieszczeń, w których przetwarzane są dane osobowe mają prawo przebywać wyłącznie osoby upoważnione do dostępu lub przetwarzania danych osobowych oraz osoby sprawujące nadzór i kontrole nad bezpieczeństwem przetwarzania tych danych. 6. Całkowite opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowaniem dostępnych środków zabezpieczających to pomieszczenie przed wejściem osób niepowołanych. 7. Opuszczenie pomieszczenia, w którym przetwarzane są dane osobowe, musi wiązać się z zastosowanie dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, choćby Strona 7/8

chwilowej, nieobecności pracownika upoważnionego do przetwarzania danych osobowych obowiązany jest on umieścić zbiory występujące w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobowych osobom niepowołanym. 8. Opuszczenie przez pracownika przetwarzającego dane osobowe obszaru ich przetwarzania bez zabezpieczenia budynku lub pomieszczenia oraz umiejscowionych w nim zbiorów danych jest niedopuszczalne, i jako takie traktowane będzie, jako ciężkie naruszenie podstawowych obowiązków pracowniczych. 9. Dostęp do budynków i pomieszczeń, w których przetwarzane są dane osobowe może podlegać kontroli. 10. Kontrola dostępu polegać może w szczególności na ewidencjonowaniu wszystkich przypadków pobierania i zwrotu kluczy do budynków lub pomieszczeń. 11. Klucze do budynków lub pomieszczeń, w których przetwarzane są dane osobowe wydawane być mogą wyłącznie pracownikom upoważnionym do przetwarzania danych osobowych lub innym pracownikom upoważnionym do dostępu do tych budynków. 12. Administrator Danych Osobowych realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych może wprowadzać inne formy monitorowania dostępu do obszarów przetwarzania danych osobowych. 7 ZBIORY DANYCH OSOBOWYCH 1. Realizując politykę bezpieczeństwa w zakresie ochrony danych osobowych sprawuje się nadzór nad rodzajami oraz zawartością tworzonych zbiorów danych osobowych. 2. Zbiory danych osobowych są pozyskiwane z poszanowaniem przepisów prawa jak również praw ochrony danych osobowych. 3. Wszystkie dane osobowe znajdujące się w zbiorach zostały pozyskane w sposób zgodny z prawem, po uzyskaniu uprzedniej zgody osób, których pobrane dane osobowe dotyczą. 4. Osoby, których dane osobowe zostały zebrane zostały prawidłowo poinformowane o przysługujących im prawach w związku z powierzonymi danymi osobowymi, zgodnie z obowiązującymi przepisami prawa polskiego. 8 SZCZEGÓŁOWE ZASADY DOTYCZĄCE ZABEZPIECZANIA SYSTEMÓW INFORMATYCZNYCH Szczegółowe zasady dotyczące zabezpieczenia zasobów informatycznych oraz ochrony danych osobowych przetwarzanych w takich zasobach określone są w osobnym dokumencie, zwanym Instrukcją Zarządzania Systemem Informatycznym. Strona 8/8

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres