POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

Podobne dokumenty
POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA OCHRONY DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ

SOLIDNA SZKOŁA ŻEGLARSTWA tel

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH. Dla

POLITYKA BEZPIECZEŃSTWA

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w. Maridapol Sp. z o.o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w AUTO MASTER SP. Z O.O.

Instrukcja Zarządzania Systemem Informatycznym. załącznik nr 13 do Polityki. Bezpieczeństwa Informacji Ośrodka Pomocy Społecznej w Starym Sączu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

a) po 11 dodaje się 11a 11g w brzmieniu:

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

POLITYKA BEZPIECZEŃSTWA

Polityka bezpieczeństwa przetwarzania danych osobowych w Fundacji Gospodarczej Euro Partner

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

POLITYKA BEZPIECZEŃSTWA INFORMACJI. W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w Hodowli Ziemniaka Zamarte Spółka z o.o. Grupa IHAR

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Miejskim Ośrodku Pomocy Rodzinie w Toruniu

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI. W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w Przychodni Promocji Zdrowia MEDICAMONITOR W LEGIONOWIE ul.

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W Praktyka Lekarska Aleksandra Mossakowska z siedzibą pod adresem: Halinów, ul.

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

ZAŁĄCZNIK NR 1. Komentarz do Instrukcji:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZ SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

Rozdział I Zagadnienia ogólne

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

Instrukcja Zarządzania Systemem Informatycznym

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Zarządzenie Nr 148/2007 Burmistrza Miasta i Gminy Mirsk z dnia r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI. W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH w DOMU POMOCY SPOŁECZNEJ W ZOCHCINKU

POLITYKA BEZPIECZEŃSTWA INFORMACJI

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM. służącym do przetwarzania danych osobowych w Bibliotece i Centrum Kultury Gminy Wejherowo

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Polityka bezpieczeństwa przetwarzania danych osobowych w Urzędzie Gminy w Różanie,

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Bezpieczeństwo teleinformatyczne danych osobowych

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

ZGŁOSZENIE ZBIORU DANYCH DO REJESTRACJI GENERALNEMU INSPEKTOROWI OCHRONY DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

DZANIA SYSTEMEM INFORMATYCZNYM DLA SYSTEMU PODSYSTEM MONITOROWANIA EUROPEJSKIEGO FUNDUSZU SPOŁECZNEGO 2007 U BENEFICJENTA PO KL

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH SYSTEMU INFORMATYCZNEGO STAROSTWA POWIATOWEGO W OSTROWCU ŚWIĘTOKRZYSKIM

POLITYKA BEZPIECZEŃSTWA

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

Załącznik do nru 4, poz. 79 z dnia 12 grudnia 2008 r. tekst załącznika do zarządzenia ministra środowiska

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

Polityka bezpieczeństwa przetwarzania danych osobowych

ZARZĄDZENIE NR 120/38/15 PREZYDENTA MIASTA TYCHY. z dnia 30 kwietnia 2015 r.

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

Rozdział I Postanowienia ogólne

Polityka bezpieczeństwa informacji

Transkrypt:

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH AFZ GROUP SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ GDAŃSK 2017 1

SPIS TREŚCI I. POSTANOWIENIA OGÓLNE II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI III. ZAKRES STOSOWANIA IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA INFORMACJI V. DOSTĘP DO INFORMACJI VI. BEZPIECZEŃSTWO INFORMACJI VII. ZARZĄDZANIE DANYMI OSOBOWYMI VIII. ZAKRESY ODPOWIEDZIALNOŚCI IX. PRZETWARZANIE DANYCH OSOBOWYCH X. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE XI. POSTANOWIENIA KOŃCOWE 2

I. POSTANOWIENIA OGÓLNE Celem Polityki Bezpieczeństwa danych osobowych, zwanej dalej Polityką Bezpieczeństwa, jest uzyskanie optymalnego i zgodnego z wymogami obowiązujących aktów prawnych, sposobu przetwarzania w AFZ Group spółka z ograniczoną odpowiedzialnością informacji zawierających dane osobowe. 1. Obszarem przetwarzania danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością jest wydzielone pomieszczenie w budynku Centrum Handlowego Manhattan oznaczone numerem 3/314 w Gdańsku przy Alei Grunwaldzkiej 82. 2. Zbiory danych osobowych są również przetwarzane z wykorzystaniem komputerów przenośnych. 3. Administrator danych przewiduje możliwość zatrudnienia telepracowników. Określenia użyte w Polityce Bezpieczeństwa oznaczają: 1. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. 2. Przetwarzanie danych osobowych - gromadzenie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych, zwłaszcza w systemach informatycznych, 3. Użytkownik - osoba upoważniona do przetwarzania danych osobowych. 4. System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych. 5. Zabezpieczenie systemu informatycznego - wdrożenie stosowanych środków administracyjnych, technicznych oraz ochrony przed modyfikacją, zniszczeniem, nieuprawnionym dostępem i ujawnieniem lub pozyskaniem danych osobowych, a także ich utratą. 1 2 3 II. DEFINICJA BEZPIECZEŃSTWA INFORMACJI 4 1. Utrzymanie bezpieczeństwa przetwarzanych w AFZ Group spółka z ograniczoną odpowiedzialnością informacji oznacza gwarancję: a) poufność informacji - rozumiane jako zapewnienie, że tylko uprawnieni pracownicy mają dostęp do informacji; b) integralność informacji - rozumiane jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; c) dostępność informacji - rozumiane jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne; d) zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych. 2. Dodatkowo zarządzanie bezpieczeństwem informacji wiąże się z zapewnieniem: 3

a) niezaprzeczalności odbioru - rozumianej jako zdolność systemu do udowodnienia, że adresat informacji otrzymał ją w określonym miejscu i czasie; b) niezaprzeczalności nadania - rozumianej jako zdolność systemu do udowodnienia, że nadawca informacji faktycznie ją nadał lub wprowadził do systemu w określonym miejscu i czasie; c) rozliczalności działań - rozumianej, jako zapewnienie, że wszystkie działania istotne dla przetwarzania informacji zostały zarejestrowane w systemie i możliwym jest zidentyfikowanie użytkownika, który działania dokonał. III. ZAKRES STOSOWANIA 5 1. W AFZ Group spółka z ograniczoną odpowiedzialnością przetwarzane są dane w celach związanych z prowadzoną działalnością gospodarczą, tj. w celu prowadzenia agencji zatrudnienia w szczególności poprzez zbieranie ofert pracy od pracodawców i innych agencji pracy oraz zawieranie z nimi umów, zbieranie ofert kandydatów poszukujących zatrudnienia, zawieranie umów związanych z bieżąca działalnością przedsiębiorstwa oraz umów o pracę. 2. Informacje te są przetwarzane i składowane głównie w postaci dokumentacji elektronicznej, aczkolwiek nie wyklucza się także dokumentacji tradycyjnej. 3. Polityka Bezpieczeństwa zawiera informacje dotyczące wprowadzonych zabezpieczeń technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Politykę Bezpieczeństwa stosuje się do: 6 a) danych osobowych przetwarzanych w systemie operacyjnym zainstalowanym na komputerach AFZ Group spółka z ograniczoną odpowiedzialnością; b) wszystkich informacji dotyczących danych pracowników AFZ Group spółka z ograniczoną odpowiedzialnością, w tym danych osobowych personelu i treści zawieranych umów o pracę oraz wszystkich danych kandydatów do pracy zbieranych na etapie rekrutacji; c) informacji dotyczących zabezpieczenia danych osobowych, w tym w szczególności nazw kont i haseł w systemach przetwarzania danych osobowych; d) ewidencji osób dopuszczonych do przetwarzania danych osobowych; e) innych dokumentów zawierających dane osobowe. 7 1. Zakresy ochrony danych osobowych określony przez dokumenty Polityki Bezpieczeństwa mają zastosowanie do systemów informatycznych AFZ Group spółka z ograniczoną odpowiedzialnością, w których są przetwarzane dane osobowe, a w szczególności do: a) wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są dane osobowe podlegające ochronie; b) informacji będących własnością AFZ Group spółka z ograniczoną odpowiedzialnością lub kontrahentów AFZ Group spółka z ograniczoną odpowiedzialnością, o ile zostały przekazane na podstawie umów; c) wszystkich lokalizacji miejsc wykonywania czynności związanych z prowadzoną działalnością gospodarczą, w których są lub będą przetwarzane informacje podlegające ochronie; 4

d) wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do informacji podlegających ochronie. 3. Do stosowania zasad określonych przez dokumenty Polityki Bezpieczeństwa zobowiązani są wszyscy pracownicy w rozumieniu Kodeksu Pracy, konsultanci, stażyści oraz inne osoby mające dostęp do informacji podlegających ochronie. Informacje niejawne nie są objęte zakresem niniejszej Polityki Bezpieczeństwa. 8 IV. STRUKTURA DOKUMENTÓW POLITYKI BEZPIECZEŃSTWA 9 1. Dokumenty Polityki Bezpieczeństwa ustanawiają metody zarządzania oraz wymagania niezbędne do zapewnienia skutecznej i spójnej ochrony przetwarzanych informacji. 2. Zestaw dokumentów Polityki Bezpieczeństwa składa się z: a) niniejszego dokumentu Polityki Bezpieczeństwa; b) Instrukcji zarządzania systemami informatycznymi w zakresie wymogów bezpieczeństwa przetwarzania danych osobowych, opisującej sposób zarządzania systemami przetwarzania danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością; c) Wykazu baz danych w systemach informatycznych, w których przetwarzane są dane osobowe w AFZ Group spółka z ograniczoną odpowiedzialnością - Załącznik nr 1, d) Ewidencji osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych i ich identyfikatorów, e) Wykazu miejsc przetwarzania danych osobowych w systemach informatycznych - Załącznik nr 2. V. DOSTĘP DO INFORMACJI 10 Wszystkie osoby, których rodzaj wykonywanej pracy będzie wiązał się z dostępem do danych osobowych, przed przystąpieniem do pracy, podlegają przeszkoleniu w zakresie obowiązujących przepisów prawa dotyczących ochrony danych osobowych oraz obowiązujących w AFZ Group spółka z ograniczoną odpowiedzialnością zasad ochrony danych osobowych. 11 Zakres czynności dla osoby dopuszczonej do przetwarzania danych osobowych powinien określać zakres odpowiedzialności tej osoby za ochronę danych osobowych w stopniu odpowiednim do zadań tej osoby realizowanych przy przetwarzaniu tych danych. 12 1. Udostępnianie danych osobowych pracownikom będzie się odbywało wyłącznie na podstawie udzielonych im upoważnień, a innym podmiotom wyłącznie na podstawie umów o powierzenie przetwarzania danych osobowych. 2. Pracownicy AFZ Group spółka z ograniczoną odpowiedzialnością zatrudnieni na umowę o telepracę, będą przetwarzali dane osobowe z użyciem sprzętu i oprogramowania, oraz z wykorzystaniem systemów informatycznych powierzonych przez AFZ Group spółka z ograniczoną odpowiedzialnością. 5

VI. BEZPIECZEŃSTWO INFORMACJI 13 W AFZ Group spółka z ograniczoną odpowiedzialnością stosuje się następujące kategorie środków zabezpieczeń danych osobowych: a) zabezpieczenia fizyczne: zbiory danych osobowych przechowywane są w pomieszczeniu zamykanym na klucz; dostęp do pomieszczeń, w których przetwarza się zbiory danych są objęte systemem kontroli dostępu; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych kontrolowany jest przez system monitoringu z zastosowaniem kamer przemysłowych; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest w czasie nieobecności zatrudnionych tam pracowników nadzorowany przez służbę ochrony; dostęp do pomieszczeń, w których przetwarzany jest zbiór danych osobowych jest przez całą dobę nadzorowany przez służbę ochrony; zbiór danych osobowych w formie tradycyjnej (papierowej) oraz kopie zapasowe i archiwalne zbioru danych osobowych są przechowywane w zamkniętej szafie; pomieszczenie, w którym są przetwarzane dane osobowe zabezpieczone jest przed skutkami pożaru za pomocą sytemu przeciwpożarowego i/lub wolnostojącej gaśnicy; dokumenty zawierające dane osobowe po ustaniu przydatnością są niszczone w sposób mechaniczny za pomocą niszczarek do dokumentów. b) zabezpieczenia procesów przetwarzania danych w dokumentacji papierowej: przetwarzanie danych osobowych następuje w wyznaczonych pomieszczeniach; przetwarzanie danych osobowych następuje przez wyznaczone do tego celu osoby; dokumenty zawierające dane osobowe zbędne do prowadzenia dalszych działań i które nie podlegają, archiwizacji są niezwłocznie niszczone w sposób uniemożliwiający ich odczytanie. e) zabezpieczenia informatyczne: zastosowano urządzenia typu UPS, generator prądu i/lub wydzieloną sieć elektroenergetyczną, chroniące system informatyczny służący do przetwarzania danych osobowych przed skutkami awarii zasilania; dostęp do sytemu operacyjnego komputera, w którym przetwarzane są dane osobowe zabezpieczony jest za pomocą procesu uwierzytelniania z wykorzystaniem identyfikatorów użytkownika i hasła; zastosowano środki uniemożliwiające wykonywanie nieautoryzowanych kopii danych osobowych przetwarzanych przy użyciu systemów informatycznych; zastosowano system rejestracji dostępu do sytemu zbioru danych osobowych; dostęp do środków teletransmisji danych zabezpieczano za pomocą mechanizmów uwierzytelniania; zastosowano środki ochrony przed szkodliwym oprogramowaniem takim jak np. robaki, wirusy, konie trojańskie, rookity; użyto system Firewall do ochrony dostępu do sieci komputerowej; zainstalowane wygaszacze ekranów na stanowiskach, na których przetwarzane są dane osobowe; 6

kopie zapasowe zbioru danych osobowych przechowywane są w innym pomieszczeniu niż to, w którym znajduje się serwera, na którym dane osobowe są przetwarzane na bieżąco. c) zabezpieczenia organizacyjne: osobami bezpośrednio odpowiedzialnymi za bezpieczeństwo danych jest Administrator danych; Administrator danych osobowych na bieżąco kontroluje z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą i z obowiązującymi procedurami, pracę pracowników odpowiedzialnych za przetwarzanie danych osobowych oraz systemu informatycznego. d) inne zabezpieczenia: osoba użytkująca komputer przenośny zawierający dane osobowe jest zobowiązana do zachowania szczególnej ostrożności podczas transportu i użytkowania sprzętu poza obszarem wskazanym w 1 ust. 1; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do likwidacji pozbawia się zapisu danych, a gdy nie jest to możliwe uszkadza w sposób uniemożliwiające ich odczytanie; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do przekazania podmiotowi nieuprawnionemu do przetwarzania danych, pozbawia się wcześniej zapisu danych, w sposób uniemożliwiający ich odzyskanie; urządzenia, dyski lub inne elektroniczne nośniki informacji zawierające dane osobowe przeznaczone do naprawy pozbawia się wcześniej zapisu danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez Administratora danych. Ochronę danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością należy realizować z wykorzystaniem następujących minimalnych zabezpieczeń: 14 a) przyznawania indywidualnych identyfikatorów; b) zapewnienia zmiany haseł nie rzadziej niż co 30 dni, które składa się co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne; c) odnotowania daty pierwszego wprowadzenia danych w systemie; d) odnotowania identyfikatora użytkownika wprowadzającego dane; e) odnotowania sprzeciwu określonego w art. 32 ust. l pkt 8 ustawy o ochronie danych osobowych; f) odnotowania źródła danych, w przypadku zbierania danych nie od osoby, której dane dotyczą; g) odnotowania informacji o odbiorcach, którym dane zostały udostępnione, dacie i zakresie tego udostępnienia; h) zapewnienie możliwości sporządzenia i wydrukowania raportu zawierającego dane osobowe wraz z informacjami o historii przetwarzania danych. 15 1. W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy - serwer, komputery osobiste, drukarki i inne urządzenia 7

zewnętrzne; b) oprogramowanie - kody źródłowe, programy użytkowe, systemy operacyjne, narzędzia wspomagające i programy komunikacyjne; c) dane zapisane na dyskach oraz dane podlegające przetwarzaniu w systemie; d) hasła użytkowników; e) pliki dziennych operacji systemowych i baz danych, kopie zapasowe i archiwa; f) użytkownicy i administratorzy, którzy obsługują i używają system; g) dokumentacja - zawierająca dane systemu, opisująca jego zastosowanie, przetwarzane informacje, itp.; h) wydruki; i) związana z przetwarzaniem danych osobowych dokumentacja papierowa, z której dane są wprowadzane do systemu informatycznego lub też funkcjonują niezależnie od niego. 2. W systemie informatycznym obowiązują zabezpieczenia na poziomie wysokim, określonym przez Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. VII. ZARZĄDZANIE DANYMI OSOBOWYMI 16 Administratorem danych osobowych jest AFZ Group spółka z ograniczoną odpowiedzialnością w imieniu której występują Członkowie Zarządu oraz Prokurent. 17 1. Za bezpieczeństwo danych osobowych w AFZ Group spółka z ograniczoną odpowiedzialnością, odpowiadają Administrator Danych Osobowych. 2. W umowach zawieranych przez AFZ Group spółka z ograniczoną odpowiedzialnością winny znajdować się postanowienia zobowiązujące podmioty zewnętrzne do ochrony danych osobowych udostępnionych przez AFZ Group spółka z ograniczoną odpowiedzialnością. Organizacja pracy przy przetwarzaniu danych osobowych i zasady przetwarzania: 18 a) wykaz pracowników AFZ Group spółka z ograniczoną odpowiedzialnością uprawnionych do przetwarzania danych osobowych, znajduje się u Administratora danych osobowych; b) przetwarzać dane osobowe mogą jedynie pracownicy, którzy zostali zapoznani z obowiązującymi zasadami dotyczącymi ochrony danych osobowych, potwierdzili fakt przeszkolenia własnoręcznym podpisem i posiadają stosowne upoważnienie przyznane przez Administratora danych osobowych; c) w czasie przetwarzania danych osobowych, pracownik jest osobiście odpowiedzialny za bezpieczeństwo powierzonych mu danych; d) przed przystąpieniem do realizacji zadań związanych z przetwarzaniem danych osobowych, pracownik powinien sprawdzić, czy posiadane przez niego dane były należycie zabezpieczone oraz czy zabezpieczenia te nie były naruszane; 8

e) w czasie przetwarzania danych osobowych, pracownik winien dbać o należyte ich zabezpieczenie przed możliwością wglądu, bądź zmiany przez osoby do tego celu nieupoważnione; f) po zakończeniu przetwarzania danych pracownik winien należycie zabezpieczyć dane osobowe przed możliwością dostępu do nich osób nieupoważnionych; g) pracownicy przetwarzający dane osobowe są bezpośrednio nadzorowani przez Administratora danych osobowych. 19 Ochrona zasobów danych osobowych AFZ Group spółka z ograniczoną odpowiedzialnością jako całości przed ich nieuprawnionym użyciem lub zniszczeniem jest jednym z podstawowych obowiązków pracowników AFZ Group spółka z ograniczoną odpowiedzialnością. VIII. ZAKRESY ODPOWIEDZIALNOŚCI 20 Za bezpieczeństwo informacji odpowiedzialny jest każdy pracownik AFZ Group spółka z ograniczoną odpowiedzialnością w zakresie zajmowanego stanowiska i posiadanych informacji. Administrator danych osobowych: 21 1. odpowiada za ochronę danych osobowych określonych w zakresie określonym w 36 ust. l ustawy oraz Polityce Bezpieczeństwa; 2. sprawuje nadzór nad fizycznym zabezpieczeniem pomieszczeń, w których dane są przetwarzane oraz kontrolą przebywających w nich osób; 3. skreśla strategię zabezpieczania systemów informatycznych; 4. identyfikuje i analizuje zagrożenia oraz ryzyko, na które narażone może być przetwarzanie danych osobowych w systemach informatycznych; 5. sprawuje nadzór nad obiegiem oraz przechowywaniem dokumentów i wydawnictw zawierających dane osobowe; 6. monitoruje działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych w systemach informatycznych; 7. sprawuje nadzór nad funkcjonowaniem mechanizmów uwierzytelniania użytkowników w systemie informatycznym przetwarzającym dane oraz kontrolą dostępu do danych; 8. prowadzi ewidencję baz danych w systemach informatycznych, w których przetwarzane są dane osobowe; 9. prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych w systemach informatycznych; 10. prowadzi ewidencję miejsc przetwarzania danych osobowych w systemach informatycznych; 11. prowadzi rejestr zbiorów danych osobowych (przetwarzanych metodą tradycyjną lub w systemach informatycznych); 12. określa indywidualne obowiązki i odpowiedzialność osób zatrudnionych przy przetwarzaniu danych osobowych, wynikających z ustawy o ochronie danych osobowych; 13. zapoznaje osoby zatrudnione przy przetwarzaniu danych osobowych z przepisami obowiązującymi w tym zakresie; 9

14. wdraża i nadzoruje przestrzeganie Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych; 15. sprawuje nadzór nad naprawami, konserwacją oraz likwidacją urządzeń komputerowych, na których zapisane są dane osobowe; 16. sprawuje nadzór nad bezpieczeństwem danych zawartych w komputerach przenośnych, dyskach wymiennych, laptopach, w których przetwarzane są dane osobowe; 17. tworzy warunki organizacyjne i techniczne umożliwiające spełnienie wymogów wynikających z obowiązywania ustawy o ochronie danych osobowych; 18. sprawuje nadzór nad poprawnością merytoryczną danych gromadzonych w systemach informacyjnych; 19. określa, które osoby i na jakich prawach mają dostęp do danych informacji; 20. przygotowuje zgłoszenia rejestracji i zmian Zbiorów Danych do Generalnego Inspektoratu Danych Osobowych. 22 Administrator danych osobowych jest również odpowiedzialny za: 1. bieżący monitoring i zapewnienie ciągłości działania systemu informatycznego oraz baz danych; 2. optymalizację wydajności systemu informatycznego, baz danych, instalacje i konfiguracje sprzętu sieciowego i serwerowego; 3. instalacje i konfiguracje oprogramowania systemowego, sieciowego, oprogramowania bazodanowego; 4. konfigurację i administrowanie oprogramowaniem systemowym, sieciowym oraz bazodanowym zabezpieczającym dane chronione przed nieupoważnionym dostępem; 5. nadzór nad zapewnieniem awaryjnego zasilania komputerów oraz innych urządzeń mających wpływ na bezpieczeństwo przetwarzania danych; 6. współpracę z dostawcami usług oraz sprzętu sieciowego i serwerowego oraz zapewnienie zapisów dotyczących ochrony danych osobowych; 7. zarządzanie kopiami awaryjnymi konfiguracji oprogramowania systemowego, sieciowego; 8. zarządzanie kopiami awaryjnymi danych osobowych oraz zasobów umożliwiających ich przetwarzanie; 9. przeciwdziałanie próbom naruszenia bezpieczeństwa informacji; 10. zarządzanie licencjami, procedurami ich dotyczącymi; 11. prowadzenie profilaktyki antywirusowej; IX. PRZETWARZANIE DANYCH OSOBOWYCH 23 Systemy informatyczne, służące do przetwarzania danych osobowych, muszą spełniać wymogi obowiązujących aktów prawnych regulujących zasady gromadzenia i przetwarzania danych osobowych. 24 Do tworzenia kopii bezpieczeństwa danych osobowych w postaci elektronicznej służą indywidualne systemy archiwizowania dla poszczególnych systemów informatycznych. 10

25 Kopie bezpieczeństwa oraz dokumenty papierowe zawierające dane osobowe przechowuje się w warunkach uniemożliwiających dostęp do nich osobom nieuprawnionym. X. ARCHIWIZOWANIE INFORMACJI ZAWIERAJĄCYCH DANE OSOBOWE 26 Archiwizację dokumentów zawierających dane osobowe prowadzi się w odpowiednio zabezpieczonych pomieszczeniach i na właściwie zabezpieczonych nośnikach informatycznych lub tradycyjnych. Dane zbędne dla prowadzonych spraw są natychmiast niszczone poprzez działania fizyczne i informatyczne uniemożliwiające ich odczytanie. XI. POSTANOWIENIA KOŃCOWE 27 Administrator danych osobowych okresowo będzie analizował zagrożenia i ryzyko w celu weryfikacji środków zabezpieczających, a także dokonywał inwentaryzacji systemów informatycznych i zbiorów danych w celu zapewnienia aktualności treści Polityki Bezpieczeństwa. 28 Niniejsza Polityka bezpieczeństwa została opracowana, wdrożona i podpisana przez osoby reprezentujące AFZ Group spółka z ograniczoną odpowiedzialnością. (Pieczęć AFZ Group spółka z ograniczoną odpowiedzialnością i osoby uprawnionej do reprezentacji) 11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres