Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Podobne dokumenty
Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Informacja o danych osobowych w Stowarzyszeniu Ośrodek Sportowo Terapeutyczny Akademia Technik Walk z siedzibą w Gdańsku

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

Ustawa o ochronie danych osobowych po zmianach

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo teleinformatyczne danych osobowych

REGULAMIN OCHRONY DANYCH OSOBOWYCH w Szkole Muzycznej I stopnia w Dobczycach

POLITYKA PRYWATNOŚCI I BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W PRZYCHODNI REHABILITACYJNEJ FIT-MED SP. Z O.O.

Warszawa, dnia 24 kwietnia 2015 r. Pozycja 14 ZARZĄDZENIE NR 14 MINISTRA SKARBU PAŃSTWA 1) z dnia 23 kwietnia 2015 r.

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

URZĄD MIASTA ZIELONA GÓRA PLAN SPRAWDZEŃ ZGODNOŚCI PRZETWARZANIA DANYCH OSOBOWYCH Z PRZEPISAMI O OCHRONIE DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

z dnia 2014 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych

Zmiany w ustawie o ochronie danych osobowych

Bezpieczeństwo informacji. Opracował: Mariusz Hoffman

Polityka bezpieczeństwa danych osobowych

Przykładowy wzór Wystąpienia GIODO dotyczy zastosowanych środków bezpieczeństwa* Wystąpienie o dokonanie sprawdzenia

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

POLITYKA BEZPIECZEŃSTWA INFORMACJI W GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W KSIĄŻKACH

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

Dane osobowe w data center

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH Collegium Mazovia Innowacyjnej Szkoły Wyższej

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W STOWARZYSZENIU PRACOWNIA ROZWOJU OSOBISTEGO

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE PRZETWARZANIA DANYCH OSOBOWYCH W FIRMIE TK BATO SP. Z O.O.

INSTRUKCJE DOTYCZĄCE OCHRONY DANYCH OSOBOWYCH W KANCELARII DORADZTWA PODATKOWEGO

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

OCHRONA DANYCH OSOBOWYCH

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Polityka ochrony danych osobowych. Rozdział I Postanowienia ogólne

Rozdział I Zagadnienia ogólne

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Polityka bezpieczeństwa informacji

Umowa nr ADO/.../... powierzenia przetwarzania danych osobowych

POLITYKA ZARZĄDZANIA SYSTEMEM MONITORINGU MIEJSKIEGO SŁUŻĄCYM DO PRZETWARZNANIA DANYCH OSOBOWYCH MONITORING MIEJSKI W RADOMIU

Zadania Administratora Systemów Informatycznych wynikające z przepisów ochrony danych osobowych. Co ASI widzieć powinien..

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Amatorski Klub Sportowy Wybiegani Polkowice

POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH W RAMACH UMOWY nr.z dnia

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka Bezpieczeństwa Ochrony Danych Osobowych

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH STOWARZYSZENIE RODZICÓW DZIECI Z WRODZONĄ PRZEPUKLINĄ PRZEPONOWĄ I INNYMI WADAMI WRODZONYMI

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN. organizacji i przetwarzania danych osobowych.

PROGRAM NAUCZANIA KURS ABI

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W W FIRMIE MIROSŁAWA BANDYK PROWADZĄCEGO DZIAŁALNOŚĆ GOSPODARCZĄ POD NAZWĄ BUD MI-K F.R.B.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH w Biurze Rachunkowym T&T A.Tuleja G.Tuleja S.C. ul. Kochanowskiego 5, Jasło

Uwaga przypominamy o obowiązkach związanych z ochroną danych osobowych w praktyce lekarskiej i dentystycznej.

POLITYKA OCHRONY DANYCH OSOBOWYCH

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

Umowa nr..- /15. o powierzeniu przetwarzania danych osobowych zawarta w dniu r. w Poznaniu pomiędzy:

Polityka bezpieczeństwa przetwarzania. danych osobowych. 4-Wheels Mateusz Ziomek, z siedzibą ul. Dobra 8/10/42, Warszawa

do Umowy Operacyjnej Pożyczka Inwestycyjna oraz Pożyczka Profilowana nr [*] POROZUMIENIE w sprawie zasad powierzenia przetwarzania danych osobowych

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH W WIELOZAWODOWYM ZESPOLE SZKÓŁ W ZATORZE

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Transkrypt:

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji POLITYKA BEZPIECZEŃSTWA. 1 1. PODSTAWA PRAWNA Niniejsza Polityka bezpieczeństwa stanowi wykonanie obowiązku, o którym mowa w 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024). 2. CEL OPRACOWANIA DOKUMENTU Celem opracowania niniejszego dokumentu jest wytyczenie zasad i wymagań w zakresie ochrony danych osobowych gromadzonych i przetwarzanych przez 2 zwaną dalej również jako Kancelaria, biorąc pod uwagę, że w jednostce organizacyjnej został powołany Administrator bezpieczeństwa informacji. Ponadto, celem niniejszej Polityki Bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Kancelarię, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. Wypracowane zasady i wymagania mają ukierunkować działania zmierzające do budowy systemu bezpieczeństwa, a potem jego utrzymywania podczas eksploatacji, na poziomie odpowiadającym potrzebom organizacji. 3. DEFINICJE 1 Należy uzupełnić nazwę kancelarii radcy prawnego. 2 j.w. 1

1) Administrator Bezpieczeństwa Informacji osoba powołana przez administratora danych na podstawie art. 36a ust. 1 ustawy, realizująca zadania przewidziane w ustawie oraz inne obowiązki powierzone przez administratora danych; 2) administrator danych. 3 (również jako: Kancelaria ), 3) dane osobowe wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, tj. osoby, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne, 4) informatyczne nośniki danych materiały lub urządzenia służące do zapisywania, przechowywania i odczytywania danych osobowych w postaci cyfrowej lub analogowej, 5) integralność danych właściwość zapewniająca, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany, 6) poufność danych właściwość zapewniająca, że dane nie są udostępniane nieupoważnionym podmiotom, 7) przetwarzanie danych osobowych jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych, 8) rozliczalność danych właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi, 9) rozporządzenie rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024), 10) ustawa ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922), 11) usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą ( anonimizacja ), 3 j.w. 2

12) państwo trzecie państwo nienależące do Europejskiego Obszaru Gospodarczego. 4. CEL POLITYKI BEZPIECZEŃSTWA Celem Polityki bezpieczeństwa jest ochrona danych osobowych, przetwarzanych przez Kancelarię, w szczególności ich ochrona przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów określających zasady postępowania przy przetwarzaniu danych osobowych oraz przed zmianą, uszkodzeniem lub zniszczeniem. 5. ZAKRES STOSOWANIA POLITYKI BEZPIECZEŃSTWA W ramach zabezpieczenia danych osobowych ochronie podlegają: a) sprzęt komputerowy serwer, komputery osobiste (w tym laptopy) i inne urządzenia zewnętrzne, b) oprogramowanie, c) dane osobowe zapisane na informatycznych nośnikach danych oraz dane przetwarzane w systemach informatycznych, d) hasła użytkowników, e) bazy danych i kopie zapasowe, f) wydruki, g) związana z przetwarzaniem danych dokumentacja papierowa. Polityka bezpieczeństwa dotyczy przetwarzania wszystkich danych osobowych, przetwarzanych przez Kancelarię w kartotekach, skorowidzach, księgach, wykazach i innych zbiorach ewidencyjnych, a także w systemach informatycznych będących w dyspozycji Kancelarię i zawiera następujące informacje: A. wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych osobowych), B. wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych, C. opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi, 3

D. sposób przepływu danych pomiędzy poszczególnymi systemami, E. środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych, Polityka bezpieczeństwa ma zastosowanie wobec wszystkich komórek organizacyjnych Kancelarii. A. Obszar przetwarzania danych osobowych Przetwarzanie danych osobowych przez Kancelarię odbywa się zarówno przy wykorzystaniu systemów informatycznych jak i poza nimi, tj. w wersji tradycyjnej, papierowej. Obszar przetwarzania danych osobowych przez Kancelarię został określony w załączniku nr 1 do Polityki bezpieczeństwa pt.: Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe. Za obszar przetwarzania danych należy rozumieć obszar, w którym wykonywana jest choćby jedna z czynności przetwarzania danych osobowych. B. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania danych Wykaz zbiorów danych osobowych przetwarzanych przez Kancelarię oraz programów zastosowanych do przetwarzania tych danych stanowi załącznik 2 do Polityki bezpieczeństwa pt.: Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania. C. Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania pomiędzy nimi Pola informacyjne (kategorie przetwarzanych danych osobowych) w odniesieniu do poszczególnych zbiorów danych zostały określone w dokumencie Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania stanowiącym załącznik nr 2 do Polityki bezpieczeństwa. D. Sposób przepływu danych pomiędzy poszczególnymi systemami 4

Sposób przepływu danych pomiędzy różnymi systemami informatycznymi określa załącznik 2 do Polityki bezpieczeństwa pt.: Wykaz zbiorów danych osobowych i systemów zastosowanych do ich przetwarzania. albo W ramach procesów przetwarzania danych nie dochodzi do przepływu danych pomiędzy różnymi systemami informatycznymi 4. W pkt E. zostały opisane przykładowe środki techniczne i organizacyjne. Administrator danych powinien dostosować politykę bezpieczeństwa tak, aby odpowiadała ona zastosowanym przez radcę prawnego środkom technicznymi i organizacyjnymi. W celu dostosowania polityki bezpieczeństwa administrator danych może wykorzystać Załącznik A Przykładowa lista środków technicznych i organizacyjnych. Dokument ten nie wchodzi w skład polityki bezpieczeństwa, lecz jest materiałem roboczym pomocnym do stworzenia polityki bezpieczeństwa. E. Określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych 5 Do elementów zabezpieczenia danych osobowych przez Kancelarię zalicza się: a) stosowane metody ochrony pomieszczeń, w których przetwarzane są dane osobowe (zabezpieczenia fizyczne), b) odpowiednie środki zabezpieczenia danych w systemach informatycznych (zabezpieczenia techniczne), 4 Przygotowując dokumentację przetwarzania danych osobowych administrator powinien zweryfikować, czy dochodzi do przepływu pomiędzy systemami informatycznymi. 5 W punkcie E przykładową listę środków fizycznych stosowanych przez administratorów danych. Szczegółowa lista środków fizycznych oraz technicznych, które mogą być stosowane przez administratorów danych znajduje się w dokumencie Przykładowa lista środków technicznych i organizacyjnych. Na jej podstawie administrator danych powinien dokonać weryfikacji wskazanych postanowień oraz odpowiednio dostosować je do stanu rzeczywistego (tj. usunąć/ zmodyfikować/ dopisać inne środki zastosowane przez Kancelarię). Z listy należy więc wybrać tylko te środki, które są rzeczywiście stosowane przez Kancelarię i wskazać je w Polityce Bezpieczeństwa. Kancelaria nie ma obowiązku wdrażania wszystkich zabezpieczeń wymienionych w dokumencie Przykładowa lista środków technicznych i organizacyjnych. 5

c) nadzór administratora bezpieczeństwa informacji nad wprowadzonymi zasadami i procedurami zabezpieczenia danych (zabezpieczenie organizacyjne), d) bezpieczeństwo osobowe. a) zabezpieczenia fizyczne obejmują: wydzielenie obszaru przetwarzania danych, dostęp do pomieszczeń, w których przetwarzane są dane osobowe objęty jest systemem kontroli dostępu, samodzielny dostęp do pomieszczeń jest możliwy wyłącznie dla osób upoważnionych, wstęp osób postronnych jest możliwy jedynie podczas obecności pracowników Kancelarii, przechowywanie akt w wersji papierowej w specjalnie do tego celu przeznaczonych pomieszczeniach, w zamykanych na klucz szafach, kopie zapasowe zbioru danych osobowych przechowywane są w sejfie w innym pomieszczeniu niż to, w którym znajduje się serwer, na którym dane osobowe przetwarzane są na bieżąco, b) zabezpieczenia techniczne obejmują: systemy informatyczne zastosowane do przetwarzania danych osobowych spełniają wymagania określone w Rozporządzeniu, w systemach informatycznych w Kancelarii obowiązują zabezpieczenia na poziomie wysokim, zgodnie z załącznikiem do Rozporządzenia, zastosowano mechanizmy kontroli dostępu do systemów informatycznych i ich zasobów; uprawnienia są różne dla różnych grup użytkowników, zastosowano odpowiednie i regularnie aktualizowane narzędzia ochronne, w tym oprogramowanie antywirusowe, które jest regularnie aktualizowane, system informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych i logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem, tworzone są regularnie kopie zapasowe zbiorów danych przetwarzanych w systemach informatycznych oraz kopie programów służących do przetwarzania danych osobowych, 6

zastosowano zabezpieczenia systemu przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej (listwy przeciwzakłóceniowe), c) zabezpieczenia organizacyjne obejmują: pracownicy Kancelarii, którzy na bieżąco kontrolują pracę systemu informatycznego z należytą starannością, zgodnie z aktualnie obowiązującą w tym zakresie wiedzą, o zaobserwowanych nieprawidłowościach informują Administratora Bezpieczeństwa Informacji; osoby upoważnione do przetwarzania danych osobowych mające dostęp do danych osobowych, które są w dyspozycji Kancelarii, zobowiązane są do utrzymywania w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po odwołaniu z określonego stanowiska, a także po ustaniu zatrudnienia; w tym celu osoby te podpisują oświadczenie o utrzymywaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia, przetwarzanie danych osobowych może być wykonywane wyłącznie przez osoby, które zostały upoważnione do przetwarzania danych osobowych zgodnie z art. 37 ustawy, osoby przetwarzające dane osobowe zostały upoważnione do przetwarzania danych osobowych poprzez wpisanie określonych kompetencji do zakresu obowiązków na danym stanowisku. Określone stanowiska wraz z przypisanym zakresem upoważnienia znajdują się w ewidencji osób upoważnionych do przetwarzania danych osobowych, stanowiącej załącznik 4 do Polityki bezpieczeństwa, d) zabezpieczenie osobowe należy stosować klauzulę o zachowaniu poufności danych osobowych w umowach o pracę oraz w umowach ze zleceniobiorcami, z którymi związane jest przetwarzanie danych osobowych; wprowadza się obowiązek raportowania do administratora danych wszelkich naruszeń (incydentów), zauważonych podatności i innych słabych punktów oraz przypadków błędnego działania sprzętu i oprogramowania. 6. ROLA ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI W REALIZACJI POLITYKI BEZPIECZEŃSTWA. 1. Kierownictwo powołuje Administratora Bezpieczeństwa Informacji, który zapewnia 7

przestrzeganie przepisów o ochronie danych osobowych. 2. Do kompetencji Administratora Bezpieczeństwa Informacji należy: a) sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych, b) nadzorowanie opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne oraz przestrzeganie zasad określonych w dokumentacji, c) zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych, d) prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych. 3. Do obowiązków Administratora Bezpieczeństwa Informacji należy: a) nadzór nad wdrożeniem stosownych środków organizacyjnych, technicznych i fizycznych w celu ochrony przetwarzanych danych osobowych, b) nadzór nad stosowaniem środków ochrony, c) nadzór nad przestrzeganiem przez osoby odpowiedzialne na obsługę systemów informatycznych i użytkowników systemu procedur bezpieczeństwa, d) wskazywanie zagrożeń oraz reagowanie na naruszenia ochrony danych osobowych i usuwanie ich skutków, e) nadawanie, zmienianie oraz cofanie uprawnień do przetwarzania danych osobowych, f) prowadzenie ewidencji użytkowników systemów informatycznych, w których przetwarzane są dane osobowe, stanowiącej część ewidencji osób upoważnionych do przetwarzania danych osobowych oraz wszelkiej dokumentacji opisującej sposób realizacji i stopień ochrony danych osobowych w Kancelarii, g) kontrolowanie nadanych w systemach informatycznych uprawnień do przetwarzania danych osobowych pod kątem ich zgodności z wpisami umieszczonymi w ewidencji osób upoważnionych do przetwarzania danych osobowych, h) prowadzenie szkoleń dla osób upoważnionych w zakresie przepisów o ochronie danych osobowych w szczególności dla użytkowników w zakresie stosowanych w systemach informatycznych środków ochrony danych osobowych, i) uzgadnianie z osobami odpowiedzianymi za obsługę systemów informatycznych szczególnych procedur regulujących wykonywanie czynności w systemach lub aplikacjach służących do przetwarzania danych osobowych, j) Zapoznawanie pracowników oraz współpracowników Kancelarii z przepisami i zasadami ochrony danych osobowych oraz informowanie o zagrożeniach 8

związanych z ich przetwarzaniem, k) przygotowywanie zgłoszeń zbiorów danych osobowych do rejestracji w GIODO, l) reagowanie na zgłaszane incydenty związane z naruszeniem ochrony danych osobowych oraz analizowanie ich przyczyn i kierowanie wniosków dotyczących ukarania winnych naruszeń, m) dokonywanie sprawdzeń zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych polegających na weryfikacji zbiorów danych osobowych i systemów informatycznych. Sprawdzenia są dokonywane na wniosek Kierownictwa. ABI może dokonać sprawdzenia także w sytuacji powzięcia wiadomości o naruszeniu ochrony danych osobowych lub uzasadnionego podejrzenia wystąpienia takiego naruszenia. n) dokumentowanie czynności przeprowadzonych w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Dokumentowanie czynności w toku sprawdzenia może polegać, w szczególności, na utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczania danych osobowych na informatycznym nośniku danych lub dokonaniu wydruku tych danych oraz w szczególności na: i) sporządzeniu notatki z czynności, w szczególności z zebranych wyjaśnień, przeprowadzonych oględzin oraz z czynności związanych z dostępem do urządzeń, nośników oraz systemów informatycznych; ii) odebraniu wyjaśnień osoby, której czynności objęto sprawdzeniem; iii) sporządzeniu kopii otrzymanego dokumentu; iv) sporządzeniu kopii obrazu wyświetlonego na ekranie urządzenia stanowiącego część systemu informatycznego lub zabezpieczania danych osobowych; v) sporządzeniu kopii zapisów rejestrów systemu informatycznego lub zapisów konfiguracji technicznych środków zabezpieczeń tego systemu. o) w przypadkach wykrycia rażących zaniedbań w toku sprawdzenia sporządzenie ich opisu i niezwłoczne przedłożenie administratorowi danych stosownego sprawozdania. p) nadzór na opracowaniem i aktualizacją dokumentacji opisującej zastosowaną ochronę danych osobowych (niniejsza Polityka oraz wynikające z niej instrukcje i procedury) oraz zapewnienie ich publikacji i dystrybucji i przestrzeganie zasad w nich określonych, poprzez: i) weryfikowanie opracowania i kompletności dokumentacji; ii) weryfikowanie zgodności dokumentacji z obowiązującymi przepisami prawa; 9

iii) weryfikowanie stanu faktycznego w zakresie przetwarzania danych osobowych; iv) weryfikowanie zgodności ze stanem faktycznym przewidzianych w dokumentacji środków technicznych i organizacyjnych służących przeciwdziałaniu zagrożeniom dla ochrony danych osobowych. q) wykonywanie innych czynności w celu zapewnienia przepisów o ochronie danych osobowych w Kancelarii. 7. ROZPOWSZECHNIANIE I ZARZĄDZANIE DOKUMENTEM POLITYKI 1. Niniejszy dokument zawiera informacje o zabezpieczeniach, dlatego też został objęty ochroną na zasadzie tajemnicy przedsiębiorstwa w myśl art. 11 ust. 4 ustawy z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz. U. z 2003 r. Nr 153, poz. 1503 ze zm.). Wybrane jego elementy mogą zostać udostępnione innym podmiotom po zawarciu stosownej umowy o zachowaniu poufności. 2. Za zarządzanie dokumentem Polityki Bezpieczeństwa, w tym jego rozpowszechnianiem, aktualizacją, utrzymywaniem spójności z innymi dokumentami, jest odpowiedzialny administrator danych. 3. Z treścią niniejszego dokumentu powinny zostać zapoznane wszystkie osoby upoważnione do przetwarzania danych osobowych, które z racji wykonywanych obowiązków i czynności mają dostęp do danych osobowych. 4. Integralną część niniejszej Polityki Bezpieczeństwa stanowią następujące załączniki: a) Załącznik nr 1 Wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w których przetwarzane są dane osobowe; b) Załącznik nr 2 Wykaz zbiorów danych i systemów zastosowanych do ich przetwarzania; c) Załącznik nr 3 Wzór upoważnienia do przetwarzania danych osobowych; d) Załącznik nr 4 Ewidencja osób upoważnionych do przetwarzania danych osobowych. 10

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres