R E G U L A M I N ochrony danych osobowych w Spółdzielni Mieszkaniowej w Piekarach Śląskich
2 I. POSTANOWIENIA OGÓLNE 1 1. Ochrona danych osobowych w spółdzielni mieszkaniowej ma na celu zapewnienie każdemu członkowi spółdzielni i jej pracownikowi ochrony jego prywatności. 2. Regulamin niniejszy określa zasady i tryb przetwarzania danych osobowych i sposoby zabezpieczenia zbiorów danych osobowych będących w posiadaniu spółdzielni, a także określa, obowiązki administratora danych osobowych oraz prawa osób, których dane spółdzielnia przetwarza. Przez użyte w treści regulaminu sformułowania należy rozumieć: 2 1) dane osobowe każda informacja dotycząca osoby fizycznej, pozwalająca na określenie tożsamości tej osoby; 2) zbiór danych każdy posiadający strukturę zestaw danych osobowych dostępny według określonych kryteriów, w którym dane są przetwarzane, w szczególności: w kartotekach, skorowidzach, księgach, wykazach, rejestrach, systemach informatycznych itp.; 3) przetwarzanie danych wszelkie operacje wykonywane na danych osobowych i ich zbiorach, w szczególności: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie danych osobowych; 4) usuwanie danych zniszczenie danych osobowych lub taka ich modyfikacja, która nie pozwala na ustalenie tożsamości osoby, której dane dotyczą; 5) administrator danych osobowych podmiot zajmujący się przetwarzaniem danych osobowych. Administratorem danych osobowych członków spółdzielni i jej pracowników jest spółdzielnia mieszkaniowa, a w jej imieniu zarząd spółdzielni; 6) administrator bezpieczeństwa informacji będący jednocześnie administratorem sieci - osoba odpowiedzialna za bezpieczeństwo danych osobowych w systemie informatycznym, wyznaczona przez administratora danych osobowych zwany dalej ABI 7) system informatyczny system przetwarzania informacji wraz ze związanymi z nim ludźmi oraz zasobami technicznymi i finansowanymi, który dostarcza i rozprowadza informacje. 3 Celem zabezpieczenia zbiorów danych osobowych członków spółdzielni i jej pracowników oraz ich przetwarzania jest uniemożliwienie dostępu do zbioru danych osobom nieuprawnionym bądź zabierania ich przez osobę nieuprawnioną oraz zabezpieczenie danych przed ich uszkodzeniem lub zniszczeniem.
1. Spółdzielnia mieszkaniowa jako administrator danych osobowych przetwarza dane osobowe swoich członków dla realizacji celów statutowych w zakresie: 3 4 1) prowadzenia rejestru członków, 2) prowadzenia rejestru lokali, dla których zostały założone księgi wieczyste z adnotacją o ustanowionych hipotekach, 3) sporządzania i ogłaszania list przydziałów mieszkań, 4) sporządzania list niezbędnych dla obliczania opłat za użytkowanie lokali, 5) gromadzenia i przetwarzania danych osobowych zawartych w indywidualnych aktach członków spółdzielni, 6) wywieszania list lokatorów i umieszczania nazwisk przy instalacji domofonowej. 2. Spółdzielnia mieszkaniowa jako administrator danych osobowych przetwarza dane osobowe swoich pracowników w zakresie określonym przepisami Kodeksu pracy, poprzez gromadzenie i przetwarzanie akt osobowych pracowników spółdzielni. 1. Dostęp do zbioru danych osobowych oraz do ich przetwarzania mogą mieć wyłącznie osoby, które uzyskały pisemne upoważnienie wydane przez zarząd spółdzielni. 2. Zarząd spółdzielni prowadzi ewidencję osób zatrudnionych przy przetwarzaniu danych osobowych. 3. Ewidencja, o której mowa w ustępie 2, powinna zawierać: 5 imię i nazwisko pracownika, stanowisko, zakres, w jakim pracownik został dopuszczony do przetwarzania danych osobowych, datę wydania upoważnienia, identyfikator, w przypadku przetwarzania danych osobowych w systemie informamatycznym. 4. Pracownik, który uzyskał upoważnienie do dostępu do zbioru danych osobowych i ich przetwarzania, powinien być zapoznany z przepisami dotyczącymi ochrony danych osobowych. 5. Pracownik spółdzielni, który uzyskał dostęp do zbioru danych osobowych i ich przetwarzania, zobowiązany jest do złożenia oświadczenia o zachowaniu ich w tajemnicy. Obowiązek ten istnieje również po ustaniu zatrudnienia przy przetwarzaniu danych osobowych. 6. Upoważnienie, o którym mowa w ustępie 2, oraz oświadczenie pracownika o zachowaniu danych osobowych członków spółdzielni i jej pracowników, dołączone do akt osobowych pracownika. 7. Indywidualny zakres czynności pracownika dopuszczonego do przetwarzania danych osobowych powinien określać jego obowiązki wynikające z czynności związanych z przetwarzaniem danych osobowych oraz zakres, w jakim pracownik został upoważniony do przetwarzania tych danych. 6 1. Dane osobowe członków spółdzielni i jej pracowników są przechowywane i przetwarzane w wydzielonych pomieszczeniach, określonych zarządzeniem zarządu spółdzielni.
4 2. Do pomieszczeń, o których mowa w ustępie l, mogą mieć dostęp jedynie pracownicy spółdzielni posiadający upoważnienie zarządu spółdzielni. 3. Pomieszczenia, w których przechowywane i przetwarzane są dane osobowe, są zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych osobowych. II. OCHRONA DANYCH OSOBOWYCH PRZETWARZANYCH W SYSTEMIE INFORMATYCZNYM 7 1. Przy obsłudze systemu informatycznego oraz urządzeń wchodzących w jego skład, służących do przetwarzania danych, mogą być zatrudnieni wyłącznie pracownicy posiadający upoważnienie wydane przez zarząd spółdzielni. 2. Zarząd spółdzielni wyznacza administratora bezpieczeństwa informacji" odpowiedzialnego za bezpieczeństwo danych osobowych gromadzonych i przetwarzanych w systemie informatycznym. 3. Administrator bezpieczeństwa informacji odpowiedzialny jest za przeciwdziałanie dostępowi osób niepowołanych do systemu, w którym przetwarzane są dane osobowe oraz za podejmowanie odpowiednich działań w przypadkach wykrycia naruszeń w systemie zabezpieczeń. 8 1) Pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych w systemie informatycznym administrator bezpieczeństwa informacji przydziela odrębny identyfikator i hasło. 2) Identyfikator powinien być wpisany do ewidencji pracowników zatrudnionych przy przetwarzaniu danych osobowych. 3) Ustalony identyfikator pracownika nie podlega zmianie w okresie jego zatrudnienia, a po wykreśleniu użytkownika z systemu informatycznego nie może być przydzielony innemu pracownikowi. 4) Hasło przydzielane pracownikowi podlega zmianie raz na kwartał. 5) Hasło powinno zawierać min. 8 znaków, w tym litery duże i małe oraz znaki specjalne. 6) Hasło przydzielone pracownikowi zatrudnionemu przy przetwarzaniu danych osobowych pracownik powinien utrzymywać w tajemnicy, także po upływie jego ważności. 7) Bezpośredni dostęp do systemu informatycznego zawierającego dane osobowe może nastąpić wyłącznie po podaniu identyfikatora i hasła. 8) Identyfikator osoby, która utraciła uprawnienia dostępu do systemu informatycznego zawierającego dane osobowe, należy natychmiast wyrejestrować z systemu i unieważnić jej hasło. 1. Pracownik zatrudniony przy przetwarzaniu danych osobowych w systemie informatycznym obowiązany jest niezwłocznie powiadomić administratora bezpieczeństwa informacji, gdy: 1) stwierdzi naruszenie zabezpieczenia systemu informatycznego, 9
5 2) stan urządzeń, zawartość zbioru danych osobowych, ujawnione metody pracy, sposób działania programu lub jakości komunikacji w sieci telekomunikacyjnej mogą wskazywać na naruszenie zabezpieczeń tych danych. 2. Administrator bezpieczeństwa informacji po stwierdzeniu naruszenia systemu informatycznego ma obowiązek: 1) zabezpieczyć ślady pozwalające na określenie przyczyn naruszenia systemu informatycznego, 2) przeanalizować i określić skutki naruszenia systemu informatycznego, 3) określić czynniki, które spowodowały naruszenie systemu informatycznego, 4) dokonać niezbędnych korekt w systemie informatycznym polegających na zabezpieczeniu systemu przed ponownym jego naruszeniem, 5) powiadomić zarząd spółdzielni o naruszeniu systemu informatycznego, jego przyczynach i skutkach oraz podjętych działaniach korygujących system. 10 Administrator bezpieczeństwa informacji prowadzi rejestr pracowników użytkowników systemu informatycznego, zawierający ; imię i nazwisko pracownika, stanowisko, zakres, w jakim pracownik został dopuszczony do przetwarzania danych osobowych w systemie informatycznym, data wydania upoważnienia, data utraty upoważnienia, indywidualny identyfikator pracownika. 11 System informatyczny powinien zapewniać odnotowanie: 1) daty wprowadzenia i modyfikacji danych osobowych, 2) identyfikatora użytkownika systemu wprowadzającego dane, 3) informację, komu, kiedy i w jakim zakresie dane zostały udostępnione, 4) żądanie zaprzestania przetwarzania danych po jego uwzględnieniu. 12 1. System informatyczny służący do przetwarzania danych osobowych musi pozwalać na udostępnienie tych danych na piśmie w formie powszechnie zrozumiałej. 2. Dane przedstawione w formie pisemnej powinny zawierać informacje określone w 11. 13 1. Zarząd spółdzielni w drodze zarządzenia określi pomieszczenia lub ich części, tworzące obszar, w którym przetwarzane są dane osobowe w systemie informatycznym. 2. Przebywanie osób nieuprawnionych oraz dostęp do danych osobowych wewnątrz obszaru określonego w zarządzeniu zarządu spółdzielni jest możliwe jedynie w obecności osoby zatrudnionej przy przetwarzaniu tych danych i za zgodą zarządu spółdzielni.
6 3. Pomieszczenia, w których są przetwarzane dane osobowe, muszą być zamykane na czas nieobecności w nich osób zatrudnionych przy przetwarzaniu danych osobowych w taki sposób, aby uniemożliwić dostęp do nich osób nieuprawnionych. 4. W pomieszczeniach, w których przebywają osoby postronne, monitory komputerów powinny być ustawione w taki sposób, żeby uniemożliwić im wgląd w dane osobowe. 14 Urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zasilane energią elektryczną, powinny być zabezpieczone przed utratą tych danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej. 15 Administrator bezpieczeństwa informacji obowiązany jest zabezpieczyć nośnik informacji, wydruki, kopie zapasowe, tak aby uniemożliwić dostęp do nich osobom nieuprawnionym lub przed ich uszkodzeniem lub zniszczeniem, zgodnie z rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29.IV.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100 poz. 1024 ). 16 Zasady zarządzania systemem informatycznym określa Instrukcja, stanowiąca załącznik do Regulaminu. 17 1. Kopie awaryjne nie powinny być przechowywane w tych samych pomieszczeniach, w których przechowywane są zbiory danych osobowych eksploatowane na bieżąco. 2. Kopie awaryjne należy: 1) okresowo sprawdzać pod kątem ich dalszej przydatności do odtworzenia danych w przypadku awarii systemu, 2) bezzwłocznie usuwać po ustaniu ich użyteczności. 18 1. Zarząd spółdzielni powinien udostępnić dane osobowe członka spółdzielni Walnemu Zgromadzeniu (Zebraniu Przedstawicieli), Radzie Nadzorczej jedynie w przypadku, gdy w sprawie danego członka toczy się postępowanie wewnątrzspółdzielcze w trybie określonym postanowieniami statutu spółdzielni, 2. Dane osobowe członka spółdzielni mogą być udostępnione organom samorządowym spółdzielni rozpatrującym jego sprawę w postępowaniu wewnątrzspółdzielczym tylko w zakresie mogącym mieć znaczenie dla danej sprawy. 3. Zarząd spółdzielni jest zobowiązany do poinformowania członków organów samorządowych spółdzielni rozpatrującym sprawę członka spółdzielni w postępowaniu wewnątrzspółdzielczym o przepisach dotyczących ochrony danych osobowych.
7 4. Udostępnienie danych osobowych przetwarzanych przez spółdzielnię osobom fizycznym lub instytucjom publicznym może nastąpić jedynie na pisemnie umotywowany wniosek, chyba że przepis szczególny stanowi inaczej. 5. Wniosek, o którym mowa w ustępie 4, może dotyczyć jedynie konkretnej osoby w konkretnej sytuacji. 6. Spółdzielnia mieszkaniowa może odmówić udostępnienia danych osobowych swoich członków i pracowników w przypadkach określonych ustawą o ochronie danych osobowych art. 30. 7. Umieszczenie nazwiska członka spółdzielni na liście lokatorów lub przy instalacji domofonowej jest możliwe po wyrażeniu pisemnej zgody przez członka spółdzielni. 18 a 1. W umowach zawieranych przez Spółdzielnię w przypadku zaistnienia okoliczności powierzenia danych osobowych podmiotowi zewnętrznemu w celu wykonania okresowych czynności na tych danych, każdorazowo wymagany jest zapis o powierzeniu danych osobowych bądź zawarcia odrębnej umowy powierzenia na zasadach przewidzianych w art. 31 ustawy o ochronie danych osobowych. 2. W przypadku, o którym mowa w ust. 1, kierujący komórką organizacyjną niezwłocznie, nie później niż w ciągu 10 dni; 1/ przed podpisaniem umowy, w której został zawarty zapis o powierzeniu. 2/ przed datą planowanego powierzenia danych na podstawie odrębnej umowy powierzenia przekazuje Zarządowi Spółdzielni projekt umowy, o której mowa w pkt. 1 lub projekt umowy, o którym mowa w pkt. 2. 19 1. Osoba, której dane przetwarzane są przez spółdzielnię, ma prawo: 1) do informacji o: - sposobie przetwarzania danych osobowych (ręczne przetwarzanie danych, metody informatyczne, w tym sieci komputerowej), - treści danych, - sposobie udostępniania danych osobowych oraz odbiorcach lub kategorii odbiorców danych, 2) żądania uzupełnienia, uaktualnienia i sprostowania danych osobowych. 2. Informacji, o których mowa w ust. l zarząd spółdzielni, jest zobowiązany udzielić w terminie 30 dni od otrzymania wniosku.
8 20 Niniejszy Regulamin wraz z załącznikami stanowiącym integralna część, obowiązuje od 24 listopada 2005 roku. Załącznik : Instrukcja określająca zasady zarządzania systemem informatycznym w zakresie przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. Otrzymują : Wszystkie komórki organizacyjne. Regulamin został uchwalony przez RNS uchwałą nr 81/2005 z 24.11. 2005 r. Protokół Nr 21/05 (zmiany: dn. 29.10.2009 r. Prot. 19/09 Uchwała 77/09).
9 Załącznik Nr 1 do Regulaminu Ochrony Danych Osobowych Instrukcja określająca sposób zarządzania systemem informatycznym w zakresie przetwarzania danych osobowych, ze szczególnym uwzględnieniem wymogów bezpieczeństwa informacji. Przedmiotem niniejszej instrukcji są zasady zabezpieczania i ochrony baz danych zawierające dane osobowe. Ustalone w tej instrukcji zasady obowiązują wszystkich użytkowników systemów i podsystemów spółdzielni wspomaganych za pomocą komputerów. Reguły instrukcji obejmują procedury i rygory w zakresie dostępu, użytkowania, archiwizowania baz danych zawierające dane osobowe systemu informatycznego spółdzielni mieszkaniowej. Dostęp do danych osobowych zawartych w bazach danych naszego systemu informatycznego realizowany jest poprzez zalogowanie się do systemu podając nazwę użytkownika oraz indywidualne hasło dostępu. Zalogowanie do systemu jest możliwe po użyciu polecenia systemowego w ramach, którego podajemy nazwę użytkownika i hasło dostępu przydzielonego przez administratora sieci. Ta operacja umożliwia nam zarejestrowanie się w systemie (w sieci ). W kolejnym kroku uruchamiając oprogramowanie podaje się kolejne hasło dostępu, umożliwiające dostęp do konkretnego oprogramowania tylko osobom uprawnionym. Ze względu na szereg zagrożeń w przetwarzaniu danych osobowych i księgowych za pomocą komputera uzyskane dane, ich zbiory, programy i nośniki danych podlegają szczególnej ochronie z uwagi na możliwości ; - całkowitej utraty danych, - częściowej utraty danych, - uszkodzenia danych podczas przetwarzania, - celowego wprowadzania błędnych danych przez osoby nieuprawnione. - wejścia w posiadanie danych przez osoby nieuprawnione, - różne inne zagrożenia. W celu zapobieżenia wskazanym powyżej zagrożeniom wprowadza się następujące reguły i zasady do ścisłego przestrzegania przez wszystkich użytkowników systemu informatycznego a mianowicie: 1. Wprowadza się bezwzględny zakaz dopuszczania osób innych niż mające upoważnienie nadane przez administratora danych do przetwarzania danych osobowych. 2. Zabrania się tworzenia jakichkolwiek kopi danych osobowych, które nie wynika z obowiązku archiwizowania danych. 3. Utworzone kopie wynikające z obowiązku archiwizowania danych powinny być złożone do archiwum jak i druga kopia w pomieszczeniu wskazanym przez administratora bezpieczeństwa. Dostęp do zarchiwizowanych danych mają osoby, które uzyskają zgodę na wgląd do tych danych. Jednocześnie zabrania się wynoszenia tych kopii poza budynek Zarządu SM.
10 4. Wprowadza się obowiązek stosowania indywidualnych haseł dostępu do systemu informatycznego. Dla zwiększenia bezpieczeństwa dostępu do baz danych należy raz na kwartał zmieniać hasła. Przydziału jak i okresowej zmiany tych haseł dokonuje ABI.Wszystkie osoby z uprawnieniami dostępu do baz danych wraz z określonymi uprawnieniami i przydzielonymi hasłami dostępu znajdują się w sporządzonym wykazie. Wykaz taki dla poszczególnych komórek przygotowuje w porozumieniu z ABI kierownik komórki i przedstawia do zatwierdzenia Zarządowi Spółdzielni. Powyższy wykaz powinien być złożony i przechowywany w szafie pancernej w miejscu wskazanym przez ABI. 5. Hasło dostępu przydziela się wyłącznie osobom mającym upoważnienie nadane przez administratora danych do przetwarzania danych osobowych. Przydzielone hasło dostępu dla pracownika powinno pozostać tylko do jego wiadomości i nie wolno go przekazywać osobom trzecim. 6. ABI oprócz przydziału haseł dostępu nadaje właściwe uprawnienia dostępu do baz danych zgodnych z charakterem wykonywanej pracy i obowiązkami w tej pracy. 7. Wprowadza się bezwzględny obowiązek sporządzania zapasowych kopii danych przy pomocy oprogramowania archiwizującego na dyskietkach 3.5", równolegle na partycji dysku twardego komputera stacjonarnego, oraz na płytach CD. 8. Dyskietki i płyty CD zawierające zarchiwizowane dane muszą być przechowywane pod zamknięciem, w odpowiednich pojemnikach zabezpieczających przed wilgocią i kurzem. Wskazane jest przechowywanie ich w innym pomieszczeniu niż znajduje się komputer zawierający dane. W celu ochrony baz danych i ich zbiorów przed możliwością ich całkowitej lub częściowej utraty w wyniku różnych nieprzewidzianych zdarzeń wprowadza się jako obowiązujące niżej podane zasady do ścisłego przestrzegania : Pomieszczenie w którym znajduje się komputer zawierający chronione dane musi być zamykane w okresie gdy nie przebywa w nim żaden z pracowników oraz odpowiednio zabezpieczone przed możliwością włamania. Od uszkodzenia sprzętu komputerowego spowodowanego niewłaściwymi parametrami zasilania z sieci energetycznej wymagane jest zapewnienie właściwego stanu instalacji zasilającej, stosowanie wyłącznie instalacji z uziemieniem oraz zasilaczy awaryjnych tak zwanych UPS lub co najmniej urządzeń zapewniających eliminację przepięć występujących w sieci energetycznej. Obowiązuje maksymalne ograniczenie dostępu do komputera zawierającego dane osobowe a także bezwzględny zakaz pozostawiania włączonego komputera w sieci bez opieki lub możliwości uruchomienia programu oraz dokonywania na nim jakichkolwiek operacji z klawiatur bez podania hasła. Obowiązuje szczególna uwaga przy wykonywaniu operacji usuwających zbiory (kasowanie, formatowanie) Operacja taka powinna odbywać się przy udziale ABI. Oprócz niebezpieczeństwa utraty danych istnieje niebezpieczeństwo zaistnienia w systemie wirusów komputerowych, których działanie może prowadzić do utraty danych jak i uszkodzenia całego systemu operacyjnego.
11 Aby zabezpieczyć się przed wirusami należy stosować oprogramowanie antywirusowe oraz bezwzględnie przestrzegać podstawowych zasad bezpieczeństwa i nie wgrywać do systemu żadnego oprogramowania czy też dokumentów z dyskietek i z płyt CD bez ich przeskanowania przez odpowiednie oprogramowanie antywirusowe. Co najmniej raz w tygodniu ABI powinien przeskanować pod kątem istnienia wirusów komputerowych cały system operacyjny, dane zawarte na serwerach oraz stacje robocze. W działach znajdujących poza budynkiem Zarządu takich czynności powinna dokonać przeszkolona osoba wskazana przez kierownika działu. Na stacjach roboczych z dostępem do Internetu należy zainstalować indywidualne oprogramowanie antywirusowe, które stwarza dodatkową możliwość kontrolowania poczty elektronicznej. Dostęp do Internetu powinien odbywać się na podstawie zezwolenia na taki dostęp. Wykaz osób w poszczególnych komórkach przygotowuje kierownik takiej komórki i przedstawia Zarządowi SM do zatwierdzenia. Następnie ABI podejmuje właściwe kroki celem udostępnienia na wskazanych stanowiskach Internetu oraz zabezpiecza je programem antywirusowym. Zarchiwizowane bazy danych w postaci nośników magnetycznych i płyt CD w podwójnych kompletach powinny być przechowywane przez określony czas w różnych dla każdego kompletu miejscach. Podstawowa kopia zarchiwizowanych danych powinna być złożona w archiwum SM w odpowiednich pojemnikach zabezpieczających przed wilgocią i kurzem. Druga kopia powinna być złożona w miejscu ustalonym przez ABI w porozumieniu z Zarządem SM. Dostęp do zarchiwizowanych baz danych złożonych w archiwum może odbyć się na podstawie zgody udzielonej przez członka Zarządu SM. i w oparciu o wewnętrzną instrukcję wydawania materiałów z archiwum obowiązującą w SM. Co najmniej raz na kwartał nośniki magnetyczne typu dyskietki, taśmy, należy przejrzeć i odnowić ze względu na naturalne starzenie się materiałów z których wykonane są nośniki. Nośniki typu płyty CD o ile okres wymagany do przechowywania archiwum jest dłuższy niż rok należy co roku przejrzeć i odnowić. Zaleca się systematyczny przegląd stanowisk komputerowych pod kątem właściwości i legalności zainstalowanego oprogramowania. Kierownicy działów decydują i odpowiadają za to co zostaje zainstalowane na poszczególnych stanowiskach komputerowych, współpracując w tym zakresie z ABI. Każdą awarię sprzętu komputerowego, jak również każdą potrzebę instalacji jakiegokolwiek oprogramowania należy zgłosić i uzgodnić w dziale komputerowym Spółdzielni Mieszkaniowej. Dopiero po uzgodnieniu wszelkich spraw z tym działem i po akceptacji Zarządu można przystąpić do realizacji zaplanowanych w tym zakresie czynności. Niedozwolona jest naprawa sprzętu komputerowego we własnym zakresie bez uzgodnienia z działem komputerowym. Niedozwolona jest instalacja jakiegokolwiek oprogramowania bez uzgodnienia z działem komputerowym i bez zgody Zarządu.