POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24



Podobne dokumenty
Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Stowarzyszenia Radomszczański Uniwersytet Trzeciego Wieku WIEM WIĘCEJ z dnia 30 lipca 2015 r.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH Regionalnego Stowarzyszenia Pamięci Historycznej ŚLAD

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

4. PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W SZKOLE PODSTAWOWEJ NR 2 ŁĘCZNEJ

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

POLITYKA BEZPIECZEŃSTWA SYSTEMÓW INFORMATYCZNYCH SŁUŻĄCYCH DO PRZETWARZNIA DANYCH OSOBOWYCH W URZĘDZIE GMINY DĄBRÓWKA

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

OCHRONA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

Polityka Bezpieczeństwa Informacji (PBI) URZĄDU GMINY SECEMIN. Załącznik Nr 1 do Zarządzenia Nr 39 Wójta Gminy Secemin z dnia 30 sierpnia 2012 roku

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH OBOWIĄZUJĄCA W ZESPOLE SZKÓŁ NR 1 W WODZISŁAWIU ŚLĄSKIM

2. Administratorem Danych Osobowych w SGSP w rozumieniu ustawy o ochronie danych osobowych jest Rektor-Komendant SGSP.

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

Polityka Bezpieczeństwa Danych Osobowych wraz z Instrukcją zarządzania systemem informatycznym przetwarzającym dane osobowe

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

Zarządzenie Nr 21/2018. w Straży Miejskiej w Legnicy. z dnia 3 lipca 2018r. Polityki bezpieczeństwa danych osobowych w Straży Miejskiej

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr. xx / 2013 DYREKTORA Zespołu Szkół Publicznych w Kazuniu Polskim z dnia dnia miesiąca roku

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

POLITYKA OCHRONY DANYCH OSOBOWYCH

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Zał. nr 2 do Zarządzenia nr 48/2010 r.

a) po 11 dodaje się 11a 11g w brzmieniu:

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

Zarządzenie nr 14 Rektora Uniwersytetu Jagiellońskiego z 10 lutego 2006 roku

1. Polityka Bezpieczeństwa

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Polityka bezpieczeństwa informacji

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Zarządzenie nr 25 Burmistrza Kolonowskiego Z roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA W ZAKRESIE OCHRONY DANYCH OSOBOWYCH W MEDARMED-NOWOSOLNA CENTRUM MEDYCZNE

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

administratora systemów informatycznych w Urzędzie Gminy i Miasta Proszowice NIE

Zarządzenie Nr 1/2010. Kierownika Ośrodka Pomocy Społecznej w Dębnicy Kaszubskiej. z dnia 05 marca 2010 r.

Regulamin Ochrony Danych Osobowych w Stowarzyszeniu Ogrodowym KMITA w Zabierzowie

REGULAMIN. organizacji i przetwarzania danych osobowych.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

R E G U L A M I N OCHRONY DANYCH OSOBOWYCH. W GNIEŹNIEŃSKIEJ SPÓŁDZIELNI MIESZKANIOWEJ w GNIEŹNIE

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

ZARZĄDZENIE NR WÓJTA GMINY KRZYŻANOWICE KIEROWNIKA URZĘDU GMINY z dnia roku.

PROCEDURA POLITYKI BEZPIECZEŃSTWA I OCHRONY DANYCH OSOBOWYCH

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

PROCEDURA PRZECHOWYWANIA I PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU MEDIACJI INIGO

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

REGULAMIN OCHRONY DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ VII DWÓR W GDAŃSKU

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI SŁUŻĄCYMI DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Ustawa o ochronie danych osobowych po zmianach

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym Załącznik numer 1 do Instrukcji Zarządzania Systemem Informatycznym

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ IM. MARII KONOPNICKIEJ W HARKABUZIE

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Transkrypt:

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH WRAZ Z INSTRUKCJA ZARZĄDZANIA ZINTEGROWANĄ PLATFORMĄ ELF24 FIRMY ELF24 SP. Z O.O. SP. K. Z SIEDZIBĄ W POZNANIU Poznań, czerwiec 2015

SPIS TREŚCI SPIS TREŚCI... 3 A.POLITYKA BEZPIECZEŃSTWA... 4 I.WPROWADZENIE... 4 II.Osoby wyznaczone do realizacji polityki ochrony danych osobowych... 4 III.Wykaz budynków oraz pomieszczeń stanowiących obszar przetwarzania danych osobowych... 4 IV.Wykaz zbiorów osobowych oraz programów służących do ich przetwarzania... 5 V.Opis struktury zbiorów danych osobowych... 5 VI.Sposób przepływu danych pomiędzy poszczególnymi systemami... 5 VII.Środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych osobowych... 5 B.INSTRUKCJA ZARZĄDZANIA... 7 I.Słownik pojęć zawartych w instrukcji... 7 II.Zabezpieczenie obszaru przetwarzania danych osobowych... 7 III.Nadawanie uprawnień do przetwarzania danych... 8 IV.Zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych... 9 V.Obowiązki Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego... 10 VI.Obowiązki użytkowników SI... 10 2

A. POLITYKA BEZPIECZEŃSTWA I. WPROWADZENIE 1. Zarząd spółki Elf24 sp. z o.o. sp. k. z siedzibą w Poznaniu (dalej zwanej Elf24 ) świadomy wagi problemów związanych z ochroną danych osobowych, w tym w szczególności praw osób fizycznych powierzających Elf24 swoje dane osobowe, w celu ich właściwej i skutecznej ochrony, postanawia: realizować działania niezbędne dla ochrony praw i usprawiedliwionych interesów Elf24 związanych z ochroną danych osobowych, stale podnosić świadomości oraz kwalifikację osób przetwarzających dane osobowe w Elf24 w zakresie problematyki bezpieczeństwa danych osobowych, podejmować w niezbędnym zakresie współpracę z instytucjami powołanymi do ochrony danych osobowych. 2. Elf24 przetwarza dane osobowe w celach związanych z prowadzeniem działalności gospodarczej. 3. Elf24 świadome zagrożeń związanych z przetwarzaniem przez Elf24 danych osobowych w tym, w szczególności z zagrożeń wynikających z dynamicznego rozwoju metod i technik przetwarzania tych danych w systemach informatycznych oraz sieciach telekomunikacyjnych - na bieżąco doskonali i rozwija nowoczesne metody przetwarzania danych, w tym danych osobowych, doskonali i rozwija organizacyjne, techniczne oraz informatyczne środki ochrony danych osobowych przetwarzanych zarówno metodami tradycyjnymi jak i elektronicznie tak, aby skutecznie zapobiegać zagrożeniom, w szczególności zabezpieczać dane przed ich udostępnieniem osobom nieupoważnionym, przetwarzaniem z naruszeniem prawa, zmianą, utratą, uszkodzeniem lub zniszczeniem. 4. Na podstawie art. 36 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jednolity z 2002 r.: Dz. U. Nr 101, poz. 926 z późn. zm., dalej UODO ) oraz 3 i 4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych 3

osobowych (Dz. U. Nr 100, poz. 1024, dalej Rozporządzenie ) w celu zabezpieczenia danych gromadzonych i przetwarzanych w Elf24 oraz w jej systemie informatycznym i w celu ochrony danych osobowych wprowadza się określone w niniejszym dokumencie zasady polityki bezpieczeństwa przetwarzania danych osobowych. II. Osoby wyznaczone do realizacji polityki ochrony danych osobowych Elf24 wyznacza osoby odpowiedzialne za realizację polityki bezpieczeństwa w zakresie ochrony danych osobowych w Elf24, w tym również na terenie poszczególnych jednostek organizacyjnych (jeśli takowe będą funkcjonować). Elf24 posiada Administratora Danych Osobowych i wyznacza Administratora Bezpieczeństwa Informacji. III. Wykaz budynków oraz pomieszczeń stanowiących obszar przetwarzania danych osobowych 1. Elf24 wyznacza budynki, pomieszczenia i części pomieszczeń tworzące Obszar Przetwarzania Danych Osobowych. 2. Wykaz budynków oraz pomieszczeń i ich części stanowiących Obszar Przetwarzania Danych Osobowych określa załącznik A do niniejszego dokumentu. IV. Wykaz zbiorów osobowych oraz programów służących do ich przetwarzania Wykaz zbiorów osobowych oraz programów służących do ich przetwarzania określa załącznik B do niniejszego dokumentu. V. Opis struktury zbiorów danych osobowych 4

Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązań między nimi określa załącznik C do niniejszego dokumentu. VI. Sposób przepływu danych pomiędzy poszczególnymi systemami Sposób przepływu danych pomiędzy poszczególnymi systemami określa załącznik D do niniejszego dokumentu. VII. Środki techniczne i organizacyjne niezbędne dla ochrony przetwarzanych danych osobowych 1. Środki techniczne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. a. Dane, w tym dane osobowe gromadzone są w Elf24 w postaci: elektronicznej lub tradycyjnej (papierowej). b. Dane gromadzone w postaci elektronicznej przetwarzane są w Systemie Informatycznym (platforma ELF24), a także w przypadku przetwarzania danych poza zbiorem danych. Przetwarzanie danych w Systemie Informatycznym odbywa się zgodnie z Polityką Bezpieczeństwa Informatycznego obowiązująca w Elf24, która stanowi integralną część niniejszej Polityki Bezpieczeństwa Ochrony Danych Osobowych, która w pkt 6 określa również odpowiedni poziom ochrony danych osobowych zgodnie z UODO i Rozporządzeniem. System Informatyczny w którym przetwarzane są dane osobowe musi spełniać środki bezpieczeństwa na poziomie co najmniej podstawowym. c. Dane w postaci tradycyjnej (papierowej) gromadzone są w szczególności w teczkach, rejestrach, kartotekach, księgach lub wykazach oraz segregatorach i przechowywane są jako uporządkowane dokumenty: w szafkach zamykanych na klucz, 5

na regałach, które znajdują się w zamkniętym pomieszczeniu do którego dostęp możliwy jest wyłącznie po korzystaniu z odpowiedniej karty dostępu, w sejfach znajdujących się w pomieszczeniu opisanym powyżej do którego dostęp możliwy jest za pomocą odpowiedniego klucza oraz szyfru. 2. Środki organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. a. Administrator Danych Osobowych wyznacza Administratora Bezpieczeństwa Informacji, który nadzoruje przestrzeganie zasad ochrony danych określonych w instrukcji zarządzania systemem informatycznym z uwzględnieniem spraw dotyczących ochrony danych osobowych przetwarzanych w tradycyjnych (papierowych) rejestrach. b. Szczegółowy zakres obowiązków Administratora Bezpieczeństwa Informacji określa załącznik E do niniejszego dokumentu. 6

B. INSTRUKCJA ZARZĄDZANIA I. Słownik pojęć zawartych w instrukcji 1. System informatyczny (dalej SI ) system przetwarzania informacji wraz z jego zasobami technicznymi. 2. Polityka Bezpieczeństwa Informatycznego (dalej PBI ) polityka bezpieczeństwa informatycznego obowiązująca w Elf24. 3. Administrator Danych Osobowych (dalej ADO ) - osoba będąca dysponentem bazy danych (Prezes Zarządu lub osoba przez niego upoważniona). 4. Administratora Bezpieczeństwa Informacji (dalej ABI ) - osoba wyznaczona przez ADO. 5. Administrator Systemu Informatycznego (dalej ASI ) osoba wyznaczona przez Administratora Bezpieczeństwa Informacji, zarządzająca systemem informatycznym służącym do przetwarzania danych osobowych. 6. Obszar Przetwarzania Danych Osobowych (dalej obszar PDO ) budynki i pomieszczenia, w których przetwarzane są dane osobowe, szczegółowo określone w Polityce Bezpieczeństwa. 7. Pracownik osoba zatrudniona przez Elf24, wykonująca swe obowiązki na rzecz Elf24 na podstawie stosunku pracy lub innego stosunku cywilnoprawnego. Pełnienie funkcji ADO, ABI, ASI czy innych funkcji związanych z realizacją Polityki Bezpieczeństwa wchodzi w skład obowiązków danej osoby względem Elf24, niezależnie od rodzaju i treści stosunku prawnego łączącego osobę pełniącą taką funkcję z Elf24. II. Zabezpieczenie obszaru przetwarzania danych osobowych 1. Elf24 zabezpiecza Obszar PDO, o którym mowa w pkt III Polityki Bezpieczeństwa. 2. W przypadku, gdy w pomieszczeniu znajduje się część ogólnodostępna oraz część, w której przetwarzane są dane osobowe, część w której przetwarzane są dane osobowe powinna być ogólnie wyraźnie oddzielona od części ogólnie dostępnej. 7

3. Na Obszarze PDO mają prawo przebywać wyłącznie osoby upoważnione do dostępu lub przetwarzania danych osobowych oraz osoby sprawujące kontrolę nad bezpieczeństwem przetwarzania tych danych. 4. Osoby nieupoważnione do dostępu lub przetwarzania danych osobowych mają dostęp do pomieszczeń Obszaru PDO tylko w obecności osoby upoważnionej do dostępu lub przetwarzania danych osobowych albo na podstawie upoważnienia wydanego przez ADO, ABI lub upoważnioną przez niego osobę. 5. W Obszarze PDO należy również chronić urządzenia wchodzące w skład SI, przed niepowołanym dostępem do danych osobowych osób nieupoważnionych. Komputery wchodzące w skład SI powinny być umiejscowione w sposób uniemożliwiający osobom nieuprawnionym bezpośredni i niekontrolowany dostęp do ekranów oraz urządzeń służących do przetwarzania, a zwłaszcza kopiowania danych. 6. Opuszczanie Obszaru PDO wiązać się musi z zastosowaniem dostępnych środków zabezpieczających używane aktualnie zbiory danych osobowych. W szczególności w razie planowanej, nawet chwilowej nieobecności Pracownika upoważnionego do przetwarzania danych osobowych obowiązany jest on umieścić zbiory w formach tradycyjnych w odpowiednio zabezpieczonym miejscu ich przechowywania oraz dokonać niezbędnych operacji w systemie informatycznym uniemożliwiającym dostęp do danych osobom niepowołanym. 7. Dostęp do Obszaru PDO podlega kontroli, która polega na: a. dostępie to pomieszczeń PDO za pomocą elektronicznych kart dostępu. Wydanie karty dostępu następuje przez dział IT: po podpisaniu przez daną osobę odpowiedniej umowy na świadczenie usług na rzecz Elf24 (umowa o pracę, zlecenia, współpracy itp.), po podpisaniu przez daną osobę upoważnienia na przetwarzanie danych osobowych, po podpisaniu przez daną osobę oświadczenia o zapoznaniu się z zasadami przetwarzania danych osobowych w Elf24. b. dostęp do szczególnie ważnych pomieszczeń PDO niżej: serwerownia (pracownicy działu IT), pokój przechowywania danych osobowych pracowników (pracownicy działu Zarządzania Zasobami Ludzkimi oraz Prezes Zarządu - ADO), 8

archiwum (dyrektorzy oraz kierownicy działu operacyjnego), jest możliwy za pomocą elektronicznych kart dostępu, którym nadano specjalne uprawnienia. Specjalne uprawnienia fizycznie są nadawane przez dział IT na podstawie pełnionej funkcji danej osoby oraz ewentualnie na wniosek przełożonego danej osoby. c. dostęp do sejfów gdzie są przechowywane zabezpieczenia jest możliwy za pomocą odpowiednich kluczy lub kluczy i szyfru. Dostęp mają jedynie niektórzy pracownicy działu operacyjnego, czyli przede wszystkim dyrektorzy i/lub kierownicy oraz ewentualnie dodatkowe osoby z tego działu, którym taki dostęp jest potrzebny z uwagi na pełnione obowiązki. 8. Przekazywanie danych z oddziałów oraz od osób pozyskujących dane od klientów, które odbywa się w następujący sposób: a. za pomocą kuriera w zamkniętych kopertach, jako przesyłki ewidencjonowana do rąk osób uprawnionych do przetwarzania danych osobowych. III. Nadawanie uprawnień do przetwarzania danych 1. Elf24 zapewnia kontrolę nad dostępem do przetwarzania danych osobowych, która w szczególności realizowana jest poprzez ewidencjonowanie osób przetwarzających dane osobowe oraz wdrożenie procedur udzielania dostępu do tych danych. 2. Uprawnienia do przetwarzania danych osobowych nadawane są przez ABI. Uprawnienia dotyczą zarówno danych osobowych gromadzonych w systemie informatycznym, jak również w tradycyjnych rejestrach papierowych. 3. Zgoda na pracę w systemie informatycznym jest wymagana także dla użytkowników, którzy nie przetwarzają danych osobowych. 4. ABI prowadzi w postaci elektronicznej oraz papierowej rejestr osób zatrudnionych przy przetwarzaniu danych osobowych oraz osób pracujących w systemie. 5. Rejestr osób zatrudnionych przy przetwarzaniu danych osobowych zawiera: imię i nazwisko oraz identyfikator osoby, jeżeli dane są przetwarzane w systemie informatycznym, 9

daty nadania i ustania oraz zakres uprawnień do danych osobowych, przetwarzanych zarówno w systemie informatycznym jak i tradycyjnych rejestrach papierowych. 6. Uprawnienia, do przetwarzania danych osobowych odbierane są w przypadku ustania stosunku pracy lub rozwiązania albo wygaśnięcia umowy cywilnoprawnej Pracownika lub decyzją ABI. 7. Użytkowników systemu tworzy oraz usuwa ASI na podstawie zgody ABI. 8. Osoby, które otrzymują upoważnienie zobowiązane są zapoznać się z niniejszą Polityką Bezpieczeństwa i Instrukcją Zarzadzania oraz Polityka Bezpieczeństwa Informatycznego obowiązującą w Elf24 oraz złożyć oświadczenie o zobowiązaniu się do ich przestrzegania. 9. Osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. 10. Naruszenie przez Pracowników upoważnionych do przetwarzania danych osobowych stosowanych w Elf24 procedur traktowane będzie jako naruszenie obowiązków współpracy, a w przypadku osób zatrudnionych na podstawie umowy o pracę obowiązków pracowniczych i może być podstawą rozwiązania właściwej umowy oraz pociągnięcia do innych form odpowiedzialności prawnej. 11. Nadawanie uprawnień do przetwarzania danych osobowych w systemie informatycznym następuje zgodnie z obwiązującymi Elf24 procedurami. IV. Zarządzanie systemem informatycznym służącym do przetwarzania danych osobowych Zarządzania systemem informatycznym służącym do przetwarzania danych osobowych wynika z niniejszego dokumentu oraz przyjętej w Elf24 Polityce Bezpieczeństwa Informatycznego obejmujących: 1. Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym. 2. Stosowane metody i środki uwierzytelniania oraz procedury związane z ich zarządzaniem i użytkowaniem. 10

3. Procedury rozpoczęcia zawieszenia i zakończenia pracy, przeznaczone dla użytkowników SI. 4. Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. 5. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji oraz kopii zapasowych. 6. Sposób zabezpieczenia systemu przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego. 7. Procedury pozwalające gromadzić informacje o odbiorcach, którym dane zostały udostępnione, dacie i zakresie udostępnienia. 8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. V. Obowiązki Administratora Bezpieczeństwa Informacji oraz Administratora Systemu Informatycznego 1. Administrator Bezpieczeństwa Informacji: a. prowadzi nadzór nad przestrzeganiem zasad ochrony danych osobowych zgromadzonych w systemie informatycznym oraz w tradycyjnych rejestrach papierowych określonych w Polityce Bezpieczeństwa Ochrony Danych Osobowych oraz niniejszej Instrukcji Zarządzania Systemem Informatycznym, b. prowadzi rejestr zewnętrznych nośników informacji, na których przechowywane są dane osobowe, c. prowadzi rejestr udzielanych upoważnień, d. prowadzi centralną ewidencję udostępniania danych, która w szczególności zawiera: nazwę odbiorcy, datę udostępnienia, zakres udostępnienia, nazwę udostępniającego. e. sprawuje kontrolę nad niszczeniem zbędnych danych osobowych lub ich zbiorów, które polegać powinny na trwałym, fizycznym zniszczeniu danych osobowych lub ich zbiorów w sposób uniemożliwiający ich późniejsze 11

odtworzenie przez osoby niepowołane przy zastosowaniu powszechnie dostępnych metod, f. dokonuje bieżącej aktualizacji niniejszej instrukcji. 2. Administrator Systemu Informatycznego: a. monitoruje stan SI i ruch użytkowników w sieci oraz próby ingerencji z zewnątrz w SI, b. monitoruje logowanie i wylogowywanie się użytkowników SI oraz nadzoruje zakres przetwarzanych przez nich zbiorów danych. 3. Szczegółowy zakres zadań, uprawnień i odpowiedzialności realizowanych przez ABI określa załącznik E do Polityki Bezpieczeństwa VI. Obowiązki użytkowników SI Użytkownicy systemu zobowiązani są do przestrzegania obowiązków dotyczących ochrony danych osobowych wynikających z Polityki Bezpieczeństwa Danych Osobowych oraz Instrukcji Zarządzania Systemem Informatycznym a także innymi obowiązującymi w Elf24 przepisami gwarantującymi ochronę danych osobowych. 12

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres